ClickFix Malware
Uma estratégia recente de distribuição de malware emprega notificações enganosas, semelhantes aos erros do Google Chrome, Microsoft Word e OneDrive. Esses alertas falsos têm como objetivo enganar os usuários para que executem 'correções' ameaçadoras do PowerShell, que, em última análise, instalam malware. Esta campanha foi identificada e usada por vários agentes de ameaças, incluindo aqueles associados ao ClearFake, um novo grupo conhecido como ClickFix, e o notório agente de ameaças TA571. TA571 é conhecido por seu papel como distribuidor de spam, responsável por disseminar grandes volumes de e-mails que muitas vezes levam a infecções por malware e ransomware.
Anteriormente, os ataques do ClearFake envolviam sobreposições de sites que enganavam os visitantes para que instalassem malware, fazendo-se passar por atualizações falsas do navegador.
Índice
Alertas de Falsos Erros podem Gerar Ameaças de Malware
Nos ataques relatados, os agentes de ameaças expandiram seus métodos para incluir JavaScript incorporado em anexos HTML e sites comprometidos. Essas táticas agora envolvem sobreposições que simulam erros falsos do Google Chrome, Microsoft Word e OneDrive. Esses alertas enganosos incentivam os visitantes a clicar em um botão para copiar uma ‘correção’ do PowerShell para sua área de transferência, instruindo-os a colar e executá-la em uma caixa de diálogo Executar ou no prompt do PowerShell.
Embora essa cadeia de ataque dependa de uma interação significativa do usuário, sua engenharia social é sofisticada o suficiente para apresentar aos usuários o que parece ser um problema e uma solução genuínos simultaneamente. Isto pode obrigar os utilizadores a agir precipitadamente, sem avaliar completamente os riscos associados. Os pesquisadores da Infosec identificaram várias cargas usadas nesses ataques, incluindo DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, um sequestrador de área de transferência e o Lumma Stealer .
Scripts Fraudulentos Lançam Malware nos Dispositivos dos Usuários
Os analistas identificaram três cadeias de ataque distintas, distinguidas principalmente pelos seus estágios iniciais, sendo que apenas a primeira não está definitivamente ligada ao TA571.
Neste primeiro cenário, associado a agentes de ameaças conectados ao ClearFake, os usuários visitam sites comprometidos que carregam scripts maliciosos hospedados na blockchain por meio dos contratos Smart Chain da Binance. Esses scripts realizam verificações e acionam alertas falsos do Google Chrome, alegando problemas com a exibição de páginas da Web. A caixa de diálogo solicita que os visitantes instalem um 'certificado raiz' copiando um script do PowerShell para a área de transferência do Windows e executando-o em um console do Windows PowerShell (Admin).
Após a execução, o script do PowerShell valida o dispositivo de destino. Ele executa ações como liberar o cache DNS, limpar o conteúdo da área de transferência, exibir uma mensagem de distração e baixar um script remoto do PowerShell. Esse script, por sua vez, realiza verificações anti-VM antes de iniciar o download de uma carga útil para roubo de informações.
Emails do ClickFix e Lure Usados como Cadeias de Ataque Alternativas
A segunda cadeia de ataque está ligada à campanha ‘ClickFix’, utilizando injeções de sites comprometidos para criar uma sobreposição de iframe apresentando um erro falso do Google Chrome. Os utilizadores são direcionados para abrir o 'Windows PowerShell (Admin)' e colar o código fornecido, resultando nas mesmas infecções mencionadas anteriormente.
Outro método de infecção envolve ataques baseados em e-mail usando anexos HTML semelhantes a documentos do Microsoft Word. Os usuários são solicitados a instalar a extensão ‘Word Online’ para visualizar o documento corretamente. A mensagem de erro fornece as opções ‘Como corrigir’ e ‘Correção automática’. Selecionar ‘Como corrigir’ copia um comando do PowerShell codificado em base64 para a área de transferência, instruindo os usuários a colá-lo no PowerShell. 'Auto-fix' emprega o protocolo search-ms para exibir um arquivo 'fix.msi' ou 'fix.vbs' hospedado em WebDAV a partir de um compartilhamento de arquivos controlado por um invasor remoto. Nesses casos, os comandos do PowerShell baixam e executam um arquivo MSI ou um script VBS, levando a infecções por Matanbuchus ou DarkGate, respectivamente.
Ao longo destes ataques, os agentes de ameaças exploram a falta de consciência dos utilizadores relativamente aos riscos associados à execução de comandos PowerShell nos seus sistemas. Eles também aproveitam a incapacidade do Windows de detectar e prevenir ações prejudiciais desencadeadas pelo código colado.
As variadas cadeias de ataque observadas pelos pesquisadores indicam que o TA571 está explorando ativamente diversos métodos para aumentar a eficácia e descobrir caminhos adicionais para infectar um maior número de sistemas. Esta abordagem adaptativa sublinha o compromisso dos cibercriminosos em evoluir as suas táticas e expandir o seu impacto no cenário da segurança cibernética.
