ClickFix | Captchas falsos levam usuários a baixar malware de acesso remoto

A equipe de segurança da Microsoft publicou um relatório detalhado do ataque hacker de engenharia social ClickFix, que faz usuários executarem comandos no computador levando à invasão da máquina. O truque vem disfarçado de CAPTCHA, a “verificação de humanidade” feita para garantir que você não é um programa automatizado, mas, ao invés de digitar textos pouco legíveis ou marcar quadrados, são pedidos vários passos diferentes.

• O que é CAPTCHA e reCAPTCHA?
• Como o ChatGPT mentiu para convencer um humano a trabalhar para ele

No processo, a vítima deve apertar as teclas Windows + R e, então, ctrl + V e enter, o que faz abrir o “Executar” do computador (ou prompt de execução), colar o que os cibercriminosos fizeram o usuário copiar via e-mail ou outros meios e executar o código.

Isso gera diversos problemas de segurança, desde permissão de acesso remoto ao PC a roubo de credenciais como senhas e dados de cartões de crédito.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

ClickFix e os malwares

De acordo com os especialistas da Microsoft, a técnica de engenharia social do ClickFix chegou a afetar milhares de empresas e usuários todos os dias, crescendo em popularidade. Um uso recente que ganhou notoriedade foi em uma campanha hacker contra usuários do Booking.com, onde e-mails de reclamações falsos traziam o CAPTCHA malicioso.

Como o truque precisa de interação da vítima para instalar os arquivos maliciosos, campanhas do tipo contornam soluções de segurança convencionais e automáticas.

O que o malware instala no computador do usuário varia, indo do Lumma Stealer (que rouba dados, especialmente de cartões de crédito) a Xworm, AsyncRAT e SectopRAT, trojans que permitem o acesso remoto de criminosos. A maioria não chega a instalar arquivos no PC, mas funciona diretamente na memória, o que também ajuda a evadir antivírus comuns.

Um exemplo de ataque citado no relatório da empresa ocorreu em organizações governamentais, financeiras e do transporte em Portugal, onde o ClickFix tentou instalar um ladrão de informações chamado Lampion. Nesse caso, curiosamente o arquivo transmitido estava com o comando de download comentado no código, o que quer dizer que não conseguiu baixar o malware.

Algumas variantes do ClickFix não usam CAPTCHA, preferindo se disfarçar da página de erro do Google Chrome ou a mensagem de erro de uma extensão faltante no Word Online, da Microsoft. Uma tentativa de apelo de outros públicos foi identificada na imitação de canais do Discord, visando uma população mais jovem.

Quanto à proteção dos usuários, a Microsoft acredita que a solução esteja primeiramente na conscientização sobre os golpes — quanto mais soubermos sobre seu funcionamento, melhor. A empresa também busca otimizar os filtros de e-mail para diminuir cada vez mais as tentativas de phishing que chegam à caixa de entrada. Também é recomendado que páginas que pedem para rodar plugins do Adobe Flash sejam bloqueadas, já que o software foi descontinuada há quatro anos, portanto a mensagem é provavelmente malware.

Leia também:

• Nova tecnologia da Cloudflare quer acabar com os testes CAPTCHA em navegadores
• Cloudflare testa sistema para acabar com verificação por Captcha
• 6 vezes em que o ChatGPT foi bizarramente assustador

VÍDEO | "Não sou um robô": Como FUNCIONA o CAPTCHA

Fonte: Microsoft