Már megint egy trükk, amihez nem kell Donald Trump szintű önbizalom: Az új FileFix trükk – így csapják be a Windows felhasználókat

Klasszikus átverés új köntösben

A ClickFix támadások eddig a böngészőben jelentek meg: a felhasználókat egy weboldal hamis gombjára kattintva arra veszik rá, hogy egy parancsot másoljanak a Windows vágólapjára, majd azt illesszék be a PowerShellhez vagy a parancssorhoz, többnyire a Win+R billentyűkkel. Ezeket gyakran hamis CAPTCHA-val vagy hibaüzenetekkel álcázzák, amelyek nélkül a weboldal használhatatlan lenne.

A FileFix esetében azonban a trükk abban rejlik, hogy a felhasználók már nem a parancssorba, hanem a jól ismert Fájlkezelő címsorába illesztik be a parancsot. Mivel a Fájlkezelő képes operációs rendszer parancsokat is végrehajtani, a támadók kihasználják a böngésző fájlfeltöltő funkcióját is. Egy valódinak tűnő üzenet tájékoztatja a felhasználót, hogy egy fájlt osztottak meg vele, és a Fájlkezelőbe kell illesztenie az elérési utat – a valóságban azonban a vágólapon már egy veszélyes PowerShell-parancs található.

Mesteri rejtőzködés és kivitelezés

A csalás még meggyőzőbb, ha a támadó egy hamis fájlútvonalat jelenít meg a PowerShell megjegyzésében, így első pillantásra ártalmatlannak tűnik a bemásolt szöveg a Fájlkezelőben. Valójában a rosszindulatú kód fut le, amint a felhasználó entert nyom. Egy videón az is látható, hogyan rejti el teljesen a támadó a veszélyes parancsot.

A módszer kidolgozója, mr.d0x, gondoskodott arról, hogy a FileFix ne engedje meg a véletlenszerű fájlfeltöltést – ehhez feltöltés kiválasztásakor a böngésző azonnal törli a kiválasztott fájlt, ha a felhasználó nem követi pontosan az instrukciókat.

Veszélyes egyszerűség, gyors elterjedés

A mesterséges intelligencia által generált FileFix és ClickFix támadások gyorsan elterjedtek a kiberbűnözők körében. Észak-koreai hackercsoportok már PDF-ekkel irányítják áldozataikat hamis regisztrációs oldalakra, majd PowerShell kód bemásolására utasítják őket. A Microsoft is leírt olyan esetet, amikor vendéglátóipari dolgozók rendszerét fertőzték meg adatszivárogtató vagy távoli vezérlésű trójaival, ugyanezzel a módszerrel.

A bűnözők mindig keresik az új lehetőségeket: a FileFix még ismertebbé teszi a támadást, hiszen a Windows Fájlkezelő felülete sokkal barátságosabbnak tűnik, így többen esnek csapdába. Az ötlet egyszerűsége miatt a módszer várhatóan gyorsan elterjed a rosszindulatú szereplők között.

2025, adminboss, www.bleepingcomputer.com alapján