Um novo ataque, designado por FileFix, está a ser usado para instalar o malware StealC. A campanha finge ser um aviso de suporte da Meta, alegando que a conta do utilizador será suspensa num prazo de sete dias caso não abra um falso "relatório de incidente". Em vez de fornecer um documento, o esquema convence a vítima a colar comandos PowerShell maliciosos na barra de endereços do Explorador de Ficheiros.
O FileFix é uma variante do método de ataque ClickFix. Ao contrário das versões anteriores, que usavam código PowerShell visível ou o símbolo "#", esta técnica esconde os comandos maliciosos com espaços e caminhos de ficheiro falsos, tornando-o mais difícil de detectar por utilizadores e sistemas de segurança - com a parte visível a parecer legítima.
O que torna esta campanha diferente é a utilização de esteganografia (não confundir com estenografia). Depois de executado o primeiro comando, é descarregada uma imagem JPG aparentemente inofensiva do Bitbucket. Dentro dela, os atacantes escondem um segundo script e executáveis encriptados, que são extraídos e corridos em memória. O resultado final é o StealC, um malware capaz de roubar dados de browsers, apps de mensagens, carteiras de criptomoedas, credenciais na cloud, e também fazer screenshots do desktop.
Segundo a Acronis, já foram detectadas várias variantes desta campanha, o que sugere que os atacantes estão a testar e a melhorar a técnica. Embora muitos utilizadores já estejam sensibilizados para o phishing tradicional, os ataques FileFix continuam recentes e em evolução. As equipas de segurança devem reforçar a formação, e alertar os utilizadores para que tratem com a máxima suspeita qualquer tipo de pedido lhes que peça para fazer "copy paste" de comandos para o seu computador, por muito inocentes que pareçam.
Sem comentários:
Enviar um comentário (problemas a comentar?)