Uma nova variante de um ataque de engenharia social, conhecido como FileFix, está a utilizar uma técnica engenhosa chamada "contrabando de cache" para descarregar ficheiros ZIP maliciosos para o sistema da vítima de forma furtiva, contornando o software de segurança. A nova campanha de phishing foi inicialmente identificada pelo investigador de cibersegurança P4nd3m1cb0y, que partilhou os detalhes na rede social X.
Numa análise mais aprofundada da empresa de cibersegurança Expel, o investigador Marcus Hutchins detalhou o funcionamento deste perigoso método. Os ataques FileFix são uma evolução do ataque ClickFix, que engana os utilizadores para que colem comandos maliciosos na barra de endereços do Explorador de Ficheiros do Windows, executando assim scripts PowerShell de forma oculta.
Como funciona o novo ataque
Nesta nova campanha, os atacantes fazem-se passar por um "Verificador de Conformidade de VPN da Fortinet". Uma página web maliciosa instrui a vítima a copiar o que parece ser um caminho de rede legítimo para um programa da Fortinet.
Embora o texto visível seja algo como \\Public\Support\VPN\ForticlientCompliance.exe, o que é realmente copiado para a área de transferência é um comando muito mais longo, preenchido com 139 espaços para esconder um script PowerShell. Devido a este preenchimento, quando o utilizador cola o texto na barra de endereços do Explorador de Ficheiros, apenas o caminho inofensivo é visível.
No entanto, ao pressionar Enter, o Windows executa o comando PowerShell oculto sem que o utilizador se aperceba. Este script copia ficheiros da cache do Chrome para uma nova pasta e extrai um arquivo ComplianceChecker.zip, executando de seguida o conteúdo malicioso.
A técnica do 'contrabando de cache'
A grande novidade deste ataque é a forma como o ficheiro malicioso chega ao computador. Antes de o utilizador colar qualquer comando, a própria página de phishing instrui o navegador a descarregar o que aparenta ser uma imagem jpeg. O navegador, ao identificar o ficheiro como uma imagem, guarda-o automaticamente na sua cache no disco.
O problema é que este ficheiro não é uma imagem, mas sim o arquivo ZIP malicioso disfarçado. Assim, quando o script PowerShell é executado, não precisa de descarregar nada da internet — o ficheiro já está no sistema, escondido na cache do navegador.
"Esta técnica, conhecida como contrabando de cache, permite que o malware contorne muitos tipos diferentes de produtos de segurança", explica Hutchins. "Como resultado, qualquer ferramenta que analise ficheiros descarregados ou procure por scripts PowerShell a realizar pedidos web não detetaria este comportamento."
Criação de ataques automatizada
Para agravar a situação, investigadores da Palo Alto Unit 42 descobriram um novo kit chamado "IUAM ClickFix Generator", que automatiza a criação destas páginas de phishing. A ferramenta permite que os cibercriminosos configurem facilmente páginas falsas, personalizem os textos e definam os payloads maliciosos.
As campanhas observadas utilizavam maioritariamente falsos captchas da Cloudflare para enganar as vítimas, infetando os seus sistemas com malware ladrão de informação como o DeerStealer (Windows) e o Odyssey (Mac).
Face à crescente popularidade destes métodos, é crucial que os utilizadores estejam alerta. A regra de ouro é simples: nunca copie texto de um site desconhecido para o colar em qualquer caixa de diálogo do seu sistema operativo, seja a Linha de Comandos, o Executar ou a barra de endereços do Explorador de Ficheiros.
Nenhum comentário
Seja o primeiro!