Já abordamos as campanhas ClickFix anteriormente: os CAPTCHAs falsos, as Windows falsas Windows , o truque de fazer com que as vítimas colassem comandos maliciosos em seus próprios computadores. Agora, identificamos uma campanha que usa as etapas iniciais observadas nos ataques ClickFix, mas o que acontece depois é diferente o suficiente para merecer uma análise mais detalhada.
Tudo começa com um site falso convincente que promove um airdrop de $TEMU, uma criptomoeda fabricada que usa o nome da conhecida plataforma de compras TEMU. Termina com um backdoor de acesso remoto que se comunica com seus operadores e executa instruções transmitidas pela Internet, em vez de armazená-las localmente, tornando muito mais difícil a detecção por ferramentas antivírus tradicionais.
Mesmo início, jogo diferente
Se você leu nossa cobertura anterior sobre o ClickFix, já sabe como funciona: uma página da web que parece uma verificação de segurança, instruções para pressionar Win+R e colar algo, e o usuário acaba executando um comando malicioso em seu próprio sistema.
O atrativo desta campanha é um site falso bem elaborado que imita um airdrop da criptomoeda $TEMU.“Descubra o airdrop exclusivo da $TEMU”, anuncia , com um logotipo e uma barra de navegação projetados para parecerem um projeto de criptomoeda legítimo. Essa moeda não existe. O site existe apenas para fazer com que os visitantes cliquem em uma caixa de seleção falsa“Não sou um robô”.
Ao clicar nele, é exibida uma janela modal intitulada“Conclua estas etapas de verificação”, que orienta a vítima a abrir uma janela de prompt de comando usando Win+R, pressionar Ctrl+V para colar o conteúdo da área de transferência e pressionar Enter.
Para quem hesitar, há um botão“Instruções em vídeo”que expande uma gravação de tela incorporada demonstrando cada pressionamento de tecla em sequência. É efetivamente um tutorial no estilo help desk que orienta as vítimas na execução do comando dos invasores. Na parte inferior do modal, um selo reCAPTCHA falso exibe“ID de verificação: 4963”, dando a impressão de uma verificação de segurança legítima. O que diferencia essa campanha é tudo o que acontece depois que a tecla Enter é pressionada.
Primeiro, o malware identifica o host
No início da cadeia de infecção, o carregador coleta informações básicas do host e as envia para o servidor de comando. A carga útil retornada pelo servidor já contém um identificador exclusivo atribuído à máquina da vítima. Na fase decodificada do PowerShell, isso aparece como uma variável, como $machine_id, que está incorporado diretamente no script entregue ao sistema infectado.
Incorporar um identificador exclusivo na carga útil retornada permite que os invasores rastreiem infecções individuais desde o momento em que uma máquina faz o primeiro check-in. Como esse identificador é inserido no script antes de chegar à vítima, o servidor pode gerar cargas úteis ligeiramente diferentes para sistemas diferentes.
Isso é mais importante do que parece. As empresas de segurança mantêm bancos de dados compartilhados de arquivos conhecidos como maliciosos. Quando um arquivo malicioso é identificado, sua impressão digital pode ser adicionada a esses bancos de dados em questão de horas. Se os invasores gerarem versões ligeiramente diferentes de uma carga útil para vítimas diferentes, a detecção tradicional baseada em hash de arquivo se torna muito menos eficaz, pois não há uma assinatura de arquivo única para os defensores bloquearem.
Um hóspede sem janelas
Com a criação do perfil concluída, a campanha implanta seu backdoor usando um runtime Python integrado. Essa é a mesma linguagem de programação usada diariamente por milhões de desenvolvedores e estudantes. Ela chega de forma independente, não requer permissões de administrador e normalmente não aparece como um aplicativo instalado tradicional. A versão que realmente é executada é chamada pythonw.exe, onde o “w” significa “sem janelas”. Sem console, sem som e sem nada na barra de tarefas.
As campanhas ClickFix anteriores baseadas em Python que foram documentadas entregavam um arquivo Python estático que executava uma tarefa fixa. Esta campanha parece adotar uma abordagem diferente. Cada vez que o processo oculto se comunica com o servidor, ele recupera um novo trecho de código Python e o executa diretamente na memória, em vez de armazená-lo como um script persistente no disco.
Essa arquitetura permite que os invasores alterem o comportamento do malware simplesmente modificando o código fornecido pelo servidor. Vítimas diferentes podem receber instruções diferentes, e a funcionalidade da infecção pode ser alterada sem atualizar nada que já esteja presente na máquina comprometida.
O que eles podem fazer com uma porta aberta
Como o servidor pode enviar qualquer código Python que desejar, as capacidades dos invasores são determinadas em grande parte pelo código que o servidor de comando fornece. Em campanhas que utilizam backdoors semelhantes, observou-se que os invasores roubavam credenciais do navegador e cookies de sessão, registravam teclas digitadas, capturavam telas e usavam o ponto de apoio para acessar outras máquinas na mesma rede. A campanha também incluía uma infraestrutura para notificar os invasores via Telegram no momento em que uma nova vítima se conectasse — embora um sinalizador de depuração na carga decodificada estivesse desativado, sugerindo uma campanha em desenvolvimento ativo ou cautela operacional deliberada.
O Python também é uma camuflagem conveniente. Muitos sistemas de segurança corporativos o incluem em sua lista de aplicativos confiáveis que têm permissão para acessar a Internet sem fiscalização. Um processo Python enviando dados para fora pode parecer, à primeira vista, um desenvolvedor executando um script de rotina. Detectar esse tipo de atividade normalmente requer monitoramento baseado em comportamento, em vez de varredura de assinatura de arquivo, tornando-o mais difícil de detectar para a maioria das ferramentas de segurança.
A ClickFix continua evoluindo
As campanhas ClickFix continuam evoluindo porque o truque principal contorna completamente as defesas técnicas. A vítima executa o comando malicioso por conta própria.
No início deste ano cobrimos como os invasores mudaram do PowerShell para nslookup depois que os softwares de segurança começaram a detectar a técnica original. Essa campanha aborda o mesmo problema de um ângulo diferente: em vez de mudar a forma como o malware é distribuído, ela tenta garantir que nenhum arquivo estável seja deixado para trás.
A porta dos fundos recebe instruções dinamicamente, em vez de armazená-las no disco, e a carga útil pode variar para cada vítima. Sem um arquivo consistente para analisar, a detecção tradicional de assinatura de arquivo tem muito menos com que trabalhar.
Como se manter seguro
Aqui estão alguns conselhos gerais da ClickFix que devem ajudá-lo a evitar ser vítima:
- Vá com calma. Não seapresse em seguir as instruções de uma página da web ou prompt, especialmente se elas solicitarem que você execute comandos no seu dispositivo ou copie e cole códigos. Os invasores contam com a urgência para contornar seu pensamento crítico, portanto, tenha cuidado com páginas que exigem ação imediata. Páginas sofisticadas do ClickFix adicionam contagens regressivas, contadores de usuários ou outras táticas de pressão para fazer você agir rapidamente.
- Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
- Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
- Proteja seus dispositivos. Useumasolução antimalwareatualizada e em tempo real com um componente de proteção da web.
- Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue lendo nosso blog!
Dica profissional:você sabia que o Malwarebytes gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?
Se você acha que foi afetado
No entanto, se você já passou desse ponto e suspeita dessa campanha específica, aqui está o que você deve verificar.
- Veja o interior
%LOCALAPPDATA%\Programs\Python\para uma pasta chamada Python3133 que você não instalou. Esse é o tempo de execução Python do malware. - Aberto
%TEMP%e procure um arquivo chamado temp_settings. Sua presença é o marcador de rastreamento que esta campanha deixa para trás. - Abra o Gerenciador de Tarefas, vá para a guia Inicialização e procure por
pythonw.exefugindo de umAppDataouProgram Files\Python3133localização. - Altere as senhas de contas importantes a partir de um dispositivo limpo e revogue as sessões ativas sempre que possível.
Indicadores de Compromisso (IOCs)
Domínios
• temucoin[.]lat
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
