新的 FileFix 攻击可以诱骗 Windows 用户安装 StealC 恶意软件

一种巧妙的 FileFix 攻击正在流行，它会诱骗 Windows 用户安装 StealC infostealer。已检测到多个试图执行此 FileFix 攻击的社会工程活动。让我们了解这种攻击是如何运作的以及如何避免受到攻击。

最后一次之后绕过 Windows MoTW 的 FileFix 攻击，这种新的 FileFix 攻击可以下载执行 StealC infostealer 的受感染图像（类似于涡流盗贼）在电脑内存中。由于 FileFix 攻击的目的是通过利用文件系统来绕过 PC 防御，因此一旦执行就特别危险。

以下是此攻击执行的完整分步过程：

受害者被引诱到一个网络钓鱼页面（如 Facebook 帐户暂停通知），其中指示他们将路径复制到文件资源管理器以查看事件报告。但是，复制时，文件路径有大量空间，末尾有隐藏的有效负载，因此用户只能看到粘贴的路径。

执行时，它会运行一个电源外壳代表用户下载包含隐藏脚本的图像文件的命令。
然后，PowerShell 解码隐藏内容并将最终的恶意软件加载到内存中（磁盘上不存在，因此无法检测到）。在最近的攻击中，StealC信息窃取者被发现是专注于窃取的主要有效负载浏览器cookies、保存凭据、加密钱包数据以及对活动应用程序进行屏幕截图。

虽然在此 FileFix 攻击中使用了 StealC infostealer 和 Facebook 网络钓鱼页面，但相同的攻击可以在不同的网络钓鱼活动中使用，以安装其他类型的恶意软件。

虽然这种 FileFix 攻击很聪明，但您仍然可以保持怀疑以保持安全关于网络钓鱼尝试并采取主动安全措施。以下是避免 FileFix 攻击的一些方法：

切勿在操作系统中复制/粘贴命令：不要接受任何在操作系统中任何位置复制/粘贴路径或命令的请求，例如“运行”、“CMD”、“文件资源管理器”等。即使您知道要粘贴的内容以及它将做什么，最好手动输入。
强化 PowerShell 安全性：许多此类攻击依赖于运行 PowerShell 脚本。您可以强化 PowerShell 的安全性，使其不会意外运行恶意脚本。这是一个完整的PowerShell 安全指南.
使用检查内存的防病毒软件：您应该购买一款具有强大内存扫描功能的防病毒软件。这些防病毒程序可以实时扫描内存以检测恶意代码。比特卫士和案件两者都具有强大的内存扫描功能。
使用标准用户帐户：大多数恶意软件需要以管理员权限运行特定命令。您不应该使用管理员帐户作为主帐户，因为它更容易受到此类自动攻击。一个标准用户帐户对于日常任务来说绰绰有余。

如果已经执行了恶意命令怎么办

如果您认为自己已陷入这种攻击并且现在您的设备已受到威胁，那么保护您的设备的步骤将非常不同。您可以按照以下步骤来保护您的电脑和帐户。只要确保您按照确切的顺序遵循它们即可：

断开网络连接：您应该做的第一件事是断开网络连接，这样信息窃取者就不会向 C2 服务器发送信息。偷窃过程需要时间，所以行动越快越好。
更改账户密码：使用另一台电脑或移动设备并重置在受感染电脑上登录或存储有凭据的所有帐户的密码。有必要在单独的设备上立即执行此步骤，因为黑客一旦收到信息就会发起攻击。
运行 Microsoft Defender 离线扫描：脱机扫描会关闭电脑并从单独的（受信任的）环境运行完整的系统扫描。在大多数情况下，它应该能够捕获信息窃取者。在 Windows 中，打开Windows 安全应用程序使用搜索并转到病毒和威胁防护→扫描选项→Microsoft Defender 防病毒软件（离线扫描）.