Një studiues sigurie ka përshkruar një version alternativ të sulmit të njohur ClickFix që shfrytëzon Windows File Explorer. FileFix është ende i bazuar në inxhinierinë sociale, por përdor një komandë të fshehur PowerShell që viktima e pavetëdijshme duhet ta kopjojë në shiritin e adresave të File Explorer.
FileFix, varianti i ClickFix
Sulmi ClickFix përfshin shfaqjen e një mesazhi gabimi të rremë në shfletues. Përdoruesit i kërkohet të kopjojë një komandë në clipboard që supozohet se e rregullon problemin. Kur ekzekutohet përmes dritares Run (Win + R), ai shkarkon malware-in në kompjuter.
FileFix përdor një truk të ngjashëm për të mashtruar përdoruesin. Përveç shfaqjes së shtegut në sistemin e skedarëve, shiriti i adresave të File Explorer ju lejon gjithashtu të ekzekutoni komanda. Në këtë rast, mjafton të krijoni një faqe phishing dhe të shfaqni udhëzime për të shkarkuar një skedar në kompjuter, siç mund ta shihni në video.
Përdoruesi duhet të klikojë në shtegun e treguar (kopjo), ta fusë atë në shiritin e adresave të File Explorer (ngjit) dhe të shtypë Enter. Një komandë PowerShell është e fshehur (nuk është e dukshme) në shtegun e skedarit dhe ekzekutohet. Viktima e pavëmendshme nuk do ta gjejë skedarin në File Explorer, por do të shkarkojë dhe ekzekutojë programe keqdashëse (kryesisht një vjedhës informacioni që vjedh shumë të dhëna personale).
Hulumtuesi ilustroi gjithashtu një variant tjetër të sulmit FileFix. Skedarët e ekzekutuar përmes File Explorer kanë të hequr atributin MoTW (Mark of The Web), i cili tregon se ato vijnë nga interneti. Për fat të mirë, Microsoft Defender SmartScreen dhe Google Safe Browsing paralajmërojnë para se të ruajnë një skedar ekzekutues, kështu që rreziku duhet të jetë më i ulët.
Përdoruesit duhet të jenë shumë të kujdesshëm me këtë lloj sulmi. Nëse shfaqet një paralajmërim me udhëzime për të rregulluar një gabim joekzistent ose për të ruajtur një skedar, është mirë të mbyllni shfletuesin dhe të kryeni një skanim të plotë të kompjuterit me një antivirus të azhurnuar.
Discussion about this post