TokyoBlackHatNews

海外のセキュリティニュースをお届けします

bleepingcomputer.com

新たなFileFix攻撃、ステガノグラフィを利用してStealCマルウェアを拡散

Byt0ddycat

9月 16, 2025 #.NET malware, #AI in Cybersecurity, #AI Phishing, #FileFix, #infostealer malware, #Meta impersonation, #PowerShell, #Social Engineering, #StealC, #Unicode Steganography

Image

新たに発見されたFileFixのソーシャルエンジニアリング攻撃は、Metaアカウントの停止警告を装い、ユーザーを騙して知らず知らずのうちにStealCインフォスティーラーマルウェアをインストールさせます。

FileFixはClickFix攻撃ファミリーの新しい亜種であり、ソーシャルエンジニアリング攻撃を利用して、ユーザーに問題の「修正」として悪意のあるコマンドをOSのダイアログボックスに貼り付けさせる手法です。

FileFixの手法はレッドチーム研究者のmr.d0xによって考案され、ユーザーに悪意のあるPowerShellコマンドをWindowsの「ファイル名を指定して実行」ダイアログやターミナルに貼り付けさせるのではなく、FileFixはエクスプローラーのアドレスバーを悪用してコマンドを実行させます。



FileFixが攻撃に使われたのはこれが初めてではなく、以前にはInterlockランサムウェアグループがFileFixを利用してリモートアクセス型トロイの木馬(RAT)をインストールしていました。しかし、これらの初期攻撃はオリジナルのFileFixの概念実証(PoC)を利用したものであり、新たな誘導手法に進化したものではありませんでした。

新たなFileFixキャンペーン

Acronisが発見したこの新しいキャンペーンは、複数言語に対応したフィッシングページを使用し、Metaのサポートチームを装って、受信者に「Metaが共有した」とされる「インシデントレポート」を確認しなければ7日後にアカウントが無効化されると警告します。

しかし、このレポートは実際には文書ではなく、ターゲットのデバイスにマルウェアをインストールするための偽装されたPowerShellコマンドです。

フィッシングページは、ユーザーに「コピー」ボタンをクリックしてファイルパスのように見えるものをコピーし、エクスプローラーを開くボタンをクリックし、その後アドレスバーにパスを貼り付けて文書を開くように指示します。

しかし、コピーボタンをクリックすると、実際にはスペースが追加されたPowerShellコマンドがWindowsのクリップボードにコピーされ、エクスプローラーに貼り付けた際にはファイルパスだけが表示される仕組みになっています。

「ユーザーに『インシデントレポート』のPDFファイルのパスを貼り付けていると思わせるために、攻撃者はペイロードの末尾に変数を配置し、多数のスペースと偽のパスを末尾に付加しています」とAcronisは説明しています。

「これにより、アドレスバーにはファイルパスだけが表示され、実際の悪意あるコマンドは表示されません。一般的なClickFix攻撃では、変数の代わりに#記号が使われ、PowerShellでは開発者コメントとして扱われます。」

「この手法には、ClickFix由来の#記号を検知条件にしている検出システムを回避できるという、意図しない利点もあります。」

Image
Metaサポートを装うFileFix攻撃
出典: Acronis

このFileFixキャンペーンの特徴は、Bitbucket上にホストされた無害に見えるJPG画像の中に、第二段階のPowerShellスクリプトや暗号化された実行ファイルを隠すためにステガノグラフィを利用している点です。

ターゲットが知らずに入力した第一段階のPowerShellコマンドは、まず画像をダウンロードし、埋め込まれた二次スクリプトを抽出し、それを使ってペイロードをメモリ上で復号します。

Image
画像に埋め込まれた第二のPowerShellスクリプト
出典: BleepingComputer

最終的なペイロードはStealCインフォスティーラーマルウェアであり、感染したデバイスから以下の情報を窃取しようとします:

  • ウェブブラウザ(Chrome、Firefox、Opera、Tencentなど)からの認証情報と認証クッキー
  • メッセージングアプリ(Discord、Telegram、Tox、Pidgin)からの認証情報
  • 暗号通貨ウォレット(Bitcoin、Ethereum、Exodusなど)
  • クラウド認証情報(AWS、Azure)
  • VPNやゲームアプリ(ProtonVPN、Battle.net、Ubisoft)
  • アクティブなデスクトップのスクリーンショット取得機能

Acronisによると、このキャンペーンの複数の亜種が2週間にわたり観測され、異なるペイロードやドメイン、誘導手法が使われていました。

「調査を通じて、過去2週間にわたる攻撃のいくつかのバリエーションを発見しました」とAcronisは述べています。

「これらのバリエーションを通じて、ソーシャルエンジニアリング手法と技術的側面の両方の進化をたどることができます。」

「これは、攻撃者が将来使用予定のインフラをテストしていることを示しているのかもしれませんし、あるいは攻撃の途中で学習しながら手法を改良しているのかもしれません。」

多くの組織ではフィッシング対策教育が進んでいますが、ClickFixやFileFixの手法は比較的新しく、今も進化し続けています。

Acronisは、企業がこれら新しい手法や、ウェブサイトから一見無害なシステムダイアログへデータをコピーするリスクについて、ユーザー教育を行うことを推奨しています。

翻訳元: https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-steganography-to-drop-stealc-malware/

By t0ddycat

Related Post

bleepingcomputer.com

ジャガー・ランドローバー、サイバー攻撃を受けて生産停止をさらに1週間延長

9月 16, 2025 t0ddycat
bleepingcomputer.com

ウェビナー:あなたのブラウザが侵害の入り口 ― モダンウェブエッジのセキュリティ

9月 16, 2025 t0ddycat
bleepingcomputer.com

Apple、ゼロデイパッチを古いiPhoneおよびiPadにバックポート

9月 16, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

bleepingcomputer.com

ジャガー・ランドローバー、サイバー攻撃を受けて生産停止をさらに1週間延長

2025年9月16日 t0ddycat
thehackernews.com

新たなFileFix亜種が多言語フィッシングサイトを通じてStealCマルウェアを配信

2025年9月16日 t0ddycat
securityweek.com

セキュリティ業界、Scattered SpiderとShinyHuntersの引退宣言に懐疑的

2025年9月16日 t0ddycat
csoonline-com

CobaltStrikeのAIネイティブな後継「Villager」、ハッキングをあまりにも簡単に

2025年9月16日 t0ddycat