Proteggiti dal nuovo attacco FileFix che indurrà gli utenti Windows a installare il malware StealC

Proteggiti dal nuovo attacco FileFix che indurrà gli utenti Windows a installare il malware StealC

Un sofisticato metodo di attacco noto come attacco FileFix sta attualmente prendendo di mira gli utenti Windows, inducendoli con l’inganno a installare l’infostealer StealC. Sono emerse diverse campagne di ingegneria sociale che utilizzano questa tecnica per eseguire l’attacco. Questo articolo si propone di chiarire i meccanismi dell’attacco FileFix e di fornire strategie per proteggere i vostri dispositivi.

Comprendere l’attacco FileFix: come distribuisce il malware StealC

Basandosi sulla precedente iterazione che ha aggirato il Windows Mark of the Web (MoTW), l’attuale attacco FileFix sfrutta le vulnerabilità del file system per scaricare un’immagine dannosa che attiva l’infostealer StealC, analogo a EDDIESTEALER. Una volta eseguito, questo metodo presenta rischi significativi poiché opera all’interno della memoria del PC, eludendo il rilevamento da parte delle tradizionali misure di sicurezza.

Ecco un’analisi dettagliata di come si sviluppa l’attacco FileFix:

  • La vittima viene indotta a visitare un sito di phishing, spesso mascherato da avviso di sospensione dell’account Facebook. Agli utenti viene chiesto di copiare un percorso file specifico in Esplora File per visualizzare presumibilmente un report dell’incidente. Tuttavia, questo percorso nasconde un payload dannoso, che appare legittimo all’utente.
Avviso di sospensione di un account Facebook falso
Fonte dell’immagine: Acronis
  • Una volta eseguito, l’attacco attiva un comando PowerShell per scaricare un file immagine incorporato con uno script nascosto.
  • PowerShell decodifica successivamente il contenuto nascosto, caricando il malware StealC nella memoria del sistema, senza lasciare traccia sul disco e rendendone quasi impossibile il rilevamento. Questo particolare infostealer prende di mira dati sensibili come cookie del browser, credenziali memorizzate e informazioni sui wallet di criptovalute.

Sebbene l’attacco FileFix sia caratterizzato principalmente dall’infostealer StealC e dalle pagine di phishing di Facebook, il suo framework è sufficientemente versatile da poter essere riutilizzato in varie operazioni di phishing volte a distribuire diversi ceppi di malware.

Come proteggersi dall’attacco FileFix

Nonostante la natura subdola dell’attacco FileFix, è possibile adottare misure proattive per migliorare la sicurezza. Di seguito sono riportati alcuni consigli pratici per proteggersi da questa campagna dannosa:

  • Evita di copiare/incollare comandi: evita di copiare e incollare percorsi di file o comandi in qualsiasi parte del sistema operativo, inclusi Esegui, CMD o Esplora file. Se possibile, digita manualmente i comandi per evitare l’esecuzione accidentale di codice dannoso.
  • Migliora la sicurezza di PowerShell: poiché molti attacchi sfruttano gli script di PowerShell, rafforzane le impostazioni di sicurezza per impedire l’esecuzione di script non autorizzati. Consulta una guida completa per la protezione di PowerShell.
  • Scegli un antivirus con scansione della memoria: scegli una soluzione antivirus in grado di eseguire la scansione della memoria in tempo reale. Programmi come Bitdefender ed ESET offrono potenti funzionalità di scansione della memoria.
  • Utilizzare un account utente standard: eseguire le attività quotidiane utilizzando un account utente standard anziché un account amministratore, poiché quest’ultimo è più soggetto ad attacchi malware che richiedono privilegi elevati.

Passaggi da eseguire se hai eseguito il comando dannoso

Se sospetti che il tuo dispositivo sia stato compromesso dall’attacco FileFix, è fondamentale agire immediatamente. Segui questi passaggi sistematicamente per proteggere il tuo PC e i tuoi account:

  • Disconnettersi da Internet: disconnettersi immediatamente dalla rete aiuta a impedire all’infostealer di trasmettere i dati rubati al suo server di comando e controllo (C2).Un intervento tempestivo aumenterà le possibilità di mitigare i danni.
  • Cambia le tue password: utilizzando un dispositivo diverso e sicuro, cambia le password di tutti gli account a cui accedi sul tuo PC compromesso. Fallo senza indugio, poiché gli aggressori in genere agiscono rapidamente dopo aver ottenuto l’accesso alle credenziali.
  • Esegui la scansione offline di Microsoft Defender: una scansione offline utilizza un ambiente attendibile per eseguire un controllo completo del sistema. Accedi all’opzione di scansione tramite l’app Sicurezza di Windows: Protezione da virus e minacceOpzioni di scansioneMicrosoft Defender Antivirus (Scansione offline).
Opzioni di scansione di Microsoft Defender
  • Monitoraggio dei processi in avvio e in esecuzione: dopo la scansione, ispeziona gli elementi in avvio e i processi in esecuzione per identificare e rimuovere eventuali file dannosi. Utilizza Autoruns e Process Explorer per verificare la legittimità dei processi.
Esecuzioni automatiche che visualizzano un elenco di processi
  • Reimposta o ripristina Windows: se le misure precedenti non risolvono il problema, valuta la possibilità di reimpostare o ripristinare Windows per eliminare eventuali infostealer persistenti. Scegli tra un ripristino del sistema o un’installazione pulita in base alle tue esigenze specifiche.

In sintesi, attacchi come FileFix sfruttano tattiche di phishing e ingegneria sociale per eseguire comandi dannosi. Siate sempre vigili ed evitate richieste indesiderate che potrebbero mettere a repentaglio la sicurezza del vostro sistema. L’utilizzo di strumenti di sicurezza online affidabili può anche migliorare la vostra capacità di rilevare le minacce.

Fonte e immagini

Articoli correlati:

Microsoft introduce nuove funzionalità nella fase di test di Paint, Strumento di cattura e Blocco note
Suggerimenti per acquisire uno Streak Pet e migliorare la tua esperienza di gioco su TikTok

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *