Хакеры, стоящие за операцией Interlock ransomware, начали использовать новую технику под названием FileFix для доставки трояна удалённого доступа (RAT) на целевые системы.
За последние месяцы активность Interlock значительно возросла после начала использования веб-инжектора KongTuke (также известного как LandUpdate808) для доставки вредоносных нагрузок через скомпрометированные сайты.
Этот приём запускал PowerShell-скрипт, загружавший и запускавший RAT, основанный на Node.js.
В июне была обнаружена PHP-версия Interlock RAT, доставленная тем же инжектором KongTuke.
Однако в начале июля произошли существенные изменения: Interlock перешёл на FileFix, разновидность ClickFix, сделав её основным методом доставки.
FileFix — это техника социальной инженерии, разработанная исследователем mr.d0x как развитие ClickFix, которая за последний год стала одной из наиболее распространённых схем доставки вредоносных нагрузок.
В атаке FileFix злоумышленники используют доверенные элементы интерфейса Windows, например Проводник (File Explorer) и HTML-приложения (.HTA), чтобы заставить пользователей запускать вредоносный PowerShell- или JavaScript-код без появления предупреждений безопасности.
Пользователю предлагается "открыть файл", вставив скопированную строку в адресную строку Проводника.
Эта строка представляет собой PowerShell-команду, замаскированную под путь к файлу с использованием синтаксиса комментариев.
Ранее операция полагалась на ClickFix для инфицирования целей, но переход к FileFix показывает быструю адаптацию злоумышленников к более скрытным методам атак.
Это первый публично подтверждённый случай применения FileFix в реальных кибератаках.
Вероятно, данная техника получит дальнейшее распространение, поскольку злоумышленники ищут способы внедрения её в свои цепочки атак.
Источник
За последние месяцы активность Interlock значительно возросла после начала использования веб-инжектора KongTuke (также известного как LandUpdate808) для доставки вредоносных нагрузок через скомпрометированные сайты.
Как менялась схема атак
С мая исследователи The DFIR Report и Proofpoint наблюдали, как посетителей заражённых сайтов заставляли пройти поддельную CAPTCHA + верификацию, после чего им предлагалось вставить в окно "Выполнить" содержимое, автоматически скопированное в буфер обмена. Такая тактика соответствовала атакам ClickFix.Этот приём запускал PowerShell-скрипт, загружавший и запускавший RAT, основанный на Node.js.
В июне была обнаружена PHP-версия Interlock RAT, доставленная тем же инжектором KongTuke.
Однако в начале июля произошли существенные изменения: Interlock перешёл на FileFix, разновидность ClickFix, сделав её основным методом доставки.
Что такое FileFix
FileFix — это техника социальной инженерии, разработанная исследователем mr.d0x как развитие ClickFix, которая за последний год стала одной из наиболее распространённых схем доставки вредоносных нагрузок.
В атаке FileFix злоумышленники используют доверенные элементы интерфейса Windows, например Проводник (File Explorer) и HTML-приложения (.HTA), чтобы заставить пользователей запускать вредоносный PowerShell- или JavaScript-код без появления предупреждений безопасности.
Пользователю предлагается "открыть файл", вставив скопированную строку в адресную строку Проводника.
Эта строка представляет собой PowerShell-команду, замаскированную под путь к файлу с использованием синтаксиса комментариев.
Как это происходило в последних атаках Interlock
- Жертва вставляет команду с поддельным путём в адресную строку Проводника.
- Выполняется загрузка PHP-RAT с trycloudflare.com и его запуск.
- RAT выполняет PowerShell-команды для сбора информации о системе и сети.
- Собранные данные пересылаются злоумышленнику в виде структурированного JSON.
Пост-инфекционная активность
Согласно The DFIR Report, фиксировалась интерактивная активность операторов, включая:- Перечисление Active Directory
- Проверку наличия резервных копий
- Навигацию по локальным каталогам
- Анализ контроллеров домена
- выполнения shell-команд
- доставки новых полезных нагрузок
- создания постоянства через ключи автозагрузки в реестре
- lateral movement через RDP
Контекст операции Interlock
Interlock появился в сентябре 2024 года, среди его жертв — Технологический университет Техаса, DaVita и Kettering Health.Ранее операция полагалась на ClickFix для инфицирования целей, но переход к FileFix показывает быструю адаптацию злоумышленников к более скрытным методам атак.
Это первый публично подтверждённый случай применения FileFix в реальных кибератаках.
Вероятно, данная техника получит дальнейшее распространение, поскольку злоумышленники ищут способы внедрения её в свои цепочки атак.
Источник
