Pesquisadores do Malwarebytes revelaram como cibercriminosos têm utilizado uma técnica psicológica para distribuir malwares por meio de verificação de CAPTCHA. Essa série de ataques está relacionada ao ClickFix e afeta milhares de aparelhos, com a capacidade de roubar senhas, desativar antivírus e dar controle total dos aparelhos aos invasores.
O ClickFix é um tipo de metodologia de golpe muito popular nos últimos anos, conhecido pelo seu forte apelo de engenharia social para enganar as vítimas. O objetivo é mirar no comportamento humano, ou seja, usar métodos para entrar na mente da vítima e induzi-la a realizar algum processo que dê acesso para os criminosos.
Nossos vídeos em destaque
A tática consiste em criar páginas falsas na internet que imitam perfeitamente serviços de segurança confiáveis, como o Google ou a Cloudflare. Ao acessar os sites, as vítimas se deparam com aquelas mensagens de confirmação tipo CAPTCHA. Frases como “prove que você é humano” são utilizadas para enganar.

Para resolver este problema, a página mostra um botão de “copiar e colar”, seguido por instruções para o usuário abrir ferramentas de comando do Windows, como o PowerShell. A ideia é que a vítima copie e cole aquele comando e vá até esse PowerShell para colar o código, iniciando o processo de infecção.
O problema em cair nessa armadilha, é que a vítima acaba colocando um ladrão de dados em seu próprio computador. Dessa forma, o malware pode roubar senhas salvas em navegadores da internet, credenciais de cartões de crédito, chaves e saldos de carteiras de criptomoedas, sessões ativas de login, etc.
Por trás do ClickFix
Golpes do ClickFix são muito simples ao olhar pelo contexto geral, mas escondem peças de uma engenharia ilícita. A primeira dessas engrenagens nocivas é o código de copia e cola que será inserido no Windows. Essa é uma linha de código que deixa todo o sistema da vítima suscetível para receber um malware.
Ao ser inserido, o código acessa secretamente um link na internet e baixa um código para ser executado imediatamente em uma pasta. Nesta pasta, o comando instala um script disfarçado de um software legítimo chamado de Franz, feito para gerenciar mensagens. É esse Franz modificado que se conecta a um servidor externo para baixar o ResiLoader.
O Resiloader é um carregador apelidado pelos pesquisadores que se esconde no Franz e utiliza uma técnica chamada de BYOVD. Essa técnica consiste em instalar um arquivo legítimo da empresa OPSWAT, mas com falhas ou já defasado. Como o app possui brechas, o malware instalado força o encerramento de mais de 140 processos de antivírus e deixa o PC indefeso.
)
Para finalizar, depois de vasculhar o PC e remover suas defesas, esse vírus se esconde em um processo legítimo chamado de “ServiceModelReg.exe” enquanto rouba dados sem ninguém saber.
Uma curiosidade sobre esse golpe é um sistema de direcionamento de tráfego utilizado pelos cibercriminosos. O sistema identifica o dispositivo do usuário: se for um PC com Windows, ele envia o vírus adequado, mas se for Android ou Mac, o golpe ou o vírus podem mudar.
Como se proteger
O ClickFix é um golpe com origens muito simples, então a forma de conseguir se proteger desse ataque é igualmente tranquila. A recomendação é nunca copiar e colar conteúdos para acessar algum site ou consertar algum problema do computador. Nenhum site legítimo exige abrir o PowerShell para qualquer coisa.
Golpistas utilizam contadores de tempo e alertas para fazer você agir por impulso. A tática dos criminosos é criar o máximo de um sensor de urgência para te convencer. Sempre pense duas vezes e desconfie daquilo que é solicitado na página acessada e não faça nada por impulso.
Também é muito importante que você ative a autenticação em duas etapas (MFA) para seus aplicativos, contas e redes sociais para evitar o comprometimento dessas contas.
Por falar em roubo de dados, um novo Cavalo de Troia consegue acessar computadores e utilizar o copia e cola para alterar o destino das transferências bancárias. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
)
)
)
)
)
)
)