A Fascinante Batalha entre ClickFix e Downloads Tradicionais na Distribuição de Malware
Você já se perguntou como os cibercriminosos espalham seus malwares? Eles estão sempre inovando, buscando novas formas de nos enganar. Recentemente, uma campanha de malware chamou a atenção por usar duas técnicas distintas: o “ClickFix” e os downloads tradicionais. Vamos explorar essa campanha e entender como ela funciona.
A Campanha Maliciosa: Uma Análise Detalhada
Essa campanha, que distribuiu o malware DarkGate, utilizou anúncios maliciosos do Google para atrair vítimas. A estratégia era simples, mas eficaz: explorar a popularidade do aplicativo Notion. Mas o que realmente diferenciava essa campanha era a alternância entre duas táticas de distribuição: ClickFix e downloads tradicionais.
ClickFix: A Engenharia Social em Ação
O ClickFix é uma técnica que usa páginas falsas de verificação, como CAPTCHAs, para enganar o usuário. A vítima é instruída a copiar e colar um código para prosseguir. Esse código, na verdade, é um comando malicioso que instala o malware. Nessa campanha, a página de verificação imitava o Cloudflare Turnstile, uma ferramenta real de segurança. Essa imitação aumentava a credibilidade do golpe, fazendo com que a vítima confiasse na página.
Após a verificação falsa, novas instruções apareciam, induzindo a vítima a pressionar combinações de teclas. A combinação Windows + R abre a caixa “Executar”, enquanto Ctrl + V cola o conteúdo da área de transferência. Ao pressionar Enter, o comando malicioso era executado. O código copiado era um comando PowerShell disfarçado. Esse comando buscava um código codificado em Base64, que, por sua vez, baixava um arquivo binário. Esse arquivo continha um script AutoIt que executava o malware DarkGate.
Downloads Tradicionais: O Método Clássico
A segunda técnica utilizada foi o download tradicional de um executável. Nesse caso, o anúncio malicioso redirecionava a vítima para uma página falsa, semelhante à do Notion, onde era oferecido um instalador. Esse arquivo executável, embora parecesse legítimo, continha o mesmo malware DarkGate. Interessantemente, o arquivo malicioso estava hospedado no GitHub, em um perfil que já havia distribuído outros malwares.
Por que Duas Técnicas?
A utilização de duas técnicas de distribuição levanta uma questão interessante: por quê? A resposta mais provável é que os criminosos estavam testando qual método era mais eficaz. Ao comparar os resultados de cada técnica, eles podem determinar qual gera mais instalações de malware. Acreditamos que o ClickFix pode estar se mostrando mais eficiente, explorando a engenharia social e a curiosidade das vítimas.
Conclusão
Essa campanha de malware nos mostra como os cibercriminosos estão sempre buscando novas formas de nos atacar. A alternância entre ClickFix e downloads tradicionais demonstra a adaptabilidade e a constante evolução das táticas de ataque. Ficar atento e desconfiar de páginas de verificação incomuns e downloads de fontes desconhecidas é crucial para se proteger. A educação e a conscientização continuam sendo as melhores armas contra o malware.
Compartilhe suas experiências e deixe seu comentário abaixo!
Fonte: Malwarebytes
