Hackers aprenderam a infiltrar-se em PCs através de uma tela falsa do Windows Update.

Os cibercriminosos há muito tempo utilizam engenharia social e tecnologias avançadas — agora, eles enganam os usuários com mensagens falsas de “Atualização do Windows” em uma página do navegador em tela cheia, escondendo códigos maliciosos em imagens. Usando um ataque chamado ClickFix, os hackers convencem os usuários a colar códigos ou comandos na caixa de diálogo Executar, que é acionada pressionando Win+R, instalando malware no sistema.

Fonte da imagem: unsplash.com

Este ataque é amplamente utilizado por cibercriminosos de todos os níveis devido à sua alta eficácia e está em constante evolução, oferecendo iscas cada vez mais sofisticadas e enganosas. Desde 1º de outubro, pesquisadores têm observado ataques ClickFix que, sob o pretexto de instalar uma atualização crítica de segurança do Windows, injetam malware no sistema.

A página falsa de atualização induz as vítimas a pressionar teclas em uma sequência específica, o que abre uma janela Executar, cola e executa os comandos do atacante, copiados automaticamente para a área de transferência pelo JavaScript em execução no site. Isso instala o LummaC2 e o Rhadamanthys, um malware para roubo de informações pessoais, no computador da vítima.

Fonte da imagem: BleepingComputer

Em uma das intrusões, os hackers usaram uma página de verificação e, na outra, uma tela falsa do Windows Update. No entanto, em ambos os casos, os atacantes usaram esteganografia para codificar a carga maliciosa final dentro de uma imagem.

A esteganografia é um método de transmissão de informações ocultando sua existência. Foi descrita pela primeira vez em 1499 em um tratado intitulado “Steganographia”, disfarçado de livro mágico. Ao contrário da criptografia, que criptografa uma mensagem, a esteganografia oculta sua própria existência. Na esteganografia moderna, as informações são incorporadas em uma imagem, arquivo de mídia ou qualquer outro tipo de dado.

“Em vez de simplesmente adicionar dados maliciosos a um arquivo, o código malicioso é codificado diretamente nos dados de pixel de imagens PNG, usando canais de cores específicos para reconstruir e descriptografar a carga maliciosa na memória”, explicam pesquisadores da Huntress, provedora de serviços de segurança gerenciados.

O código malicioso é entregue usando o arquivo de sistema legítimo mshta.exe, que faz parte do sistema operacional Windows. Hackers usam essa ferramenta para executar código JavaScript malicioso. Todo o processo envolve várias etapas que utilizam o shell de comando do PowerShell e o assembly .NET Stego Loader, responsável por extrair o código malicioso incorporado no arquivo PNG por meio de esteganografia.

Os recursos do manifesto do Stego Loader contêm um bloco de dados criptografado com AES contendo o código para o shell de comando do PowerShell. Esse código, que contém o malware, é extraído da imagem criptografada e…é empacotado usando a ferramenta Donut, que permite executar arquivos VBScript, JScript, EXE, DLL e assemblies .NET na memória.

Fonte da imagem: Huntress

Pesquisadores da Huntress observaram que os atacantes usaram uma tática de evasão dinâmica, comumente chamada de ctrampoline, para reforçar a segurança do código. Essa tática consiste em realizar 10.000 chamadas de função vazias no ponto de entrada antes da execução do código.

De acordo com a Huntress, em 13 de novembro, como resultado da Operação Endgame das autoridades policiais, a infraestrutura dos atacantes foi parcialmente destruída e o malware deixou de ser distribuído para domínios falsificados do Windows Update, embora alguns deles ainda estejam ativos.

Para se proteger contra ataques como o ClickFix, os pesquisadores recomendam desativar a caixa de diálogo Executar no Windows e monitorar cadeias de processos suspeitas, como o explorer.exe executando o mshta.exe ou o PowerShell. Além disso, ao investigar um incidente de segurança cibernética, os analistas podem verificar a chave de registro RunMRU para ver se comandos foram inseridos na caixa de diálogo Executar.