A Microsoft revelou detalhes sobre uma campanha de phishing em andamento que mirou o setor hoteleiro, se passando pela agência de viagens online Booking.com.
Utilizou uma técnica de engenharia social crescentemente popular chamada ClickFix para disseminar malware de roubo de credenciais.
A atividade, disse a equipe de inteligência de ameaças da gigante de tecnologia, começou em dezembro de 2024 e opera com o objetivo final de realizar fraudes financeiras e roubos.
Está acompanhando a campanha sob o codinome Storm-1865.
"Este ataque de phishing visa especificamente indivíduos em organizações de hospitalidade na América do Norte, Oceania, Ásia do Sul e Sudeste, e Europa Setentrional, Meridional, Oriental e Ocidental, que têm maior probabilidade de trabalhar com a Booking.com, enviando e-mails falsos que se fazem passar por mensagens vindas da agência," disse a Microsoft em um relatório compartilhado.
A técnica ClickFix tem se tornado difundida nos últimos meses, pois engana usuários a executarem malware sob o pretexto de corrigir um suposto erro inexistente, copiando, colando e lançando instruções enganosas que ativam o processo de infecção.
Foi detectada pela primeira vez na natureza em outubro de 2023.
A sequência de ataque começa com Storm-1865 enviando um e-mail malicioso a um indivíduo visado sobre uma avaliação negativa deixada por um suposto hóspede na Booking.com, e pedindo seu "feedback".
A mensagem também incorpora um link ou um anexo em PDF contendo um que, aparentemente, direciona os destinatários para o site de reservas.
No entanto, na realidade, clicar nele leva a vítima a uma página falsa de verificação CAPTCHA que está sobreposta em um "fundo sutilmente visível projetado para imitar uma página legítima da Booking.com".
Ao fazer isso, a ideia é dar uma falsa sensação de segurança e aumentar a probabilidade de um comprometimento bem-sucedido.
"O falso CAPTCHA é onde a página da web emprega a técnica de engenharia social ClickFix para baixar o payload," disse a Microsoft.
Esta técnica instrui o usuário a usar um atalho de teclado para abrir uma janela de Executar do Windows, depois colar e lançar um comando que a página da web adiciona à área de transferência.
O comando, em essência, usa o binário legítimo mshta.exe para baixar o payload do próximo estágio, que compreende várias famílias de malware de commodity, como XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT.
A Redmond disse que observou anteriormente o Storm-1865 visando compradores usando plataformas de e-commerce com mensagens de phishing que levam a páginas web de pagamento fraudulentas.
Assim, a incorporação da técnica ClickFix ilustra uma evolução tática projetada para passar despercebida por medidas de segurança convencionais contra phishing e malware.
"O ator de ameaça que a Microsoft acompanha como Storm-1865 encapsula um cluster de atividade conduzindo campanhas de phishing, levando ao roubo de dados de pagamento e cobranças fraudulentas," ela adicionou.
Essas campanhas estão em andamento com volume aumentado desde pelo menos o início de 2023 e envolvem mensagens enviadas através de plataformas de fornecedores, como agências de viagens online e plataformas de e-commerce, e serviços de email, como Gmail ou iCloud Mail.
Storm-1865 representa apenas uma das muitas campanhas que adotaram o ClickFix como um vetor para distribuição de malware.
Tal é a eficácia dessa técnica que até grupos estatais russos e iranianos, como APT28 e MuddyWater, adotaram-na para atrair suas vítimas.
"Significativamente, o método se aproveita do comportamento humano: apresentando uma 'solução' plausível para um problema percebido, os atacantes transferem o ônus da execução para o usuário, efetivamente contornando muitas defesas automatizadas," disse o Group-IB em um relatório independente publicado hoje.
Uma dessas campanhas documentadas pela empresa de cibersegurança de Singapura envolve o uso de ClickFix para soltar um downloader chamado SMOKESABER, que então serve como um conduto para o Lumma Stealer.
Outras campanhas exploraram malvertising, envenenamento de SEO, problemas no GitHub e spam em fóruns ou sites de mídia social com links para páginas ClickFix.
"A técnica ClickFix marca uma evolução nas estratégias de engenharia social adversária, aproveitando a confiança do usuário e a funcionalidade do navegador para a implantação de malware," disse o Group-IB.
A rápida adoção deste método por cibercriminosos e grupos APT sublinha sua eficácia e baixa barreira técnica.
Algumas das outras campanhas ClickFix documentadas nas últimas semanas estão listadas abaixo:
- Uso de verificações CAPTCHA falsas para iniciar um processo de execução multi-estágio do PowerShell, finalmente entregando infostealers como Lumma e Vidar.
- Uso de desafios falsos do Google reCAPTCHA por um ator de ameaça apelidado de Blind Eagle para implantar malware.
- Uso de links falsos de confirmação de reserva para redirecionar usuários para páginas de verificação CAPTCHA que levam ao Lumma Stealer.
- Uso de sites temáticos do Windows falsos para redirecionar usuários para páginas de verificação CAPTCHA que levam ao Lumma Stealer.
A diversidade de mecanismos de infecção do Lumma Stealer é ainda mais exemplificada pela descoberta de outra campanha que utiliza repositórios GitHub falsos, apresentando conteúdo gerado por inteligência artificial (AI) para entregar o stealer por meio de um carregador referido como SmartLoader.
"Esses repositórios maliciosos são disfarçados de ferramentas não maliciosas, incluindo cheats de jogos, software crackeado e utilidades de criptomoedas," disse a Trend Micro em uma análise publicada no início desta semana.
A campanha atrai vítimas com promessas de funcionalidade gratuita ou ilícita não autorizada, incitando-as a baixar arquivos ZIP (por exemplo, Release.zip, Software.zip).
A operação serve para destacar como atores de ameaças estão abusando da confiança associada a plataformas populares como o GitHub para a propagação de malware.
As descobertas vêm enquanto a Trustwave detalhou uma campanha de phishing por e-mail que faz uso de iscas relacionadas a faturas para distribuir uma versão atualizada de outro malware stealer chamado StrelaStealer, que é avaliado para ser operado por um único ator de ameaça apelidado de Hive0145.
"Amostras do StrelaStealer incluem obfuscação multi-camadas personalizada e achatamento de fluxo de código para complicar sua análise," disse a empresa.
Foi relatado que o ator de ameaça desenvolveu potencialmente um crypter especializado chamado 'Stellar loader,' especificamente para ser usado com o StrelaStealer.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...