Proteja-se do novo ataque FileFix que enganará os usuários do Windows e os fará instalar o malware StealC

Proteja-se do novo ataque FileFix que enganará os usuários do Windows e os fará instalar o malware StealC

Um método de ataque sofisticado conhecido como ataque FileFix está atualmente mirando usuários do Windows, enganando-os com sucesso e levando-os a instalar o infostealer StealC. Diversas campanhas de engenharia social surgiram, empregando essa técnica para executar o ataque. Este artigo tem como objetivo elucidar a mecânica do ataque FileFix e fornecer estratégias para proteger seus dispositivos.

Compreendendo o ataque FileFix: como ele implanta o malware StealC

Com base na iteração anterior que contornou o Windows Mark of the Web (MoTW), o atual ataque FileFix explora vulnerabilidades no sistema de arquivos para baixar uma imagem maliciosa que ativa o infostealer StealC — análogo ao EDDIESTEALER. Uma vez executado, esse método apresenta riscos significativos, pois opera na memória do PC, evitando a detecção por medidas de segurança tradicionais.

Aqui está uma análise detalhada de como o ataque FileFix se desenrola:

  • A vítima é direcionada a um site de phishing, muitas vezes disfarçado como um alerta de suspensão de conta do Facebook. Os usuários são solicitados a copiar um caminho de arquivo específico para o Explorador de Arquivos para, supostamente, visualizar um relatório de incidente. No entanto, esse caminho esconde uma carga maliciosa, fazendo com que pareça legítimo para o usuário.
Aviso de suspensão de conta falsa do Facebook
Fonte da imagem: Acronis
  • Após a execução, o ataque aciona um comando do PowerShell para baixar um arquivo de imagem incorporado com um script oculto.
  • O PowerShell então decodifica o conteúdo oculto, carregando o malware StealC na memória do sistema, sem deixar rastros no disco e tornando a detecção quase impossível. Este infostealer em particular tem como alvo dados confidenciais, como cookies do navegador, credenciais armazenadas e informações de carteiras de criptomoedas.

Embora o ataque FileFix destaque o infostealer StealC e as páginas de phishing do Facebook, sua estrutura é versátil o suficiente para ser reutilizada em várias operações de phishing destinadas a implantar diferentes tipos de malware.

Mantendo-se protegido contra o ataque FileFix

Apesar da natureza astuta do ataque FileFix, você pode tomar medidas proativas para aumentar sua segurança. Abaixo, algumas recomendações práticas para se proteger contra essa campanha maliciosa:

  • Evite copiar/colar comandos: Evite copiar e colar caminhos de arquivos ou comandos em qualquer parte do sistema operacional, incluindo Executar, CMD ou Explorador de Arquivos. Sempre que possível, digite os comandos manualmente para evitar a execução acidental de código malicioso.
  • Aumente a segurança do PowerShell: como muitos ataques exploram scripts do PowerShell, fortaleça suas configurações de segurança para impedir a execução de scripts não autorizados. Consulte um guia completo para proteger o PowerShell.
  • Selecione um antivírus com varredura de memória: escolha uma solução antivírus capaz de escanear a memória em tempo real. Programas como Bitdefender e ESET oferecem recursos avançados de varredura de memória.
  • Utilize uma conta de usuário padrão: realize tarefas diárias usando uma conta de usuário padrão em vez de uma conta de administrador, pois esta última é mais suscetível a ataques de malware que exigem privilégios elevados.

Etapas a serem seguidas se você executou o comando malicioso

Se você suspeita que seu dispositivo foi comprometido pelo ataque FileFix, é fundamental agir imediatamente. Siga estas etapas sistematicamente para proteger seu PC e suas contas:

  • Desconectar-se da internet: Desconectar-se imediatamente da rede ajuda a impedir que o infostealer transmita dados roubados para seu servidor de comando e controle (C2).Agir prontamente aumentará suas chances de mitigar os danos.
  • Altere suas senhas: usando um dispositivo diferente e seguro, altere as senhas de todas as contas acessadas no seu PC comprometido. Faça isso sem demora, pois os invasores geralmente agem rapidamente após obter acesso às credenciais.
  • Executar a Verificação Offline do Microsoft Defender: Uma verificação offline utiliza um ambiente confiável para realizar uma verificação abrangente do sistema. Acesse a opção de verificação através do aplicativo Segurança do Windows: Proteção contra vírus e ameaçasOpções de verificaçãoMicrosoft Defender Antivirus (Verificação offline).
Opções de verificação do Microsoft Defender
  • Monitore a inicialização e os processos em execução: após a verificação, inspecione os itens de inicialização e os processos em execução para identificar e remover quaisquer arquivos maliciosos. Utilize o Autoruns e o Process Explorer para verificar a legitimidade dos processos.
Autoruns exibindo uma lista de processos
  • Redefinir ou restaurar o Windows: se as medidas anteriores não resolverem o problema, considere redefinir ou restaurar o Windows para eliminar quaisquer infostealers persistentes. Escolha entre uma restauração do sistema ou uma instalação limpa, de acordo com suas necessidades específicas.

Resumindo, ataques como o FileFix utilizam táticas de phishing e engenharia social para executar seus comandos maliciosos. Mantenha-se sempre vigilante e evite solicitações não solicitadas que possam comprometer a segurança do seu sistema. Utilizar ferramentas de segurança online confiáveis ​​também pode aumentar sua capacidade de detectar ameaças.

Fonte e Imagens

Artigos relacionados:

Microsoft apresenta novos recursos no Paint, ferramenta de recorte e fase de testes do Bloco de Notas
Acesso público a aplicativos em nuvem no Windows 365 já está disponível

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *