Os ataques ClickFix evoluíram e agora contam com vídeos que orientam as vítimas no processo de autoinfecção, um temporizador que pressiona os alvos a agir rapidamente e a detecção automática do sistema operacional para fornecer comandos adequados.
Em um ataque típico de ClickFix, o atacante utiliza técnicas de social engineering para enganar o usuário, levando-o a copiar e executar códigos ou comandos provenientes de uma página maliciosa.
As iscas variam, desde supostas verificações de identidade até soluções para problemas de software.
O objetivo é induzir a execução de malware que baixa e ativa um payload, geralmente um stealer de informações.
Antes, esses ataques apresentavam instruções em texto em uma página web, mas as versões mais recentes apostam em vídeos incorporados para tornar a ameaça menos suspeita.
Pesquisadores da Push Security identificaram essa mudança em campanhas recentes de ClickFix, nas quais um falso desafio CAPTCHA da “Cloudflare” detecta o sistema operacional da vítima e exibe um tutorial em vídeo explicando como copiar e executar os comandos maliciosos.
Com JavaScript, o atacante consegue ocultar os comandos e copiá-los automaticamente para a área de transferência do usuário, reduzindo as chances de erro humano.
Na mesma janela, há um contador regressivo de um minuto que pressiona a vítima a agir rapidamente, deixando pouco tempo para analisar a veracidade ou a segurança do processo de verificação.
Um contador indicando “usuários verificados na última hora” reforça a ilusão de que a página faz parte de um sistema legítimo de verificação de bot da Cloudflare.
Embora ataques ClickFix tenham sido observados em todos os principais sistemas operacionais, incluindo macOS e Linux, a detecção automática do ambiente e a adaptação das instruções representam uma novidade.
Segundo a Push Security, esses sites ClickFix mais sofisticados são promovidos principalmente por meio de malvertising em resultados do Google Search.
Os criminosos exploram falhas conhecidas em plugins desatualizados do WordPress para comprometer sites legítimos e injetar o JavaScript malicioso ou criam sites “vibe-code” e aplicam técnicas de SEO poisoning para posicioná-los melhor nos resultados de busca.
Quanto aos payloads, os pesquisadores notaram que variam conforme o sistema operacional, mas geralmente incluem o executável MSHTA no Windows, scripts PowerShell e outros binários living-off-the-land.
Os especialistas levantam a hipótese de que futuros ataques ClickFix possam rodar inteiramente dentro do navegador, dificultando a detecção por soluções EDR.
Com o avanço e o aumento do grau de sofisticação dos ataques ClickFix, é fundamental que os usuários entendam que executar comandos no terminal nunca deve fazer parte de um processo de verificação online.
Jamais execute comandos copiados sem compreender plenamente sua função.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...