Nos últimos quinze dias úteis, analistas da Huntress observaram um aumento na atividade de ameaças envolvendo técnicas bastante sofisticadas.
Um dos casos chamou atenção por utilizar um instalador malicioso do AnyDesk, que inicialmente simulava um ataque do tipo ClickFix por meio de uma falsa página de verificação Cloudflare.
No entanto, a campanha evoluía para o uso do Windows File Explorer e um pacote MSI disfarçado de PDF para instalar o malware MetaStealer.
Além disso, foram detectados dois incidentes envolvendo a variante Cephalus do ransomware.
Esse ransomware se destaca por usar DLL sideloading por meio do executável legítimo SentinelBrowserNativeHost.exe, da SentinelOne, para ativar sua carga maliciosa.
Essas descobertas recentes evidenciam a constante evolução das táticas dos cibercriminosos, que combinam métodos tradicionais de engenharia social com cadeias de infecção mais sofisticadas e técnicas evasivas de implantação.
Ataques do tipo ClickFix vêm crescendo há mais de um ano, especialmente porque os criminosos têm obtido sucesso ao convencer as vítimas a executar códigos maliciosos usando iscas baseadas em CAPTCHAs.
Embora esse padrão seja bastante conhecido, também temos observado ataques que usam técnicas similares, mas que não seguem exatamente o roteiro clássico do ClickFix.
Recentemente, John Hammond, um dos autores deste relatório, recebeu um e-mail sobre um instalador falso do AnyDesk, descoberto durante uma busca pelo software original.
Embora os primeiros sinais apontassem para mais um golpe ClickFix, uma análise mais detalhada revelou uma cadeia de infecção única, envolvendo uma falsa verificação Cloudflare Turnstile, o protocolo de busca do Windows e um pacote MSI disfarçado de PDF que captura, de forma inteligente, o nome do host da vítima.
O objetivo final do ataque é instalar o MetaStealer, um infostealer disponível no mercado desde 2022 e conhecido por roubar credenciais e arquivos.
Para contextualizar, o método ClickFix é uma técnica onde os criminosos convencem a vítima a “corrigir” um problema supostamente identificado, geralmente através de um CAPTCHA em uma página acessada por um link de phishing.
A “correção” consiste em copiar e colar um comando sugerido pelo invasor, iniciando silenciosamente a cadeia de ataque.
No ataque clássico, a vítima é induzida a executar comandos no diálogo Run do Windows ou via PowerShell.
No entanto, variantes já surgiram, como o FileFix, que utiliza o Windows File Explorer em vez do Run para rodar comandos.
Diversos incidentes têm origem em ataques ClickFix.
Por exemplo, em 26 de agosto, respondemos a um caso onde a vítima executou um comando malicioso a partir de um falso Cloudflare Turnstile — ferramenta legítima da Cloudflare que substitui CAPTCHAs para verificar humanos e filtrar bots.
O ataque então baixou e instalou um infostealer.
Análise mais aprofundada indicou que a vítima acessou a página teams-one[.]com, que exibia o Turnstile e marcou o início da ação.
Embora haja semelhanças entre esses ataques, o caso do MetaStealer se diferencia significativamente do ClickFix tradicional.
O link inicial do instalador falso do AnyDesk redireciona o usuário para https://anydeesk[.]ink/download/anydesk.html, que exibe um Cloudflare Turnstile com uma interface duvidosa.
A página afirma oferecer “Secure Access Verification” e pede para o usuário clicar em um botão para “confirmar que é humano”.
Ao analisar o código-fonte da página, apesar da presença de JavaScript ofuscado, foi possível revelar que o redirecionamento final é para https://verification[.]anydeesk[.]ink/reCAPTCHA-v2.php.
Até aqui, todos os indícios apontam para uma campanha ClickFix: uso de uma isca de verificação humana e o incentivo ao clique do usuário.
Porém, ao clicar, a vítima é levada ao Windows File Explorer, e não ao diálogo Run do Windows, caracterizando uma abordagem próxima ao FileFix.
Neste ataque, o redirecionamento PHP usa o protocolo search-ms, que permite rodar buscas específicas no Windows Explorer.
Essa busca personalizada abre um compartilhamento SMB controlado pelo atacante — um método sofisticado que oferece acesso remoto a arquivos na rede.
No compartilhamento, a vítima encontra um atalho Windows (arquivo .LNK) disfarçado de PDF chamado "Readme Anydesk.pdf".
Quando clicado, esse arquivo executa várias ações.
O cmd.exe inicia o download do instalador legítimo do AnyDesk via Microsoft Edge, o que pode ajudar a disfarçar a ação maliciosa.
Simultaneamente, um arquivo falso de “PDF” é baixado do domínio chat1[.]store e salvo na pasta temporária.
O arquivo falso foi projetado para capturar o valor da variável de ambiente %COMPUTERNAME% e usá-la como subdomínio — uma técnica inteligente para coletar o nome do host da vítima sem que ela perceba.
Esse “PDF” é, na verdade, um pacote MSI executado pelo msiexec, confirmando sua natureza maliciosa, e o processo cmd.exe é encerrado logo em seguida.
A análise do domínio chat1[.]store revelou o conteúdo completo do pacote MSI, incluindo os arquivos usados na sequência do ataque.
Destaques do pacote são uma DLL (CustomActionDLL) e um arquivo CAB (Binary.bz.WrappedSetupProgram), que contém mais malwares: um script 1.js para limpar rastros, e o executável ls26.exe, responsável por instalar o MetaStealer.
O arquivo ls26.exe é um binário pesado, protegido pelo Private EXE Protector, e exibe comportamentos típicos do MetaStealer, incluindo o roubo de informações de carteiras de criptomoedas.
Os ataques ClickFix, FileFix e suas variantes mostram o poder da engenharia social combinada com processos aparentemente inofensivos, como CAPTCHAs e outras ferramentas de verificação.
Esses golpes, que dependem da interação manual da vítima para “corrigir” uma falha artificial, são especialmente eficazes pois conseguem burlar muitas soluções de segurança tradicionais.
Até agora, as recomendações para combater ataques ClickFix focavam em restringir o uso do diálogo Run do Windows, quando não necessário, para evitar a execução inadvertida de comandos maliciosos.
Embora eficaz contra métodos clássicos, as variantes recentes demonstram que os atacantes estão avançando e adaptando seus métodos, dificultando a detecção e prevenção.
Por isso, organizações devem intensificar suas defesas.
Além de medidas técnicas, é fundamental treinar usuários para identificar iscas como CAPTCHAs suspeitos que solicitam copiar e colar comandos, seja no Run dialog ou que redirecionem ao Windows File Explorer.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...