Laufender FileFix-Angriff installiert StealC Infostealer über gefälschte Facebook-Seiten
Cybersicherheitsforscher bei Acronis haben eine Phishing-Kampagne entdeckt, die eine bereits bekannte Angriffstechnik auf eine neue Art und Weise anwendet. Die Methode namens FileFix wird verwendet, um die Infostealer-Malware StealC über täuschend echt aussehende Facebook Security-Seiten zu installieren.
Alles beginnt damit, dass die Opfer eine Warnung erhalten, dass ihr Facebook-Konto wegen Richtlinienverstößen gesperrt werden könnte. Um Einspruch einzulegen, werden sie auf eine Phishing-Seite weitergeleitet, die eine offizielle Meta-Supportseite imitiert. Statt eines Formulars oder CAPTCHA-Tests fordert die Seite die Opfer auf, einen Pfad in die Adressleiste eines Datei-Upload-Fensters einzufügen. Dieser einzelne Schritt führt Code auf ihrem Computer aus und löst die Infektion aus.
Sobald der Befehl ausgeführt wird, läuft der Angriff schrittweise ab. Er beginnt mit auf Bitbucket gehosteten Bildern, die versteckte Skripte und ausführbare Dateien enthalten, die mittels Steganografie eingebettet wurden. Mit dieser Technik können Angreifer Code vor aller Augen verbergen und die Dateien harmlos erscheinen lassen, bis sie auf dem Computer des Opfers ausgeführt werden.
Die letzte Nutzlast ist laut Acronis- Blogbeitrag StealC , eine Malware-Variante, die darauf ausgelegt ist, Anmeldeinformationen, Browserdaten, Kryptowährungs-Wallets und Konto-Token aus Chat- oder Cloud-Anwendungen zu stehlen. Forscher sagen, dass StealC auch zusätzliche Malware einschleusen kann, was Angreifern Flexibilität verschafft, sobald sie Zugriff haben.
Im Vergleich zu früheren Beispielen von FileFix oder dem verwandten ClickFix ist bei dieser Kampagne ein höherer Aufwand erforderlich. Die Phishing-Seiten enthalten mehrsprachige Unterstützung, Verschleierung und Junk-Code, um Analysen zu verhindern.
Analysen der mit der Kampagne verbundenen Phishing-Seiten deuten darauf hin, dass die Angriffe nicht auf eine bestimmte Region beschränkt sind. In den USA, Deutschland, Bangladesch, den Philippinen und mehreren anderen Ländern wurden mit diesen Angriffen in Verbindung stehende Einsendungen gefunden. Die Verwendung mehrerer Sprachen auf den Phishing-Seiten stützt die Annahme, dass die Kampagne auf ein breites Opferspektrum ausgerichtet ist.
Sicherheitsexperten betonen, dass Vorfälle wie dieser die Bedeutung der Planung für Sicherheitsverletzungen verdeutlichen, anstatt davon auszugehen, dass sie alle verhindert werden können. Louis Eichenbaum , Federal CTO bei ColorTokens, weist darauf hin, dass Zero-Trust-Ansätze dazu beitragen, die Möglichkeiten eines Angreifers einzuschränken, sobald er in ein Netzwerk eindringt. „Gehen Sie davon aus, dass der Angreifer in Ihr Netzwerk eindringt“, sagte er. „Von da an stellt sich die Frage, was als Nächstes passiert.“
FileFix ist zwar noch eine neuere Technik, doch die Kampagne zur Verbreitung des Infostealers StealC ist laut Forschern aktiv und entwickelt sich ständig weiter. Unternehmen und Privatnutzer sollten daher bei E-Mails von unbekannten Absendern vorsichtig sein und es vermeiden, auf Links zu klicken oder Anweisungen zum Ausführen von Skripten auf ihren Geräten zu befolgen.
HackRead
