Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware CORNFLAKE.V3 Backdoor

CORNFLAKE.V3 Backdoor

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

Criminosos estão explorando cada vez mais uma técnica enganosa conhecida como ClickFix para distribuir um backdoor sofisticado, o CORNFLAKE.V3. Pesquisadores de segurança que rastreiam a atividade, designada UNC5518, a associaram a uma operação de acesso como serviço, na qual páginas falsas de CAPTCHA induzem as vítimas a executar comandos maliciosos. Uma vez obtido o acesso, ele é revendido ou compartilhado com outros grupos cibercriminosos para posterior exploração.

Como o ataque começa

A cadeia de infecção geralmente começa quando os usuários interagem com resultados de pesquisa envenenados por SEO ou anúncios maliciosos. As vítimas são redirecionadas para uma página falsa de verificação de CAPTCHA, projetada para se assemelhar ao Turnstile da Cloudflare ou outros serviços legítimos. Acreditando estar resolvendo um problema de verificação, os usuários são levados a copiar e colar um script malicioso do PowerShell na caixa de diálogo Executar do Windows, dando aos invasores a base de apoio necessária.

Envolvimento do Ator da Ameaça

O acesso roubado das campanhas UNC5518 foi aproveitado por pelo menos dois grupos distintos:

  • UNC5774 – um ator com motivação financeira que entrega CORNFLAKE para implantar cargas úteis adicionais.
  • UNC4108 – um grupo com motivações pouco claras, observado usando o PowerShell para instalar malware como VOLTMARKER e NetSupport RAT.

Isso demonstra como o ClickFix serve como uma porta de entrada para uma variedade de atividades maliciosas de acompanhamento.

Por dentro do CORNFLAKE.V3

O backdoor CORNFLAKE.V3 existe em versões JavaScript e PHP. Ele foi projetado para:

  • Execute diferentes cargas úteis via HTTP, incluindo executáveis, DLLs, JavaScript, arquivos em lote e comandos do PowerShell.
  • Reúna dados básicos do sistema e envie-os para um servidor controlado pelo invasor por meio de túneis do Cloudflare para ocultação.

Ao contrário de seu antecessor, o V2, que funcionava apenas como um downloader, o V3 introduz persistência ao modificar as chaves de execução do Registro do Windows e oferece suporte a uma gama mais ampla de payloads. Pelo menos três payloads foram distribuídos por meio dele, incluindo:

  • Uma ferramenta de reconhecimento do Active Directory
  • Um script Kerberoasting para roubo de credenciais

WINDYTWIST.SEA, um backdoor baseado em C com recursos como acesso de shell reverso, retransmissão de tráfego TCP e movimento lateral

Por que o ClickFix é perigoso

O método ClickFix ganhou força nos círculos cibercriminosos porque depende fortemente da interação humana. Os usuários são manipulados para executar comandos eles mesmos, ignorando muitas ferramentas de segurança automatizadas. Os vetores de entrega comuns incluem:

  • E-mails de phishing
  • Campanhas de malvertising
  • Comprometimentos de sites drive-by

Para aumentar a credibilidade, os invasores geralmente se passam por marcas conhecidas, verificações do Cloudflare ou até mesmo verificações de servidores do Discord.

Comercialização de Kits ClickFix

Desde o final de 2024, os construtores ClickFix têm aparecido em fóruns clandestinos, comercializados como kits "Win + R". Os preços geralmente variam de US$ 200 a US$ 1.500 por mês, dependendo dos recursos. Componentes individuais, como código-fonte, landing pages ou scripts de linha de comando, costumam ser vendidos separadamente por US$ 200 a US$ 500.

Alguns kits avançados combinam os construtores ClickFix com outros carregadores de malware e oferecem:

  • Páginas de destino prontas com diferentes iscas
  • Comandos garantidos para ignorar a detecção de antivírus
  • Opções para persistência e evasão do SmartScreen

Medidas defensivas

Para combater infecções baseadas no ClickFix, as organizações devem adotar defesas proativas. As etapas recomendadas incluem:

  • Restringir ou desabilitar a caixa de diálogo Executar do Windows quando possível.
  • Realizar simulações regulares de phishing e engenharia social para treinar usuários.
  • Implementar registro e monitoramento robustos para detectar rapidamente execuções incomuns de scripts ou PowerShell.

Ao se concentrar na prevenção e na detecção precoce, as organizações podem reduzir significativamente o risco representado por campanhas envolvendo ClickFix e CORNFLAKE.V3.

Tendendo

Mais visto

Carregando...