Interlock勒索软件采用新的FileFix攻击方式推送恶意程序

黑客在Interlock勒索软件攻击中采用了一种名为“FileFix”的新技术，在目标系统上投放远程访问木马（RAT）。在过去的几个月里，随着攻击者开始使用KongTuke网络注入器（又名“LandUpdate808”）通过受感染的网站传递有效载荷，Interlock勒索软件的操作有所增加。

DFIR Report和Proofpoint的研究人员自5月以来就观察到了这种操作方式的转变。当时，受感染网站的访问者会被提示通过一个虚假的CAPTCHA +验证，然后将内容粘贴到一个运行对话框中，自动保存到剪贴板中，这是一种与ClickFix攻击一致的策略。这个技巧引导用户执行一个PowerShell脚本，该脚本获取并启动了一个基于node .js的Interlock RAT变体。

今年6月，研究人员发现了一种在野外使用的基于php的Interlock RAT变体，该变体使用的是相同的KongTuke注射器。

本月早些时候，交付包装发生了重大变化，Interlock现在切换到ClickFix方法的FileFix变体作为首选交付方法。

Interlock的FileFix攻击

FileFix是由安全研究员mr.d0x开发的一种社会工程攻击技术。它是ClickFix攻击的演变，ClickFix在过去一年中成为最广泛使用的有效负载分发方法之一。

在FileFix变体中，攻击者将受信任的Windows UI元素（如文件资源管理器和HTML应用程序（. hta））作为武器，诱骗用户执行恶意的PowerShell或JavaScript代码，而不显示任何安全提醒。

通过将复制的字符串粘贴到文件资源管理器的地址栏中，提示用户“打开文件”。该字符串是一个PowerShell命令，使用注释语法伪装成文件路径。

在最近的Interlock攻击中，目标被要求将一个伪装成假文件路径的命令粘贴到文件资源管理器上，导致从trycloudflare.com下载PHP RAT并在系统上执行。

感染后，RAT会执行一系列PowerShell命令来收集系统和网络信息，并将这些数据作为结构化JSON泄露给攻击者。

DFIR报告还提到了交互式活动的证据，包括Active Directory枚举、检查备份、导航本地目录和检查域控制器。

命令和控制（C2）服务器可以发送shell命令让RAT执行、引入新的有效负载、通过Registry运行键添加持久性，或者通过远程桌面（RDP）进行横向移动。

Interlock勒索软件于2024年9月发布，著名的受害者包括德克萨斯理工大学、DaVita和Kettering Health。

勒索软件操作利用ClickFix来感染目标，但它转向FileFix表明攻击者很快就适应了更隐蔽的攻击方法。这是首次公开证实FileFix被用于实际的网络攻击。随着威胁者探索将其纳入攻击链的方法，它可能会越来越受欢迎。