Os pesquisadores de segurança cibernética do McAfee Labs identificaram uma campanha generalizada de malware chamada ClickFix, que usa páginas CAPTCHA falsas para infectar os PCs dos usuários com o vírus Lumma Stealer. O ataque tem alcance global, usa técnicas de engenharia social e tem como alvo principal jogadores que procuram jogos hackeados piratas e usuários do GitHub.
Fonte da imagem: Pixabay
O malware se espalha de duas maneiras principais. No primeiro cenário, os usuários que procuram jogos piratas ou hackeados são redirecionados para páginas falsas de CAPTCHA. O segundo cenário utiliza e-mails de phishing que imitam uma mensagem do GitHub com informações sobre problemas de segurança supostamente identificados nos projetos do usuário. Esses e-mails também contêm um link para uma página com um CAPTCHA falso.
Quando os usuários interagem com essas páginas, o script malicioso é copiado secretamente para a área de transferência do seu PC e as “instruções de verificação” os convencem a executar o script para execução. Ao fazer isso, ClickFix usa várias maneiras inteligentes de evitar a detecção: múltiplas camadas de criptografia, o uso de uma ferramenta do Windows chamada mshta.exe para executar código oculto e comandos do PowerShell criptografados em AES usados para baixar e instalar o Lumma Stealer.
Fonte da imagem: Game Science/McAfee
A análise da McAfee mostra que o malware normalmente é armazenado na pasta temporária do usuário, um local que costuma ser esquecido nas verificações de segurança. A empresa já implementou medidas de proteção, incluindo o bloqueio de URLs de páginas CAPTCHA falsas conhecidas e o monitoramento do uso não padrão de mshta.exe.
Para reduzir os riscos, os especialistas desaconselham o download de software crackeado ou pirateado e recomendam que os usuários tenham cuidado com e-mails indesejados, mesmo aqueles que parecem vir de fontes confiáveis. Scripts desconhecidos não devem ser copiados e colados, e o software de segurança deve ser mantido atualizado.
A disseminação de malware demonstra uma mudança nas táticas dos cibercriminosos. Eles exploram o comportamento padrão do usuário e a confiança em elementos familiares da web, como a validação CAPTCHA. A vigilância e a formação constantes são fundamentais para manter a segurança cibernética à medida que as ameaças se tornam mais sofisticadas.