新しいfilefix攻撃は、WindowsユーザーをだましてSTEALCマルウェアをインストールすることができます - 安全を維持する方法

WindowsユーザーをだましてStealc Infostealerをインストールするように、巧妙なFileFix攻撃がワイルドで発生しています。このFileFix攻撃を実行しようとして、複数のソーシャルエンジニアリングキャンペーンが検出されました。この攻撃がどのように機能し、それから安全を保つ方法を学びましょう。

Windows MotWをバイパスした最後のFileFix攻撃の後、この新しいFileFix攻撃は、PCメモリでStealC Infostealer（Eddiestealerと同様）を実行する感染した画像をダウンロードできます。 FileFix攻撃の目的は、ファイルシステムを悪用することでPCの防御をバイパスすることであるため、実行されると特に危険です。

以下は、この攻撃がどのように実行されるかという完全なステップバイステッププロセスです。

• 被害者はフィッシングページ（Facebookアカウントの停止通知など）に誘惑され、そこでインシデントレポートを表示するためにファイルエクスプローラーにパスをコピーするよう指示されます。ただし、コピーすると、ファイルパスには、最後に隠されたペイロードがある多くのスペースがあるため、ユーザーはパスが貼り付けられていると表示されます。

• 実行されると、非表示のスクリプトを含むユーザーに代わって画像ファイルをダウンロードするPowerShellコマンドを実行します。
• 次に、PowerShellは非表示のコンテンツをデコードし、最終的なマルウェアをメモリにロードします（ディスク上の存在はないため、検出はありません）。最近の攻撃では、Stealc InfostealerがブラウザCookieを盗み、資格情報を保存し、暗号ウォレットデータを保存し、アクティブなアプリのスクリーンショットを撮影することに焦点を当てた主なペイロードとして発見されました。

StealC InfostealerとFacebookのフィッシングページはこのFileFix攻撃で使用されていますが、同じ攻撃をさまざまなフィッシングキャンペーンで使用して、他のタイプのマルウェアをインストールできます。

参照：ゴッドファーザーのマルウェアが戻ってきて、これまで以上に危険です：安全を保つ方法

このFileFix攻撃は賢いですが、フィッシングの試みに懐疑的であり、積極的なセキュリティ対策を講じることで、安全を維持することができます。以下は、filefix攻撃から安全に保つ方法です。

• OSでコマンドをコピー/貼り付けないでください：OS、CMD、ファイルエクスプローラーなど、OSのどこにでもパスまたはコマンドをコピー/貼り付けるリクエストを楽しまないでください。貼り付けているものとそれが何をするかを知っていても、手動で入力することが最善です。
• Harden Powershellセキュリティ：そのような攻撃の多くは、PowerShellスクリプトの実行に依存しています。 PowerShellのセキュリティを強化できるように、意図しない悪意のあるスクリプトを実行しないことができます。 PowerShellを保護するための完全なガイドを次に示します。
• 記憶を検査するウイルス対策を使用します。強力なメモリスキャン機能を備えたウイルス対策を取得する必要があります。これらのウイルス対策プログラムは、悪意のあるコードを検出するためにリアルタイムでメモリをスキャンできます。BitDefenderそしてesetどちらも強力なメモリスキャン機能を持っています。
• 標準のユーザーアカウントを使用します：ほとんどのマルウェアは、管理権を使用して特定のコマンドを実行する必要があります。そのような自動攻撃に対してより脆弱であるため、管理アカウントをメインアカウントとして使用しないでください。標準のユーザーアカウントは、毎日のタスクに十分すぎるほどです。

既に悪意のあるコマンドを実行している場合はどうしますか

あなたがこの攻撃のために落ちて、今あなたのデバイスが侵害されたと思うなら、あなたのデバイスを保護する手順は非常に異なります。以下は、PCとアカウントを保護するために従うことができる手順です。正確なシーケンスでフォローしていることを確認してください。

• ネットワークから切断します：最初にすべきことは、InfostealerがC2サーバーに情報を送信できないように、ネットワークから切断することです。盗むプロセスには時間がかかるので、あなたがより速く行動するほど良いです。
• アカウントのパスワードの変更：別のPCまたはモバイルデバイスを使用し、感染したPCにログインした、または資格情報が保存されているすべてのアカウントのパスワードをリセットします。情報が受信されるとすぐに、ハッカーが攻撃するため、別のデバイスでこのステップを実行する必要があります。
• Microsoft Defenderオフラインスキャンを実行します：オフラインスキャンでは、PCの電源が切れ、別の（信頼できる）環境から完全なシステムスキャンを実行します。ほとんどの場合、Infostealerをキャッチするはずです。 Windowsで、検索を使用してWindowsセキュリティアプリを開き、ウイルスと脅威の保護→スキャンオプション→Microsoft Defender Antivirus（オフラインスキャン）。

• 起動と実行のプロセスを確認してください：スキャン後、起動時および現在の実行中のプロセスで自動的に実行されるすべてのプロセスを確認して、悪意のあるファイルを見つけて削除する必要があります。このために、Autorunsそしてプロセスエクスプローラーアプリ（オフラインの別のデバイスからダウンロードして移動）。これらのアプリは、すべてのプロセスに情報を表示し、プロセスが信頼できるかどうかを確認します。

• Windowsのリセット/復元：上記の手順が機能しない場合、または心の安らぎが必要な場合は、windowsをリセットして、インフォスティーラーが削除されるようにすることができます（ほとんどはリセット後に持続するために作成されません）。ニーズに応じて、Windowsを復元したり、Windowsをリセットしたり、Windowsをインストールしたりすることができます。

FileFixおよび同様の悪意のある攻撃は、コマンドを実行するためにフィッシングとソーシャルエンジニアリングに大きく依存しています。良い経験則は、いかなる種類の未承諾要求を楽しまないことです。これらのオンラインセキュリティツールを使用して、疑いをさらに確認することもできます。