Pesquisadores da Microsoft revelaram recentemente uma complexa campanha de ciberataque, denominada ClickFix, que explora táticas de engenharia social e ferramentas nativas do Windows para subtrair credenciais de navegadores. O alerta, emitido por especialistas da empresa, detalha uma metodologia inovadora que utiliza desde páginas falsas com CAPTCHAs enganosos até a sofisticada blockchain do Ethereum para evadir detecção e assegurar o roubo de dados sensíveis.

O vetor inicial do ataque é uma página web aparentemente benigna que exibe um CAPTCHA, solicitando ao usuário que prove não ser um robô. Contudo, em vez das tradicionais verificações visuais, a página instrui a vítima a abrir o Terminal do Windows e colar um comando específico para completar a verificação. Essa etapa crucial representa o ponto de partida da cadeia de ataque, muitas vezes passando despercebida pela vítima devido à sua aparência profissional e à simplicidade da instrução.

Diferentemente de campanhas anteriores, que instruíam o uso do atalho Win + R para abrir a caixa ‘Executar’ – um comportamento que se tornou monitorado por sistemas de segurança – esta nova variante instrui o atalho Windows + X seguido pela tecla I. Essa sequência abre diretamente o Windows Terminal, uma ferramenta moderna e robusta, frequentemente utilizada por desenvolvedores e profissionais de TI, conferindo uma falsa sensação de legitimidade à operação. O comando a ser colado é uma longa sequência de caracteres aparentemente sem sentido, ofuscada por meio de codificação hexadecimal e embaralhamento XOR, técnicas combinadas para esconder as instruções maliciosas reais e dificultar sua identificação por sistemas de segurança.

Após a execução do comando ofuscado, o Windows PowerShell, uma linguagem de automação nativa do sistema, reverte as codificações e inicia a instalação do malware Lumma Stealer. O processo se divide em dois caminhos distintos, mas convergentes para o mesmo objetivo: o roubo de senhas salvas nos navegadores. No primeiro caminho, o script baixa um programa legítimo como o 7-Zip, porém com um nome de arquivo aleatório para evasão de detecção, e um pacote ZIP contendo o arsenal completo do ataque. Uma vez instalado, o malware garante sua persistência criando uma tarefa agendada para reiniciar com o sistema e adiciona sua pasta às exclusões do Microsoft Defender, inativando a proteção do próprio antivírus da vítima.

O Lumma Stealer, um tipo de malware especializado em roubo de informações sensíveis, é então ativado. Ele se infiltra nos processos de navegadores como Chrome e Edge, em tempo de execução, para acessar os arquivos internos ‘Web Data’ e ‘Login Data’, onde as credenciais são armazenadas. Essas informações são subsequentemente enviadas para servidores controlados pelos criminosos.

No segundo caminho de ataque, um arquivo .bat com nome aleatório é baixado e salvo em uma pasta de aplicativos legítimos. Este script, executado através do MSBuild.exe – uma ferramenta oficial da Microsoft e digitalmente assinada – cria um segundo script em VBScript. Essa técnica, conhecida como LOLBin (Living Off the Land Binary), explora ferramentas legítimas do sistema operacional para evitar alertas de segurança, uma vez que o MSBuild.exe é considerado um binário confiável.

A inovação mais notável deste segundo caminho reside no uso da tecnologia blockchain. O script malicioso conecta-se a endpoints RPC de blockchains de criptomoedas, como a rede Ethereum, empregando uma técnica conhecida como EtherHiding. Os atacantes armazenam instruções para o malware diretamente em transações ou contratos inteligentes na blockchain, aproveitando a anonimidade e a rastreabilidade da tecnologia. Desta forma, o malware busca suas ordens na rede pública de criptomoedas, garantindo que a infraestrutura de controle dos atacantes permaneça intacta e inacessível, mesmo que o malware no computador da vítima seja descoberto e analisado.

A posse das credenciais armazenadas nos arquivos ‘Web Data’ e ‘Login Data’ dos navegadores representa uma ameaça crítica. Essas contas frequentemente incluem acessos a e-mails, redes sociais, serviços de streaming, plataformas de trabalho e internet banking. Com essas informações, os atacantes podem realizar novos ataques contra os contatos da vítima, comprometer redes corporativas, efetuar roubos financeiros e vender as credenciais em mercados clandestinos na dark web. A complexidade e a engenhosidade desta campanha sublinham a crescente sofisticação das ameaças cibernéticas e a imperativa necessidade de vigilância por parte dos usuários.

Fonte: TECNOLOGIA – Tecmundo