FileFix Kampaniyası və Steqanoqrafiyanın İstifadəsi

Kiber təhlükəsizlik tədqiqatçıları JPG şəkillərdə gizli kodlarla məlumat oğurlamaq üçün steqanoqrafiyadan istifadə edən nadir bir FileFix kampaniyasını aşkar ediblər. Acronis tərəfindən yayımlanan məsləhətə əsasən, hücum qurbanları zərərli əmri fayl yükləmə ünvan çubuğuna yapışdırmağa inandıraraq, mürəkkəb PowerShell zəncirini işə salır. Bu zəncir şəkilləri yükləyir və içərisindəki faylları çıxarır.

Yeni Hücum Xüsusiyyətləri

Bu kampaniyanın fərqli tərəfi, əvvəlki sübut-of-konsepsiya (POC) hücumlarından fərqlənməsidir. ClickFix tərzindəki hücumlar son dövrdə 500% artıb. Lakin bu konkret hücum, çoxdilli fişinq səhifələri, ağır JavaScript minimizasiyası və steqanoqrafiya ilə kodu gizlətmə üsulları ilə seçilir.

Fişinq İnfrastrukturunun Təsviri

Acronis-in məlumatına görə, fişinq saytı Meta dəstək səhifəsini təqlid edir və qurbanları "File Explorer" açıb zərərli yol daxil etməyə məcbur edir. Saytda 16 dil üçün tərcümələr mövcuddur və son iki həftədə bir neçə versiyası aktiv olub. Sosial mühəndislik komponenti isə istifadəçilərin gündəlik davranışlarına uyğunlaşdırılmışdır.

Çoxmərhələli Yükləmə və Son Zərərli Proqram

Hücum zənciri obfuskasiya olunmuş PowerShell birlayneri ilə başlayır. Bu kod dəyişənləri yenidən qurur, BitBucket-dən şəkil yükləyir və müəyyən bayt diapazonundan ikinci mərhələ skriptini çıxarır. Daha sonra RC4 şifrələmə və gzip dekompressiyası istifadə edərək bir neçə fayl çıxarılır və EXE-lər icra olunur. Son yükləyici Go dilində yazılıb və sandbox yoxlamaları edir. Nəticədə, StealC adlı məlumat oğurlayan proqram işə düşür. Bu proqram brauzerlər, kriptovalyuta cüzdanları, mesajlaşma tətbiqləri və bulud xidmətlərindən məlumat toplaya bilir.

Təhlükəsizlik Tədbirləri

Acronis tədqiqatçıları təşkilatlara həm istifadəçi təlimi, həm də texniki müdafiə tədbirlərini gücləndirməyi tövsiyə edir. Əsas tədbirlərdən bəziləri bunlardır:

• İstifadəçilərə sistem dialoqlarına və ya fayl yükləmə ünvan çubuqlarına əmr yapışdırmamağı öyrətmək;
• Veb brauzerlərdən işə salınan PowerShell, CMD, MSIEXEC və ya MSHTA proseslərini bloklamaq;
• Brauzer-uşaq proses fəaliyyətini nəzarətdə saxlamaq.

FileFix kampaniyası, sosial mühəndislik, obfuskasiya və steqanoqrafiyanı birləşdirərək aşkarlanmanı çətinləşdirir. Təhlükəsizlik qrupları bu cür yeni hücum texnikalarına qarşı daim ayıq olmalıdırlar.