Todos nós já passámos por aquele momento irritante de ter de clicar em semáforos ou passadeiras para provar que "não somos um robô". É uma chatice necessária, mas geralmente inofensiva. No entanto, uma nova campanha de ataques informáticos está a transformar esta verificação de segurança numa porta de entrada para um pesadelo digital, utilizando ferramentas legítimas do próprio sistema operativo para contornar as defesas.
O método, conhecido como "ClickFix", evoluiu e agora recorre a scripts de virtualização da Microsoft para instalar o malware "Amatera", capaz de limpar as tuas credenciais e dados de navegação num piscar de olhos.
Um truque de magia com scripts oficiais
O ataque começa de forma comum: o utilizador encontra um site que pede uma verificação humana (o tal CAPTCHA). A diferença é que, em vez de clicar em imagens, a página instrui a vítima a copiar um comando e a colá-lo manualmente na janela "Executar" do Windows. Pode parecer um procedimento técnico estranho, mas muitos utilizadores acabam por fazê-lo na esperança de aceder ao conteúdo desejado.
O que torna esta campanha particularmente perigosa é o que acontece a seguir. O comando colado não é um vírus óbvio, mas sim uma ordem que abusa de um componente legítimo do Windows: o Microsoft Application Virtualization (App-V). Mais especificamente, os atacantes utilizam o script SyncAppvPublishingServer.vbs, uma ferramenta usada por empresas para gerir aplicações virtuais.
Ao utilizar este ficheiro assinado e confiável da Microsoft, os criminosos conseguem executar comandos PowerShell maliciosos sem disparar os alarmes dos antivírus tradicionais. É a chamada técnica "living-off-the-land", onde se usam as próprias "armas" do sistema contra ele mesmo.
Google Calendar e imagens PNG como cúmplices
A sofisticação do malware Amatera não se fica pela forma como entra. Uma vez executado, o script faz uma verificação de segurança para garantir que não está a ser analisado por investigadores ou num ambiente de teste (sandbox). Se detetar que está a ser observado, o ataque "adormece" propositadamente para desperdiçar recursos de análise.
Se o caminho estiver livre, o malware vai buscar as suas configurações a um local improvável: um evento num ficheiro público do Google Calendar. Esta tática ajuda a esconder o tráfego malicioso, uma vez que as ligações aos servidores da Google raramente são bloqueadas.
Para piorar a situação, as "cargas" adicionais do vírus são descarregadas sob a forma de imagens PNG, alojadas em redes de distribuição de conteúdos públicas. Através de esteganografia, o código malicioso está escondido dentro dos píxeis destas imagens, sendo depois descodificado e executado diretamente na memória do computador.
Segundo a análise detalhada da BlackPoint Cyber, o objetivo final é instalar o infostealer Amatera. Este malware recolhe silenciosamente dados do navegador, palavras-passe e outras informações sensíveis, enviando tudo para os atacantes.
A recomendação é clara e urgente: nunca copies e coles comandos na janela "Executar" ou no terminal do Windows a pedido de um site, por mais legítimo que o aviso de verificação pareça. Se um CAPTCHA te pedir para fazerres trabalho de técnico informático, fecha a janela imediatamente.
Nenhum comentário
Seja o primeiro!