保护自己免受新的 FileFix 攻击，该攻击会诱骗 Windows 用户安装 StealC 恶意软件

目前，一种名为 FileFix 攻击的复杂攻击方法正瞄准 Windows 用户，成功诱骗用户安装 StealC 信息窃取程序。目前已出现多种利用此技术实施攻击的社会工程活动。本文旨在阐明 FileFix 攻击的机制，并提供一些保护设备的策略。

了解 FileFix 攻击：它如何部署 StealC 恶意软件

当前的 FileFix 攻击基于之前绕过 Windows Web 标记 (MoTW) 的版本，利用文件系统中的漏洞下载恶意映像，该映像会激活 StealC 信息窃取程序（类似于 EDDIESTEALER）。由于此方法在 PC 内存中运行，从而规避了传统安全措施的检测，因此一旦执行，将带来重大风险。

以下是 FileFix 攻击的详细过程：

受害者会被误导至钓鱼网站，该网站通常伪装成 Facebook 账户暂停警报。用户会被提示将特定文件路径复制到文件资源管理器中，以便查看事件报告。然而，该路径隐藏了恶意负载，使其在用户看来合法。

执行后，攻击会触发 PowerShell 命令来下载嵌入隐藏脚本的图像文件。
PowerShell 随后会解码隐藏的内容，将 StealC 恶意软件加载到系统内存中，从而不会在磁盘上留下任何痕迹，几乎无法被检测到。该信息窃取程序的目标是敏感数据，例如浏览器 Cookie、存储的凭证以及加密货币钱包信息。

虽然 FileFix 攻击主要以 StealC 信息窃取程序和 Facebook 网络钓鱼页面为特征，但其框架足够灵活，可以重新用于旨在部署不同恶意软件的各种网络钓鱼操作。

尽管 FileFix 攻击手段狡猾，但您可以采取主动措施来增强安全性。以下是一些实用建议，可以帮助您防范此类恶意攻击：

避免复制/粘贴命令：避免在操作系统的任何部分（包括“运行”、“CMD”或“文件资源管理器”）复制和粘贴文件路径或命令。尽可能手动输入命令，以防止意外执行恶意代码。
增强 PowerShell 安全性：由于许多攻击都利用 PowerShell 脚本，因此请增强其安全设置，以防止未经授权的脚本运行。请参阅 PowerShell 安全完整指南。
选择具有内存扫描功能的防病毒软件：选择能够实时扫描内存的防病毒软件。Bitdefender和ESET等程序都提供了强大的内存扫描功能。
使用标准用户帐户：使用标准用户帐户而不是管理员帐户执行日常任务，因为后者更容易受到需要提升权限的恶意软件攻击。

如果您怀疑自己的设备已遭受 FileFix 攻击，请立即采取行动。请按照以下步骤系统地保护您的电脑和帐户：

断开网络连接：立即断开网络连接有助于防止信息窃取者将窃取的数据传输到其命令和控制 (C2) 服务器。及时采取行动将增加您减轻损失的机会。
更改密码：使用其他安全设备，更改在受感染电脑上访问的所有帐户的密码。请立即执行此操作，因为攻击者通常在获取凭据后会迅速采取行动。
运行 Microsoft Defender 脱机扫描：脱机扫描利用受信任的环境执行全面的系统检查。通过 Windows 安全应用访问扫描选项：病毒和威胁防护→扫描选项→ Microsoft Defender 防病毒软件（脱机扫描）。