關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.10.09
事件與威脅/資訊安全
新的 FileFix 攻擊利用快取走私來逃避安全軟體
報導摘要

資安研究人員發現了一種新興的 FileFix 社會工程攻擊變種,其核心在於利用一種名為「快取走私」(Cache Smuggling)的技術,成功地將惡意負載秘密植入受害者系統,並繞過傳統的安全軟體偵測。此攻擊以高度偽裝的 Fortinet VPN「合規性檢查器」為誘餌,誘導用戶執行看似無害的複製貼上操作。透過在 Windows 檔案總管的網址列中執行隱藏的 PowerShell 腳本,攻擊者得以在後台從瀏覽器的本地快取中提取惡意 ZIP 檔案,最終執行惡意程式。這種技術的成功在於它完全避免了顯性的網路下載行為,使得監測下載流量或 PowerShell 網路請求的資安工具難以發現威脅。

 

一、 FileFix 攻擊機制與社會工程誘餌

FileFix 攻擊是一種社會工程的變體,最初由 Mr.d0x 開發的 ClickFix 攻擊演變而來。其關鍵在於不再誘騙使用者將惡意命令貼到傳統的作業系統對話框中,而是利用 Windows 檔案總管網址列作為秘密執行 PowerShell 腳本的管道。

FileFix 社會工程攻擊的新變種使用快取走私將惡意 ZIP 存檔秘密下載到受害者的系統中並繞過安全軟體,對於不熟悉 FileFix 攻擊的人來說,它們是 Mr.d0x 開發的ClickFix 社會工程攻擊的變體。它不是誘騙使用者將惡意命令貼到作業系統對話方塊中,而是使用Windows 檔案總管網址列來秘密執行 PowerShell 腳本。在新的網路釣魚攻擊中,一個網站會顯示一個偽裝成 Fortinet VPN「合規性檢查器」的對話框,引導使用者將看似合法的網路路徑貼到網路共用上的 Fortinet 程式中。


雖然誘餌顯示路徑「\Public\Support\VPN\ForticlientCompliance.exe」,但當複製到剪貼簿時,它實際上要長得多,因為它填充了 139 個空格來隱藏惡意的 PowerShell 命令。由於這種填充,當訪客按照說明開啟檔案總管並將命令貼到網址列時,只會顯示路徑,如下所示。由於這些類型的社會工程攻擊在威脅行為者中越來越受歡迎,因此必須教育員工不要從網站複製文字並在作業系統對話方塊中運行它的重要性

二、 核心技術:快取走私(Cache Smuggling)的原理

這種新變種 FileFix 攻擊的最高級之處在於其數據植入(Data Implantation)方式,即利用「快取走私」。當受害者造訪包含 FileFix 誘餌的惡意網站時,網站上的 JavaScript 會指示瀏覽器擷取一個偽裝成圖片文件(例如 image/jpeg)的檔案。儘管這個檔案的內容其實是惡意的 ZIP 存檔,但由於 HTTP 響應頭聲明它是合法的圖片類型,瀏覽器會自動將其視為正常的快取文件儲存在本地系統上。在 PowerShell 腳本執行之前,惡意負載已經靜默地存在於瀏覽器的快取資料夾中

當用戶執行複製貼上操作時,隱藏的 PowerShell 命令會以**無頭模式(headless mode)**靜默運行。該腳本並不需要進行任何網路下載,只需到瀏覽器的快取文件(如 Chrome 的 Cache_Data)中,使用正規表達式尋找並提取預先標記好的內容——即潛藏的 ZIP 文件。一旦提取為 ComplianceChecker.zip 並解壓縮,惡意程式 FortiClientComplianceChecker.exe 便會被執行。

 

三、 資安防禦繞過與廣泛擴散的警示

快取走私技術的有效性在於它完全規避了兩種主要的資安監測機制:首先,它不涉及顯性檔案下載,因此不會被監測下載流量的工具發現;其次,PowerShell 腳本沒有發出網路請求,從而繞過了專門尋找 PowerShell 網路活動的偵測工具。這種高度隱密且有效的負載傳遞方式,使得 FileFix 攻擊在威脅行為者中迅速普及。

事實上,駭客組織正在迅速採用這種新技術。例如,研究人員已發現名為 IUAM ClickFix Generator 的套件被用於自動化產生類似的誘餌頁面,這些誘餌偽裝成 Cloudflare CAPTCHA、Microsoft Teams、Claude、TradingView 等知名服務,將攻擊目標擴展至各個行業。這些攻擊通常用於傳播資訊竊取惡意軟體,例如 DeerStealer(針對 Windows)和 Odyssey(針對 Mac)。因此,企業的資安團隊必須認識到,單純的技術防禦已不足以應對,必須將重點放在員工教育上,強調絕不從網站複製來路不明的文字並在作業系統對話框或網址列中執行的重要性,因為社會工程已成為攻擊鏈中最難防禦的一環。


資料來源:https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-cache-smuggling-to-evade-security-software/
 
揭露 FileFix 攻擊的新變種,如何利用「快取走私」技術將惡意 ZIP 檔秘密植入受害者系統,並透過 Windows 檔案總管網址列和大量空白填充的 PowerShell 腳本來繞過資安軟體。