Метод FileFix маскирует команды PowerShell под адреса в Проводнике Windows, повышая эффективность фишинга
Изображение: recraft
Исследователь по кибербезопасности mr.d0x представил новую технику социальной инженерии под названием FileFix. Она является усовершенствованной вариацией ранее известной ClickFix и позволяет запускать вредоносные команды через адресную строку Проводника Windows — в обход привычных защитных механизмов.
Атака построена на подмене доверенного действия. Пользователю предлагается открыть якобы безопасный файл через Проводник, при этом в буфер обмена незаметно помещается команда PowerShell. После запуска Проводника и вставки скопированной строки запускается вредоносная команда, оставаясь незаметной из-за использования поддельного пути в качестве прикрытия. Команда маскируется под файловый адрес с применением комментариев PowerShell, скрывающих реальную нагрузку.
ClickFix, на основе которого разработан FileFix, ранее использовался для принуждения жертв вручную вставлять команды в PowerShell через окно «Выполнить». Теперь же FileFix использует более знакомый и «безопасный» на первый взгляд интерфейс — Проводник Windows.
Как поясняет mr.d0x, новая схема представляет угрозу прежде всего из-за своей достоверности: вместо сообщений об ошибках или капч пользователю демонстрируется уведомление о полученном документе. На фишинговой странице размещена кнопка «Открыть Проводник», которая запускает интерфейс проводника через браузерную функцию открытия файлов и параллельно копирует вредоносную строку в буфер обмена.
Эксперты предупреждают, что использование такого подхода значительно повышает шансы успешной атаки. File Explorer в Windows обладает встроенной способностью обрабатывать команды — достаточно вставить их в адресную строку. Это превращает привычное окно работы с файлами в точку входа для вредоносов.
