Resumo
- O falso Windows Update ou captcha em tela cheia engana os usuários para que colem e executem comandos do invasor.
- O malware é armazenado esteganograficamente em pixels PNG; um .NET Stego Loader extrai, descriptografa e executa na memória.
- Truque da área de transferência faz vítimas colarem comandos; O carregador baixa a imagem e executa 10.000 funções vazias para evitar a análise.
Os ataques de engenharia social provavelmente ainda estão entre as formas mais utilizadas para infectar um computador ou roubar os dados de alguém. Um ataque de engenharia social bem executado pode ter consequências bastante desagradáveis. Este envolve até uma tela falsa do Windows Update para resumir as coisas.
Pesquisadores de segurança cibernética descobriram uma evolução sofisticada nos ataques de engenharia social “ClickFix”, onde os agentes de ameaças agora combinam animações falsas e realistas do Windows Update com técnicas avançadas de engenharia social para comprometer os sistemas. Caso você não saiba o que é um ataque ClickFix, seu objetivo é induzir o usuário a realizar uma ação que o software de segurança normalmente bloqueia quando executada automaticamente.
Nessas novas variantes, as vítimas encontram páginas do navegador em tela cheia que imitam uma atualização crítica de segurança do Windows ou um captcha de “verificação humana”. A página instrui o usuário a pressionar uma sequência específica de teclas para resolver um erro ou verificar sua identidade. Sem o conhecimento do usuário, o JavaScript em execução no site malicioso já copiou um comando malicioso para a área de transferência. Quando o usuário segue as instruções de pressionamento de tecla (geralmente envolvendo colar na caixa Executar do Windows ou no Prompt de Comando), ele executa inadvertidamente o código do invasor.
Na verdade, é muito inteligente e é por isso que é assustador. O que diferencia esta campanha específica é o uso de esteganografia para ocultar a carga do malware. Em vez de baixar um arquivo malicioso reconhecível, os invasores escondem o código dentro dos dados de pixel das imagens PNG. Os pesquisadores da Huntress explicaram que o código malicioso é codificado diretamente em canais de cores específicos da imagem. Para um observador casual ou para uma verificação de segurança básica, o arquivo parece ser uma imagem inofensiva. No entanto, a cadeia de ataque inclui um assembly .NET conhecido como “Stego Loader”. Este carregador é responsável por analisar a imagem, extrair a carga criptografada dos pixels e descriptografá-la na memória.
A maneira como isso funciona é visitar um site que exibe um erro falso de tela inteira, como um Windows Update travado ou uma verificação “verifique se você é humano”. Os scripts em segundo plano do site copiam secretamente o código malicioso para a área de transferência do seu computador. A tela instrui você a abrir o prompt “Executar” do Windows e colar o texto para “corrigir” o problema e, ao pressionar “enter”, o comando baixa um arquivo de imagem aparentemente inofensivo, que na verdade contém o malware que é então descriptografado pelo Stego Loader. A função de ponto de entrada inicia chamadas para 10.000 funções vazias para esgotar ou confundir as ferramentas de análise antes de executar a carga real.
Você ou eu provavelmente não seríamos vítimas disso. Mas pense numa pessoa idosa que pode ser enganada por isto – talvez clicando no link errado online. Um desastre esperando para acontecer. Para evitar isso, você pode desativar a caixa Executar no PC do seu avô, mas não há muito mais que você possa fazer.
Fonte: Computador Bleeping
