O Centro Australiano de Segurança Cibernética, ACSC, está alertando organizações sobre uma campanha de malware em andamento que usa a técnica de engenharia social ClickFix para distribuir o infostealer Vidar Stealer.
O ClickFix é uma técnica de ataque de engenharia social que induz usuários a executar comandos maliciosos, geralmente por meio de falsos desafios de CAPTCHA ou prompts de verificação do navegador exibidos em sites comprometidos ou maliciosos.
O ataque normalmente leva as vítimas a executar comandos do PowerShell para contornar controles de segurança e entregar malware, em geral infostealers.
Organizações australianas e entidades de infraestrutura estão entre os alvos de ataques que envolvem sites WordPress comprometidos, que redirecionam para payloads maliciosos.
Ao visitar esses sites, os usuários veem uma falsa verificação da Cloudflare ou um falso CAPTCHA, com instruções para copiar e executar manualmente um comando malicioso do PowerShell em seus sistemas, o que resulta na infecção pelo Vidar Stealer.
Em comunicado, a agência afirmou que o Centro Australiano de Segurança Cibernética, do Australian Signals Directorate, observou atividade associada ao ClickFix que aproveita infraestrutura hospedada em WordPress para distribuir o malware Vidar Stealer.
O Vidar Stealer é uma família de malware voltada à coleta de informações e uma operação de malware-as-a-service, MaaS, que surgiu no fim de 2018.
Com o tempo, ele se tornou uma opção popular entre criminosos cibernéticos por ser barato, fácil de implantar e capaz de roubar uma ampla variedade de dados.
O malware mira senhas de navegadores, cookies, carteiras de criptomoedas, informações de preenchimento automático e detalhes do sistema.
Ele já foi observado em ataques ClickFix, promovidos por meio de correções do Windows, vídeos no TikTok e no GitHub.
No ano passado, o desenvolvedor lançou uma nova versão com capacidades aprimoradas.
O ACSC observa que o Vidar apaga seu executável após ser iniciado no dispositivo infectado e passa a operar a partir da memória do sistema, reduzindo vestígios forenses.
O malware recupera um endereço de command and control, C2, por meio de URLs de dead drop, usando serviços públicos como bots do Telegram e perfis do Steam, uma tática já amplamente usada no passado, mas que ainda segue eficaz.
O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicações para reduzir o risco desses ataques.
Administradores de sites WordPress também são orientados a aplicar as atualizações de segurança disponíveis para temas e add-ons, além de remover da plataforma quaisquer temas e plugins que não estejam em uso.
O boletim de segurança do ACSC traz indicadores de comprometimento, IoCs, relacionados a esses ataques, permitindo que as organizações reforcem suas defesas ou detectem intrusões.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...