W połowie września 2025 roku Acronis Threat Research Unit zidentyfikował aktywną kampanię phishingową klasy „FileFix” — wariant rodziny ataków ClickFix. Atak łączy socjotechnikę w formie fałszywego powiadomienia o blokadzie konta, mechanikę „copy-paste” poleceń do interfejsu systemowego – pasek adresu Eksploratora plików oraz wielowarstwową obfuskację oraz steganografię plików graficznych jako nośnika złośliwego kodu. Finalnym ładunkiem obserwowanym w kampanii jest infostealer znany jako StealC, zdolny do eksfiltracji haseł, portfeli kryptowalutowych i kluczy chmurowych [1].

FILEFIX

Rys.1 Grafika FILEFIX — ANALIZA KAMPANII PHISHINGOWEJ Źródło: chatgpt.com

Szczegółowy przebieg

Phishing → redirect: wiadomość kieruje użytkownika na wielojęzyczną stronę podszywającą się pod portal pomocy (np. Meta Support). Na stronie znajduje się element UI wyglądający jak przycisk „Copy” obok widocznej „ścieżki do pliku”[1].
Copy/Paste z podmianą: przycisk kopiowania zapisuje do schowka polecenie PowerShell zamiast rzeczywistej ścieżki. Ofiara jest instruowana, aby wkleić zawartość schowka do paska adresu Eksploratora Windows. Po wklejeniu i naciśnięciu „Enter” w Eksploratorze polecenie zostaje wykonane [1].
Pobranie artefaktu: PowerShell pobiera plik *.jpg z zasobów zdalnych (np. Bitbucket/hosting plików), następnie uruchamia analizę obrazu w celu wyodrębnienia zaszytych binariów. Obfuskacja i steganografia utrudniają wykrycie przez skanery statyczne [2].
Odrzucenie UI i uruchomienie payloadu: strona wyświetla komunikat o błędzie dokumentu, maskując w tle wykonywanie pobierania i deobfuskacji. Zapisany plik *.exe jest uruchamiany (np. poprzez conhost.exe albo mechanizmy systemowe), sprawdzane na sandbox/VM i jeśli warunki są sprzyjające, następuje instalacja StealC oraz ewentualne pobranie dodatkowych modułów.[1]

Zapobieganie i hardening

Edukacja i procedury: organizowanie szkoleń phishingowych z realistycznymi scenariuszami „copy-paste”. Powiadomienia dla użytkowników, że polecenia ze stron WWW nie powinny być wklejane do interfejsów systemowych ani uruchamiane. Powyższa kampania polega wprost na błędzie użytkownika[2].
Ograniczenia wykonywania PowerShell: egzekwowanie zasad ExecutionPolicy + wdrożenie Constrained Language Mode, AppLocker/WDAC dla blokowania niezatwierdzonych skryptów i binariów. Blokowanie wykonywania PowerShell z kontekstów użytkowników bez potrzeby administracyjnej.[1]
Filtrowanie i sankcje na poziomie poczty: aktywne filtrowanie linków, dynamiczne sprawdzanie reputacji domen, sandboxing wiadomości oraz blokowanie załączników z podejrzanymi schematami.[2]
Kontrola hostu i EDR: reguły EDR wykrywające nietypowe pobrania plików graficznych połączone z aktywnością procesu PowerShell, zapisywanie i uruchamianie plików wykonywalnych z katalogów tymczasowych, oraz aktywność conhost.exe inicjująca procesy z nieoczekiwanych lokalizacji[1].

FileFix to przykład ewolucji ataków socjotechnicznych: autorzy kampanii przenoszą ciężar omijania zabezpieczeń z eksploatacji błędów (vulnerabilities) na manipulację zachowaniami użytkowników i złożone techniki ukrywania ładunków (steganografia + obfuskacja). Detekcja tego typu ataków wymaga skoordynowanego podejścia, technicznych barier (kontrola wykonywania skryptów, EDR/IDS), kontroli przepływu informacji (filtrowanie poczty, reputacja) oraz co najważniejsze rutynowej edukacji użytkowników. Organizacje powinny traktować „copy-paste” poleceń z Internetu jako wysokie ryzyko i projektować polityki bezpieczeństa oraz automatyczne blokady, które minimalizują możliwość wykonania kodu pochodzącego z niezaufanych źródeł [1].

Źródła

[1] Acronis Threat Research Unit — „FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography”, 16 wrz 2025. Acronis
[2] Sekurak — „FileFix – atak phishingowy wykorzystujący Eksplorator Systemu Windows”, 25 wrz 2025 (omówienie i streszczenie raportu Acronis). Sekurak

AI ACT- Niniejszy tekst i/lub grafika zostały wygenerowane lub poprawione przy użyciu narzędzi SI.