FileFixソーシャルエンジニアリング攻撃

研究者らは、FileFixソーシャルエンジニアリング手法の亜種を用いてStealC情報窃取マルウェアを拡散する最近のフィッシング攻撃キャンペーンを発見しました。このキャンペーンは、洗練された多言語の偽サイト（偽造された「Facebook Security」ページなどが確認済み）、高度な難読化と分析回避策、そして正規のサービスを悪用して検出を回避する特異なペイロード配信チェーンを基盤としています。

被害者はどのように誘い込まれるか

この攻撃は通常、受信者に、ポリシー違反の疑いでFacebookアカウントが停止される恐れがあると伝え、異議申し立てを促すメールから始まります。異議申し立てリンクをクリックすると、ユーザーは説得力のあるフィッシングページにリダイレクトされます。このページでは、違反内容を示すPDFファイルを提供すると謳い、ファイルエクスプローラーにパスをコピー＆ペーストしてアクセスするよう指示されますが、この親切な指示は単なる策略です。

FileFixトリック

FileFixは、コードをローカルで実行させる方法において、類似の手法とは異なります。被害者に「実行」ダイアログを開いてコマンドを貼り付けるように求めるのではなく、FileFixはブラウザのファイルアップロード/コピー機能を悪用し、ファイルエクスプローラーのアドレスバーに文字列を貼り付けさせます。表示されるテキストは無害なファイルパスのように見えますが、クリップボードには末尾にスペースが続く悪意のある多段階PowerShellコマンドが含まれているため、貼り付けると無害なパスのみが表示されます。被害者がファイルエクスプローラーを開いて貼り付けると、隠されたコマンドがローカルで実行されます。

攻撃チェーン

ユーザーはフィッシング メールから、高度に難読化された多言語の偽のサイトにリダイレクトされます。

• サイトのボタンをクリックすると、FileFix フローがトリガーされ、クリップボードに非表示の PowerShell コマンドが入力されます。
• PowerShell スクリプトは、Bitbucket リポジトリから一見無害なイメージをダウンロードします。
• 画像は次の段階のペイロードにデコードされます。
• Go ベースのローダーが実行され、シェルコードが解凍され、最後に StealC 情報窃盗プログラムが起動されます。

信頼できるホスティングサービスの悪用

攻撃者は、Bitbucketリポジトリ上の画像内にエンコードされたペイロードをホストしています。信頼できるソースコードホスティングプラットフォームを利用することで、攻撃者は正当なリクエスト内にトラフィックを隠蔽し、宛先のレピュテーションに基づく自動ブロックの可能性を低減できます。

難読化と解析回避技術

フィッシングページとスクリプトは単純ではありません。運営者は高度な難読化、断片化、ジャンクコードを用いて、人間のアナリストや自動スキャナーを欺いています。インフラは多言語対応で洗練されており、英語圏以外のユーザーを騙して本物のサイトのように見せかける可能性が高まっています。

FileFix と ClickFix

FileFix はブラウザのファイルアップロード/コピーフローを悪用し、被害者が実行ダイアログを起動するのではなく、ファイルエクスプローラーのアドレスバーに貼り付けるようにします。

ClickFix は実行ダイアログ (または macOS のターミナル) に貼り付ける必要があり、Explorer.exe またはターミナル セッションから生成されます。

実際の影響: FileFix は、代わりに広く使用されているブラウザ機能を活用するため、実行ダイアログの使用をブロックする防御を回避できます。

検出のニュアンス: FileFix では、被害者のブラウザーが実行チェーンをトリガーするため、ClickFix で使用される実行ダイアログの生成よりもエンドポイント監視やインシデント調査でアクティビティがより顕著になる可能性がありますが、それでも欺瞞によって多くのエンドユーザー保護を破ります。

脅威アクターの進化する手法

このキャンペーンは、綿密に設計されたフィッシングインフラ、多段階のペイロード設計、そして信頼できるサードパーティホスティングの利用など、十分なリソースを投入した意図的なアプローチを示しています。これにより、ステルス性と攻撃範囲の両方を最大限に高めています。攻撃者の手口から、一般的な検出を回避し、多様な標的に対して確実に実行できるよう計画されていたことが分かります。