Um investigador de cibersegurança desenvolveu uma nova e perigosa variante de um ataque de engenharia social que transforma o familiar Explorador de Ficheiros do Windows numa ferramenta para executar comandos maliciosos. Batizado de FileFix, este método promete ser mais subtil e eficaz a enganar até os utilizadores mais atentos.
O que é o ClickFix? O ataque original
Para perceber o FileFix, é preciso primeiro conhecer o seu antecessor, o ClickFix. Este é um tipo de ataque baseado no navegador de internet, onde os criminosos criam uma página falsa, muitas vezes disfarçada de um CAPTCHA ou de uma mensagem de erro. A página instrui o utilizador a clicar num botão para "corrigir o problema".
Ao clicar, um comando malicioso é copiado para a área de transferência do Windows. De seguida, a vítima é levada a abrir uma janela de comandos (como o PowerShell, através do atalho Win+R) e a colar o código, infetando assim o seu próprio sistema sem se aperceber do perigo.
FileFix: a evolução que usa o Explorador de Ficheiros
O investigador, conhecido como mr.d0x, descobriu uma forma de tornar este ataque ainda mais credível, trocando a intimidante janela de comandos pelo ambiente familiar do Explorador de Ficheiros. Uma vez que o Explorador de Ficheiros também consegue executar comandos do sistema diretamente a partir da sua barra de endereço, a nova abordagem torna-se assustadoramente plausível.
O ataque FileFix funciona da seguinte forma:
A vítima recebe um link para uma página de phishing, que pode aparentar ser uma notificação a informar que um ficheiro foi partilhado consigo.
A página solicita que o utilizador cole um caminho de ficheiro no Explorador de Ficheiros para aceder ao mesmo.
Um botão "Abrir Explorador de Ficheiros" na página, quando clicado, abre o explorador e copia o comando malicioso para a área de transferência.
A grande astúcia deste método está na forma como o comando é escondido. O código malicioso é concatenado com um caminho de ficheiro falso, que funciona como um comentário. Assim, quando o utilizador cola o texto na barra de endereço do Explorador, apenas vê o caminho do ficheiro falso, enquanto o comando perigoso permanece oculto, mas é executado em segundo plano.
O investigador pensou até em evitar que os utilizadores selecionem acidentalmente um ficheiro, o que poderia quebrar a ilusão. O código da página de phishing interceta a ação de seleção de ficheiros e limpa-a imediatamente, podendo mostrar um alerta para que a vítima tente seguir as instruções novamente.
Um perigo real com potencial de ser adotado por hackers
Ataques do tipo ClickFix já provaram a sua eficácia no passado, tendo sido utilizados em ataques de ransomware e até por grupos de hackers patrocinados por estados. O grupo norte-coreano 'Kimsuky', por exemplo, já usou elementos desta técnica. Noutra campanha observada pela Microsoft, cibercriminosos fizeram-se passar pelo Booking.com para infetar os sistemas de funcionários de hotéis com software malicioso.
O FileFix representa um aperfeiçoamento significativo, ao mover a execução do ataque para um ambiente que a maioria dos utilizadores considera seguro e inofensivo. O próprio mr.d0x afirmou que acredita que, devido à sua simplicidade e ao uso de uma ferramenta tão conhecida do Windows, o seu método FileFix será rapidamente adotado por cibercriminosos.
Nenhum comentário
Seja o primeiro!