Os agentes de ameaças estão aproveitando páginas falsas do Google Meet como parte de uma campanha contínua de malware apelidada ClickFix para fornecer infostealers direcionados aos sistemas Home windows e macOS.
“Essa tática envolve a exibição de mensagens de erro falsas em navegadores da net para enganar os usuários, fazendo-os copiar e executar um determinado código malicioso do PowerShell, infectando finalmente seus sistemas”, disse a empresa francesa de segurança cibernética Sekoia em um relatório compartilhado com o The Hacker Information.
Variações da campanha ClickFix (também conhecida como ClearFake e OneDrive Pastejacking) foram amplamente divulgadas nos últimos meses, com agentes de ameaças empregando diferentes iscas para redirecionar os usuários para páginas falsas que visam implantar malware, incitando os visitantes do web site a executar um código PowerShell codificado para resolver um problema. suposto problema com a exibição de conteúdo no navegador da net.
Essas páginas são conhecidas por se disfarçarem de serviços on-line populares, incluindo Fb, Google Chrome, PDFSimpli e reCAPTCHA, e agora Google Meet, bem como potencialmente Zoom –
- meet.google.us-join(.)com
- meet.googie.com-join(.)nós
- conheça.google.com-join(.)nós
- meet.google.web-join(.)com
- meet.google.webjoining(.)com
- conheça.google.cdm-join(.)nós
- meet.google.us07host(.)com
- googiedrivers(.)com
- us01web-zoom(.)nós
- us002webzoom(.)nós
- web05-zoom(.)nós
- webroom-zoom(.)nós
No Home windows, a cadeia de ataque culmina na implantação dos ladrões StealC e Rhadamanthys, enquanto os usuários do Apple macOS recebem um arquivo de imagem de disco com armadilha (“Launcher_v1.94.dmg”) que descarta outro ladrão conhecido como Atomic.
Essa tática emergente de engenharia social é notável pelo fato de evitar habilmente a detecção por ferramentas de segurança, pois envolve os usuários executando manualmente o comando malicioso do PowerShell diretamente no terminal, em vez de ser invocado automaticamente por uma carga baixada e executada por eles.
Sekoia atribuiu o cluster que se faz passar pelo Google Meet a dois grupos de traficantes, nomeadamente Slavic Nation Empire (também conhecido como Slavice Nation Land) e Scamquerteo, que são subequipes dentro de markopolo e CryptoLove, respectivamente.
“Ambas as equipes de traficantes (…) usam o mesmo modelo ClickFix que representa o Google Meet”, disse Sekoia. “Essa descoberta sugere que essas equipes compartilham materiais, também conhecidos como ‘projeto de pouso’, bem como infraestrutura”.
Isto, por sua vez, levantou a possibilidade de ambos os grupos de ameaças estarem a utilizar o mesmo serviço de crime cibernético, ainda desconhecido, com um terceiro provavelmente a gerir a sua infra-estrutura.
O desenvolvimento ocorre em meio ao surgimento de campanhas de malware que distribuem o ladrão de código aberto ThunderKitty, que compartilha sobreposições com Skuld e Kematian Stealer, bem como novas famílias de ladrões chamadas Reveal, DedSec (também conhecido como Doenerium), Duck, Vilsa e Yunit.
“A ascensão dos infostealers de código aberto representa uma mudança significativa no mundo das ameaças cibernéticas”, observou a empresa de segurança cibernética Hudson Rock em julho de 2024.
“Ao reduzir a barreira de entrada e promover a inovação rápida, estas ferramentas poderão alimentar uma nova onda de infecções informáticas, colocando desafios aos profissionais de segurança cibernética e aumentando o risco international para empresas e indivíduos”.