Protégez-vous contre la nouvelle attaque FileFix qui incitera les utilisateurs Windows à installer le logiciel malveillant StealC.

Une méthode d’attaque sophistiquée, appelée « FileFix », cible actuellement les utilisateurs Windows et les incite à installer le voleur d’informations StealC. Plusieurs campagnes d’ingénierie sociale ont fait surface, utilisant cette technique pour mener ces attaques. Cet article vise à expliquer les mécanismes de l’attaque FileFix et à proposer des stratégies pour protéger vos appareils.

Comprendre l’attaque FileFix : comment elle déploie le malware StealC

S’appuyant sur la précédente itération qui contournait la Marque du Web Windows (MoTW), l’attaque actuelle de FileFix exploite des vulnérabilités du système de fichiers pour télécharger une image malveillante activant le voleur d’informations StealC, analogue à EDDIESTEALER. Une fois exécutée, cette méthode présente des risques importants car elle opère dans la mémoire du PC, échappant ainsi à la détection des mesures de sécurité traditionnelles.

Voici une analyse détaillée du déroulement de l’attaque FileFix :

La victime est redirigée vers un site d’hameçonnage, souvent déguisé en alerte de suspension de compte Facebook. L’utilisateur est invité à copier un chemin d’accès spécifique dans l’Explorateur de fichiers pour afficher un rapport d’incident. Cependant, ce chemin dissimule une charge utile malveillante, la faisant paraître légitime aux yeux de l’utilisateur.

Avis de suspension de faux compte Facebook — Source de l’image : Acronis

Lors de l’exécution, l’attaque déclenche une commande PowerShell pour télécharger un fichier image intégré avec un script caché.
PowerShell décode ensuite le contenu caché et charge le malware StealC dans la mémoire système, ne laissant ainsi aucune trace sur le disque et rendant sa détection quasiment impossible. Ce voleur d’informations cible les données sensibles telles que les cookies de navigateur, les identifiants enregistrés et les informations de portefeuille de cryptomonnaies.

Bien que l’attaque FileFix mette en avant le voleur d’informations StealC et les pages de phishing Facebook, son framework est suffisamment polyvalent pour être réutilisé dans diverses opérations de phishing visant à déployer différentes souches de logiciels malveillants.

Rester protégé contre l’attaque FileFix

Malgré la ruse de l’attaque FileFix, vous pouvez prendre des mesures proactives pour renforcer votre sécurité. Voici quelques recommandations pratiques pour vous protéger contre cette campagne malveillante :

Évitez de copier-coller les commandes : Évitez de copier-coller les chemins d’accès aux fichiers ou les commandes dans le système d’exploitation, y compris dans Exécuter, CMD ou l’Explorateur de fichiers. Dans la mesure du possible, saisissez les commandes manuellement pour éviter l’exécution accidentelle de code malveillant.
Renforcer la sécurité de PowerShell : Étant donné que de nombreuses attaques exploitent les scripts PowerShell, renforcez ses paramètres de sécurité pour empêcher l’exécution de scripts non autorisés. Consultez un guide complet sur la sécurisation de PowerShell.
Choisissez un antivirus avec analyse de la mémoire : Choisissez une solution antivirus capable d’analyser la mémoire en temps réel. Des programmes comme Bitdefender et ESET offrent de puissantes capacités d’analyse de la mémoire.
Utilisez un compte utilisateur standard : effectuez vos tâches quotidiennes à l’aide d’un compte utilisateur standard plutôt que d’un compte administrateur, car ce dernier est plus vulnérable aux attaques de logiciels malveillants nécessitant des privilèges élevés.

Étapes à suivre si vous avez exécuté la commande malveillante

Si vous pensez que votre appareil a été compromis par l’attaque FileFix, il est crucial d’agir immédiatement. Suivez systématiquement ces étapes pour protéger votre ordinateur et vos comptes :

Déconnexion d’Internet : Se déconnecter immédiatement du réseau empêche le voleur d’informations de transmettre les données volées à son serveur de commande et de contrôle (C2).Une intervention rapide augmentera vos chances de limiter les dégâts.
Changez vos mots de passe : À l’aide d’un autre appareil sécurisé, modifiez les mots de passe de tous les comptes auxquels vous accédez sur votre ordinateur compromis. Faites-le sans tarder, car les attaquants réagissent généralement rapidement après avoir obtenu vos identifiants.
Exécuter l’analyse hors ligne de Microsoft Defender : une analyse hors ligne utilise un environnement fiable pour effectuer une vérification complète du système. Accédez à l’option d’analyse via l’application Sécurité Windows : Protection contre les virus et menaces → Options d’analyse → Antivirus Microsoft Defender (Analyse hors ligne).

Surveiller les processus au démarrage et en cours d’exécution : Après l’analyse, inspectez les éléments de démarrage et les processus en cours d’exécution pour identifier et supprimer les fichiers malveillants. Utilisez Autoruns et Process Explorer pour vérifier la légitimité des processus.

Exécutions automatiques affichant une liste de processus

Réinitialiser ou restaurer Windows : Si les mesures précédentes ne résolvent pas le problème, envisagez de réinitialiser ou de restaurer Windows pour éliminer les voleurs d’informations persistants. Choisissez entre une restauration du système ou une nouvelle installation selon vos besoins.

En résumé, les attaques comme FileFix utilisent des tactiques d’hameçonnage et d’ingénierie sociale pour exécuter leurs commandes malveillantes. Restez toujours vigilant et évitez les demandes non sollicitées qui pourraient compromettre la sécurité de votre système. L’utilisation d’outils de sécurité en ligne fiables peut également améliorer votre capacité à détecter les menaces.

Source et images