Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Os ataques do malware ClickFix continuam evoluindo. Segundo especialistas em segurança, uma nova estratégia inclui a simulação de atualizações críticas do sistema operacional Windows para ocultar, com esteganografia, códigos maliciosos dos usuários.
Vale destacar que o funcionamento do ClickFix depende da ação do usuário: é preciso copiar e colar os comandos maliciosos no prompt de comando do sistema. Para convencer o internauta a fazer isso, os cibercriminosos utilizam técnicas de engenharia social e iscas visuais, de formas cada vez mais sofisticadas.
Atualização falsa e códigos em imagens
A pesquisa sobre o malware foi realizada pela equipe de cibersegurança Huntress, que identificou a distribuição de infostealers nos computadores das vítimas, especificamente LummaC2 e Rhadamantys. O usuário, nessa variante, visualiza uma página de navegador que imita uma atualização de segurança crítica do Windows na tela, ou, em alguns casos, um CAPTCHA.
Ao invés de baixar um arquivo, como em invasões tradicionais, o malware oculta, em pixels de imagens em PNG, códigos maliciosos através de esteganografia. São utilizados canais de cor específicos para reconstruir e descriptografar o payload malicioso diretamente na memória do computador.
É explorado o binário nativo do Windows mshta para executar código JavaScript: são várias etapas, usando PowerShell e assembly .NET (neste caso, o Stego Loader) para extrair o arquivo final no PNG. O Stego Loader possui um recurso de blob criptografado em AES que, na verdade, traz a imagem esteganografada que contém o shellcode.
Após extraído e descompactado, o malware finalmente infecta o sistema. A variante do Rhadamantys que usa o método foi percebida pela primeira vez em outubro, antes da Operação Endgame desmantelar parte da infraestrutura hacker responsável, em 13 de novembro. Mesmo com a iniciativa, domínios falsos de atualização do Windows ainda seguem ativos, mesmo que o malware já não chegue mais em alguns usuários.
Para evitar ataques ClickFix, a equipe Huntress recomenda o monitoramento de cadeias de processo suspeitas, como o explorer.exe iniciando processos como mshta.exe ou o PowerShell sem ser comandado. Convém sempre desconfiar de instruções de instalação ou solução de problemas que pedem a cópia e colagem de comandos ou códigos desconhecidos no PC.
