/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F6802f0a7345a95befdba93405b88110b.jpg)
Нова атака FileFix змушує користувачів Windows випадково встановлювати StealC
У мережі з’явилася небезпечна схема зараження під назвою FileFix, яка хитро змушує користувачів Windows самостійно завантажувати інфостелер StealC. Жертву заманюють на фейкову фішингову сторінку – наприклад, із повідомленням про блокування облікового запису – і просять скопіювати “шлях” у File Explorer, але цей шлях містить приховане шкідливе навантаження в кінці. При виконанні вставленого рядка запускається команда PowerShell, яка завантажує зображення, декодує з нього вбудований скрипт і завантажує основну шкідливу програму прямо в пам’ять комп’ютера, тож вона не залишає помітних слідів на диску. У виявлених кампаніях основним payload був StealC – викрадач cookie, збережених облікових даних, даних криптогаманців і скріншотів, але той самий механізм може доставляти й інший шкідливий код.
Захист від FileFix базується на обережності та технічних обмеженнях: ніколи не копіюйте й не вставляйте неперевірені шляхи чи команди в Run, у File Explorer або в командну оболонку – значно безпечніше набирати команди вручну або уважно перевіряти їхній зміст. Варто посилити політики PowerShell, щоб заборонити виконання непідписаних або невідомих скриптів, використовувати антивірусні рішення із здатністю сканувати пам’ять у реальному часі і працювати під стандартним обліковим записом користувача замість постійного використання прав адміністратора, оскільки багато атак потребують підвищених привілеїв.
Якщо підозрюєте, що шкідлива команда була виконана, першочерговим кроком має бути відключення від мережі, щоб зупинити екфільтрацію даних. Паролі та критичні облікові дані слід змінити з іншого, чистого пристрою, оскільки зламаний комп’ютер може миттєво передати зібрану інформацію зловмисникам. Далі рекомендується запустити автономне сканування Microsoft Defender або інший повноцінний офлайн-сканер з довіреного середовища, після чого перевірити автозавантаження та запущені процеси за допомогою утиліт на кшталт Autoruns і Process Explorer, щоб виявити й видалити підозрілі елементи. Якщо ж проблема не усувається або потрібна абсолютна впевненість у чистоті системи, найнадійнішим виходом залишається перевстановлення або відновлення Windows – більшість інфостелерів не переживають повну чисту інсталяцію.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F75aa5fb158a420d77d1252ca0a1ae20e.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2Ffcce66d7316e96097c5245a4a7999691.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F81%2Ff93e5f0cba4cc384769f418651ed867d)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F457%2F844fa28b0ff8b2fb1304b10b50f8eb26.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F5b23f9d1e45c626dea43767f9d47ea84.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F5298a00b051922fe5defca7d5110ce87.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F449%2F1bea42514185ece5efd5fa44651d483b.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Ff8ae15a4cc9ac5728c13680c306d702a)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F457%2F41ed76c62ae2b28169f1a0f67d885883.jpg)