Atores de ameaças estão aproveitando páginas falsas do Google Meet como parte de uma campanha de malware contínua denominada ClickFix para entregar infostealers visando sistemas Windows e macOS.
"Esta tática envolve exibir mensagens de erro falsas nos navegadores da web para enganar os usuários a copiar e executar um determinado código PowerShell malicioso, finalmente infectando seus sistemas", disse a empresa francesa de cibersegurança Sekoia em um relatório compartilhado.
Variações da campanha ClickFix (também conhecida como ClearFake e OneDrive Pastejacking) têm sido amplamente relatadas nos últimos meses, com atores de ameaça empregando diferentes iscas para redirecionar os usuários para páginas falsas que visam implantar malware, instando os visitantes do site a executar um código PowerShell codificado para resolver uma suposta questão com a exibição de conteúdo no navegador.
Essas páginas são conhecidas por se passar por serviços online populares, incluindo Facebook, Google Chrome, PDFSimpli e reCAPTCHA, e agora Google Meet, bem como potencialmente Zoom:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.com-join[.]us
- meet.google.web-join[.]com
- meet.google.webjoining[.]com
- meet.google.cdm-join[.]us
- meet.google.us07host[.]com
- googiedrivers[.]com
- us01web-zoom[.]us
- us002webzoom[.]us
- web05-zoom[.]us
- webroom-zoom[.]us
No Windows, a cadeia de ataque culmina na implantação de StealC e Rhadamanthys stealers, enquanto os usuários da Apple macOS recebem um arquivo de imagem de disco preparado (“Launcher_v1.94.dmg”) que solta outro stealer conhecido como Atomic.
Essa tática emergente de engenharia social é notável pelo fato de que ela evita de maneira inteligente a detecção por ferramentas de segurança, pois envolve os usuários executando manualmente o comando PowerShell malicioso diretamente no terminal, ao contrário de ser automaticamente invocado por um payload baixado e executado por eles.
A Sekoia atribuiu o cluster que se faz passar pelo Google Meet a dois grupos de traficantes, nomeadamente Slavic Nation Empire (também conhecido como Slavice Nation Land) e Scamquerteo, que são subequipes dentro de markopolo e CryptoLove, respectivamente.
"Ambas as equipes de traficantes [...] usam o mesmo modelo ClickFix que se faz passar pelo Google Meet", disse Sekoia.
Esta descoberta sugere que essas equipes compartilham materiais, também conhecidos como 'projeto de landing', assim como infraestrutura.
Isso, por sua vez, levantou a possibilidade de ambos os grupos de ameaça estarem utilizando o mesmo serviço de cibercrime até então desconhecido, com um terceiro provavelmente gerenciando sua infraestrutura.
O desenvolvimento surge em meio à emergência de campanhas de malware distribuindo o infostealer de código aberto ThunderKitty, que tem sobreposições com Skuld e Kematian Stealer, bem como novas famílias de stealer denominadas Divulge, DedSec (também conhecido como Doenerium), Duck, Vilsa e Yunit.
"O aumento dos infostealers de código aberto representa uma mudança significativa no mundo das ameaças cibernéticas", observou a empresa de cibersegurança Hudson Rock em julho de 2024.
Ao diminuir a barreira de entrada e fomentar a inovação rápida, essas ferramentas podem alimentar uma nova onda de infecções em computadores, apresentando desafios para os profissionais de cibersegurança e aumentando o risco geral para empresas e indivíduos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...