A tática de engenharia social ClickFix como vetor de acesso inicial usando verificações de CAPTCHA falsas aumentou 517% entre o segundo semestre de 2024 e o primeiro semestre deste ano, de acordo com dados da ESET.
"A lista de ameaças que os ataques do ClickFix levam está crescendo dia a dia, incluindo infostealers, ransomware, trojans de acesso remoto, cryptominers, ferramentas de pós-exploração e até malware personalizado por atores de ameaças alinhados com estados-nação", disse Jiří Kropáč, Diretor dos Laboratórios de Prevenção de Ameaças da ESET.
O ClickFix tornou-se um método popular e enganoso que emprega mensagens de erro falsas ou verificações de CAPTCHA para atrair vítimas a copiarem e colarem um script malicioso no diálogo de execução do Windows ou no aplicativo Terminal do Apple macOS e executá-lo.
A empresa eslovaca de cibersegurança disse que o maior volume de detecções de ClickFix está concentrado no Japão, Peru, Polônia, Espanha e Eslováquia.
A prevalência e eficácia deste método de ataque levaram os atores de ameaças a anunciarem construtores que fornecem a outros atacantes páginas de destino armadas com ClickFix, acrescentou a ESET.
De ClickFix para FileFix
O desenvolvimento vem enquanto o pesquisador de segurança mrd0x demonstrou um prova-de-conceito (PoC) alternativa ao ClickFix chamada FileFix que funciona enganando usuários a copiarem e colarem um caminho de arquivo no Windows File Explorer.
A técnica envolve basicamente alcançar o mesmo que o ClickFix mas de uma maneira diferente, combinando a capacidade do File Explorer de executar comandos do sistema operacional através da barra de endereços com o recurso de upload de arquivo de um navegador web.
No cenário de ataque concebido pelo pesquisador, um ator de ameaças pode criar uma página de phishing que, em vez de exibir uma verificação de CAPTCHA falsa para o alvo em potencial, apresenta uma mensagem afirmando que um documento foi compartilhado com eles e que precisam copiar e colar o caminho do arquivo na barra de endereços pressionando CTRL + L.
A página de phishing também inclui um destaque "Abrir File Explorer" que, ao clicar, abre o File Explorer e copia um comando PowerShell malicioso para a área de transferência do usuário.
Assim, quando a vítima cola o "caminho do arquivo", o comando do ator da ameaça é executado em vez disso.
Isso, por sua vez, é conseguido alterando o caminho do arquivo copiado para anteceder o comando PowerShell antes dele, seguido pela adição de espaços para ocultá-lo da visão e um sinal de hashtag ("#") para tratar o falso caminho do arquivo como um comentário: "Powershell.exe -c ping exemplo.com<espaço># C:\\<caminho_para_arquivo>\\iscoy.doc"
"Além disso, nosso comando PowerShell concatenará o caminho do arquivo falso após um comentário para ocultar o comando e mostrar o caminho do arquivo em vez disso", disse mrd0x.
Campanhas de Phishing aos Montes
O aumento nas campanhas do ClickFix também coincide com a descoberta de várias campanhas de phishing nas últimas semanas que:
- Utilizam um domínio .gov para enviar e-mails de phishing que se passam por pedágios não pagos para levar os usuários a páginas falsas projetadas para coletar suas informações pessoais e financeiras
- Fazem uso de domínios de longa duração (LLDs), uma técnica chamada envelhecimento estratégico de domínio, para hospedar ou usá-los para redirecionar usuários para páginas personalizadas de verificação de CAPTCHA, completando as quais são levados a páginas falsificadas do Microsoft Teams para roubar suas credenciais da conta Microsoft
- Distribuem arquivos de atalho do Windows (LNK) maliciosos dentro de arquivos ZIP para lançar código PowerShell responsável por implantar o Remcos RAT
- Empregam iscas que supostamente alertam os usuários de que sua caixa de correio está quase cheia e que precisam "limpar o armazenamento" clicando em um botão incorporado na mensagem, o que leva o usuário a uma página de phishing hospedada no IPFS que rouba as credenciais de email do usuário.
Curiosamente, os e-mails também incluem um anexo de arquivo RAR que, uma vez extraído e executado, solta o malware XWorm.
- Incorporam uma URL que leva a um documento em PDF, que, por sua vez, contém outra URL que solta um arquivo ZIP, que inclui um executável responsável por lançar o Lumma Stealer baseado em AutoIT
- Arma uma plataforma de front-end legítima chamada Vercel para hospedar sites falsos que propagam uma versão maliciosa do LogMeIn para ganhar controle total sobre as máquinas das vítimas
- Se passam por Departamentos de Veículos Motorizados (DMVs) do estado dos EUA para enviar mensagens SMS sobre violações de pedágio não pagas e redirecionar os destinatários para sites enganosos que coletam informações pessoais e detalhes do cartão de crédito
- Utilizam e-mails temáticos do SharePoint para redirecionar usuários para páginas de colheita de credenciais hospedadas em domínios "*.sharepoint[.]com" que sifonam as senhas da conta Microsoft dos usuários.
"E-mails contendo links do SharePoint têm menos chances de serem marcados como maliciosos ou de phishing por softwares EDR ou antivírus.
Os usuários também tendem a ser menos desconfiados, acreditando que links da Microsoft são inerentemente seguros," disse a CyberProof.
Como as páginas de phishing estão hospedadas no SharePoint, elas são frequentemente dinâmicas e acessíveis apenas por meio de um link específico por um tempo limitado, tornando-as mais difíceis de serem detectadas por rastreadores automáticos, scanners e sandboxes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...