Gli esperti della Threat Research Unit di Acronis hanno scoperto un nuovo tipo di attacco FileFix che sfrutta la steganografia per distribuire il noto infostealer StealC e rubare numerosi dati dai computer delle vittime. Gli utenti non devono mai eseguire i comandi suggeriti.
Descrizione dell’attacco FileFix
FileFix è una variante di ClickFix. Invece di copiare il comando nella finestra Esegui (Win + R) di Windows, l’utente deve copiarlo nella barra degli indirizzi di Esplora file. L’attacco descritto dagli esperti di Acronis prevede la creazione di numerose pagine di phishing multilingua simili a quelle del supporto Facebook Security di Meta.
Un messaggio avvisa l’utente che l’account verrà sospeso entro 7 giorni perché sono stati pubblicati post vietati dalle regole. In fondo è presente un pulsante che, quando premuto, apre una seconda schermata in cui sono elencati i passi da seguire per aprire un documento PDF in Esplora file.
Cliccando sul pulsante Copia non viene però copiato il percorso del file, ma uno script PowerShell. L’ignaro utente vedrà effettivamente il percorso nella barra degli indirizzi perché il comando PowerShell è nascosto. Dopo l’esecuzione, lo script scaricherà un’immagine JPG da Bitbucket. Sembra apparentemente innocuo, invece al suo interno sono nascosti un secondo script PowerShell che decodifica StealC in memoria. La tecnica è nota come steganografia.
L’infostealer inizierà quindi a raccogliere numerosi dati dal computer: credenziali e cookie di autenticazione dai browser, credenziali delle app di messaggistica, wallet di criptovalute, credenziali dei servizi cloud e screenshot del desktop. Gli esperti di Acronis hanno individuato diverse varianti dell’attacco nelle ultime due settimane.
Ti potrebbe interessare
17 set 2025