Variações do ataque ClickFix vêm sendo observadas utilizando uma estratégia que engana os usuários com uma animação realista do Windows Update exibida em uma página de navegador em tela cheia, ocultando código malicioso dentro de imagens.
ClickFix é um ataque baseado em engenharia social que convence a vítima a colar e executar, no Prompt de Comando do Windows, códigos ou comandos que resultam na instalação de malware no sistema.
Essa técnica tem sido amplamente adotada por diferentes grupos de cibercriminosos devido à sua alta eficácia e passou por constantes evoluções, com iscas cada vez mais sofisticadas e enganosas.
Desde 1º de outubro, pesquisadores identificaram ataques ClickFix que usam como pretexto para a execução de comandos perigosos tanto a “finalização da instalação de uma atualização crítica de segurança do Windows” quanto a isca mais comum de “verificação humana”.
Na página falsa de atualização, as vítimas são instruídas a pressionar uma sequência específica de teclas, que automaticamente cola e executa comandos — previamente copiados para a área de transferência por meio de JavaScript ativo no site.
Um relatório da empresa de serviços de segurança gerenciada Huntress destaca que as novas variantes do ClickFix instalam os infostealers LummaC2 e Rhadamanthys.
Em uma versão, os atacantes empregam uma página de verificação humana; em outra, apostam na tela falsa do Windows Update.
Em ambos os casos, os criminosos utilizam esteganografia para ocultar o payload malicioso final dentro de uma imagem.
“Em vez de simplesmente anexar dados maliciosos a um arquivo, o código é codificado diretamente nos dados dos pixels das imagens PNG, utilizando canais específicos de cor para reconstruir e descriptografar o payload na memória”, explicam os pesquisadores da Huntress.
A entrega do payload começa com o uso do executável nativo do Windows, mshta, para executar o JavaScript malicioso.
O ataque se desenrola em múltiplas etapas, empregando código PowerShell e uma assembly .NET chamada Stego Loader, responsável por reconstruir o payload final embutido na imagem PNG, que está criptografado.
Nos recursos do manifesto do Stego Loader, há um arquivo cifrado em AES que corresponde a um PNG contendo shellcode.
Esse shellcode é reconstruído por um código C# personalizado.
Os pesquisadores também identificaram o uso de uma tática dinâmica de evasão chamada “ctrampoline”, em que a função de ponto de entrada executa 10.000 funções vazias para dificultar a análise.
O shellcode que carrega o infostealer é extraído da imagem criptografada e empacotado com a ferramenta Donut, que permite a execução em memória de arquivos VBScript, JScript, EXE, DLL e assemblies .NET.
Após o desempacotamento, os analistas conseguiram recuperar o malware — nas amostras analisadas, tratavam-se do LummaC2 e do Rhadamanthys.
Abaixo, um diagrama ilustra visualmente como o ataque se desenvolve:
A variante Rhadamanthys que usava a isca da atualização do Windows foi detectada pela primeira vez em outubro, antes da Operação Endgame, que desmantelou parte da infraestrutura dos criminosos em 13 de novembro.
Segundo a Huntress, a ação policial resultou na interrupção da entrega do payload nos domínios falsos de atualização, que permanecem ativos, mas sem distribuir os malwares.
Para se proteger contra ataques ClickFix, especialistas recomendam desabilitar a caixa de execução do Windows (Run box) e monitorar processos suspeitos, como o explorer.exe que inicia mshta.exe ou PowerShell.
Além disso, durante a investigação de incidentes, analistas podem verificar a chave de registro RunMRU para identificar se comandos foram digitados na caixa de execução do Windows.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...