Кіберзлочинці постійно вдосконалюють свої методи атак, і нещодавно дослідники виявили новий тип загрози під назвою FileFix. Хакерська група Interlock адаптувала свою стратегію розповсюдження шкідливого програмного забезпечення, перейшовши від традиційних ClickFix-атак до більш витонченої техніки, яка експлуатує довіру користувачів до знайомого інтерфейсу Windows.
Еволюція від ClickFix до FileFix: статистика зростання загроз
Техніка ClickFix, заснована на принципах соціальної інженерії, набула широкого поширення серед кіберзлочинців. За даними компанії ESET, використання ClickFix як вектора первинного доступу зросло на 517% протягом останніх місяців 2024 року та початку 2025 року. Зловмисники заманюють жертв на фішингові веб-ресурси, де обманом змушують копіювати та виконувати шкідливі PowerShell-команди.
Злочинці мотивують користувачів виконати підозрілі дії під приводом вирішення проблем з відображенням контенту в браузері або необхідності проходження фальшивої CAPTCHA. Хоча спочатку атаки були орієнтовані на користувачів Windows, фахівці з інформаційної безпеки вже зафіксували кампанії, спрямовані проти користувачів macOS та Linux.
Механізм роботи FileFix: новий рівень обману
Техніка FileFix, нещодавно описана експертом з інформаційної безпеки mr.d0x, являє собою вдосконалену версію ClickFix-атак. Ключова відмінність полягає у використанні звичного для користувачів інтерфейсу «Провідника» Windows замість командного рядка, що значно знижує підозри потенційних жертв.
На шкідливій сторінці користувачеві повідомляється про надання спільного доступу до певного файлу. Для його пошуку жертві пропонується скопіювати шлях і вставити його в «Провідник». Фішингова сторінка може містити кнопку “Відкрити Провідник”, яка при натисканні запустить File Explorer і скопіює PowerShell-команду в буфер обміну. Після вставки шляху до файлу і натискання Enter відбувається виконання шкідливої команди.
Розповсюдження Interlock RAT через складну інфраструктуру
Фахівці The DFIR Report та Proofpoint ще на початку травня 2025 року попереджали про розповсюдження Interlock RAT за допомогою KongTuke (LandUpdate808) — складної системи розподілу трафіку (TDS). Цей багатоступеневий процес включає використання ClickFix і фальшивих CAPTCHA для зараження шкідливим програмним забезпеченням.
На початку червня хакери переключилися на використання FileFix і почали розповсюджувати PHP-варіант Interlock RAT. У деяких випадках також фіксується розповсюдження Node.js-версії малвари. Це стало першим публічно задокументованим застосуванням тактики FileFix у реальних атаках.
Функціональність та поведінка Interlock RAT
Після успішного виконання троян віддаленого доступу збирає інформацію про систему, використовуючи PowerShell-команди для збору та передачі даних операторам. Шкідливе ПЗ перевіряє привілеї користувача, що увійшов до системи, і закріплюється в системі для очікування подальших команд.
Дослідники відзначають, що зловмисники явно працюють з малварью вручну, перевіряючи резервні копії, здійснюючи навігацію по локальних каталогах і перевірку контролерів домену. У деяких випадках атакуючі використовували RDP для бічного переміщення у зламаних середовищах.
Використання легітимних сервісів для приховування активності
В якості керуючого сервера шкідник експлуатує trycloudflare.com, зловживаючи легітимною службою Cloudflare Tunnel для маскування своєї активності. Такий підхід дозволяє злочинцям обходити традиційні системи виявлення та блокування.
Поява техніки FileFix демонструє постійну еволюцію методів соціальної інженерії в арсеналі кіберзлочинців. Організаціям необхідно посилити навчання співробітників основам кібербезпеки, особливо в частині розпізнавання підозрілих веб-сторінок і запитів на виконання системних команд. Регулярне оновлення систем захисту та впровадження багаторівневої безпеки залишаються критично важливими заходами для протидії подібним загрозам.
