Ataque FileFix instala malware StealC via páginas falsas do Facebook

São Paulo — InkDesign News — Pesquisadores de segurança cibernética da Acronis detectaram uma nova campanha de phishing, chamada FileFix, que emprega uma técnica já conhecida para instalar o malware StealC. Essa descoberta revela uma abordagem inovadora em ataques direcionados a usuários do Facebook.

Incidente e vulnerabilidade

A campanha inicia-se com notificações enganosas aos usuários, alertando sobre a possível suspensão de suas contas do Facebook em razão de supostas violações de políticas. Para contestar a suspensão, os usuários são direcionados a um site de phishing que simula uma página de suporte oficial da Meta. Em vez de um formulário ou um teste CAPTCHA, a página solicita que os usuários coletem um caminho específico em uma janela de upload de arquivos. Este passo único executa um código malicioso em suas máquinas, iniciando a infecção.

O ataque distribui imagens hospedadas em Bitbucket, que contêm scripts e executáveis ocultos, embutidos através de técnicas de esteganografia. Este método permite que atacantes escondam o código à vista, fazendo os arquivos parecerem inofensivos até serem executados.

Impacto e resposta

O payload final da campanha é o StealC, um malware projetado para roubar credenciais, dados de navegação, carteiras de criptomoedas e tokens de contas de aplicativos de chat ou de nuvem. De acordo com análises, o StealC também pode introduzir malware adicional, aumentando a flexibilidade dos atacantes. Os sistemas analisados mostram uma maior complexidade na criação das páginas de phishing, que oferecem suporte multilíngue e obfuscação para dificultar a análise.

“Assuma que o adversário vai invadir sua rede. A partir daí, a questão se torna o que acontece em seguida.”
(“Assume the adversary will breach your network. From there, the question becomes what happens next.”)

— Louis Eichenbaum, CTO Federal, ColorTokens

Mitigações recomendadas

Embora a técnica FileFix ainda seja recente, a Acronis recomenda que tanto empresas quanto usuários comuns permaneçam vigilantes em relação a emails de remetentes desconhecidos e sejam cautelosos ao clicar em links ou seguir instruções para executar scripts em seus dispositivos. É crucial implementar abordagens de segurança baseadas em Zero Trust para limitar as ações dos atacantes no caso de uma violação.

Embora as vítimas possam lutar contra essa nova tática, a rápida evolução da campanha FileFix exige que as organizações se mantenham atualizadas em relação a patches de segurança e boas práticas de defesa.

Fonte: (Hack Read – Segurança Cibernética)