Novo ataque cibernético ClickFix tem como alvo usuários do Windows. O ataque é baseado em uma página da web capturada por um CAPTCHA falso que solicitará que você copie e cole um comando simples. Ao obedecer, você abre as portas do seu computador para um vírus formidável, o Amatera.
Um novo ataque cibernético tem como alvo computadores Windows. Segundo pesquisadores da BlackPoint Cyber, o ataque é baseado em uma tática do tipo ClickFix. Em outras palavras, os hackers não tentarão explorar vulnerabilidades no código ou software do sistema operacional. Em vez disso, eles manipularão o usuário da Internet para forçá-lo a realizar ele mesmo ações maliciosas na máquina. Recentemente, os ataques cibernéticos do tipo ClickFix aumentaram, seja contra o Windows, o Facebook ou mesmo o Google Chrome.
Nesse caso, a ofensiva começa quando a vítima acessa uma página web maliciosa. Ao chegar ao site desenvolvido pelos cibercriminosos, o alvo verá um falso teste CAPTCHA. Alega verificar se o usuário é realmente um humano e não um robô. Este é um mecanismo clássico encontrado na maioria dos sites. De fato, o internauta não vê nada de anormal ou preocupante ao realizar o teste.
Leia também: Escândalo do Windows – a Microsoft permitiu que o FBI desbloqueasse PCs criptografados com BitLocker
Um script legítimo sequestrado por hackers
Para provar que não é um robô, o usuário será solicitado a copiar e colar um comando na janela “Executar” do Windows, que é usada para iniciar programas ou comandos do sistema. Como você deve ter adivinhado, este é um comando malicioso que permitirá que hackers atinjam seus objetivos. Como o próprio usuário executa o comando, o Windows considera esta uma ação legítima. Portanto, nenhum mecanismo de segurança será ativado para bloquear o ataque.
O comando irá desviar um script da Microsoft já presente no Windows. Considerado uma solução confiável pelas ferramentas de segurança, esse script oficial é normalmente utilizado para sincronizar e publicar aplicações virtualizadas em empresas. Por meio de comandos digitados pelo usuário e pelo site com armadilhas, os hackers adicionarão parâmetros dedicados ao coração do script. Essas configurações injetarão um comando malicioso do PowerShell no script da Microsoft.
Leia também: Perigo no Windows – uma falha do Microsoft Copilot permite que todos os seus dados sejam roubados
Um cavalo de Tróia
Em última análise, o script legítimo abrirá o PowerShell, a ferramenta de linha de comando do Windows, e executará o código malicioso dos cibercriminosos. Resumindo, os hackers estão usando um componente legítimo da Microsoft como Cavalo de Tróia. O código recuperará o arquivo de configuração do malware de um evento on-line do Google Agenda, bem como de imagens hospedadas em serviços perfeitamente legítimos. Essas imagens contêm pedaços de código malicioso, escondidos por meio da esteganografia, a arte de esconder uma informação dentro de outra.
O PowerShell baixa esses dados, decodifica-os, descompacta-os e monta-os, mas sem criar arquivos visíveis no disco rígido. Tudo acontece na memória, o que torna o ataque muito mais difícil de ser detectado pelos antivírus tradicionais. Este tipo de ataque “pode assim contornar os sistemas de detecção de malware, operar discretamente sem disparar um alerta e só ser detectado quando o dano já tiver sido feito”.
No final da operação, um vírus chamado Amatera entra no computador. Após receber instruções dos hackers, o malware fará uma busca no navegador, recuperando todos os identificadores, cookies e dados de cartões bancários salvos. Todas essas informações são rapidamente filtradas para um servidor remoto, sob o controle de cibercriminosos. Como explicam os pesquisadores da BlackPoint Cyber, o Amatera faz parte da categoria dos infostealers, esses vírus formidáveis projetados para roubo de dados em grande escala.
“O que torna esta campanha original não é uma técnica específica, mas a precisão da sequência. Cada etapa se baseia na anterior, desde a ação manual do usuário até o controle da área de transferência e o carregamento da configuração em tempo real”sublinha BlackPoint Cyber.
Os pesquisadores recomendam que a Microsoft configure os PCs para que os usuários não possam mais executar nenhum comando na pequena janela “Executar”. Eles também aconselham desabilitar o script legítimo sequestrado no ataque, caso o usuário não o esteja utilizando. Para evitar surpresas desagradáveis, nunca copie e cole um comando na janela Executar e mantenha seu computador atualizado.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
BlackPoint Cibernético