保護自己免受新的 FileFix 攻擊，該攻擊會誘騙 Windows 用戶安裝 StealC 惡意軟體

目前，一種名為 FileFix 攻擊的複雜攻擊方法正瞄準 Windows 用戶，成功誘騙用戶安裝 StealC 資訊竊取程式。目前已出現多種利用此技術實施攻擊的社會工程活動。本文旨在闡明 FileFix 攻擊的機制，並提供一些保護設備的策略。

了解 FileFix 攻擊：它如何部署 StealC 惡意軟體

目前的 FileFix 攻擊是基於先前繞過 Windows Web 標記 (MoTW) 的版本，利用檔案系統中的漏洞下載惡意映像，該映像會啟動 StealC 資訊竊取程式（類似於 EDDIESTEALER）。由於此方法在 PC 記憶體中運行，從而規避了傳統安全措施的檢測，因此一旦執行，將帶來重大風險。

以下是 FileFix 攻擊的詳細流程：

受害者會被誤導至釣魚網站，該網站通常偽裝成 Facebook 帳戶暫停警報。使用者會被提示將特定檔案路徑複製到檔案總管中，以便查看事件報告。然而，該路徑隱藏了惡意負載，使其在用戶看來合法。

執行後，攻擊會觸發 PowerShell 命令來下載嵌入隱藏腳本的映像檔。
PowerShell 隨後會解碼隱藏的內容，將 StealC 惡意軟體載入到系統記憶體中，不會在磁碟上留下任何痕跡，幾乎無法被偵測到。此資訊竊取程序的目標是敏感數據，例如瀏覽器 Cookie、儲存的憑證以及加密貨幣錢包資訊。

雖然 FileFix 攻擊主要以 StealC 資訊竊取程式和 Facebook 網路釣魚頁面為特徵，但其框架足夠靈活，可以重新用於旨在部署不同惡意軟體的各種網路釣魚操作。

持續防禦 FileFix 攻擊

儘管 FileFix 攻擊手段狡猾，但您可以採取主動措施來增強安全性。以下是一些實用建議，可以幫助您防範此類惡意攻擊：

避免複製/貼上命令：避免在作業系統的任何部分（包括「執行」、「CMD」或「檔案總管」）複製和貼上檔案路徑或命令。盡可能手動輸入命令，以防止意外執行惡意程式碼。
增強 PowerShell 安全性：由於許多攻擊都利用 PowerShell 腳本，因此請增強其安全性設置，以防止未經授權的腳本運行。請參閱 PowerShell 安全完整指南。
選擇具有記憶體掃描功能的防毒軟體：選擇能夠即時掃描記憶體的防毒軟體。 Bitdefender和ESET等程式都提供了強大的記憶體掃描功能。
使用標準使用者帳戶：使用標準使用者帳戶而不是管理員帳戶執行日常任務，因為後者更容易受到需要提升權限的惡意軟體攻擊。

執行惡意命令後應採取的步驟

如果您懷疑自己的裝置已遭受 FileFix 攻擊，請立即採取行動。請依照以下步驟系統地保護您的電腦和帳戶：

中斷網路連線：立即中斷網路連線有助於防止資訊竊取者將竊取的資料傳輸到其命令與控制 (C2) 伺服器。及時採取行動將增加您減輕損失的機會。
更改密碼：使用其他安全設備，更改在受感染電腦上存取的所有帳戶的密碼。請立即執行此操作，因為攻擊者通常在獲取憑證後會迅速採取行動。
執行 Microsoft Defender 離線掃描：離線掃描利用受信任的環境執行全面的系統檢查。透過 Windows 安全應用程式存取掃描選項：病毒和威脅防護→掃描選項→ Microsoft Defender 防毒軟體（離線掃描）。