Klasszikus átverés új köntösben
A ClickFix támadások eddig a böngészőben jelentek meg: a felhasználókat egy weboldal hamis gombjára kattintva arra veszik rá, hogy egy parancsot másoljanak a Windows vágólapjára, majd azt illesszék be a PowerShellhez vagy a parancssorhoz, többnyire a Win+R billentyűkkel. Ezeket gyakran hamis CAPTCHA-val vagy hibaüzenetekkel álcázzák, amelyek nélkül a weboldal használhatatlan lenne.
A FileFix esetében azonban a trükk abban rejlik, hogy a felhasználók már nem a parancssorba, hanem a jól ismert Fájlkezelő címsorába illesztik be a parancsot. Mivel a Fájlkezelő képes operációs rendszer parancsokat is végrehajtani, a támadók kihasználják a böngésző fájlfeltöltő funkcióját is. Egy valódinak tűnő üzenet tájékoztatja a felhasználót, hogy egy fájlt osztottak meg vele, és a Fájlkezelőbe kell illesztenie az elérési utat – a valóságban azonban a vágólapon már egy veszélyes PowerShell-parancs található.
Mesteri rejtőzködés és kivitelezés
A csalás még meggyőzőbb, ha a támadó egy hamis fájlútvonalat jelenít meg a PowerShell megjegyzésében, így első pillantásra ártalmatlannak tűnik a bemásolt szöveg a Fájlkezelőben. Valójában a rosszindulatú kód fut le, amint a felhasználó entert nyom. Egy videón az is látható, hogyan rejti el teljesen a támadó a veszélyes parancsot.
A módszer kidolgozója, mr.d0x, gondoskodott arról, hogy a FileFix ne engedje meg a véletlenszerű fájlfeltöltést – ehhez feltöltés kiválasztásakor a böngésző azonnal törli a kiválasztott fájlt, ha a felhasználó nem követi pontosan az instrukciókat.
Veszélyes egyszerűség, gyors elterjedés
A mesterséges intelligencia által generált FileFix és ClickFix támadások gyorsan elterjedtek a kiberbűnözők körében. Észak-koreai hackercsoportok már PDF-ekkel irányítják áldozataikat hamis regisztrációs oldalakra, majd PowerShell kód bemásolására utasítják őket. A Microsoft is leírt olyan esetet, amikor vendéglátóipari dolgozók rendszerét fertőzték meg adatszivárogtató vagy távoli vezérlésű trójaival, ugyanezzel a módszerrel.
A bűnözők mindig keresik az új lehetőségeket: a FileFix még ismertebbé teszi a támadást, hiszen a Windows Fájlkezelő felülete sokkal barátságosabbnak tűnik, így többen esnek csapdába. Az ötlet egyszerűsége miatt a módszer várhatóan gyorsan elterjed a rosszindulatú szereplők között.
