今年6月資安研究員Mr.d0x揭露ClickFix網釣手法的變形版本「FileFix」,此手法濫用瀏覽器呼叫檔案上傳的功能,駭客誘導使用者將惡意命令貼上Windows檔案總管的網址列並執行,使得整個過程無須離開瀏覽器,最近開始有駭客將FileFix用於實際攻擊。
資安業者Acronis揭露有人積極從事FileFix網釣攻擊的現象,他們看到駭客打造冒牌的臉書安全通知網頁,聲稱用戶的帳號即將遭到刪除,必須依照PDF檔案指示的方法提出申訴。然而實際上若是照做,受害者就會被引導貼上並執行惡意命令,觸發感染鏈,最終於電腦植入竊資軟體StealC。
這波攻擊採用的手法相當刁鑽,首先,駭客架設複雜的網路釣魚基礎設施,建置多達16種語言的釣魚網站,並導入反分析技術及混淆手法來迴避偵測;再者,他們透過隱寫術(Steganography)手法,將第二階段的PowerShell指令碼與經加密處理的有效酬載,埋入看似無害的JPG圖片。
相關活動在最近兩週迅速發展,Acronis觀察到多種變種及有效酬載,而且根據他們對於基礎設施的調查,駭客攻擊的目標涵蓋全球,許多國家都出現疑似的受害者,代表這類攻擊正在加速進行。
值得留意的是,攻擊者為了欺騙使用者誤以為自己貼上事件報告的PDF檔案路徑,他們在有效酬載的結尾加入特定變數,內含大量空白及假的檔案路徑,使得檔案總管的網址列只會看到檔案路徑,看不到惡意命令。Acronis特別提及此事,還有另一原因:多數ClickFix攻擊駭客會運用「#」符號達到目的,若是以此特徵檢測,無法察覺這種FireFix攻擊。
再者,攻擊者存放、誘使受害者下載惡意圖檔的管道,也有所變化,在這兩週的活動裡,他們從原本的惡意網域,轉移到程式碼代管平臺BitBucket,不僅以此迴避偵測,也免去必須持續註冊及管理惡意網域的麻煩。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
