Pesquisadores em cibersegurança revelaram detalhes de uma nova campanha chamada ClickFix, que explora sites legítimos comprometidos para distribuir um trojan de acesso remoto (RAT) até então desconhecido, denominado MIMICRAT (também chamado AstarionRAT).
Segundo o relatório divulgado na sexta-feira, a campanha apresenta alto grau de sofisticação operacional.
Sites comprometidos, pertencentes a setores e regiões geográficas diversos, são usados como infraestrutura para a entrega do malware.
A infecção ocorre por meio de uma cadeia multiestágio em PowerShell, que contorna mecanismos de proteção como ETW (Event Tracing for Windows) e AMSI (Antimalware Scan Interface), antes de carregar um shellcode executado via script Lua.
A comunicação do implant final ocorre por HTTPS na porta 443, utilizando perfis HTTP que simulam o tráfego legítimo de ferramentas de web analytics.
Desenvolvido em C++, o MIMICRAT possui funcionalidades avançadas, como impersonação de tokens do Windows, tunelamento SOCKS5 e um conjunto com 22 comandos que permitem amplo controle pós-exploração.
A campanha foi identificada no início deste mês.
Além disso, especialistas apontam similaridades táticas e de infraestrutura entre esta e outra campanha ClickFix já analisada pelo Huntress, que utiliza o loader Matanbuchus 3.0 como vetor para a instalação do mesmo RAT.
O objetivo final da ameaça aparenta ser a implantação de ransomware ou a exfiltração de dados.
No processo de infecção documentado pelo Elastic, o ponto inicial é o site bincheck[.]io, serviço legítimo de validação de BIN (Bank Identification Number) comprometido para injetar um código malicioso em JavaScript.
Esse código carrega um script PHP hospedado externamente, responsável por exibir uma página falsa de verificação da Cloudflare.
Nessa página, a vítima é instruída a copiar e colar um comando no diálogo “Executar” do Windows para “resolver o problema”.
Essa ação dispara a execução de um comando PowerShell, que se conecta a um servidor de comando e controle (C2) para baixar um segundo script PowerShell.
Esse segundo estágio desativa os mecanismos de monitoramento de eventos do Windows (ETW) e a varredura antimalware (AMSI), e então entrega um loader baseado em Lua.
No estágio final, o script Lua descriptografa e executa em memória um shellcode que implanta o MIMICRAT.
O trojan usa HTTPS para se comunicar com o servidor C2 e oferece suporte a 24 comandos diferentes, permitindo controle sobre processos, sistema de arquivos, acesso a shell interativo, manipulação de tokens, injeção de shellcode e tunelamento via proxy SOCKS.
O pesquisador Salim Bitam destaca que a campanha é multilíngue, suportando 17 idiomas, com conteúdos do isco (lure) adaptados dinamicamente ao idioma configurado no navegador da vítima, ampliando seu alcance.
As vítimas identificadas estão distribuídas geograficamente, incluindo uma universidade nos EUA e usuários de língua chinesa, indicados em discussões públicas em fóruns, o que sugere um alvo oportunista e amplo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...