Un ataque inteligente de FileFix está en la naturaleza que engaña a los usuarios de Windows para que instale STEALC InfoSealer. Se han detectado múltiples campañas de ingeniería social tratando de ejecutar este ataque de FileFix. Aprendamos cómo funciona este ataque y cómo mantenernos a omitido de él.
Cómo este nuevo Attack de FileFix descarga Malware de sthealc
Luego del postrero ataque de FileFix que pasó por stop Windows MOTW, este nuevo ataque de FileFix puede descargar una imagen infectada que ejecuta STEALC InfoSealer (similar a EddiDeSpalrealer) en la memoria de PC. Cubo que el propósito de un ataque de FileFix es evitar las defensas de PC explotando el sistema de archivos, es especialmente peligroso una vez ejecutado.
A continuación se muestra el proceso completo paso a paso de cómo se ejecuta este ataque:
- La víctima se atrae a una página de phishing (como un aviso de suspensión de la cuenta de Facebook) donde se les indica que copie una ruta en el explorador de archivos para ver el referencia del incidente. Sin incautación, cuando se copia, la ruta del archivo tiene mucho espacio con una carga útil oculta al final, por lo que el favorecido solo ve la ruta pegada.
- Cuando se ejecuta, ejecuta un comando PowerShell que descarga un archivo de imagen en nombre del favorecido que contiene un script oculto.
- PowerShell luego decodifica el contenido oculto y carga el malware final en la memoria (sin presencia en el disco, por lo que no hay detección). En los ataques recientes, STEALC InfostEaler fue descubierto como la principal carga útil que se centra en robar cookies del navegador, economizar credenciales, datos de billetera criptográfica y tomar capturas de pantalla de aplicaciones activas.
Si adecuadamente se han utilizado las páginas de phishing de Facebook de StealC en este ataque de FileFix, el mismo ataque puede estar de moda en diferentes campañas de phishing para instalar otros tipos de malware.
Si adecuadamente este ataque de FileFix es inteligente, aún puede mantenerse seguro al ser escéptico sobre los intentos de phishing y tomar medidas de seguridad proactivas. A continuación se presentan algunas formas de mantenerse a omitido de un ataque de FileFix:
- Nunca copie/pegue los comandos en el sistema operante: No entretenga ninguna solicitud para copiar/pegar una ruta o comando en cualquier oportunidad del sistema operante, como Run, CMD, Explorer de archivos, etc. Incluso si sabe lo que está pegando y lo que hará, es mejor escribirlo manualmente.
- Harden PowerShell Security: Muchos de estos ataques dependen de ejecutar scripts de PowerShell. Puede insensibilizar la seguridad de PowerShell para que no ejecute scripts maliciosos no deseados. Aquí hay una maestro completa para fijar PowerShell.
- Use un antivirus que inspeccione la memoria: Debe obtener un antivirus que tenga una potente función de escaneo de memoria. Estos programas antivirus pueden escanear la memoria en tiempo existente para detectar código bellaco. Bitdefender y ESET tienen una poderosa función de escaneo de memoria.
- Utilice la cuenta de favorecido tipificado: La mayoría de los malware deben ejecutar comandos específicos con privilegios de compañía. No debe usar la cuenta de compañía como la cuenta principal, ya que es más frágil a tales ataques automáticos. Una cuenta de favorecido tipificado es más que suficiente para tareas diarias.
Qué hacer si ya ha ejecutado el comando bellaco
Si cree que ha caído en este ataque y ahora su dispositivo está comprometido, entonces los pasos para proteger su dispositivo son muy diferentes. A continuación se muestran los pasos que puede seguir para proteger su PC y cuentas. Solo asegúrese de seguirlos en la secuencia exacta:
- Desconectar de la red: Lo primero que debe hacer es desconectarse de la red para que el InforeTealer no envíe información al servidor C2. El proceso de robo lleva tiempo, por lo que cuanto más rápido actúes, mejor.
- Cambiar la contraseña de cuentas: Use otra PC o dispositivo móvil y restablezca contraseñas de todas las cuentas que iniciaron sesión en la PC infectada o que tenían credenciales almacenadas. Es necesario hacer este paso en un dispositivo separado e inmediatamente, a medida que los piratas informáticos atacan tan pronto como se recibe información.
- Ejecute el escaneo fuera de tangente de Microsoft Defender: Un escaneo fuera de tangente apaga la PC y ejecuta un escaneo completo del sistema desde un entorno separado (confiable). Debería atrapar al infador en la mayoría de los casos. En Windows, fiordo la aplicación de seguridad de Windows usando la búsqueda y vaya a Protección contra el virus y la amenaza → Opciones de escaneo → Antivirus de defensor de Microsoft (escaneo fuera de tangente).
- Verifique los procesos de inicio y ejecución: Luego del escaneo, debe repasar todos los procesos que se ejecutan automáticamente en los procesos de inicio y en ejecución contemporáneo para encontrar y eliminar archivos maliciosos. Para esto, obtenga las aplicaciones Autoruns y Process Explorer (descargue y muévase de otro dispositivo fuera de tangente). Estas aplicaciones mostrarán todos los procesos con información para confirmar si un proceso es confiable o no.
- Restablecer/restaurar ventanas: Si los pasos anteriores no funcionan o si desea tranquilidad, puede restablecer ventanas para comprobar de que el Infente de InfenteS se elimine (la mayoría no se crea para persistir a posteriori del reinicio). Dependiendo de su aprieto, puede restaurar Windows, restablecer ventanas o bañar Windows.
FileFix y ataques maliciosos similares dependen en gran medida del phishing y la ingeniería social para ejecutar comandos. Una buena regla universal es nunca entretener a ningún tipo de solicitudes no solicitadas. Asimismo puede usar estas herramientas de seguridad en tangente para confirmar aún más la sospecha.
