FileFix napad instalira malver StealC preko lažnih Facebook stranica

Društvene mreže, 18.09.2025, 08:30 AM

Istraživači kompanije Acronis otkrili su novu fišing kampanju koja koristi novi pristup već poznatoj tehnici napada. Metoda, nazvana FileFix, koristi se za instaliranje StealC infostealer malvera preko lažnih stranica koje liče na Facebook Security.

Sve počinje tako što žrtve dobiju upozorenje da bi njihov Facebook nalog mogao biti suspendovan zbog navodnog kršenja pravila. Korisniku se nudi opcija da uloži žalbu, ali ga link vodi na fišing sajt koji imitira zvaničnu Meta stranicu za podršku. Umesto formulara ili CAPTCHA testa, žrtva dobija uputstvo da nalepi određenu komandu u adresnu traku prozora za otpremanje fajla. Samim tim činom, na računaru se pokreće zlonamerni kod i započinje infekcija.

Napad se odvija u više faza. Prvo se preuzimaju slike hostovane na Bitbucket platformi, u kojima su skrivene skripte i izvršni fajlovi ubačeni pomoću steganografije. Na prvi pogled slike izgledaju bezopasno, ali kada se otvore na računaru pokreću maliciozni kod i preuzimaju finalni payload - StealC malver.

StealC je dizajniran da krade lozinke i korisnička imena, podatke iz pregledača, kripto novčanike i tokene naloga iz aplikacija za ćaskanje i cloud servisa.

Pored toga, StealC može da preuzima i dodatne malvere, omogućavajući napadačima da naknadno prošire napad.

U poređenju sa ranijim FileFix i ClickFix napadima, ova kampanja je znatno naprednija.

Lažne Facebook stranice imaju višejezičnu podršku, obfuskaciju i „junk“ kod kako bi se otežala analiza i detekcija.

Napadi nisu ograničeni na jednu zemlju - zabeleženi su u SAD, Nemačkoj, Bangladešu, Filipinima i drugim državama. Višejezični interfejs fišing stranica ukazuje da je kampanja globalna.

Pošto je kampanja i dalje aktivna i evoluira, preporučuje se oprez sa imejlovima nepoznatih pošiljalaca, izbegavanje kliktanja na sumnjive linkove ili praćenje uputstava za pokretanje skripti na uređajima.