Já abordámos as campanhas ClickFix anteriormente: os CAPTCHAs falsos, as Windows falsas Windows , o truque de fazer com que as vítimas colassem comandos maliciosos nas suas próprias máquinas. Agora, identificámos uma campanha que utiliza os passos iniciais observados nos ataques ClickFix, mas o que acontece a seguir é suficientemente diferente para justificar uma análise mais aprofundada.
Começa com um site falso convincente que promove um airdrop de $TEMU, uma criptomoeda fabricada que usa o nome da conhecida plataforma de compras TEMU. Termina com um backdoor de acesso remoto que se comunica com os seus operadores e executa instruções transmitidas pela Internet em vez de as armazenar localmente, tornando muito mais difícil a deteção por ferramentas antivírus tradicionais.
Mesmo início, jogo diferente
Se já leu a nossa cobertura anterior sobre o ClickFix, sabe como funciona: uma página da Web que parece uma verificação de segurança, instruções para pressionar Win+R e colar algo, e o utilizador acaba executando um comando malicioso no seu próprio sistema.
O atrativo desta campanha é um site falso bem elaborado que imita um airdrop da criptomoeda $TEMU.«Descubra o airdrop exclusivo da $TEMU», anuncia , com um logótipo e uma barra de navegação projetados para parecerem um projeto de criptomoeda legítimo. Essa moeda não existe. O site existe apenas para fazer com que os visitantes cliquem numa caixa de seleção falsa«Não sou um robô».
Ao clicar nele, é exibida uma janela modal intitulada«Conclua estas etapas de verificação», que orienta a vítima a abrir uma janela do prompt de comando usando Win+R, pressionar Ctrl+V para colar o conteúdo da área de transferência e pressionar Enter.
Para quem hesitar, há um botão«Instruções em vídeo»que expande uma gravação de ecrã incorporada, demonstrando cada tecla pressionada em sequência. É, na verdade, um tutorial ao estilo de um serviço de assistência, que orienta as vítimas na execução do comando dos atacantes. Na parte inferior do modal, um emblema reCAPTCHA falso exibe«ID de verificação: 4963», dando a impressão de ser uma verificação de segurança legítima. O que diferencia esta campanha é tudo o que acontece depois que a tecla Enter é pressionada.
Primeiro, o malware identifica o host
No início da cadeia de infeção, o carregador recolhe informações básicas do anfitrião e envia-as para o servidor de comando. A carga útil devolvida pelo servidor já contém um identificador único atribuído à máquina vítima. Na fase PowerShell descodificada, isto aparece como uma variável, tal como $machine_id, que está incorporado diretamente no script entregue ao sistema infetado.
A incorporação de um identificador único na carga útil retornada permite que os atacantes rastreiem infecções individuais a partir do momento em que uma máquina faz o primeiro check-in. Como esse identificador é inserido no script antes de chegar à vítima, o servidor pode gerar cargas úteis ligeiramente diferentes para sistemas diferentes.
Isso é mais importante do que parece. As empresas de segurança mantêm bases de dados partilhadas de ficheiros conhecidos como maliciosos. Quando um ficheiro malicioso é identificado, a sua impressão digital pode ser adicionada a essas bases de dados em poucas horas. Se os atacantes gerarem versões ligeiramente diferentes de uma carga útil para vítimas diferentes, a detecção tradicional baseada em hash de ficheiros torna-se muito menos eficaz, pois não há uma assinatura de ficheiro única para os defensores bloquearem.
Um hóspede sem janelas
Com a criação do perfil concluída, a campanha implementa o seu backdoor usando um runtime Python integrado. Esta é a mesma linguagem de programação usada diariamente por milhões de programadores e estudantes. Ela chega de forma independente, não precisa de permissões de administrador e normalmente não aparece como um aplicativo instalado tradicional. A versão que realmente é executada é chamada pythonw.exe, onde o «w» significa «sem janelas». Sem consola, sem som e sem nada na barra de tarefas.
As campanhas ClickFix anteriores baseadas em Python que foram documentadas entregavam um ficheiro Python estático que executava uma tarefa fixa. Esta campanha parece adotar uma abordagem diferente. Cada vez que o processo oculto verifica o servidor, ele recupera um novo trecho de código Python e o executa diretamente na memória, em vez de armazená-lo como um script persistente no disco.
Essa arquitetura permite que os invasores alterem o comportamento do malware simplesmente modificando o código fornecido pelo servidor. Vítimas diferentes podem receber instruções diferentes, e a funcionalidade da infecção pode ser alterada sem atualizar nada que já esteja presente na máquina comprometida.
O que eles podem fazer com uma porta aberta
Como o servidor pode enviar qualquer código Python que desejar, as capacidades dos invasores são determinadas em grande parte pelo código que o servidor de comando fornece. Em campanhas que utilizam backdoors semelhantes, observou-se que os invasores roubavam credenciais de navegador e cookies de sessão, registavam teclas digitadas, capturavam imagens de ecrã e utilizavam o ponto de apoio para aceder a outras máquinas na mesma rede. A campanha também incluía infraestrutura para notificar os invasores via Telegram no momento em que uma nova vítima fosse identificada — embora um sinalizador de depuração na carga decodificada estivesse desativado, sugerindo uma campanha em desenvolvimento ativo ou cautela operacional deliberada.
O Python também é uma boa forma de camuflagem. Muitos sistemas de segurança corporativos incluem-no na sua lista de aplicações confiáveis que têm permissão para acessar a Internet sem escrutínio. Um processo Python enviando dados para fora pode parecer, à primeira vista, um programador executando um script de rotina. Detectar esse tipo de atividade normalmente requer monitoramento baseado em comportamento, em vez de verificação de assinatura de arquivo, tornando-o mais difícil de detectar para a maioria das ferramentas de segurança.
A ClickFix continua a evoluir
As campanhas ClickFix continuam a evoluir porque o truque principal contorna completamente as defesas técnicas. A vítima executa o comando malicioso por conta própria.
No início deste ano cobrimos como os invasores mudaram do PowerShell para nslookup depois que os softwares de segurança começaram a detectar a técnica original. Esta campanha aborda o mesmo problema de um ângulo diferente: em vez de alterar a forma como o malware é distribuído, ela tenta garantir que nenhum ficheiro estável seja deixado para trás.
A porta traseira recebe instruções dinamicamente, em vez de as armazenar no disco, e a carga útil pode variar para cada vítima. Sem um ficheiro consistente para analisar, a detecção tradicional de assinaturas de ficheiros tem muito menos com que trabalhar.
Como se manter seguro
Aqui estão alguns conselhos gerais da ClickFix que devem ajudá-lo a evitar ser vítima:
- Vá com calma. Não seapresse em seguir as instruções de uma página da Web ou prompt, especialmente se elas solicitarem que execute comandos no seu dispositivo ou copie e cole códigos. Os invasores contam com a urgência para contornar o seu pensamento crítico, portanto, tenha cuidado com páginas que exigem ação imediata. Páginas sofisticadas do ClickFix adicionam contagens regressivas, contadores de utilizadores ou outras táticas de pressão para fazer com que você aja rapidamente.
- Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contacto com o suporte antes de prosseguir.
- Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
- Proteja os seus dispositivos. Utilizeumasolução antimalwareatualizada e em tempo real com um componente de proteção da Web.
- Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue a ler o nosso blog!
Dica profissional:sabia que o programa gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?
Se você acha que foi afetado
No entanto, se já passou esse ponto e suspeita desta campanha específica, eis o que deve verificar.
- Veja o interior
%LOCALAPPDATA%\Programs\Python\para uma pasta chamada Python3133 que não instalou. Esse é o ambiente de execução Python do malware. - Aberto
%TEMP%e procure um ficheiro chamado temp_settings. A sua presença é o marcador de rastreamento que esta campanha deixa para trás. - Abra o Gestor de Tarefas, vá para o separador Inicialização e procure por
pythonw.exefugindo de umAppDataouProgram Files\Python3133localização. - Altere as palavras-passe de contas importantes a partir de um dispositivo limpo e revogue sessões ativas sempre que possível.
Indicadores de compromisso (IOCs)
Domínios
• temucoin[.]lat
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
