Campanha usa CAPTCHA falso e script do Microsoft App-V para roubar dados
Por Jaqueline Sousa • Editado por Jones Oliveira |
Uma campanha recente, descoberta por pesquisadores da BlackPoint, usa o método de ataque ClickFix para explorar scripts do Microsoft Application Virtualization (App-V) e distribuir malware.
- Hackers norte-coreanos espalham backdoor em PowerShell gerado por IA
- Microsoft alerta para erro de programação que congela o Outlook no iOS
Segundo a análise, o caso conta também com um CAPTCHA falso para iniciar um ataque que resulta na instalação de um infostealer no dispositivo da vítima batizado de “Amatera”. Dessa forma, os hackers conseguem obter acesso ao sistema visado para coletar informações sensíveis do usuário, assim como dados do navegador.
A operação preocupa especialistas pela evolução do Amatera, que parece estar se tornando mais sofisticado a cada nova atualização.
Combinação maliciosa
Conforme observado pelos pesquisadores, a campanha conta com um script do tipo living off-the-land, que não traz um arquivo propriamente dito para infectar o sistema. O que ocorre é uma intermediação entre a execução do PowerShell e um componente confiável da Microsoft para camuflar a atividade maliciosa.
Basicamente, tudo começa quando o usuário entra em contato com uma falsa verificação humana via CAPTCHA que o instrui a colar e executar manualmente um comando por meio do recurso de “Executar” do Windows. Esse comando explora um script legítimo do App-V da Microsoft chamado “SyncAppvPublishingServer.vbs”, que é usado para publicar e gerenciar aplicativos empresariais virtuais.
Uma vez que o comando verifica se a execução do script ocorreu conforme o esperado, o malware chega para recuperar dados de configuração de um arquivo do Google Agenda, que contém informações codificadas em Base64. Depois disso, inicia-se um processo oculto do PowerShell que desencadeia uma série de ataques ao sistema que são carregados diretamente na memória do dispositivo para o infostealer ser devidamente instalado.
Diante da ameaça, os especialistas recomendam que os usuários restrinjam o acesso à caixa de “Executar” do Windows, removendo componentes do App-V quando não forem necessários.
Leia também:
- 1Password vai avisar clientes sobre sites suspeitos de phishing com pop-up
- ShinyHunters assume autoria de invasões hacker por logins únicos Microsoft, Okta
- Nova campanha de ransomware e RAT possui diversos estágios e tem combate difícil
Fonte: Bleeping Computer