O site do iClicker, uma popular plataforma de engajamento estudantil, foi comprometido em um ataque do tipo *ClickFix* que utilizou um falso prompt de CAPTCHA para enganar alunos e instrutores a instalarem malware em seus dispositivos.
O iClicker é uma subsidiária da Macmillan e é uma ferramenta digital para a sala de aula que permite aos instrutores registrar a presença, fazer perguntas ou pesquisas ao vivo, e rastrear o engajamento dos estudantes.
É amplamente utilizado por 5.000 instrutores e 7 milhões de estudantes em faculdades e universidades por todo os Estados Unidos, incluindo a Universidade de Michigan, a Universidade da Flórida e universidades na Califórnia.
Segundo um alerta de segurança da equipe de Computação Segura da Universidade de Michigan, o site do iClicker foi hackeado entre 12 e 16 de abril de 2025, para exibir um falso CAPTCHA que instruía os usuários a pressionarem "Não sou um robô" para se verificarem.
Contudo, quando os visitantes clicavam no prompt de verificação, um script do PowerShell era silenciosamente copiado para a área de transferência do Windows em um ataque de engenharia social conhecido como *ClickFix*.
O CAPTCHA então instruía os usuários a abrirem a caixa de diálogo Executar do Windows (Win + R), colar o script do PowerShell (Ctrl + V) nela e executá-lo pressionando Enter para se verificarem.
Embora o ataque *ClickFix* não esteja mais ativo no site do iClicker, uma pessoa no Reddit lançou o comando no Any.Run, revelando o payload do PowerShell que é executada.
O comando do PowerShell usado no ataque ao iClicker era fortemente ofuscado, mas, quando executado, conectava-se a um servidor remoto em http://67.217.228[.]14:8080 para recuperar outro script do PowerShell que seria executado.
Infelizmente, não se sabe qual malware foi instalado, pois o script do PowerShell recuperado era diferente dependendo do tipo de visitante.
Para visitantes visados, ele enviaria um script que baixa malware no computador.
A Universidade de Michigan diz que o malware permitia ao ator da ameaça ter acesso total ao dispositivo infectado.
Para aqueles que não eram visados, como as sandboxs de análise de malware, o script, em vez disso, baixaria e executaria a distribuição legítima do Microsoft Visual C++ Redistributable, conforme mostrado abaixo.
Ataques do tipo *ClickFix* tornaram-se ataques de engenharia social generalizados que têm sido usados em diversas campanhas de malware, incluindo aquelas que fingem ser um CAPTCHA do Cloudflare, Google Meet e erros de navegador web.
De campanhas passadas, provavelmente o ataque distribuiu um infostealer, que pode roubar cookies, credenciais, senhas, cartões de crédito e histórico de navegação do Google Chrome, Microsoft Edge, Mozilla Firefox e outros navegadores baseados em Chromium.
Este tipo de malware também pode roubar carteiras de criptomoeda, chaves privadas e arquivos de texto prováveis de conter informações sensíveis, como aqueles nomeados seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt e *.pdf.
Esses dados são coletados em um arquivo e enviados de volta ao atacante, onde eles podem usar as informações em ataques futuros ou vendê-las em mercados de cibercrime.
Os dados roubados também podem ser usados para conduzir violações em larga escala que levam a ataques de ransomware.
Como o ataque visou estudantes universitários e instrutores, o objetivo poderia ter sido roubar credenciais para conduzir ataques em redes de faculdades.
Mais tarde descobriu-se que o iClicker publicou um boletim de segurança em seu site em 6 de maio, mas incluiu uma tag <meta name='robots' content='noindex, nofollow'> no HTML da página, impedindo que o documento fosse indexado por mecanismos de busca e assim tornando mais difícil encontrar informações sobre o incidente.
“Resolvemos recentemente um incidente que afetava a página de destino do iClicker (iClicker.com).
Importante, nenhum dado, aplicativo ou operação do iClicker foi impactado e a vulnerabilidade identificada na página de destino do iClicker foi resolvida,” lê-se no boletim de segurança do iClicker.
"O que aconteceu: uma terceira parte não relacionada colocou um Captcha falso em nossa página de destino do iClicker antes dos usuários fazerem login no iClicker em nosso site.
Essa terceira parte esperava que os usuários clicassem no falso captcha, semelhante ao que, infelizmente, vivenciamos bastante em e-mails de phishing hoje em dia."
“Por excesso de cautela, recomendamos que qualquer professor ou estudante que tenha encontrado e clicado no falso Captcha de 12 a 16 de abril em nosso site execute softwares de segurança para garantir que seus dispositivos permaneçam protegidos.”
Usuários que acessaram iClicker.com enquanto o site estava hackeado e seguiram as instruções do falso CAPTCHA devem imediatamente mudar sua senha do iClicker e, se o comando foi executado, mudar todas as senhas armazenadas em seu computador para uma única para cada site.
Para ajudar com isso, é sugerido que você use um gerenciador de senhas como o BitWarden ou o 1Password.
É importante notar que usuários que acessaram o iClicker através do aplicativo móvel ou que não encontraram o falso CAPTCHA não estão em risco devido ao ataque.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...