Nos últimos meses, uma nova campanha de ciberataques conhecida como ClickFix tem atraído usuários para páginas fraudulentas, utilizando serviços populares como Google Meet para espalhar malware em dispositivos Windows e macOS. Os atacantes usam engenharia social para simular problemas técnicos e induzir as vítimas a executarem códigos maliciosos, resultando em infecções que roubam dados sensíveis.
O ClickFix foi inicialmente relatado em maio pela empresa de cibersegurança Proofpoint, que identificou o ator de ameaça TA571 como responsável pelos ataques. As primeiras versões da campanha imitavam erros de serviços como Google Chrome, Microsoft Word e OneDrive. O esquema envolvia persuadir as vítimas a copiar e colar um código PowerShell no Prompt de Comando do Windows para supostamente corrigir problemas técnicos. No entanto, ao seguir essas instruções, os sistemas das vítimas eram infectados com malwares como DarkGate, Matanbuchus, NetSupport e Lumma Stealer.
Recentemente, a campanha evoluiu e passou a utilizar o Google Meet como isca, explorando sua popularidade em ambientes corporativos. Os atacantes enviam e-mails que se parecem com convites legítimos para reuniões ou conferências de trabalho, com links que imitam URLs verdadeiros do Google Meet, como "meet[.]google[.]us-join[.]com" e "meet[.]googie[.]com-join[.]us". Uma vez que a vítima acessa a página falsa, surge uma mensagem pop-up informando sobre um problema técnico, como falhas de microfone ou fone de ouvido.
Se a vítima clicar no botão "Try Fix", o processo de infecção do ClickFix é acionado. O site copia um código PowerShell para a área de transferência da vítima, que, ao ser colado no Prompt de Comando do Windows, instala malware no sistema. Os payloads maliciosos são baixados de domínios falsos, como 'googiedrivers[.]com', e incluem infostealers como Stealc e Rhadamanthys para Windows, enquanto em dispositivos macOS o malware instalado é o AMOS Stealer, disfarçado como um arquivo .DMG chamado 'Launcher_v194'.
Em julho, a empresa de segurança McAfee relatou um aumento na frequência dos ataques ClickFix, especialmente nos Estados Unidos e Japão. Um relatório mais recente da Sekoia, uma fornecedora de cibersegurança SaaS, destacou que os ataques não se limitam ao Google Meet. Os cibercriminosos também estão utilizando outros serviços populares, como Zoom, leitores de PDF, jogos falsos e aplicativos de mensagens, para distribuir malware.
Além disso, a Sekoia identificou que grupos de ameaça como o Slavic Nation Empire (SNE) e Scamquerteo estão por trás de algumas das campanhas mais recentes do ClickFix. Esses grupos são considerados sub-equipes de gangues especializadas em golpes com criptomoedas, como Marko Polo e CryptoLove, mostrando o grau de sofisticação e organização por trás desses ataques.
Os ataques ClickFix são uma ameaça crescente que aproveita a confiança dos usuários em serviços amplamente utilizados, como Google Meet e Zoom. Para se proteger, é essencial que os usuários estejam atentos a convites de reuniões suspeitos e evitem executar códigos sem verificarem sua autenticidade.
.%20A%20smartphone%20is%20shown%20with%20a%20suspicious%20text%20message.webp)
Nenhum comentário:
Postar um comentário
Não é preciso ser criativo. Não é preciso ser técnico. Pode discordar. Pode concordar também. Só não vale ofender, xingar, usar o espaço para outro fim se não o de comentar o post. Agradeço antecipadamente por sua contribuição!