Дослідники зафіксували нову хвилю соціоінженерних атак FileFix, які використовують метод cache smuggling — приховане завантаження шкідливих файлів у кеш браузера. Така техніка дозволяє обійти більшість систем безпеки, не створюючи жодних видимих завантажень.
Кампанія маскується під “**Fortinet VPN Compliance Checker**”. Потерпілого просять вставити у файловий провідник Windows нібито легітимний шлях до корпоративного застосунку, який насправді містить приховану PowerShell-команду.
Після натискання Enter вона непомітно запускає скрипт, що:
створює папку %LOCALAPPDATA%\FortiClient\compliance;
копіює кеш Chrome до нової директорії;
шукає в кеші приховані ZIP-архіви, «зашиті» в фейкові JPEG-зображення;
розпаковує їх і запускає шкідливий FortiClientComplianceChecker.exe.
Техніка cache smuggling дозволяє зловмисникам заздалегідь помістити заражений архів у кеш браузера, позначивши його як «зображення». Завдяки цьому система безпеки не сприймає дію як завантаження, а антивірус — як загрозу.
Дослідник Маркус Хатчінс (Expel) пояснює: жоден із етапів не містить прямих веб-запитів, тож скрипти залишаються «чистими» для сигнатурних систем. Цей метод активно підхопили групи, що розповсюджують інфостілери та рансомвар, зокрема DeerStealer та Odyssey. FileFix — це оновлений варіант техніки ClickFix, створеної хакером Mr.d0x. Вона маніпулює користувачем, змушуючи його вручну запускати команди у системних діалогах.
Паралельно дослідники Palo Alto Unit 42 виявили ClickFix Generator — набір інструментів, який дозволяє злочинцям створювати фішингові сторінки, що імітують сервіси Cloudflare, Microsoft 365, Teams, Speedtest, Claude тощо.
Інтерфейс генератора дозволяє підбирати кольорову схему, змінювати тексти та формувати Base64-команди для macOS або PowerShell для Windows.
FileFix із кеш-маніпуляцією — показовий приклад того, як соціальна інженерія поєднується з технічними трюками. Користувачам варто ніколи не копіювати команди з вебсайтів у системні діалоги, навіть якщо вони виглядають офіційно. Компаніям рекомендується оновити політики безпеки, проводити навчання співробітників і фільтрувати потенційно шкідливі PowerShell-виклики.
