Especialistas em segurança descobriram uma nova operação de malware que aproveita alertas de erro enganosos do Google Chrome, Microsoft Phrase e OneDrive para persuadir os usuários a executar scripts maliciosos do PowerShell. Esta operação envolve vários grupos de ameaças, incluindo aqueles por trás de ClearFake, ClickFix e TA571, todos conhecidos por disseminar extensos e-mails de spam que geralmente culminam em ataques de malware ou ransomware.
Técnicas Avançadas de Engenharia Social
Os agentes da ameaça empregam JavaScript em anexos HTML e websites sequestrados para gerar notificações de erro falsas. Esses alertas solicitam que os usuários copiem um comando de “correção” do PowerShell e o executem em um immediate do PowerShell ou usando a caixa de diálogo Executar. O script libera o cache DNS, limpa os dados da área de transferência, exibe uma mensagem falsa e baixa outro script do PowerShell com verificações anti-VM antes de buscar um ladrão de informações.
A Proofpoint, uma organização de segurança cibernética, observa que, apesar de exigir uma ação significativa do usuário, os métodos de engenharia social dos invasores são sofisticados o suficiente para convencer os usuários de que estão resolvendo problemas legítimos.
Campanha ClearFake
Desde abril, a operação ClearFake vem sequestrando websites autênticos com HTML e JavaScript prejudiciais. As vítimas que visitam esses websites são solicitadas a instalar um “certificado raiz” para visualizar o web site corretamente. Eles são instruídos a copiar um script do PowerShell e executá-lo manualmente em seus sistemas.
O script executa diversas ações, como liberar o cache DNS, apagar dados da área de transferência, mostrar uma mensagem falsa e baixar um script remoto do PowerShell. Este script executa comandos adicionais, incluindo a busca de um script do PowerShell criptografado por AES que extrai e executa arquivos de um arquivo ZIP. O arquivo ZIP hospeda vários arquivos executáveis legítimos que carregam uma DLL trojanizada, ativando posteriormente o Lumma Stealer.
Campanha ClickFix
Em meados de abril, ocorreu a operação ClickFix usando websites comprometidos para exibir um iframe com um alerta falso sobre um problema de atualização do navegador. Os usuários foram direcionados para abrir “Home windows PowerShell (Administrador)”E cole um código fornecido, executando um script remoto do PowerShell que buscou e executou o Vidar Stealer, um malware que tem como alvo informações pessoais e dados de carteiras de criptomoedas no ambiente comprometido. O domínio que atende a carga foi colocado off-line brand após a descoberta, interrompendo a campanha temporariamente.
Campanha TA571
O TA571 foi observado pela primeira vez utilizando esta abordagem em 1º de março de 2024, enviando mais de 100.000 mensagens para várias organizações. A campanha usou anexos HTML que imitavam documentos do Microsoft Phrase, com avisos de erro solicitando aos usuários que executassem comandos do PowerShell, levando à instalação de malware como DarkGate e Matanbuchus.
Em 27 de maio de 2024, o TA571 usou anexos HTML que imitavam documentos hospedados no OneDrive, direcionando os usuários a executar scripts do PowerShell, instalando assim o malware DarkGate. O grupo também foi visto usando a caixa de diálogo Executar em vez do terminal PowerShell, orientando os usuários a executar scripts maliciosos, resultando em infecções por DarkGate e NetSupport RAT.
