A equipe de cibersegurança da Sekoia identificou uma nova versão de um esquema de phishing chamado ClearFake, que visa o roubo de informações.
Esse scam, que já circula há cerca de dois anos, evoluiu para uma forma mais sofisticada e perigosa, buscando esvaziar carteiras de criptomoedas e capturar credenciais das vítimas.
O método consiste no uso de uma página de CAPTCHA falsificada para ludibriar o usuário — aquele processo de verificação em que é necessário resolver um puzzle, inserir um código ou clicar em um botão para prosseguir.
Os especialistas detectaram websites fraudulentos que mimetizam esse mecanismo tanto na sua forma mais convencional quanto na variante Turnstile, empregada pela Cloudfare para hospedagem.
Essa inovadora abordagem foi nomeada ClickFix, pois envolve a correção fictícia de um suposto erro de internet do usufruidor.
Até meados do ano anterior, mais de 9.300 sites comprometidos exibiam a página falsa, potencializando a instalação de malwares, como o conhecido LummaStealer.
Estima-se que cerca de 200 mil indivíduos possam estar expostos a esse risco.
O ataque inicia com os hackers infiltrando-se em websites legitimamente constituídos de diversos nichos e regiões, utilizando-se de uma gama de técnicas.
Isso inclui desde explorar vulnerabilidades de servidor até o acesso direto às páginas por meio de furto de credenciais de um administrador.
Com esse acesso, eles são capazes de adicionar um código HTML que prevalece sobre o conteúdo original da página.
Assim, quando alguém tenta visitar o site, é confrontado com a verificação de segurança falsa.
Ao tentar completar o CAPTCHA falsificado duas vezes, que normalmente requer apenas um clique em um ícone, a vítima se depara com uma mensagem de erro e um alerta sobre um suposto problema de tráfego na conexão — uma falsidade visando legitimar a fraude.
Nesse momento, o site sugere uma "correção manual" do erro.
Os fraudadores propõem passos que incluem abrir a janela "Executar" do Windows e colar um determinado código.
Em alguns casos relatados pela Sekoia, esse código já estava na Área de Transferência do computador, exigindo somente que o usuário utilizasse Ctrl+V.
Em outras instâncias, era necessário copiar um "código de verificação" aparente e inseri-lo no campo de texto.
Esta ação faz com que um código em JavaScript, que contém um comando PowerShell, seja executado no sistema.
Isso resulta no download de malwares, com potenciais prejuízos como o furto de criptomoedas de uma carteira digital e o vazamento de outras informações sigilosas.
CAPTCHA é uma ferramenta para verificar a legitimidade de visitas a websites, confirmado se o solicitante é um usuário real ou um robô tentando inflacionar artificialmente o acesso ao site.
Originário do inglês "to catch" (capturar), é uma sigla para "Teste de Turing Público Totalmente Automatizado para Diferenciar Computadores de Humanos".
Esse mecanismo geralmente envolve atividades simples que devem ser executadas por humanos, como digitar códigos mostrados na tela, resolver operações matemáticas básicas, ou selecionar imagens específicas.
Certos CAPTCHAs também são utilizados para refinamento de algoritmos de reconhecimento de imagem — um exemplo disso é o uso pela Google para otimizar seu próprio algoritmo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...