New FileFix Variant Delivers StealC Malware Through Multilingual Phishing Site
Mis à jour :
Campagne FileFix : Le StealC se propage via des sites de phishing multilingues
Une nouvelle campagne de cyberattaque utilise une variante de la technique d’ingénierie sociale FileFix pour distribuer le logiciel malveillant StealC, un voleur d’informations. Cette campagne exploite des sites de phishing multilingues, qui imitent des pages de sécurité légitimes (comme celle de Facebook) et emploient des techniques avancées d’obfuscation et d’anti-analyse pour échapper à la détection.
Le déroulement de l’attaque commence par un email frauduleux alertant d’une suspension potentielle de compte. L’utilisateur est invité à cliquer sur un lien le dirigeant vers un site de phishing. Au lieu de demander une interaction directe via la boîte de dialogue “Exécuter” comme le faisait la version initiale de FileFix, cette nouvelle variante abuse de la fonction de téléchargement de fichiers d’un navigateur. L’utilisateur est incité à copier-coller un chemin dans l’explorateur de fichiers. Ce chemin, qui semble anodin, contient en réalité une commande PowerShell malveillante.
Cette commande télécharge une image depuis une plateforme d’hébergement de code légitime (Bitbucket), la décode pour extraire une charge utile de deuxième étape, puis exécute un chargeur écrit en Go. Ce dernier décompresse un shellcode responsable du lancement de StealC. L’utilisation d’une fonctionnalité de navigateur courante rend cette méthode plus difficile à bloquer par les administrateurs système.
Parallèlement, d’autres campagnes observées combinent des faux portails de support, des pages d’erreur Cloudflare et le détournement de presse-papiers pour inciter les victimes à exécuter du code PowerShell. Celui-ci télécharge et lance un script AutoHotkey (AHK) conçu pour profiler le système compromis et déployer d’autres malwares, tels que des outils d’accès à distance (AnyDesk, TeamViewer), des voleurs d’informations et des malwares clipper.
Points clés :
- Une campagne utilise une variante de FileFix pour distribuer StealC.
- Le phishing est mené via des sites multilingues et sophistiqués.
- La méthode abuse de la fonction de téléchargement de fichiers du navigateur.
- Les charges utiles sont téléchargées depuis des plateformes d’hébergement de code légitimes.
- D’autres campagnes similaires utilisent AutoHotkey pour délivrer divers malwares.
Vulnérabilités :
Aucune vulnérabilité spécifique (CVE) n’est explicitement mentionnée dans cet article, mais l’exploitation repose sur l’ingénierie sociale et la confiance accordée aux sites web et aux fonctionnalités courantes des systèmes d’exploitation et des navigateurs.
Recommandations :
- Être vigilant face aux emails et aux messages suspects, même s’ils semblent provenir de sources légitimes.
- Ne pas cliquer sur des liens ou télécharger des fichiers à partir de sources non fiables.
- Vérifier attentivement les URL des sites web avant de saisir des informations d’identification.
- Garder les logiciels de sécurité à jour et effectuer des analyses régulières.
- Sensibiliser les utilisateurs aux techniques d’ingénierie sociale.