Când primești avertismente care par venite de la echipa de suport Meta, reflexul e să dai click pentru a-ți salva contul. Recent, cercetătorii Acronis au identificat o campanie de tip înșelătorie care exploatează exact această reacție: un atac denumit FileFix îi determină pe utilizatori să lipească în bara de adrese din File Explorer comenzi care instalează malware-ul StealC. Metoda îmbină tehnici clasice de inginerie socială cu mici artificii tehnice, rezultând o tactică mai subtilă și dificil de detectat.
FileFix este o versiune a familiei ClickFix, inițial dezvoltată de cercetătorul mr.d0x. În loc să ceară victimei să lipească comenzi PowerShell în fereastra Run sau în terminal, FileFix utilizează bara de adrese din File Explorer ca vector de atac. Nu este prima apariție a acestei tehnici în viața reală; grupul Interlock, cunoscut pentru utilizarea ransomware-ului, a folosit anterior FileFix pentru a instala un RAT. Diferența acum e că atacatorii au îmbunătățit pretextul și au ascuns comenzile în moduri mai greu de observat.
Campania semnalată de Acronis folosește pagini de phishing în mai multe limbi care se prezintă ca mesaje de la suportul Meta, avertizând că un cont va fi dezactivat în șapte zile dacă utilizatorul nu vizualizează un presupus raport de incident. Acest „raport” nu este un PDF, ci o comandă PowerShell camuflată. Pagina te îndeamnă să apeși Copy, apoi să deschizi File Explorer și să lipești calea într-un câmp aparent inofensiv. Ce pare a fi un nume de fișier este, de fapt, un șir care include spații la final și o comandă malițioasă mascată printr-o variabilă, astfel încât bara de adrese afișează numai calea aparentă, iar comanda reală rămâne invizibilă pentru utilizator. Acronis subliniază că, spre deosebire de versiunea obișnuită ClickFix care ascundea restul după simbolul #, aici s-a folosit o variabilă, ceea ce poate după detectoarele care caută semnul #.
În plus, atacatorii au apelat la steganografie: un fișier JPG găzduit pe Bitbucket conține ascuns un script PowerShell de fază secundă și executabile criptate. Comanda PowerShell lipită fără ştirea victimei descarcă imaginea, extrage scriptul ascuns și decriptează payload-urile doar în memorie. Etapa finală livrează StealC, un infostealer care încearcă să exfiltreze date precum credențiale și cookie-uri din browsere (Chrome, Firefox, Opera etc.), informații din aplicații de mesagerie (Discord, Telegram, Tox, Pidgin), portofele de criptomonede (Bitcoin, Ethereum, Exodus), credențiale cloud (AWS, Azure), date din aplicații VPN și de gaming (ProtonVPN, Battle.net, Ubisoft) și chiar capturi de ecran ale desktopului activ.
Acronis a observat mai multe variante ale campaniei în decurs de două săptămâni, cu payload-uri, domenii și ispite diferite. Investigația lor evidențiază o evoluție atât în social engineering, cât și în componentele tehnice, sugerând fie că atacatorii testează o infrastructură pentru viitor, fie că îmbunătățesc atacurile pe parcurs, în funcție de ce funcționează. Chiar dacă multe organizații desfășoară programe de conștientizare anti-phishing, tehnicile ClickFix și FileFix sunt relativ noi și foarte dinamice, ceea ce le face periculoase.
Acronis recomandă instruirea utilizatorilor în privința noilor tactici: fiți atenți la copierea conținutului de pe site-uri și la lipirea lui în dialoguri care par inofensive în sistemul de operare. Detectoarele care se bazează pe anumite semne folosite de versiunile anterioare ClickFix pot trece acum cu vederea noile variante. Un exemplu din raport: atacatorii au folosit Bitbucket pentru a găzdui imaginea malițioasă și au implementat mascare cu spații și variabilă pentru a ascunde comanda PowerShell, tehnici capabile să ocolească reguli simple de detecție.
Acronis a documentat că atacul a vizat date din browsere și aplicații specifice, precum Chrome, Firefox, Opera, Discord, Telegram, și portofele precum Exodus, iar livrarea a inclus descărcarea unei imagini JPG cu conținut ascuns. Companiile ar trebui să includă în sesiunile practice exemple concrete: nu copiați text din pagini necunoscute pentru a-l lipi în instrumente de sistem; verificați URL-urile paginilor de suport și folosiți detectoare actualizate care nu se bazează exclusiv pe markeri statici precum #.
Acronis semnalează mai multe iterații ale campaniei în ultimele două săptămâni și arată cum amenințarea a evoluat față de PoC-ul original. Schimbările includ payload-uri, domenii și mesaje diferite, indicând o adaptare continuă. Lecția practică pentru organizații este să actualizeze procedurile de detecție și să-i învețe pe angajați riscurile lipirii automate a unor șiruri din surse necunoscute în dialoguri ale sistemului de operare.
Acronis raportează că atacul folosește pagini de phishing multilingvistice și că tehnicile pot ocoli detectoarele configurate pentru atacurile ClickFix mai vechi. Un detaliu tehnic relevant: în loc de simbolul #, care în PowerShell transformă restul într-un comentariu, atacatorii au folosit o variabilă urmată de multe spații și o cale falsă, astfel încât bara de adrese afișează doar calea aparentă, iar comanda reală rămâne ascunsă.
Acronis recomandă conștientizare și actualizarea mecanismelor de detecție, dar și măsuri preventive simple la nivel de utilizator: nu lipiți texte copiate de pe pagini nesigure în ferestre ale sistemului; verificați întotdeauna sursa unui mesaj care pretinde că vine de la suport; folosiți soluții de securitate care monitorizează activitățile PowerShell și descărcările de pe domenii neobișnuite.
Acronis menționează că a observat multiple variante și că acestea arată cum atacatorii ajustează atât social engineeringul, cât și partea tehnică. Exemplul cu Bitbucket, JPG-ul care ascunde scripturi și utilizarea variabilei în locul simbolului # sunt elemente pe care echipele de securitate le pot verifica imediat în mediile lor.
StealC a țintit credențiale din browsere și aplicații de mesagerie, portofele crypto și servicii cloud. Atacul folosește FileFix pentru a face victimele să execute comenzi ce descarcă o imagine cu conținut ascuns, apoi rulează un script extras din acea imagine pentru a decripta și încărca payload-ul în memorie.
Acronis recomandă formare specifică pe acest tip de înșelătorie și actualizarea regulilor de detecție pentru a include modele care nu se bazează exclusiv pe markerii folosiți anterior de ClickFix. Măsuri concrete: limitați capacitatea utilizatorilor de a rula comenzi PowerShell neautorizate și monitorizați descărcările din surse externe precum Bitbucket.
Acronis a observat variații la nivel de domenii și payload-uri, semnalând o campanie activă și adaptivă. Tehnica de ascundere a scriptului într-un JPG găzduit pe Bitbucket sugerează tendința de a folosi infrastructuri legitime pentru a evita blocările simple.
Acronis avertizează că detectoarele care caută simbolul #, specific vechilor atacuri ClickFix, pot să nu identifice varianta actuală. Orice organizație cu reguli ce se bazează pe prezența acelui simbol ar trebui să le revizuiască.
Raportul Acronis conține date concrete: multiple variante identificate în două săptămâni, tehnici precum steganografie într-un JPG găzduit pe Bitbucket și payloadul final StealC care vizează browsere, aplicații de mesagerie, portofele crypto și servicii cloud. Aceste informații oferă puncte clare de verificare pentru echipele de securitate.
Acronis recomandă instruire și măsuri tehnice pentru reducerea riscului. Exemple practice: interzicerea rulării PowerShell din locații neautorizate, verificarea surselor documentelor de suport și actualizarea regulilor de detecție pentru a prinde variante care nu folosesc markeri evidenți.
Acronis a documentat adaptările FileFix pentru a ocoli detectoarele tradiționale. Un element de urmărit este folosirea Bitbucket pentru găzduirea JPG-ului care conține scripturile și mascare prin variabilă și spații în loc de simbolul #.
StealC a încercat să colecteze date din browsere precum Chrome, Firefox și Opera, aplicații ca Discord și Telegram, portofele precum Exodus și servicii cloud precum AWS și Azure. Aceste nume pot fi folosite imediat de echipele de securitate pentru a decide ce aplicații trebuie monitorizate mai atent.
Acronis sugerează ca organizațiile să pregătească instruiri bazate pe exemple din investigație: pagina de phishing sub numele Meta, copierea-lipirea în bara de adrese din File Explorer, descărcarea JPG-ului de pe Bitbucket și extragerea unui script ascuns care decriptează payload-ul StealC. O abordare practică ajută la recunoașterea și prevenirea atacurilor similare.
Acronis remarcă că această campanie a evoluat rapid în doar două săptămâni, semnalând fie testare, fie îmbunătățiri continue din partea atacatorilor. Prezența mai multor variante în aceeași perioadă indică o amenințare activă și adaptivă.
Acronis recomandă măsuri concrete: instruire pentru utilizatori privind pericolele copiatului/lipatului în dialoguri de sistem, actualizarea regulilor de detecție pentru a nu se baza exclusiv pe semne cunoscute și monitorizarea descărcărilor de pe platforme care pot părea legitime, cum e Bitbucket.
Acronis a consemnat pașii tehnici și social-engineering folosiți: pagină de phishing multilingvistică, buton Copy care copiază o comandă PowerShell mascată, instrucțiunea de a deschide File Explorer pentru a lipi „calea”, descărcarea unui JPG cu script ascuns, extragerea scriptului și decriptarea payload-ului în memorie, urmate de infectarea cu StealC. Aceste detalii oferă o hartă clară pentru sesiuni de instruire.
Acronis recomandă ca echipele de securitate să testeze aceste tactici în propriile medii, să includă exemple de pagini false de suport Meta și să verifice detectoarele pentru a surprinde variante care nu folosesc simbolul #. Un pas imediat: monitorizați activitățile PowerShell și descărcările din surse precum Bitbucket.
Acronis a observat multiple iterații și atenționează că detectoarele ce caută semne specifice ClickFix riscă să rateze noile variante. Companiile trebuie să-și ajusteze regulile de detecție și să-și instruiască angajații folosind scenarii concrete din această campanie.
Acronis a documentat tehnici și servicii implicate: Bitbucket, PowerShell, File Explorer, Meta (ca pretext) și StealC ca payload final. Aceste elemente pot fi integrate imediat în controale și instrucțiuni de conștientizare.
Acronis recomandă prudență la copierea și lipirea conținutului din pagini web în ferestre ale sistemului de operare și actualizarea mecanismelor de detecție pentru a include noi metode de mascare. Exemplul concret, folosirea unui JPG găzduit pe Bitbucket pentru a ascunde un script PowerShell de fază secundă, trebuie inclus în scenariile de testare.
Acronis a observat variații ale campaniei pe perioada de două săptămâni, arătând o adaptare rapidă. Pentru echipele de securitate, asta înseamnă că regulile rigide bazate pe semne vechi pot fi insuficiente. Un exemplu practic: detectoarele care folosesc prezența simbolului # pentru a identifica ClickFix pot rata variantele ce folosesc o variabilă și spații.
Acronis recomandă verificări imediate și instruire specifică. Numele și tehnicile din raport, Meta, Bitbucket, PowerShell, FileFix, StealC, sunt puncte concrete pentru controale tehnice și exerciții de conștientizare pe care organizațiile le pot implementa.
Acronis oferă detalii practice pentru ca echipele de securitate să testeze reziliența: simulări de pagini false care cer copierea unui text în File Explorer, verificarea descărcărilor din Bitbucket și monitorizarea comportamentului PowerShell. Astfel de exerciții pot evidenția vulnerabilitățile noilor variante FileFix.
Acronis atrage atenția că tehnica utilizează pagini multilingvistice, variabile pentru a masca comanda, steganografie în JPG găzduit pe Bitbucket și un payload final StealC care vizează browsere, aplicații de mesagerie, portofele crypto și servicii cloud. Aceste detalii pot fi integrate imediat în programele de securitate.
Acronis recomandă instruire și actualizarea mecanismelor de detecție pentru a nu se baza exclusiv pe semne folosite de versiunile anterioare. Un sfat practic: verificați orice solicitare care cere copierea și lipirea unui text în instrumentele de sistem.
Acronis a documentat iterațiile și tehnicile folosite; companiile pot folosi aceste informații pentru a-și ajusta regulile de detecție și a organiza sesiuni practice de instruire pornind de la exemple concrete din campanie.
Acronis subliniază că varianta folosește un JPG găzduit pe Bitbucket pentru a ascunde un script, iar comanda PowerShell inițială e mascată prin includerea unei variabile și a unor spații, astfel încât bara de adrese afișează doar o cale aparent inofensivă. Aceste detalii pot fi verificate imediat în controale de securitate.
Acronis recomandă actualizări ale detecției și instruire. Un test imediat: verificați cum reacționează utilizatorii la o pagină de phishing care cere copierea unui text în File Explorer și monitorizați descărcările de pe Bitbucket.
Acronis a publicat aceste observații pentru a sprijini identificarea și prevenirea campaniilor bazate pe FileFix. Rețineți numele StealC, platforma Bitbucket și tehnica cu variabilă și spații ca puncte concrete de verificare în mediile voastre.
Acronis avertizează că detectoarele care caută semne specifice vechi s-ar putea înșela; actualizați regulile și folosiți exemple clare din investigație în instruire. Care aplicație din mediul vostru, browserul, clientul de mesagerie sau portofelul crypto, este cea mai vulnerabilă și ce măsuri puteți lua imediat pentru a o proteja?
Fii primul care comentează