Pesquisadores de segurança identificaram uma nova campanha de phishing conhecida como FileFix, que utiliza esteganografia para distribuir o malware StealC de forma furtiva. A ameaça se destaca pela capacidade de ocultar códigos maliciosos dentro de imagens aparentemente inofensivas, dificultando a detecção por soluções tradicionais de segurança. O ataque começa com um e mail de phishing que direciona a vítima a uma página falsa.
Nesta página, o usuário é induzido a colar um comando PowerShell no terminal do sistema, acreditando que se trata de uma ação legítima. Ao executar esse comando, o sistema baixa uma imagem JPG hospedada em um repositório do Bitbucket. Essa imagem contém um segundo script embutido por esteganografia. Uma vez extraído e executado em memória, o script descriptografa um conjunto de arquivos maliciosos sem deixar rastros em disco, o que dificulta ainda mais a detecção por antivírus e soluções de monitoramento. O StealC, carregado como payload final, é um malware do tipo infostealer. Ele é capaz de capturar credenciais de navegadores, tokens de autenticação, carteiras de criptomoedas, dados de aplicativos de mensagens como Discord e Telegram, além de realizar capturas de tela do dispositivo infectado.
Os atacantes por trás da campanha vêm atualizando as técnicas de entrega e obfuscação, usando domínios variados, provedores diferentes e modificando o conteúdo dos e mails para evitar bloqueios por filtros. Também têm sido observados redirecionamentos múltiplos e o uso de mecanismos como CAPTCHAs para validar acessos manuais. A utilização de esteganografia para disfarçar scripts maliciosos representa um avanço nas táticas de phishing e destaca a necessidade de medidas de segurança mais robustas. Como o código malicioso é extraído de arquivos aparentemente legítimos, técnicas tradicionais baseadas em assinatura são pouco eficazes.
