New ClickFix FileFix • Payload in cache • No win+R No win+E • EDR Bypass • Source Code

[159159]

Ваш Payload находится в картинке, которую кэширует браузер. Cайт определяет в каком браузере находится пользователь, подбирает подходящую команду для извлечения бинаря и запуска. По кнопке в буфер закладывается команда и открывается проводник, запуск замаскированной команды выполняется через адресную строку проводника.

Пользователю нужно выполнить минимум легитимных действий - нажать на кнопу и далее по инструкции ctrl+L ctrl+V Enter. Профит!

Уникальность нашего метода в том, что он комбинирует FileFix с контрабандой кэша (Cache Smuggling) - то есть использует кэш браузера как тайник для payload. Благодаря этому PowerShell-скрипту вообще не нужно делать подозрительных веб-запросов, которые могли бы привлечь внимание EDR.

Your Payload is in an image that is cached by the browser. The site determines which browser the user is using, selects the appropriate command to extract the binary and launch it. When the button is clicked, the command is placed in the buffer and the file explorer opens. The disguised command is executed via the address bar of the file explorer.

The user needs to perform a minimum of legitimate actions - click on the button and then follow the instructions ctrl+L ctrl+V Enter. Profit!

The uniqueness of our method lies in the fact that it combines FileFix with cache smuggling, i.e., it uses the browser cache as a hiding place for the payload. Thanks to this, the PowerShell script does not need to make any suspicious web requests that could attract the attention of EDR.

Шаблон с Fortinet - это пример концепции. Мы перепишем и адаптируем его под ваш траф.

В комплекте инструкция, билдер, шаблон Fortinet. Цена 300$

За дополнительные 200$ перепишем шаблон полностью под ваши нужды. Например под капчу CloudFlare и тд..

Telegram @f_s0c1ety
Jabber [email protected]
Tox 197CE1E9F5F27A51097E431164AA44C7B46FE9D25E5BB614D1DF5D2E5A4E847831A7F35138F7