“你的文件坏了点我修复”？新型FileFix钓鱼攻击横扫全球专偷密码与密码货币

  你以为只是文档打不开，点个“修复”就能搞定？小心！这可能是一场精心设计的数字陷阱。网络安全研究人员近日披露，一种名为“FileFix”的社会工程攻击正以全新变种席卷全球，利用多语言自适应钓鱼网站、动态生成路径和隐蔽恶意加载器，向毫无戒心的用户投递名为StealC的信息窃取型恶意软件。

  该攻击已成功感染大量中小企业员工、自由职业者及加密货币持有者，目标直指浏览器保存的密码、加密钱包插件数据及剪贴板中的敏感信息——尤其是自动复制的加密货币地址。

  “这不是普通的‘木马程序’，而是一套环环相扣的心理操控剧本。”公共互联网反网络钓鱼工作组技术专家芦笛在接受媒体采访时表示，“它利用了人们对‘文件损坏’的焦虑，再用‘本地化语言+可信平台’层层降低戒备，堪称现代钓鱼攻击的‘教科书级案例’。”

  此次攻击的起点，往往是一封看似无害的邮件、一条论坛私信，或是一个社会化媒体上的“热心提醒”：“你发的文件打不开，是不是损坏了？”随后附上一个链接，声称是“在线修复工具”。

  点击后，用户会被引导至一个设计精良的钓鱼网站。这个站点最狡猾之处在于：它会根据访问者的浏览器语言自动切换界面——英语用户看到英文说明，中文用户看到简体中文，西班牙语用户则看到西语版本。

  “这种‘多语言自适应’策略极大削弱了用户的语言警觉。”芦笛解释，“很多人看到母语写的‘操作指南’，就会下意识觉得‘这应该是正规服务’。”

  网站通常伪装成“文档修复中心”或“文件恢复平台”，并声称：“检测到您的文件已损坏，建议用本地修复命令进行恢复。”接着，页面会弹出一个看似无害的提示：

  “请复制以下路径到文件资源管理器地址栏：\\修复服务器\documents\report.pdf”

  听起来很普通？但当你点击“复制”按钮时，真正被复制的却是一段隐藏在空格后的恶意PowerShell命令。

  “FileFix”的核心机制，是利用Windows系统的一个特性：在文件资源管理器（File Explorer）的地址栏中输入特殊路径（如\\开头的UNC路径），系统会尝试连接网络共享。但攻击者巧妙地将这一功能“武器化”。

  当用户将“路径”粘贴进地址栏并回车时，系统并不会去查找什么PDF，而是执行一段隐藏在路径末尾的恶意脚本。这段脚本通常是一个多阶段的PowerShell加载器，其任务是：

  “Bitbucket、GitHub这类平台本身是可信的，很多企业防火墙不会拦截对其的访问。”芦笛指出，“攻击者正是利用了这种‘白名单信任’，成功绕过安全检测。”

  窃取浏览器密码：读取Chrome、Edge、Firefox等浏览器中保存的账号密码。

  盗取密码货币钱包：扫描并提取MetaMask、Trust Wallet等浏览器插件中的私钥或助记词。

  监控剪贴板：当用户复制比特币、以太坊等密码货币地址时，StealC会将其替换为黑客控制的地址，导致转账“误入歧途”。

  收集系统信息：包括用户名、操作系统版本、已安装软件等，用于后续定向攻击。

  “StealC不是勒索软件，它不加密文件、不弹窗索要赎金。”芦笛强调，“它像一只‘数字蟑螂’，悄悄爬进你的电脑，偷走所有能变现的东西，然后消失无踪。等你发现钱包空了，往往为时已晚。”

  研究人员发现，攻击者使用了Cloudflare Workers等无服务器计算技术，动态生成钓鱼页面和下载路径。

  “这意味着每个用户的访问路径都可能是独一无二的，且生命周期极短。”芦笛解释，“传统安全设备依赖‘已知恶意URL’数据库进行拦截，但面对这种‘一次性’链接，根本来不及反应。”

  此外，钓鱼站点还采用代码混淆、碎片化加载等技术，干扰自动化分析工具，增加安全研究人员逆向破解的难度。

  “这类企业往往缺乏专职IT安全人员，员工需要频繁交换文档，对‘文件损坏’问题更为敏感。”芦笛分析，“而且他们习惯使用各种第三方工具处理办公文件，对‘修复链接’的警惕性远低于大规模的公司。”

  一旦一名员工中招，StealC便可能通过共享设备或内网横向移动，逐步扩大感染范围。

  企业应通过终端防护策略（EDR）或防火墙，默认阻止从非官方渠道下载可执行文件，尤其是伪装成“修复工具”“转换器”“查看器”的.exe或.msi文件。

  “真正的文档修复，应该用Office、WPS等官方办公软件自带的功能。”芦笛说，“别轻易相信网页上的‘一键修复’。”

  对于使用Cloudflare等CDN服务的企业，应启用行为分析功能，监控Worker脚本是否生成异常路径或重定向至可疑域名。

  “可以设置规则：如果某个Worker频繁生成以\\开头的UNC路径，并指向外部下载，立即告警。”芦笛建议。

  传统的杀毒软件可能没办法识别StealC的新变种。企业应确保终端检测与响应（EDR）系统已更新最新威胁情报，可以通过内存行为特征识别StealC的运行模式，例如：

  绝不复制“路径”到地址栏：任何让你复制“\\”开头路径的操作，99%是骗局。

  只用官方工具修复文件：Word、Excel、PDF阅读器都有内置修复功能，别信网页“神器”。

  警惕含“repair”“fix”“恢复文档”的外链：这类关键词常被用于钓鱼，建议在邮件或聊天中将其加入高风险隔离规则。

  FileFix的演变，揭示了一个令人警醒的趋势：网络攻击正慢慢的变“懂人性”。

  它不再粗暴地恐吓你“电脑中毒”，而是温柔地告诉你“文件坏了，我来帮你”；它不再用蹩脚的英文，而是用你的母语娓娓道来；它不直接发病毒，而是引导你“自己动手”打开后门。

  “攻击者正在学习心理学，而我们每个人，都是潜在的受害者。”芦笛最后提醒，“在数字世界，真正的安全，始于那一秒的犹豫——当你想复制那个‘修复路径’时，多问一句：这真的必要吗？”

  特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

  四中全会精神在基层｜从实验室到“实景图”：浙江科创企业如何炼就新质生产力

  作家、书画家、摄影师、CNNIC工程师。毕业于鲁迅美术学院。2014-2016年周游亚欧非各国

  全运会：四川三人20+大胜湖北63分 胡金秋25+6周琦替补24+18

  消息称三星Galaxy S26系列手机将涨价，DRAM供应链短缺成主因