A Microsoft Threat Intelligence destacou a adoção crescente da técnica de engenharia social Clickfix, um método sofisticado que manipula os usuários a executar comandos maliciosos em seus dispositivos, ignorando as defesas de segurança automatizadas tradicionais.
Observado desde o início de 2024, essa tática tem como alvo milhares de sistemas empresariais e de usuários finais diariamente, fornecendo cargas úteis como LUMMA ladrão Infotealers, Trojans de acesso remoto (ratos) como Xworm e Asyncrat, carregadeiras, incluindo Latrodectus e Rootkits com base no código de código aberto R77 modificado.
Ao explorar as inclinações dos usuários para resolver pequenas falhas técnicas, como verificações falsas de captcha ou instruções de erro, o Clickfix se integra a compromissos de phishing, malvertismo e drive-by, muitas vezes representando marcas confiáveis para corroer a suspeita.
A cadeia de ataques normalmente inicia por meio de páginas de destino enganosas que instruem as vítimas a copiar e colar comandos ofuscados na caixa de diálogo Run Windows (Win + R), Terminal do Windows ou PowerShell, levando a injeção de malware sem arquivo em binários de Living-Off-the-Land (lolbins) como msbuild.exe ou reghasm.exe.
Notas da Microsoft Que essas cargas úteis frequentemente operam na memória como conjuntos .NET ou módulos comuns de tempo de execução de idiomas (CLR), permitindo persistência furtiva, exfiltração de dados e movimento lateral.
Um estudo de caso notável envolve a campanha de malware da Lampion, ativa desde maio de 2025, que tem como alvo setores como governo e finanças em vários países por meio de e-mails de phishing contendo redirecionamentos de HTML com arco postal para sites de autoridade tributária falsificada.
Esta infecção em vários estágios downloads ofuscou os vbscripts, agenda tarefas para reconhecimento e evasão antivírus e culmina em roubo de credencial bancário, embora algumas instâncias não entreguem a carga útil final devido ao código comentado.
Evolução da plataforma cruzada
A adaptabilidade da técnica se estende além do Windows, com campanhas desde o final de maio de 2025, direcionando os usuários do MACOS para implantar o ladrão de macos atômicos (AMOS), que colhe biscoitos, senhas e senhas e carteiras de criptomoeda.
Nesses cenários, as iscas imitam serviços como o Spectrum, levando os usuários a executar scripts bash que capturam senhas do sistema por meio de autenticação DSCL e ignoram o MacOS quarentena com os comandos XATTR.
Os atores de ameaças aprimoram a evasão por meio de ofuscação JavaScript, carregamento de código remoto de servidores díspares e táticas da linha de comando, como a codificação Base64, concatenação de string, caracteres escapados e execuções de lolbin aninhadas (por exemplo, invasões de cmd.exe repospadas).
Os vetores de chegada incluem phishing com anexos de HTML ou URLs roteados através de sistemas de direção de tráfego (TDS) como Prometheus, malvertrização em sites de streaming pirateados que renomeam scripts HTA para extensões de mídia (.mp3, .mp4) e drive-by compra de sites de wordpress sites de esparramadas em nuvem.
A Microsoft identifica os atores da série de tempestades (por exemplo, Storm-1607, Storm-0426) como autores-chave, com campanhas representando entidades como a Administração de Seguro Social dos EUA para instalar ferramentas como Screenconnect para controle remoto.
Os mercados underground oferecem kits Clickfix por US $ 200 a US $ 1.500 mensalmente, com iscas personalizáveis, desvio de detecção de VM e evasão da UAC.
Para combater isso, a Microsoft recomenda a educação do usuário sobre engenharia social, permitindo que os recursos do defensor XDR, como a digitalização da AMSI para scripts do PowerShell e HTA, proteção de rede para bloquear os domínios C2 e atacar regras de redução de superfície para restringir a execução do script ofuscado.
As detecções abrangem alivados do Microsoft Defender Antivirus (por exemplo, Comportamento: Win32/Clickfix) e alertas de endpoint para obter entradas suspeitas de registro Runmru.
Indicadores de compromisso (IOCs)
| Indicador | Tipo | Descrição |
|---|---|---|
| Mein-Lonos-cloude[.]de | Domínio | Página de destino clickfix para MintsLoader |
| Derko-Meru[.]on-line | Domínio | MintsLoader c2 |
| Tesra[.]comprar | Domínio | LUMMA Ladrão Malvertising |
| CQSF[.]ao vivo | Domínio | Latrodectus drive-by |
| Access-Ssa-Gov[.]es | Domínio | Página de destino da SSA Phishing |
| Binancepizza[.]informações | Domínio | Página geral de pouso clickfix |
| espectro do painel[.]líquido | Domínio | Página de destino da campanha de Amos |
| 185.234.72[.]186 | IP | Obscuro#bat c2 |
| 45.94.31[.]176 | IP | Obscuro#bat c2 |
| 3.138.123[.]13 | IP | Campanha Lampion |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!