Uma nova campanha de engenharia social, chamada ClickFix, está direcionada ao setor de hospitalidade na Europa, utilizando telas falsas da Windows Blue Screen of Death (BSOD) para induzir usuários a compilarem e executarem malware manualmente em seus sistemas.
A BSOD é a tela de erro do Windows que aparece quando o sistema operacional encontra um erro fatal e irrecuperável, causando sua paralisação.
Detectada pela primeira vez em dezembro, essa campanha, monitorada pelos pesquisadores da Securonix como "PHALT#BLYX", utiliza e-mails de phishing que se passam pela Booking[.]com para aplicar o ataque ClickFix, resultando na instalação de malware.
Ataques ClickFix envolvem páginas web que exibem mensagens falsas de erro ou problemas, oferecendo "correções" para solucioná-los.
Essas mensagens podem incluir alertas falsos, avisos de segurança, desafios CAPTCHA ou notificações de atualização que instruem o visitante a executar um comando específico no computador para resolver o suposto problema.
Na prática, as vítimas acabam infectando suas próprias máquinas ao rodar comandos maliciosos em PowerShell ou shell, conforme orientado pelos criminosos.
Nesta campanha, os atacantes enviam e-mails de phishing fingindo ser hóspedes que cancelaram suas reservas na Booking[.]com, geralmente direcionados a empresas do setor de hospitalidade.
Os valores alegados para reembolso são altos o suficiente para gerar um senso de urgência no destinatário.
Ao clicar no link do e-mail, a vítima é direcionada a um site falso da Booking[.]com, hospedado no domínio 'low-house[.]com', descrito pela Securonix como um "clone de alta fidelidade" do site legítimo.
“A página utiliza a identidade visual oficial da Booking[.]com, incluindo paleta de cores, logotipos e estilos de fonte corretos. Para olhos desatentos, é idêntica ao site verdadeiro”, destaca a Securonix.
No site falso, um script malicioso exibe uma mensagem simulada de erro: “Loading is taking too long” (“O carregamento está demorando demais”), incentivando o usuário a clicar em um botão para atualizar a página.
No entanto, ao clicar, o navegador entra em modo de tela cheia e apresenta uma tela azul falsa de erro (BSOD) típica do Windows, iniciando o ataque de engenharia social ClickFix.
A tela falsa instrui o usuário a abrir o diálogo de execução do Windows (Run), pressionar CTRL+V para colar um comando que foi copiado para a área de transferência e então confirmar a execução do comando pressionando Enter ou clicando em OK.
Diferentemente das BSOD reais, que não oferecem orientações para recuperação — apenas exibem um código de erro e indicam a reinicialização — usuários inexperientes ou funcionários de hospitais sob pressão para resolver o problema podem não suspeitar do golpe.
Ao colar o comando fornecido, um script PowerShell é executado, abrindo uma página falsa de administração da Booking.com na tela, enquanto, em segundo plano, realiza o download de um projeto .NET malicioso (v.proj) e o compila usando o compilador legítimo do Windows, MSBuild.exe.
Quando executado, o payload adiciona exclusões no Windows Defender e aciona prompts do UAC para obter privilégios administrativos.
Em seguida, baixa um carregador principal usando o serviço Background Intelligent Transfer Service (BITS) e garante persistência ao criar um arquivo .url na pasta de inicialização do sistema.
O malware identificado (staxs.exe) é o DCRAT, um Trojan de acesso remoto (RAT) amplamente usado por grupos maliciosos para controlar dispositivos infectados remotamente.
Ele é injetado no processo legítimo 'aspnet_compiler.exe' por meio da técnica de process hollowing, sendo executado diretamente em memória.
Ao se conectar pela primeira vez ao servidor de comando e controle (C2), o malware envia informações completas sobre o sistema infectado e aguarda comandos para executar.
As funcionalidades incluem acesso remoto via desktop, keylogging, shell reverso e execução de payloads adicionais em memória. No caso analisado pela Securonix, os criminosos também instalaram um minerador de criptomoedas.
Com o acesso remoto estabelecido, os atacantes mantêm um ponto de apoio na rede da vítima, possibilitando a expansão para outros dispositivos, roubo de dados e comprometimento de sistemas adicionais.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...