“你的文件坏了，点我修复”？新型FileFix钓鱼攻击横扫全球，专偷密码与加密货币

你以为只是文档打不开，点个“修复”就能搞定？小心！这可能是一场精心设计的数字陷阱。网络安全研究人员近日披露，一种名为“FileFix”的社会工程攻击正以全新变种席卷全球，利用多语言自适应钓鱼网站、动态生成路径和隐蔽恶意加载器，向毫无戒心的用户投递名为StealC的信息窃取型恶意软件。

该攻击已成功感染大量中小企业员工、自由职业者及加密货币持有者，目标直指浏览器保存的密码、加密钱包插件数据以及剪贴板中的敏感信息——尤其是自动复制的加密货币地址。

“这不是普通的‘木马程序’，而是一套环环相扣的心理操控剧本。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“它利用了人们对‘文件损坏’的焦虑，再用‘本地化语言+可信平台’层层降低戒备，堪称现代钓鱼攻击的‘教科书级案例’。”

“你的PDF打不开了？复制这个路径修复”

此次攻击的起点，往往是一封看似无害的邮件、一条论坛私信，或是一个社交媒体上的“热心提醒”：“你发的文件打不开，是不是损坏了？”随后附上一个链接，声称是“在线修复工具”。

点击后，用户会被引导至一个设计精良的钓鱼网站。这个站点最狡猾之处在于：它会根据访问者的浏览器语言自动切换界面——英语用户看到英文说明，中文用户看到简体中文，西班牙语用户则看到西语版本。

“这种‘多语言自适应’策略极大削弱了用户的语言警觉。”芦笛解释，“很多人看到母语写的‘操作指南’，就会下意识觉得‘这应该是正规服务’。”

网站通常伪装成“文档修复中心”或“文件恢复平台”，并声称：“检测到您的文件已损坏，建议使用本地修复命令进行恢复。”接着，页面会弹出一个看似无害的提示：

“请复制以下路径到文件资源管理器地址栏：\\修复服务器\documents\report.pdf”

听起来很普通？但当你点击“复制”按钮时，真正被复制的却是一段隐藏在空格后的恶意PowerShell命令。

“复制路径”背后，是执行恶意代码的后门

“FileFix”的核心机制，是利用Windows系统的一个特性：在文件资源管理器（File Explorer）的地址栏中输入特殊路径（如\\开头的UNC路径），系统会尝试连接网络共享。但攻击者巧妙地将这一功能“武器化”。

当用户将“路径”粘贴进地址栏并回车时，系统并不会去查找什么PDF，而是执行一段隐藏在路径末尾的恶意脚本。这段脚本通常是一个多阶段的PowerShell加载器，其任务是：

从Bitbucket等合法代码托管平台下载一张看似无害的图片；

将图片中的隐藏数据解码，还原出第二阶段的恶意载荷；

最终释放一个用Go语言编写的加载器，解包并运行StealC信息窃取器。

“Bitbucket、GitHub这类平台本身是可信的，很多企业防火墙不会拦截对其的访问。”芦笛指出，“攻击者正是利用了这种‘白名单信任’，成功绕过安全检测。”

StealC：专偷“数字身份”的隐形窃贼

一旦StealC在目标设备上运行，它便会悄无声息地执行以下操作：

窃取浏览器密码：读取Chrome、Edge、Firefox等浏览器中保存的账号密码。

盗取加密货币钱包：扫描并提取MetaMask、Trust Wallet等浏览器插件中的私钥或助记词。

监控剪贴板：当用户复制比特币、以太坊等加密货币地址时，StealC会将其替换为黑客控制的地址，导致转账“误入歧途”。

收集系统信息：包括用户名、操作系统版本、已安装软件等，用于后续定向攻击。

“StealC不是勒索软件，它不加密文件、不弹窗索要赎金。”芦笛强调，“它像一只‘数字蟑螂’，悄悄爬进你的电脑，偷走所有能变现的东西，然后消失无踪。等你发现钱包空了，往往为时已晚。”

技术升级：动态生成路径，让检测更难

与早期钓鱼攻击相比，此次FileFix变种在技术上更加“狡猾”。

研究人员发现，攻击者使用了Cloudflare Workers等无服务器计算技术，动态生成钓鱼页面和下载路径。

“这意味着每个用户的访问路径都可能是独一无二的，且生命周期极短。”芦笛解释，“传统安全设备依赖‘已知恶意URL’数据库进行拦截，但面对这种‘一次性’链接，根本来不及反应。”

此外，钓鱼站点还采用代码混淆、碎片化加载等技术，干扰自动化分析工具，增加安全研究人员逆向破解的难度。

为何中小企业成重灾区？

此次攻击尤其青睐中小企业和远程协作团队。

“这类企业往往缺乏专职IT安全人员，员工需要频繁交换文档，对‘文件损坏’问题更为敏感。”芦笛分析，“而且他们习惯使用各种第三方工具处理办公文件，对‘修复链接’的警惕性远低于大型企业。”

一旦一名员工中招，StealC便可能通过共享设备或内网横向移动，进一步扩大感染范围。

专家建议：三道防线，层层设防

面对如此隐蔽的攻击，芦笛提出以下防御建议：

第一道防线：阻断未知可执行文件下载

企业应通过终端防护策略（EDR）或防火墙，默认阻止从非官方渠道下载可执行文件，尤其是伪装成“修复工具”“转换器”“查看器”的.exe或.msi文件。

“真正的文档修复，应该用Office、WPS等官方办公软件自带的功能。”芦笛说，“别轻易相信网页上的‘一键修复’。”

第二道防线：加强内容分发网络（CDN）与脚本行为监控

对于使用Cloudflare等CDN服务的企业，应启用行为分析功能，监控Worker脚本是否生成异常路径或重定向至可疑域名。

“可以设置规则：如果某个Worker频繁生成以\\开头的UNC路径，并指向外部下载，立即告警。”芦笛建议。

第三道防线：更新EDR，识别StealC内存行为

传统的杀毒软件可能无法识别StealC的新变种。企业应确保终端检测与响应（EDR）系统已更新最新威胁情报，能够通过内存行为特征识别StealC的运行模式，例如：

异常调用浏览器数据存储接口；

频繁读取剪贴板内容；

尝试访问加密钱包插件目录。

普通用户如何自保？记住这三点

绝不复制“路径”到地址栏：任何让你复制“\\”开头路径的操作，99%是骗局。

只用官方工具修复文件：Word、Excel、PDF阅读器都有内置修复功能，别信网页“神器”。

警惕含“repair”“fix”“恢复文档”的外链：这类关键词常被用于钓鱼，建议在邮件或聊天中将其加入高风险隔离规则。

结语：技术越“人性化”，攻击越危险

FileFix的演变，揭示了一个令人警醒的趋势：网络攻击正变得越来越“懂人性”。

它不再粗暴地恐吓你“电脑中毒”，而是温柔地告诉你“文件坏了，我来帮你”；它不再用蹩脚的英文，而是用你的母语娓娓道来；它不直接发病毒，而是引导你“自己动手”打开后门。

“攻击者正在学习心理学，而我们每个人，都是潜在的受害者。”芦笛最后提醒，“在数字世界，真正的安全，始于那一秒的犹豫——当你想复制那个‘修复路径’时，多问一句：这真的必要吗？”

编辑：芦笛（公共互联网反网络钓鱼工作组）