ІБ-фахівець mr.d0x розробив атаку FileFix – нову версію атаки ClickFix, яка обманом змушує користувача виконувати шкідливі команди через рядок «Провідника» у Windows.

Атаки ClickFix побудовані на соціальній інженерії. Останнім часом різні варіації цих атак зустрічаються часто. Зазвичай жертв заманюють на шахрайські сайти і там обманом змушують скопіювати в буфер і виконати шкідливі команди PowerShell. Тобто вручну заразити свою систему шкідливим ПЗ.

Зловмисники пояснюють необхідність виконання якихось команд розв’язанням проблем із відображенням контенту в браузері або вимагають, щоб користувач вирішив фальшиву CAPTCHA.

Хоча найчастіше ClickFix-атаки націлені на користувачів Windows, яких переконують виконати PowerShell-команди, ІБ-фахівці вже попереджали і про кампанії, спрямовані на користувачів macOS і Linux.

У ClickFix-атаках, коли користувач натискає на кнопку на шахрайському сайті, шкідлива PowerShell-команда автоматично копіюється в буфер обміну Windows. Після цього жертву просять вставити її в командний рядок через Win+R.

Mr.d0x знайшов спосіб домогтися того самого результату, але без використання командного рядка, застосовуючи більш звичний для користувачів інтерфейс «Провідника» у Windows (File Explorer).

Дослідник запропонував такий теоретичний сценарій FileFix-атаки. Усе знову починається з фішингової сторінки, але замість CAPTCHA або фальшивих помилок на сторінці може відображатися повідомлення про те, що користувачеві надано загальний доступ до якогось файлу. Щоб знайти цей файл, шлях нібито потрібно скопіювати і вставити в «Провідник».

Дослідник зазначив, що в такому разі зловмисник також може показати жертві попередження, яке інформує про те, що вона не виконала інструкції і потрібно повторити спробу.