新型FileFix社工攻击诱导用户安装StealC信息窃取恶意软件

近期发现的FileFix社会工程学攻击，通过伪装Meta（原Facebook）账号封禁警告，诱导用户在不知情的情况下安装StealC信息窃取恶意软件。

FileFix是ClickFix攻击家族的新变种，这类攻击均通过社会工程学手段，欺骗用户将恶意命令粘贴到操作系统对话框中，谎称这些命令是解决问题的“修复方案”。 

该FileFix技术由红队研究员mr.d0x开发，与ClickFix不同的是：它不再诱导用户将恶意PowerShell命令粘贴到Windows“运行”对话框或终端，而是滥用文件资源管理器的地址栏执行命令。 

FileFix并非首次用于攻击——此前Interlock勒索软件团伙曾利用它安装远程访问木马（RAT），但早期攻击仅使用FileFix的原始概念验证代码（PoC），未对诱骗手段进行升级。

新型FileFix攻击活动

Acronis公司发现的这场新攻击中，攻击者搭建了多语言钓鱼页面，伪装成Meta客服团队，向用户发出警告：若不查看据称由Meta发送的“事件报告”，其账号将在7天内被封禁。然而，所谓的“报告”并非真实文档，而是用于在目标设备上安装恶意软件的伪装PowerShell命令。

钓鱼页面引导用户执行以下操作：点击“复制”按钮复制看似文件路径的内容→点击“打开文件资源管理器”按钮→将复制的“路径”粘贴到地址栏以打开“报告”。

但实际上，点击“复制”按钮后，Windows剪贴板中保存的是一段插入了大量空格的PowerShell命令——这样一来，当用户粘贴到文件资源管理器时，仅会显示末尾的“文件路径”，隐藏真实的恶意命令。

Acronis解释道：“为让用户误以为粘贴的是‘事件报告’PDF文件的路径，攻击者在载荷末尾设置了一个变量，该变量包含大量空格，且末尾附带伪造路径。” 

这种设计能确保地址栏中仅显示文件路径，而不会暴露任何恶意命令。在常规ClickFix攻击中，攻击者会用#符号替代变量——PowerShell会将#后的内容视为开发者注释，从而隐藏恶意代码。

这一改动带来了一个意外优势：若安全检测规则是针对ClickFix的#符号设计的，很可能会遗漏此次攻击。

FileFix攻击冒充Meta支持

此次FileFix攻击的另一大特点是：利用隐写术将“第二阶段PowerShell脚本”与“加密可执行文件”隐藏在一张看似无害的JPG图片中，该图片托管于Bitbucket平台。

用户在不知情的情况下执行第一阶段PowerShell命令后，命令会先下载这张图片，提取其中嵌入的第二阶段脚本，再通过该脚本在内存中解密恶意载荷。

嵌入图像中的第二个PowerShell脚本

最终投放的恶意载荷是StealC信息窃取软件，它会尝试从受感染设备中窃取以下数据：

·网页浏览器（Chrome、Firefox、Opera、腾讯浏览器等）中的凭据与认证Cookie；

·即时通讯软件（Discord、Telegram、Tox、Pidgin）中的凭据；

·加密货币钱包（比特币、以太坊、Exodus等）相关数据；

·云服务凭据（AWS、Azure）；

·VPN与游戏应用（ProtonVPN、战网、育碧客户端）中的信息；

·对当前桌面进行截图的权限。

攻击迭代与防御建议

Acronis报告称，过去两周内已观察到该攻击的多个变种，这些变种使用不同的载荷、域名与诱骗话术。通过这些变化，能看到攻击者在社会工程学手段与攻击技术细节两方面的演进。

这可能表明攻击者在测试未来计划使用的基础设施，也可能是攻击者在攻击过程中不断学习、调整策略，为攻击新增迭代版本以提升成功率。

尽管多数企业已对员工开展钓鱼攻击防范培训，但ClickFix与FileFix这类新型攻击手段仍相对新颖，且在持续进化。建议企业向员工普及这类新型攻击手段，对从网站复制内容并粘贴到看似无害的系统对话框中可能存在的风险保持警惕。