Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Для доставки малвари Interlock применяется техника FileFix (http://txgate.io:443/showthread.php?t=51301819)

Artifact 07-16-2025 08:58 AM
<div id="post_message_803308">

Вымогательская хак-группа Interlock распространяет через взломанные сайты троян удаленного доступа (RAT). Хакеры используют для доставки малвари атаки FileFix.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3"><font color="White"><b>Атаки ClickFix</b> построены на социальной инженерии. В последнее время различные вариации этих атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют скопировать в буфер и выполнить вредоносные команды PowerShell. То есть вручную заразить свою систему вредоносным ПО.<br/>
<br/>
Злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением<a href="https://xakep.ru/2024/10/22/clickfix/" target="_blank"> контента в браузере</a> или требуют, чтобы пользователь <a href="https://xakep.ru/2024/12/17/fake-lumma-captcha/" target="_blank">решил фальшивую CAPTCHA</a></font>.<br/>
<br/>
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ИБ-специалисты уже предупреждали и о кампаниях, направленных на пользователей <a href="https://xakep.ru/2024/10/22/clickfix/" target="_blank">macOS</a> и <a href="https://xakep.ru/2025/05/14/clickfix-linux/" target="_blank">Linux</a>.<br/>
<br/>
По данным <a href="https://www.welivesecurity.com/en/eset-research/eset-threat-report-h1-2025/" target="_blank">ESET</a>, использование ClickFix в качестве вектора первоначального доступа увеличилось на 517% в период со второй половины 2024 года по первую половину 2025 года.<br/>
</font>
</td>
</tr>
</table>
</div>Техника <a href="https://xakep.ru/2025/06/27/filefix/" target="_blank">FileFix</a>, недавно описанная ИБ-экспертом mr.d0x, представляет собой вариант атаки ClickFix, но использует не командную строку, а более привычный для пользователей интерфейс «Проводника» в Windows (File Explorer).<br/>
<br/>
Так, на вредоносной странице пользователю сообщают, что ему предоставлен общий доступ к некому файлу. Чтобы найти этот файл, путь якобы нужно скопировать и вставить в «Проводник».<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Фишинговая страница может содержать кнопку “Открыть Проводник”, которая при нажатии запустит File Explorer (используя функциональность для загрузки файлов) и скопирует PowerShell-команду в буфер обмена», — объяснял mr.d0x.</font>
</td>
</tr>
</table>
</div>То есть после вставки пути к файлу и нажатия Enter произойдет выполнение вредоносной PowerShell-команды.<br/>
<br/>
Еще в начале мая 2025 года специалисты The DFIR Report и Proofpoint <a href="https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/" target="_blank">предупреждали</a>, что Interlock RAT распространяется посредством KongTuke (или LandUpdate808) — сложной системы распределения трафика (TDS), что приводит к заражению вредоносным ПО через многоступенчатый процесс, включающий использование ClickFix и фальшивых CAPTCHA.<br/>
<br/>
Как <a href="https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/" target="_blank">стало известно</a> теперь, в начале июня хакеры переключились на использование FileFix и начали распространять PHP-вариант Interlock RAT. Специалисты The DFIR Report сообщают, что в некоторых случаях также распространяется Node.js-вариант малвари.<br/>
<br/>
Это первое публичное задокументированное применение тактики FileFix в реальных атаках.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/538088/2-2.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Доставка Interlock RAT

</td>
</tr>
</table>
</div>После выполнения RAT собирает информацию о системе, используя команды PowerShell для сбора и передачи данных своим операторам. Также вредонос проверяет, какими привилегиями обладает вошедший в систему пользователь.<br/>
<br/>
RAT закрепляется в системе и ожидает дальнейших команд для выполнения. При этом в отчете специалистов отмечается, что злоумышленники явно работают с малварью вручную, проверяя резервные копии, осуществляя навигацию по локальным каталогам и проверку контроллеров домена. Исследователи отмечают, что в некоторых случаях атакующие использовали RDP для бокового перемещения во взломанных средах.<br/>
<br/>
В качестве управляющего сервера вредонос эксплуатирует trycloudflare.com, злоупотребляя легитимной службой Cloudflare Tunnel, чтобы скрыть свою активность.<br/>
<br/>
В The DFIR Rep полагают, что эта кампания носит оппортунистический характер.<br/>
<br/>
<a href="https://xakep.ru/2025/07/15/interlock-filefix/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 04:36 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.