Uma combinação de métodos de propagação, sofisticação narrativa e técnicas de evasão permitiu que a tática de engenharia social conhecida como ClickFix decolasse como fez ao longo do último ano, de acordo com novas descobertas da Guardio Labs.
"Como uma variante de vírus do mundo real, essa nova cepa 'ClickFix' rapidamente superou e, em última análise, eliminou o infame golpe de atualização falsa de navegador que assolou a web no ano passado", disse o pesquisador de segurança Shaked Chen em um relatório compartilhado com o site The Hacker News.
"Isso foi possível ao eliminar a necessidade de downloads de arquivos, usando táticas de engenharia social mais inteligentes e se espalhando através de infraestrutura confiável.
O resultado - uma onda de infecções que vão desde ataques em massa por drive-by até iscas de spear-phishing hiper-direcionadas."
ClickFix é o nome dado a uma tática de engenharia social onde possíveis alvos são enganados para infectar suas próprias máquinas sob o pretexto de corrigir um problema inexistente ou uma verificação de CAPTCHA.
Foi detectado pela primeira vez na natureza no início de 2024.
Nesses ataques, vetores de infecção tão diversos quanto e-mails de phishing, downloads acidentais, malvertising e envenenamento de SEO (Search Engine Optimization) são empregados para direcionar os usuários a páginas falsas que exibem as mensagens de erro.
Essas mensagens têm um objetivo: guiar as vítimas a seguir uma série de passos que causam a execução de um comando malicioso copiado secretamente para sua área de transferência quando colado na caixa de diálogo Executar do Windows ou no aplicativo Terminal, no caso do macOS da Apple.
O comando nefasto, por sua vez, desencadeia a execução de uma sequência de múltiplos estágios que resulta no desdobramento de vários tipos de malware, como stealers, trojans de acesso remoto e loaders, destacando a flexibilidade da ameaça.
A tática tornou-se tão eficaz e potente que levou ao que a Guardio chama de CAPTCHAgeddon, com atores cibercriminosos e de estados-nação utilizando-a em dezenas de campanhas em um curto espaço de tempo.
ClickFix é uma mutação mais furtiva do ClearFake, que envolve o aproveitamento de sites WordPress comprometidos para servir pop-ups de atualização de navegador falsos que, por sua vez, entregam malware stealer.
O ClearFake posteriormente passou a incorporar táticas avançadas de evasão como EtherHiding para ocultar o payload da próxima etapa usando contratos da Binance's Smart Chain (BSC).
Guardio disse que a evolução do ClickFix e seu sucesso é o resultado de um refinamento constante em termos de vetores de propagação, a diversificação das iscas e mensagens, e os diferentes métodos usados para se adiantar à curva de detecção, tanto que, em última análise, suplantou o ClearFake.
"Os primeiros prompts eram genéricos, mas rapidamente se tornaram mais persuasivos, adicionando urgência ou dicas de suspeita", disse Chen.
"Esses ajustes aumentaram as taxas de conformidade explorando pressão psicológica básica."
Algumas das maneiras notáveis que a abordagem de ataque se adaptou incluem o abuso do Google Scripts para hospedar os fluxos falsos de CAPTCHA, aproveitando assim a confiança associada ao domínio do Google, bem como a incorporação do payload dentro de fontes de arquivos que parecem legítimas, como socket.io.min.js.
"Esta assustadora lista de técnicas – obfuscação, carregamento dinâmico, arquivos de aparência legítima, tratamento multiplataforma, entrega de payload de terceiros e abuso de hosts confiáveis como o Google – demonstra como os atores de ameaças têm se adaptado continuamente para evitar detecção," Chen adicionou.
"É um lembrete severo de que esses atacantes não estão apenas refinando suas iscas de phishing ou táticas de engenharia social, mas estão investindo pesadamente em métodos técnicos para garantir que seus ataques permaneçam eficazes e resilientes contra medidas de segurança."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...