FileFix nomli yangi social engineering varianti ko‘rsatib bermoqda: qanday qilib odatiy Windows interfeysi zararli buyruqlarni yashirincha ishga tushirish vositasiga aylanishi mumkin. Ushbu texnikani axborot xavfsizligi bo‘yicha mutaxassis, mr.d0x taxallusi bilan tanilgan tadqiqotchi taqdim etdi.
FileFix — xakerlar butun dunyoda faol qo‘llayotgan ClickFix hujumlarining rivojlangan shakli. Klassik ClickFix sxemasida hujumchi veb-saytga tugma joylashtiradi, u zararli buyruqni Windows’ning almashuv buferiga (clipboard) nusxalaydi. So‘ng foydalanuvchidan bu buyruqni PowerShell yoki buyruq qatoriga qo‘yib, “xatoni tuzatish” yoki “kirishni tiklash” talab qilinadi. Ko‘pincha bunday hiylalar sayt kapchalari yoki xato bildirishnomalari ko‘rinishida yashiriladi, shunda jabrlanuvchi buyruqni ishga tushirishga undaladi.
Ammo FileFix bu usulni yanada mukammallashtiradi: bu safar buyruq qatori butunlay chiqarib tashlanadi va foydalanuvchilarga tanish bo‘lgan Windows File Explorer (Prowodnik) interfeysi jalb qilinadi. Mutaxassis ko‘rsatganidek, odamni zararli matnni bevosita Explorer’ning manzil satriga kiritishga majbur qilish mumkin — bu esa tizim darajasida buyruq ishga tushishiga olib keladi.
FileFix’ning asosiy xususiyati shundaki, unda qo‘rqinchli yoki shubhali xatolik oynalari bo‘lmaydi. Ularning o‘rniga fishing sahifasida “fayl yuborildi, uni ochish kerak” degan ishonchli ko‘rinishdagi bildirishnoma chiqadi. Foydalanuvchidan manzil satriga fayl yo‘lini qo‘yish so‘raladi. Saytdagi tugma nafaqat fayl tanlash oynasini chaqiradi, balki tayyorlangan buyruqni almashuv buferiga ham yashirincha nusxalaydi.
Buyruq xavfsiz ko‘rinsin uchun maxsus usul ishlatiladi: matnda soxta fayl yo‘li bo‘ladi, zararli qismi esa PowerShell kommentariyasi bilan yashiriladi. Natijada manzil satrida faqat qalbaki yo‘l ko‘rinadi, ammo yashirin buyruq avtomatik ishga tushadi. Mutaxassis ko‘rsatgan demonstratsion kodda foydalanuvchi haqiqiy fayl tanlamasligi uchun yuklash funksiyasi bloklanadi. Agar kimdir faylni qo‘lda tanlashga urinsa, sahifa bu harakatni to‘xtatadi va ko‘rsatmada xato bo‘lgani haqida ogohlantiradi.
ClickFix hujumlari avval ham juda samarali bo‘lib chiqqan. Ularni kiberjinoyatchilar josuslik dasturlari, masofaviy boshqaruv troyanlari va hatto ransomware tarqatishda ishlatishgan. Ma’lumki, Shimoliy Koreyadagi Kimsuky guruh ham ClickFix elementlarini qo‘shgan kampaniyalarida soxta PDF hujjatlar va veb-saytlar orqali foydalanuvchilarga zararli ko‘rsatmalar bergan.
Shu kabi sxemalar Booking vakillari sifatida ko‘rsatilgan xakerlar tomonidan ham qo‘llangan: ular mehmonxona sohasidagi xodimlarga soxta ko‘rsatmalar yuborishgan. O‘xshash usul Linuxda ham ishlatilgan: foydalanuvchidan “xavfsiz” ko‘ringan buyruqni terminalga qo‘yish so‘ralgan, aslida esa zararli kod ishga tushgan.
FileFix’ning asosiy xavfi shundaki, hujum yanada ishonchli va oddiy ko‘rinadigan muhitga — Explorer interfeysiga ko‘chirilgan. Bu foydalanuvchilarning ogohligini pasaytiradi va jinoyatchilar ishini ancha osonlashtiradi. mr.d0x bu usul yaqin orada kiberjinoyatchilar tomonidan amaliyotga tatbiq etilishiga ishonch bildirgan. O‘xshash holat oldinroq “brauzer ichidagi brauzer” hujum metodida ham kuzatilgan: u ham tezda real hujumlarda qo‘llanila boshlangan edi.
