يمكن لـ FileFix Attack جديد خداع مستخدمي Windows لتثبيت برنامج Stealc Malware – كيفية البقاء آمنًا

يمكن لـ FileFix Attack جديد خداع مستخدمي Windows لتثبيت برنامج Stealc Malware – كيفية البقاء آمنًا


هجوم FileFix الذكي في البرية التي يخدع مستخدمي Windows لتثبيت Stealc Infostealer. تم اكتشاف حملات هندسة اجتماعية متعددة تحاول تنفيذ هجوم FileFix. دعونا نتعلم كيف يعمل هذا الهجوم وكيفية البقاء في مأمن منه.

كيف يقوم هذا FileFix Attack بتنزيل البرامج الضارة Stealc

بعد هجوم FileFix الأخير الذي تجاوز Windows Motw ، يمكن لهذا الهجوم الجديد FileFix تنزيل صورة مصابة تنفذ Stealc Infostealer (على غرار Eddiestealer) في ذاكرة الكمبيوتر. نظرًا لأن الغرض من هجوم FileFix هو تجاوز دفاعات الكمبيوتر عن طريق استغلال نظام الملفات ، فسيكون الأمر خطيرًا بشكل خاص بمجرد تنفيذه.

فيما يلي العملية الكاملة خطوة بخطوة لكيفية تنفيذ هذا الهجوم:

  • يتم إغراء الضحية على صفحة التصيد (مثل إشعار تعليق حساب Facebook) حيث يتم توجيههم لنسخ مسار إلى مستكشف الملفات لعرض تقرير الحادث. ومع ذلك ، عند نسخه ، يحتوي مسار الملف على مساحة كبيرة مع حمولة خفية في النهاية ، لذلك يرى المستخدم أن المسار قد تم لصقه.
مصدر الصورة: Acronis
  • عند تنفيذها ، يقوم بتشغيل أمر PowerShell يقوم بتنزيل ملف صورة نيابة عن المستخدم يحتوي على برنامج نصي مخفي.
  • بعد ذلك ، يقوم PowerShell بفك تشفير المحتوى المخفي ويقوم بتحميل البرامج الضارة النهائية في الذاكرة (لا يوجد وجود على القرص ، لذلك لا يوجد اكتشاف). في الهجمات الأخيرة ، تم اكتشاف Stealc Infostealer باعتباره الحمولة الرئيسية التي تركز على سرقة ملفات تعريف الارتباط للمتصفح ، وبيانات الاعتماد المحفوظة ، وبيانات محفظة التشفير ، وأخذ لقطات من التطبيقات النشطة.

في حين تم استخدام صفحات Stealc Infostealer و Facebook في هجوم FileFix ، يمكن استخدام نفس الهجوم في حملات التصيد المختلفة لتثبيت أنواع أخرى من البرامج الضارة.

على الرغم من أن هجوم FileFix هذا ذكي ، إلا أنه لا يزال بإمكانك البقاء آمنًا من خلال التشكك في محاولات التصيد وأخذ تدابير أمنية استباقية. فيما يلي بعض الطرق للبقاء في مأمن من هجوم FileFix:

  • لا تقم أبدًا بنسخ/لصق الأوامر في نظام التشغيل: لا تستمتع بأي طلبات لنسخ/لصق مسار أو أمر في أي مكان في نظام التشغيل ، مثل Run ، CMD ، File Explorer ، وما إلى ذلك. حتى لو كنت تعرف ما الذي لصقه وما الذي ستفعله ، فمن الأفضل كتابة ذلك يدويًا.
  • أمن هاردن باورشيل: تعتمد العديد من هذه الهجمات على تشغيل البرامج النصية PowerShell. يمكنك تصلب أمن PowerShell حتى لا يتم تشغيل البرامج النصية الخبيثة دون مقصودة. إليك دليل كامل لتأمين PowerShell.
  • استخدم مكافحة الفيروسات التي تفقد الذاكرة: يجب أن تحصل على مكافحة الفيروسات التي لديها ميزة مسح الذاكرة القوية. يمكن لبرامج مكافحة الفيروسات مسح الذاكرة في الوقت الفعلي للكشف عن الكود الضار. لدى كل من Bitdefender و ESET وظيفة مسح ذاكرة قوية.
  • استخدم حساب المستخدم القياسي: تحتاج معظم البرامج الضارة إلى تشغيل أوامر محددة بامتيازات المسؤول. يجب ألا تستخدم حساب المسؤول كحساب رئيسي ، لأنه أكثر عرضة لمثل هذه الهجمات التلقائية. حساب المستخدم القياسي أكثر من كافية للمهام اليومية.

ماذا تفعل إذا قمت بالفعل بتنفيذ الأمر الضار

إذا كنت تعتقد أنك قد سقطت لهذا الهجوم والآن يتعرض جهازك للخطر ، فإن خطوات حماية جهازك مختلفة تمامًا. فيما يلي الخطوات التي يمكنك متابعتها لحماية جهاز الكمبيوتر الخاص بك وحساباتك. فقط تأكد من متابعتها في التسلسل الدقيق:

  • افصل عن الشبكة: أول شيء يجب عليك فعله هو فصل الشبكة بحيث لا يجوز لـ Infostealer إرسال معلومات إلى خادم C2. تستغرق عملية السرقة وقتًا ، لذا كلما كنت تتصرف بشكل أسرع ، كان ذلك أفضل.
  • تغيير كلمة مرور الحسابات: استخدم جهاز كمبيوتر أو جهاز محمول آخر وأعد تعيين كلمات المرور لجميع الحسابات التي تم تسجيل الدخول على الكمبيوتر المصاب أو تم تخزين بيانات الاعتماد عليها. من الضروري القيام بهذه الخطوة على جهاز منفصل وعلى الفور ، حيث يهاجم المتسللين بمجرد استلام المعلومات.
  • قم بتشغيل Microsoft Defender Scann: يقوم الفحص في وضع عدم الاتصال بإيقاف تشغيل الكمبيوتر ويقوم بتشغيل فحص كامل للنظام من بيئة منفصلة (موثوقة). يجب أن يصطاد Infostealer في معظم الحالات. في Windows ، افتح تطبيق Windows Security باستخدام البحث وانتقل إلى حماية الفيروسات والتهديدخيارات المسحMicrosoft Defender Antivirus (فحص غير متصل).
خيارات فحص Microsoft Defender
  • تحقق من عمليات بدء التشغيل والتشغيل: بعد الفحص ، يجب عليك التحقق من جميع العمليات التي يتم تشغيلها تلقائيًا عند بدء التشغيل وعمليات التشغيل الحالية للعثور على الملفات الضارة وإزالتها. لهذا ، احصل على تطبيقات Autoruns و Process Explorer (تنزيل وانتقل من جهاز آخر غير متصل). ستعرض هذه التطبيقات جميع العمليات مع المعلومات لتأكيد ما إذا كانت العملية جديرة بالثقة أم لا.
Autoruns تعرض قائمة العمليات
  • إعادة تعيين/استعادة النوافذ: إذا لم تنجح الخطوات المذكورة أعلاه أو تريد راحة البال ، فيمكنك إعادة تعيين Windows لضمان حذف Infostealer (لا يتم إنشاء معظمها للاستمرار بعد إعادة التعيين). اعتمادًا على حاجتك ، يمكنك استعادة Windows أو إعادة ضبط Windows أو تنظيف Windows تثبيت.

تعتمد FileFix والهجمات الخبيثة المماثلة اعتمادًا كبيرًا على التصيد والهندسة الاجتماعية لتنفيذ الأوامر. هناك قاعدة جيدة تتمثل في عدم الترفيه عن أي نوع من الطلبات غير المرغوب فيها. يمكنك أيضًا استخدام أدوات الأمان عبر الإنترنت لتأكيد الشك.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى