Serangan FileFix Baru Gunakan Steganografi untuk Sebarkan Malware StealC

Sebuah kampanye serangan siber baru dengan teknik FileFix ditemukan menyamar sebagai peringatan penangguhan akun Meta guna menipu pengguna agar menginstal StealC infostealer malware tanpa disadari.

Dari ClickFix ke FileFix

FileFix merupakan varian baru dari keluarga serangan ClickFix, teknik rekayasa sosial yang memanipulasi korban agar menyalin perintah berbahaya ke dalam dialog sistem operasi, biasanya PowerShell di Windows.

Berbeda dengan metode ClickFix sebelumnya, FileFix mengeksploitasi address bar di File Explorer untuk mengeksekusi perintah. Teknik ini awalnya diperkenalkan sebagai proof-of-concept oleh peneliti keamanan mr.d0x, dan kemudian dimanfaatkan oleh kelompok ransomware Interlock.

Kampanye Baru Menyamar Sebagai Meta Support

Kampanye terbaru yang ditemukan oleh Acronis menggunakan laman phishing multibahasa yang mengaku sebagai tim dukungan Meta. Korban diarahkan membuka “laporan insiden” terkait akun yang konon akan dinonaktifkan dalam tujuh hari.

Namun, “laporan” tersebut bukanlah dokumen PDF, melainkan perintah PowerShell tersembunyi. Saat pengguna menekan tombol Copy, perintah berbahaya dengan spasi tambahan disalin ke clipboard. Ketika ditempel ke address bar File Explorer, yang terlihat hanya jalur file palsu, sementara perintah aslinya tetap tereksekusi.

Acronis menjelaskan bahwa trik ini memanfaatkan variabel dengan spasi panjang, sehingga menyembunyikan kode berbahaya. Teknik ini sekaligus menghindari deteksi yang biasanya mencari karakter komentar # dalam serangan ClickFix.

Penggunaan Steganografi untuk Payload

Yang membuat kampanye ini menonjol adalah pemakaian steganografi. Perintah tahap pertama mengunduh gambar JPG dari Bitbucket, lalu mengekstrak skrip PowerShell tahap kedua yang tertanam di dalamnya. Skrip inilah yang mendekripsi payload di memori.

Payload akhir adalah StealC infostealer, malware pencuri data dengan kapabilitas:

• Mengambil kredensial & cookie autentikasi dari browser (Chrome, Firefox, Opera, Tencent, dll.).
• Mencuri data login dari aplikasi pesan (Discord, Telegram, Tox, Pidgin).
• Menargetkan dompet kripto (Bitcoin, Ethereum, Exodus, dll.).
• Mengakses kredensial cloud (AWS, Azure).
• Menyasar aplikasi VPN dan gaming (ProtonVPN, Battle.net, Ubisoft).
• Mengambil screenshot desktop aktif.

Ancaman yang Terus Berevolusi

Acronis menemukan beberapa varian kampanye ini dalam periode dua minggu terakhir, dengan variasi payload, domain, dan teknik umpan. Evolusi ini menandakan penyerang tengah menguji infrastruktur atau menyesuaikan strategi selama kampanye berlangsung.

Rekomendasi Keamanan

Meskipun banyak organisasi telah memberikan pelatihan terkait phishing, taktik ClickFix dan FileFix masih relatif baru dan terus berkembang. Acronis merekomendasikan agar perusahaan mengedukasi karyawan mengenai bahaya menyalin perintah dari situs web ke dialog sistem, yang terlihat seolah tidak berbahaya, namun berpotensi fatal.

Sumber: BleepingComputer