Uma nova campanha de distribuição de malware utiliza falsos erros do Google Chrome, Word e OneDrive para enganar usuários a executar "correções" maliciosas em PowerShell que instalam malware.
A nova campanha foi observada sendo utilizada por múltiplos atores de ameaças, incluindo os por trás de ClearFake, um novo cluster de ataque chamado ClickFix, e o ator de ameaça TA571, conhecido por operar como um distribuidor de spam que envia grandes volumes de e-mails, levando a infecções por malware e ransomware.
Ataques anteriores do ClearFake utilizam sobreposições de site que solicitam aos visitantes a instalação de uma falsa atualização de navegador que instala malware.
Os atores de ameaças também utilizam JavaScript em anexos HTML e sites comprometidos nos novos ataques.
No entanto, agora as sobreposições exibem falsos erros do Google Chrome, Microsoft Word e OneDrive.
Esses erros solicitam ao visitante que clique em um botão para copiar uma "correção" em PowerShell para a área de transferência e, em seguida, colar e executar isso em um diálogo Run: ou prompt do PowerShell.
"Embora a cadeia de ataque exija uma interação significativa do usuário para ser bem-sucedida, a engenharia social é inteligente o suficiente para apresentar alguém com o que parece ser um problema real e uma solução ao mesmo tempo, o que pode induzir um usuário a tomar uma ação sem considerar o risco", alerta um novo relatório da ProofPoint.
Os payloads observados pela Proofpoint incluem DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, um sequestrador de área de transferência e Lumma Stealer.
Analistas da Proofpoint observaram três cadeias de ataque que se diferenciam principalmente em suas etapas iniciais, sendo que apenas a primeira não foi atribuída com alta confiança ao TA571.
No primeiro caso, associado aos atores de ameaça por trás do ClearFake, usuários visitam um site comprometido que carrega um script malicioso hospedado na blockchain via contratos da Smart Chain da Binance.
Esse script realiza algumas verificações e exibe um falso aviso do Google Chrome indicando um problema ao exibir a página da web.
O diálogo então solicita ao visitante que instale um "certificado raiz" copiando um script PowerShell para a Área de Transferência do Windows e executando-o em um console do Windows PowerShell (Admin).
Quando o script PowerShell é executado, ele realiza várias etapas para confirmar que o dispositivo é um alvo válido e, em seguida, baixa payloads adicionais, conforme descrito abaixo:
- Limpa o cache DNS.
- Remove o conteúdo da área de transferência.
- Exibe uma mensagem de isca.
- Baixa outro script PowerShell remoto, que realiza verificações anti-VM antes de baixar um ladrão de informações.
A segunda cadeia de ataque está associada à campanha 'ClickFix' e usa uma injecção em sites comprometidos que cria um iframe para sobrepor outro falso erro do Google Chrome.
Usuários são instruídos a abrir o "Windows PowerShell (Admin)" e colar o código fornecido, levando às mesmas infecções mencionadas acima.
Finalmente, uma cadeia de infecção baseada em e-mail usando anexos HTML, que se assemelham a documentos do Microsoft Word, solicita aos usuários que instalem a extensão "Word Online" para visualizar o documento corretamente.
A mensagem de erro oferece opções de "Como consertar" e "Conserto automático", com "Como consertar" copiando um comando PowerShell codificado em base64 para a área de transferência, instruindo o usuário a colá-lo no PowerShell.
"Conserto automático" usa o protocolo search-ms para exibir um arquivo "fix.msi" ou "fix.vbs" hospedado em WebDAV em um compartilhamento de arquivo remoto controlado pelo atacante.
Neste caso, os comandos PowerShell baixam e executam um arquivo MSI ou um script VBS, levando a infecções por Matanbuchus ou DarkGate, respectivamente.
Em todos os casos, os atores de ameaças exploram a falta de conscientização de seus alvos sobre os riscos de executar comandos PowerShell em seus sistemas.
Eles também tiram vantagem da incapacidade do Windows de detectar e bloquear as ações maliciosas iniciadas pelo código colado.
As diferentes cadeias de ataque mostram que o TA571 está ativamente experimentando múltiplos métodos para melhorar a eficácia e encontrar mais vias de infecção para comprometer um maior número de sistemas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...