FileFix 变种通过多语言钓鱼网站传播 StealC 恶意软件

网络安全研究人员警告称，一项新的活动正在利用FileFix社会工程策略的变体来传播StealC信息窃取恶意软件。

Acronis 安全研究员 Eliad Kimhy在与 The Hacker News 分享的一份报告中表示： “观察到的攻击活动使用了一个极具说服力的多语言网络钓鱼网站（例如，虚假的 Facebook 安全页面），并采用反分析技术和高级混淆技术来逃避检测。”

从总体上看，该攻击链利用 FileFix 诱骗用户启动初始有效载荷，然后从 Bitbucket 存储库下载看似无害但包含恶意组件的图像。这使得攻击者能够滥用与合法源代码托管平台相关的信任来绕过检测。

FileFix于 2025 年 6 月首次由安全研究员 mrd0x 作为概念验证 (PoC) 记录，它与ClickFix略有不同，因为它不需要用户启动 Windows 运行对话框并粘贴已复制的混淆命令来完成为此目的设置的钓鱼页面上的虚假 CAPTCHA 验证检查。

审计及其他
相反，它利用 Web 浏览器的文件上传功能来欺骗用户在文件资源管理器的地址栏上复制并粘贴命令，从而导致该命令在受害者的机器上本地执行。

攻击始于一个钓鱼网站，受害者可能会被一封电子邮件重定向到该网站，该邮件警告收件人，他们的 Facebook 帐户可能在一周后被暂停，声称分享的帖子或消息违反了其政策。然后，用户会被要求点击按钮对该决定提出申诉。

该钓鱼页面不仅经过了严重的混淆处理，还采用了垃圾代码、碎片化等技术来阻碍分析。

一旦单击按钮，FileFix 攻击就会开始发挥作用，此时受害者会看到一条消息，指出他们可以通过在文件资源管理器的地址栏中复制和粘贴文档路径来访问所谓的违反政策的 PDF 版本。

虽然说明中提供的路径看起来完全无害，但单击“复制”按钮实际上会复制一个带有额外空格后缀的恶意命令，因此在使用“打开文件资源管理器”按钮打开文件资源管理器时粘贴到文件资源管理器中时只会显示文件路径。

该命令是一个多阶段 PowerShell 脚本，它下载上述图像，将其解码为下一阶段的有效载荷，并最终运行基于 Go 的加载程序，该加载程序解压负责启动StealC 的shellcode 。

FileFix 还比 ClickFix 具有一个关键优势，因为它滥用广泛使用的浏览器功能，而不是打开运行对话框（或 Apple macOS 中的终端应用程序），而系统管理员可能会出于安全措施而阻止此功能。

“另一方面，ClickFix 之所以难以检测，首先是因为它是通过运行对话框从 Explorer.exe 中生成的，或者直接从终端生成的，而 FileFix 的有效载荷是由受害者使用的 Web 浏览器执行的，这在调查或安全产品中更容易被发现，”Acronis 表示。

“此次攻击背后的对手在间谍技术方面投入了大量资金，精心设计了网络钓鱼基础设施、有效载荷交付和支持元素，以最大限度地提高逃避攻击的能力和影响力。”

此次披露是在 Doppel 详细介绍了另一项活动的同时，该活动已观察到使用虚假支持门户、Cloudflare CAPTCHA 错误页面和剪贴板劫持（即 ClickFix）的组合来对受害者进行社会工程，使其运行下载并运行 AutoHotkey（AHK）脚本的恶意 PowerShell 代码。

CIS 构建套件
该脚本旨在分析受感染的主机并提供​​额外的有效负载，包括 AnyDesk、TeamViewer、信息窃取程序和剪辑器恶意软件。

该网络安全公司表示，还观察到了该活动的其他变体，受害者被引导运行指向类似 Google 域名（“wl.google-587262[.]com”）的 MSHTA 命令，然后检索并执行远程恶意脚本。

Doppel 安全研究员 Aarsh Jawa指出：“AHK 是一种基于 Windows 的脚本语言，最初设计用于自动执行诸如击键和鼠标点击等重复性任务。”

虽然 AHK 长期以来因其简单性和灵活性而受到高级用户和系统管理员的青睐，但威胁行为者在 2019 年左右开始利用 AHK 来创建轻量级恶意软件植入程序和信息窃取程序。这些恶意脚本经常伪装成良性自动化工具或支持实用程序。