Un nuovo allarme arriva dal mondo della cybersecurity con l'emergere di una campagna che sfrutta una variante della tecnica FileFix per diffondere il malware StealC tramite siti di phishing multilingue. Gli esperti hanno individuato un attacco particolarmente sofisticato che manipola abilmente le funzioni del browser e sfrutta la fiducia verso piattaforme legittime come Bitbucket per eludere i controlli di sicurezza.

L'attacco inizia con l'invio di email di phishing che simulano avvisi relativi alla sospensione di account Facebook, spingendo la vittima a cliccare su un link per “fare ricorso”. Il sito di destinazione, molto curato e disponibile in più lingue, utilizza tecniche avanzate di offuscamento e junk code per rendere difficile l'analisi da parte degli strumenti di sicurezza e degli analisti.

La nuova variante FileFix: caratteristiche e funzionamento

La vera novità di questa variante FileFix, rispetto ad attacchi come ClickFix, è l’uso della funzione di upload del browser per convincere l’utente a copiare e incollare un comando nella barra degli indirizzi di Esplora File. Questa azione apparentemente innocua attiva in realtà uno script PowerShell multi-stadio che scarica immagini da un repository Bitbucket. Queste immagini, apparentemente legittime, nascondono il payload dannoso che viene decodificato e lanciato localmente. Il risultato finale è l’esecuzione di un loader scritto in Go che distribuisce il malware StealC, noto per le sue capacità di furto di informazioni.

FileFix si distingue perché sfrutta una funzionalità ampiamente utilizzata nei browser, rendendo più difficile per gli amministratori bloccare la minaccia a livello di sistema, come invece sarebbe possibile con l’apertura del Run dialog o del terminale. Tuttavia, l’esecuzione tramite browser può risultare più sospetta durante indagini forensi o per soluzioni di sicurezza avanzate, proprio perché il processo parte dal browser stesso.

Infrastruttura di phishing e tecniche correlate

L’infrastruttura di phishing usata in questa campagna dimostra un notevole livello di organizzazione e attenzione ai dettagli, con l’obiettivo di massimizzare la riuscita dell’attacco e l’evasione dei controlli. Parallelamente, altre campagne sono state osservate utilizzare tecniche simili con l’uso di falsi portali di supporto, CAPTCHA Cloudflare falsi e script PowerShell/AutoHotkey per installare ulteriori malware o rubare informazioni sensibili.

Queste evoluzioni confermano come il phishing e l’ingegneria sociale siano strumenti sempre più raffinati nelle mani dei cybercriminali, capaci di aggirare anche le difese più aggiornate sfruttando la fiducia degli utenti e l’abuso di servizi legittimi.