Acronis’teki siber güvenlik araştırmacıları, zaten tanıdık bir saldırı tekniğine yeni bir yaklaşım benimseyen bir kimlik avı kampanyası gördüler. FileFix olarak adlandırılan yöntem, Facebook Güvenlik Ardından ikna edici sayfalar aracılığıyla STEALC Infostealer kötü amaçlı yazılımları yüklemek için kullanılıyor.
Her şey kurbanların Facebook hesaplarının politika ihlalleri için askıya alınabileceğine dair bir uyarı almasıyla başlar. İtiraz etmek için, resmi bir meta destek sayfasını taklit eden bir kimlik avı sitesine yönlendirilirler. Bir form veya captcha testi yerine, site onlardan bir dosya yükleme penceresinin adres çubuğuna bir yol yapıştırmalarını ister. Bu tek adım, enfeksiyonu başlatarak makinelerinde kod yürütür.
Komut yürütüldüğünde, saldırı, Steganografi ile gömülü gizli komut dosyaları ve yürütülebilir ürünler içeren Bitbucket’te barındırılan görüntülerle başlayarak aşamalarda ortaya çıkar. Teknik, saldırganların kodu düz bir şekilde gizlemesine izin verir ve kurbanın bilgisayarında yürütülene kadar dosyaların zararsız görünmesini sağlar.
Acronis’in blog gönderisine göre son yük, kimlik bilgileri, tarayıcı verileri, kripto para cüzdanları ve sohbet veya bulut uygulamalarından hesap jetonları almak için tasarlanmış bir kötü amaçlı yazılım suşu olan STEALC’dir. Araştırmacılar, ek kötü amaçlı yazılım getirebileceğini ve saldırganlara eriştikten sonra esneklik sağlayabileceğini söylüyor.
Daha önceki FileFix veya göreceli ClickFix örnekleriyle karşılaştırıldığında, bu kampanya daha yüksek bir çaba gösteriyor. Kimlik avı sayfaları, analizleri engellemek için çok dilli destek, şaşkınlık ve önemsiz kod içerir.
Kampanyaya bağlı kimlik avı sitelerinin analizi, hedeflemenin bir bölge ile sınırlı olmadığını göstermektedir. Bu saldırılara bağlı başvurular ABD, Almanya, Bangladeş, Filipinler ve diğer bazı ülkelerde bulunmuştur. Kimlik avı sayfalarında birden fazla dilin kullanılması, kampanyanın geniş bir kurban için tasarlandığı fikrini desteklemektedir.
Güvenlik uzmanları, bunun gibi olayların, hepsinin durdurulabileceğini varsaymak yerine ihlallerin planlanmasının önemini vurguladığını vurgulamaktadır. Louis Eichenbaum, Colortokens’teki Federal CTO, Zero Trust yaklaşımlarının bir saldırganın bir ağın içine girmeleri durumunda neler yapabileceğini sınırlamaya yardımcı olduğunu belirtiyor. “Düşmanın ağınızı ihlal edeceğini varsayın” dedi. “Oradan, soru daha sonra ne olacak.”
Dosya hala daha yeni bir teknik olabilir, ancak kampanya STEALC Infostealer’ı yayıyor ve araştırmacılar, kampanyanın aktif ve geliştiğine inanıyor. Bu nedenle, işletmeler ve günlük kullanıcılar bilinmeyen gönderenlerin e -postaları konusunda dikkatli olmalı ve cihazlarında komut dosyalarını çalıştırmak için bağlantıları tıklamaktan veya talimatları takip etmekten kaçınmalıdır.