ClickFix | Captchas falsos levam usuários a baixar malware de acesso remoto

ClickFix | Captchas falsos levam usuários a baixar malware de acesso remoto – Canaltech

A equipe de segurança da Microsoft publicou um relatório detalhado do ataque hacker de engenharia social ClickFix, que faz usuários executarem comandos no computador levando à invasão da máquina. O truque vem disfarçado de CAPTCHA, a “verificação de humanidade” feita para garantir que você não é um programa automatizado, mas, ao invés de digitar textos pouco legíveis ou marcar quadrados, são pedidos vários passos diferentes.

No processo, a vítima deve apertar as teclas Windows + R e, então, ctrl + V e enter, o que faz abrir o “Executar” do computador (ou prompt de execução), colar o que os cibercriminosos fizeram o usuário copiar via e-mail ou outros meios e executar o código.

Isso gera diversos problemas de segurança, desde permissão de acesso remoto ao PC a roubo de credenciais como senhas e dados de cartões de crédito.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

ClickFix e os malwares

De acordo com os especialistas da Microsoft, a técnica de engenharia social do ClickFix chegou a afetar milhares de empresas e usuários todos os dias, crescendo em popularidade. Um uso recente que ganhou notoriedade foi em uma campanha hacker contra usuários do Booking.com, onde e-mails de reclamações falsos traziam o CAPTCHA malicioso.

Como o truque precisa de interação da vítima para instalar os arquivos maliciosos, campanhas do tipo contornam soluções de segurança convencionais e automáticas.

Os CAPTCHAS costumam pedir que o usuário identifique corretamente elementos diversos ou realize tarefas que só humanos conseguem, visando evitar bots (Imagem: Reprodução/Google Security Blog)

O que o malware instala no computador do usuário varia, indo do Lumma Stealer (que rouba dados, especialmente de cartões de crédito) a Xworm, AsyncRAT e SectopRAT, trojans que permitem o acesso remoto de criminosos. A maioria não chega a instalar arquivos no PC, mas funciona diretamente na memória, o que também ajuda a evadir antivírus comuns.

Um exemplo de ataque citado no relatório da empresa ocorreu em organizações governamentais, financeiras e do transporte em Portugal, onde o ClickFix tentou instalar um ladrão de informações chamado Lampion. Nesse caso, curiosamente o arquivo transmitido estava com o comando de download comentado no código, o que quer dizer que não conseguiu baixar o malware.

Algumas variantes do ClickFix não usam CAPTCHA, preferindo se disfarçar da página de erro do Google Chrome ou a mensagem de erro de uma extensão faltante no Word Online, da Microsoft. Uma tentativa de apelo de outros públicos foi identificada na imitação de canais do Discord, visando uma população mais jovem.

Quanto à proteção dos usuários, a Microsoft acredita que a solução esteja primeiramente na conscientização sobre os golpes — quanto mais soubermos sobre seu funcionamento, melhor. A empresa também busca otimizar os filtros de e-mail para diminuir cada vez mais as tentativas de phishing que chegam à caixa de entrada. Também é recomendado que páginas que pedem para rodar plugins do Adobe Flash sejam bloqueadas, já que o software foi descontinuada há quatro anos, portanto a mensagem é provavelmente malware.