FileFix 新型变种通过钓鱼网站传播恶意软件

网络安全研究人员发出警告，称有一个新的攻击活动正利用 FileFix 社会工程学策略的变种，传播用于 StealC 恶意软件。

安克诺斯（Acronis）的安全研究员埃利亚德・金希在提交给《黑客新闻》的报告中表示：“观察到的该攻击活动，使用了极具迷惑性的多语言钓鱼网站（例如伪造的 Facebook 安全页面），并借助反分析技术与高级混淆手段躲避检测。”

从整体流程来看，攻击链的核心是利用 FileFix 诱导用户启动初始载荷，随后该载荷会从 Bitbucket 代码仓库下载看似无害的图像文件，但实际上这些图像中隐藏着恶意组件。攻击者借此滥用大众对这一合法代码托管平台的信任，从而绕过安全检测。

FileFix 最早由安全研究员 mrd0x 在 2025 年 6 月记录为概念验证（PoC）工具，它与 ClickFix 存在区别：在专门搭建的钓鱼页面上，ClickFix 需要用户打开 Windows “运行” 对话框，并粘贴已复制的混淆命令来完成虚假的验证码验证；而 FileFix 则无需这一步骤。FileFix 利用网页浏览器的文件上传功能，欺骗用户将一条命令复制粘贴到文件资源管理器的地址栏中，进而在受害者的设备上本地执行该命令。

攻击的开端是一个钓鱼网站，受害者很可能通过一封邮件被重定向至该网站。邮件中会警告收件人：其 Facebook 账号因分享的帖子或消息违反平台政策，将在一周后被暂停使用，并要求用户点击按钮对该处罚提出申诉。

该钓鱼页面不仅经过高度混淆处理，还采用了垃圾代码、代码分片等技术，阻碍安全人员的分析工作。

用户点击申诉按钮后，FileFix 攻击便正式启动：页面会向用户提示，若要查看所谓 “违规政策” 的 PDF 版本，需将一个文件路径复制粘贴到文件资源管理器的地址栏中。

尽管说明中提供的路径看似完全无害，但点击 “复制” 按钮时，实际复制的是一条后缀带有多余空格的恶意命令。当用户通过 “打开文件资源管理器” 按钮打开窗口并粘贴内容时，屏幕上只会显示文件路径（恶意部分被隐藏）。

这条命令是一个多阶段的 PowerShell 脚本，其作用包括：下载上述隐藏恶意组件的图像文件、将图像解码为下一阶段的载荷，最终运行一个基于 Go 语言开发的加载器 —— 该加载器会解包用于启动 StealC 恶意软件的外壳代码（shellcode）。

相较于 ClickFix，FileFix 还具备一项关键优势：它滥用的是浏览器中广泛使用的基础功能，而非打开 “运行” 对话框（针对苹果 macOS 系统则是打开终端应用）。而 “运行” 对话框或终端常被系统管理员设为安全防护措施的拦截对象。

不过安克诺斯指出：“另一方面，ClickFix 最初难以被检测的原因之一，在于它是通过‘运行’对话框从 Explorer.exe 进程启动，或直接从终端启动；而 FileFix 的载荷由受害者使用的网页浏览器执行，这一行为在调查过程中，或在安全产品的检测中，更容易被识别出来。”

“发起此次攻击的攻击者在攻击技术上投入巨大，他们精心设计了钓鱼基础设施、载荷交付流程及配套组件，以最大限度地实现躲避检测与攻击效果。”

与此同时，网络安全公司 Doppel 也披露了另一起攻击活动：该活动结合了伪造的技术支持门户、Cloudflare 验证码错误页面与剪贴板劫持（即利用 ClickFix），通过社会工程学手段诱使受害者运行恶意 PowerShell 代码 —— 这些代码会下载并执行一个 AutoHotkey（AHK）脚本。

该 AHK 脚本的设计目的包括：收集受感染设备的信息（设备画像），并传播更多载荷，例如远程控制软件 AnyDesk、TeamViewer，以及信息窃取软件、剪贴板劫持恶意软件（clipper malware）等。

Doppel 表示，还观察到该攻击活动的其他变种：受害者被诱导运行一条 MSHTA 命令，该命令指向一个仿冒谷歌的域名（如 “wl.google-587262 [.] com”），随后从该域名获取并执行远程恶意脚本。

Doppel 的安全研究员阿尔什・贾瓦（Aarsh Jawa）指出：“AutoHotkey（AHK）是基于 Windows 系统的脚本语言，最初用于自动化重复操作，例如模拟键盘输入、鼠标点击等。”

“尽管长期以来，高级用户与系统管理员因其简洁性和灵活性而广泛使用 AHK，但早在 2019 年左右，攻击者就开始将其武器化，用于制作轻量级恶意软件加载器与信息窃取工具。这些恶意脚本通常伪装成无害的自动化工具或技术支持程序。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；