СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#Dev#ИБ#Облака

Кампания FileFix: стеганография, infostealer StealC и фишинг

Кампания FileFix: стеганография, infostealer StealC и фишинг

Источник: www.secureblink.com

Кампания FileFix представляет собой продвинутую операцию фишинга, замеченную в активном использовании с начала 2025 года. Злоумышленники комбинируют социальную инженерию с нетривиальными техническими приёмами — в частности, с использованием уязвимого поведения Windows Explorer и стеганографии — для скрытой доставки модульного infostealer’а StealC, способного похищать широкий спектр конфиденциальных данных.

Как работает атака

Механика кампании включает несколько связанных этапов, каждый из которых предназначен для обхода традиционных средств защиты и убеждения пользователя выполнить вредоносную нагрузку:

  • Атака начинается с фишинговой страницы, замаскированной под отчёт об инциденте Meta (Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta)), где жертве сообщают о приостановке учётной записи и создают ощущение срочности.
  • Пользователя убеждают нажать кнопку «Копировать», которая помещает в буфер обмена сложную команду PowerShell.
  • Команда, при выполнении пользователем, обращается к репозиторию Bitbucket и загружает файл в формате JPEG, внешне выглядящий как изображение.
  • Файл содержит скрытую полезную нагрузку посредством стеганографического кодирования — фактический исполняемый код встроен в изображение.
  • После извлечения payload разворачивается модульный infostealer StealC, который выполняет кражу учётных данных и разведку среды.

Возможности StealC и цели атак

StealC — модульное вредоносное ПО с широким набором возможностей по сбору информации. Среди приоритетных целей и функционала:

  • Кража учётных данных браузеров (Chrome, Firefox, Opera) и файлов cookie.
  • Извлечение данных мессенджеров и приложений (Discord, Telegram).
  • Добыча ключей криптовалютных кошельков и учётных данных поставщиков облачных услуг.
  • Сбор системных метаданных, снятие скриншотов и выполнение разведывательных задач.

Стратегические выводы

«Быстрый переход от проверки концепции к активному использованию демонстрирует, насколько быстро противники могут использовать в качестве оружия недавно открытые технологии.»

Ключевые выводы из анализа кампании:

  • Атакующие оперативно переводят исследования и PoC в реальную эксплуатацию, что сокращает время реакции со стороны защитников.
  • Использование легитимных платформ (Bitbucket и другие сервисы разработки/файлообмена) позволяет злоумышленникам маскировать вредоносный трафик под обычные запросы и усложняет детекцию на уровне сети.
  • Возвращение к приёмам стеганографии подчёркивает изобретательность и адаптивность атакующих, особенно при сочетании технических трюков с психологическими приёмами социальной инженерии.

Рекомендации по защите

Оборонительные меры должны быть многоуровневыми и учитывать как технические, так и организационные аспекты. Основные приоритеты:

  • Ограничение и мониторинг выполнения PowerShell: отмечать и анализировать необычные исполнения PowerShell, особенно инициируемые из Windows Explorer или браузеров; включить Script Block Logging и Module Logging; рассмотреть применение Constrained Language Mode и AppLocker/WDAC.
  • EDR и защита конечных точек: настроить политики, блокирующие неожиданные родительские процессы для PowerShell, и искать цепочки выполнения, начинающиеся из копирования/вставки команд.
  • Сетевой мониторинг: отслеживать обращения к платформам разработки и файлообмена (включая Bitbucket) на предмет нетипичных запросов/параметров; использовать контекстную аналитику для выявления подозрительных загрузок изображений.
  • Стеганоанализ: внедрить инструменты и процессы обнаружения аномалий в изображениях (steganalysis), пересылемых и загружаемых по сети, и интегрировать их в pipeline анализа вредоносных артефактов.
  • Обучение пользователей: информировать сотрудников о рисках выполнения команд из скопированного текста и об опасности слепого доверия уведомлениям, имитирующим сервисы вроде Meta/Facebook. Практики безопасного обращения с буфером обмена и подозрительными сообщениями должны быть частью регулярных тренингов.
  • Контроль доступа и защита учётных записей: применять многофакторную аутентификацию (MFA), ограничивать привилегии, регулярно менять критические ключи и пароли, а также использовать менеджеры паролей и аппаратные ключи там, где возможно.

Вывод

Кампания FileFix демонстрирует, как сочетание социальной инженерии, эксплуатационных трюков в поведении платформ и стеганографии позволяет злоумышленникам эффективно поставлять сложные вредоносные нагрузки вроде StealC. Защитникам необходимо оперативно адаптировать процедуры мониторинга, усилить контроль над выполнением скриптов и внедрить инструменты для анализа содержимого изображений — только такой комплексный подход позволит снизить риск успешных компрометаций в подобных целевых операциях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: