روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مهاجمان سایبری (هکرها) نسخه‌ی تازه‌ای از تکنیک معروف ClickFix را با نام FileFix  به کار گرفته‌اند. ماجرا از این قرار است: فریب دادن کاربر با استفاده از تکنیک مهندسی اجتماعی تا خودش، بدون اینکه متوجه شود، کدی مخرب را روی دستگاهش اجرا کند. تفاوت این دو روش در محل اجرای دستور است. در حمله‌ی ClickFix، مهاجم قربانی را قانع می‌کند که پنجره‌ی Run  در ویندوز را باز و دستور مخربی را در آن پیستکند.اما در FileFix، کاربر فریب داده می‌شود تا همان دستور را در نوار آدرس فایل اکسپلوررویندوز بچسباند. چون استفاده ازفایل اکسپلورر برای کاربران عادی است؛ این کار برایشان خطرناک به نظر نمی‌رسد و همین باعث می‌شود بیشتر فریب بخورند.

 هکرها چطور قربانی را فریب می‌دهند؟

فایل‌فیکس مانند کلیک‌فیکس معمولاً با یک ایمیل فیشینگ شروع می‌شود. کاربر با کلیک روی لینک ایمیل وارد صفحه‌ای می‌شود که شبیه سایت واقعی یک سرویس معتبر است. این سایت تقلبی خطایی نشان می‌دهد و می‌گوید برای رفع مشکل باید چند مرحله‌ی "بررسی سیستم" یا "عیب‌یابی" انجام شود. در این مرحله، از کاربر خواسته می‌شود مسیر فایلی را از کامپیوترش کپی کرده و در نوار آدرس File Explorer وارد کند. ظاهرِ این مسیر شبیه آدرس واقعی فایل است، اما در واقع، قبل از آن مقدار زیادی فاصلهو سپس کد مخرب قرار داده شده است. به‌دلیل وجود فاصله‌های زیاد، وقتی کاربر این دستور را در نوار آدرس می‌چسباند، فقط بخش بی‌خطرِ آن دیده می‌شود و بخش خطرناک در دید کاربر پنهان می‌ماند. این کد مخفی در واقع یک دستور پاورشلاست که با اجرای آن، فایل آلوده‌ای از کش مرورگر استخراج و روی سیستم اجرا می‌شود.

بعد از اجرای کد چه اتفاقی می‌افتد؟

وقتی اسکریپت پاورشل اجرا شود، می‌تواند کارهای زیادی انجام دهد:نصب بدافزار، دزدیدن اطلاعات، یا باز کردن دسترسی از راه دور برای مهاجم. در نمونه‌ای که توسط محققان بررسی شد، سایت جعلی با استفاده از روش کش اسماگلینگ[1]، فایل آلوده‌ای را به صورت پنهان در کش مرورگر ذخیره کرده بود.کدپاورشلسپس آن فایل را استخراج و اجرا می‌کرد بدون اینکه کاربر هیچ فایلی دانلود کند یا فعالیت مشکوکی در شبکه دیده شود.همین باعث می‌شود این حمله بسیار پنهانی و خطرناک باشد.

 راهکارهای امنیتی

در مورد حمله‌ی  ClickFixساده‌ترین راه دفاعی این بود که ترکیب کلیدهای Win + R  را روی سیستم‌های کاری غیرفعال کنید، چون معمولاً کارمندان نیازی به باز کردن Run ندارند. اما در موردFileFix این کار دشوارتر است، چون وارد کردن دستور در نوار آدرس File Explorer رفتاری طبیعی است.
غیرفعال کردن کلید Ctrl + L  هم کارساز نیست، چون کاربران می‌توانند با ماوس روی نوار آدرس کلیک کنند و همان نتیجه را بگیرند.

بنابراین، بهترین راه دفاع این است که:

1.      روی تمام سیستم‌های شرکت، نرم‌افزار امنیتی قابل‌اعتماد نصب کنید تا بتواند اجرای کدهای خطرناک را به‌موقع شناسایی و مسدود کند.
2.      به طور منظم، کارکنان را درباره‌ی تهدیدهای جدید سایبری و روش‌های فریب (مهندسی اجتماعی) آموزش دهید تا آگاهانه‌تر رفتار کنند.

پلت‌فرم آموزشی خودکار Kaspersky Automated Security Awareness Platform  یکی از ابزارهایی است که می‌تواند در این زمینه کمک کند.

[1] Cache smuggling  روش پنهان‌کاری در حملات سایبری

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.