נחשפה טכניקת התקפה חדשה להחדרת נוזקות על ידי הנדסה חברתית

חוקרי סייבר זיהו מתקפת הנדסה חברתית חדשה, בשם FileFix, שמבוססת על טכניקה קודמת, בשם ClickFix – ואשר נועדה להחדיר נוזקות למערכות Windows כמעט בלי כל פעולה מצד המשתמש.

המתקפה מנצלת את אמון המשתמש והוראות שגויות בדפדפן, כדי לגרום לו לשמור קובץ HTML ולהחליף את סיומת הקובץ ל-HTA, מה שמאפשר הרצת סקריפט זדוני בלא אזהרות, תוך עקיפת מנגנון ההגנה Mark of the Web של Windows. זהו מנגנון אבטחה שמוסיף תגים לקבצים שהורדו מהאינטרנט, כדי להזהיר משתמשים מסיכונים פוטנציאליים.

בתרחיש אחר, ההתקפה מערבת הדבקת פקודת PowerShell זדונית ישירות לסייר הקבצים של Windows, מה שגורם להרצת הקוד.

לדברי ניר יהושע, מנהל מחקר בסייפוקס (CYFOX), "הגל הנוכחי של תקיפות מבוססות FileFix מציין שינוי עמוק בזירת האיומים – לא מדובר עוד בפרצות קוד או בחולשות בתוכנה, אלא בניצול ישיר של ההתנהגות האנושית ושל ממשקי עבודה יומיומיים במערכות Windows".

לדבריו, "שיטת FileFix פועלת בתוך סייר הקבצים (Explorer), נראית תמימה לחלוטין, אך מסתירה פקודות PowerShell מתוחכמות, שמעבירות שליטה לתוקף – מבלי שנדרשת הרצת קובץ חשוד או הורדה. המשתמש עצמו מבצע את ההרצה – לרוב מתוך אמון או לחץ פסיכולוגי – ובכך עוקף את כל מנגנוני ההגנה הקלאסיים, כמו אנטי וירוס או EDR".

"הגורם האנושי", אומר יהושע, "הופך להיות הווקטור המרכזי. זו מתקפה שמתחילה באיסוף מידע, ממשיכה בשתילה של RAT (תוכנה זדונית, שנועדה לאפשר לתוקף לשלוט מרחוק במחשב נגוע) ומסתיימת לעיתים קרובות במתקפת כופר כפולה – הצפנת נתונים בשילוב סחיטה על רקע דליפה. מדובר בשיטת תקיפה חכמה, יעילה ומסוכנת, שמנצלת הרגלי משתמשים נפוצים. התקפות מסוג זה מסתמכות בעיקר על טעויות אנוש – ולכן מודעות וזהירות הן כלי ההגנה המרכזיים. בנוסף, כדי להתגונן מומלץ להפעיל תצוגת סיומות קבצים, לחסום קובצי HTML בהודעות אימייל ולהיזהר מהנחיות חריגות להעתקה והדבקה של פקודות".

בשבוע שעבר הנפיק מערך הסייבר הלאומי התראה בנושא. "זו שיטת תקיפה מבוססת הנדסה חברתית, שבאמצעותה תוקפים משטים במשתמשים וגורמים להם להתקין פוגען", נכתב. "השיטה דומה לתקיפה המוכרת כ-ClickFix. היא מבוססת על הדבקת אתרים פגיעים בקוד, אשר מוצג למשתמש בדרך כלל כהתחזות לבדיקת CAPTCHA על ידי אתרים מוכרים. הודעה מוצגת למשתמש, כי חל שיבוש כלשהו, ועל מנת לתקן את השיבוש, הוא מונחה לבצע כמה פעולות, כגון העתקת קוד זדוני לתוך ממשק לגיטימי, או הפעלת הפקודה שהועתקה". בדרך זו, הסבירו במערך הסייבר הלאומי, "יותקן פוגען על עמדת המשתמש, בדרך כלל תוך שימוש בכלים המותקנים על העמדה, כגון PowerShell".

לפי המערך, "מדיווחים בעולם עולה, כי קבוצת הכופרה InterLock עושה שימוש בשיטה זו… יש להנחות את המשתמשים לחשוד בכל אתר או הודעת דוא"ל המבקשים מהם לבצע פעולות ידניות, בפרט העתקה והדבקה של פקודות לתוך Windows או תוכנות כגון Explorer. עוד מומלץ לנטר הפעלת פקודות PowerShell מתוך Explorer, ושינוי ערכים ב-Registry".