Um pesquisador de cibersegurança desenvolveu o FileFix, uma variante do ataque de engenharia social ClickFix que engana usuários a executarem comandos maliciosos através da barra de endereços do Explorador de Arquivos no Windows.
FileFix, uma variação do ataque de engenharia social chamado ClickFix, permite que atores de ameaças executem comandos no sistema da vítima através da barra de endereços do Explorador de Arquivos no Windows.
O pesquisador de cibersegurança mr.d0x descobriu o novo método e demonstrou que ele poderia ser utilizado em ataques direcionados a funcionários de empresas usando técnicas simples de engenharia social.
Ataques ClickFix são baseados em navegadores e dependem de enganar usuários a clicarem em um botão em um site que copia um comando para a área de transferência do Windows.
Os usuários são então instruídos a colar o comando no PowerShell ou outro prompt de comando para corrigir um problema.
Esses tipos de ataques comumente se disfarçam como captchas ou erros que impedem o usuário de usar um site sem antes "corrigir" o problema.
Em um ataque ClickFix, quando usuários clicam num botão do site, um comando malicioso do PowerShell é automaticamente copiado para a área de transferência do Windows seguido por instruções para colá-lo no prompt de comando através do Diálogo de Execução (Win+R).
mr.d0x encontrou uma maneira de alcançar o mesmo objetivo, mas fazendo com que o alvo cole o comando na interface de usuário mais familiar do Explorador de Arquivos do Windows.
Como o Explorador de Arquivos pode executar comandos do sistema operacional, o pesquisador combinou a funcionalidade com o recurso de upload de arquivo do navegador e criou um cenário altamente plausível.
Ataques FileFix também dependem de uma página de phishing, mas a artimanha não é mais apresentada como um erro ou problema.
Em vez disso, ela pode aparecer como uma notificação indicando que um arquivo foi compartilhado com o usuário e inclui um pedido para colar o caminho no Explorador de Arquivos para localizá-lo.
No entanto, para manter o engano intacto, um atacante pode ocultar o comando malicioso do PowerShell concatenando um caminho de arquivo falso dentro de um comentário do PowerShell.
Isso faz com que apenas o caminho falso seja inicialmente visto na barra de endereços do Explorador de Arquivos, escondendo o comando malicioso do PowerShell que o precede.
Um vídeo demonstrando a nova variação do ClickFix mostra que, ao colocar o caminho de arquivo falso como um comentário após o comando do PowerShell, a string maliciosa não é mais visível para o usuário, e o Explorador de Arquivos a executa.
Como o ataque requer um botão de upload de arquivo, o pesquisador considerou cuidadosamente o método FileFix de maneira que ele evita que usuários selecionem acidentalmente um arquivo do computador.
No código de prova de conceito para a página de phishing, mr.d0x adicionou algumas linhas que bloqueiam a ação de upload de arquivo "interceptando o evento de seleção de arquivo e limpando imediatamente a entrada".
Se isso acontecer, um atacante poderia exibir um alerta informando os usuários que eles falharam em seguir as instruções e tentar novamente.
Ataques ClickFix provaram ser um método tão eficiente para implantar malware em sistemas de usuários que ele foi usado em ataques de ransomware e até grupos patrocinados por estados o utilizaram.
O grupo de hackers do estado norte-coreano ‘Kimsuky’ incluiu elementos do ClickFix em uma de suas campanhas onde usaram um arquivo PDF para direcionar alvos a um link falso de registro de dispositivo mostrando instruções para rodar o PowerShell como administrador e colar o código fornecido pelo atacante.
Em uma campanha de ClickFix observada pela Microsoft, cibercriminosos se passaram pela Booking.com para entregar infostealers e trojans de acesso remoto a trabalhadores da hospitalidade.
O método de ataque também foi adaptado para Linux, onde um comando shell é automaticamente copiado para a área de transferência após visitar um website malicioso.
A possível vítima é então guiada a abrir um Diálogo de Execução e executar o comando.
FileFix, embora uma variação, mostra que tais ataques de phishing podem ser aprimorados ao mudar a execução de comandos para um ambiente mais amigável e familiar para os usuários.
mr.d0x disse que acredita que seu ataque FileFix logo será adotado por atores de ameaças devido à sua simplicidade e uso de uma utilidade do Windows bem conhecida.
No passado, cibercriminosos rapidamente começaram a usar a técnica de phishing browser-in-the-browser do pesquisador, mostrando que os malfeitores estão constantemente interessados em aprender sobre novos métodos de ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...