top of page
Buscar

Páginas Falsas do Google Meet Facilitam Roubo de Dados na Campanha ClickFix

  • Foto do escritor: Diego Arantes
    Diego Arantes
  • 22 de out. de 2024
  • 3 min de leitura

Uma nova ameaça cibernética, envolvendo o uso de páginas falsas do Google Meet, tem facilitado o roubo de dados por meio de uma campanha de malware denominada ClickFix. Essa campanha é baseada em táticas de engenharia social e tem como alvo sistemas Windows e macOS, distribuindo diferentes tipos de malwares, como infostealers, botnets e ferramentas de acesso remoto.

1. Sumário Executivo

Pesquisadores de segurança identificaram essa ameaça em maio de 2024, quando a campanha ClickFix começou a se popularizar. A tática utilizada envolve o uso de páginas falsas que se passam por serviços conhecidos, como o Google Meet, enganando usuários para que executem códigos maliciosos, geralmente via PowerShell.

Os criminosos têm utilizado mensagens de erro falsas nos navegadores, o que leva os usuários a copiar e colar códigos maliciosos que infectam os sistemas. Essa campanha está associada a diversos grupos de crimes cibernéticos, incluindo Slavic Nation Empire (SNE) e Scamquerteo, que já eram conhecidos por fraudes relacionadas a criptomoedas.


2. Informações Sobre a Ameaça

A técnica ClickFix foi amplamente usada em campanhas de phishing por e-mail, utilizando arquivos HTML disfarçados como documentos legítimos de Word. Quando o arquivo é aberto, uma janela de erro é exibida, incentivando o usuário a resolver o "problema" por meio da execução de scripts, que na verdade instalam malware no sistema.

As cargas maliciosas identificadas incluem malware como Matanbuchus, DarkGate e NetSupport RAT, amplamente utilizados para roubo de informações e controle remoto de dispositivos infectados. Nos últimos meses, o ClickFix se tornou ainda mais sofisticado, visando principalmente setores verticais como transporte e logística na América do Norte. Além disso, desenvolvedores de software também foram alvos, através de falsos alertas de vulnerabilidades no GitHub, que espalharam o malware Lumma Stealer.


2.1 Páginas Falsas do Google Meet

A campanha usa páginas que imitam o Google Meet para enganar usuários. Quando o botão "Tentar consertar" é clicado em uma dessas páginas, o arquivo Launcher_v1.94.dmg é baixado, contendo o malware AMOS Stealer. Esse malware tem a capacidade de se comunicar com um servidor C2 (comando e controle), permitindo que os atacantes obtenham acesso aos sistemas infectados e roubem dados sensíveis.


2.2 Infraestrutura de Distribuição de Malware

A infraestrutura utilizada para distribuir esses malwares envolve domínios comprometidos e endereços IP suspeitos, como carolinejuskus[.]com e googiedrivers[.]com. Esses domínios foram identificados pela Sekoia, que monitora ativamente as campanhas de malware associadas ao ClickFix. A distribuição dos malwares ocorre através de redirecionamentos automáticos para os usuários que acessam esses sites falsos.


3. Recomendações

Para mitigar os riscos e evitar a infecção, as seguintes medidas de segurança são recomendadas:

  • Desconfie de mensagens suspeitas: Não clique em links ou abra anexos de e-mails não solicitados ou de remetentes desconhecidos.

  • Verifique URLs: Antes de clicar em qualquer link, passe o mouse sobre ele para verificar se o endereço é legítimo. Sites falsos frequentemente imitam endereços reais.

  • Use software de segurança: Instale e mantenha atualizados softwares antivírus e soluções de EDR (Endpoint Detection and Response).

  • Atualize seus sistemas: Certifique-se de que o sistema operacional e todos os softwares estejam com os patches de segurança mais recentes.

  • Educação e conscientização: Treine funcionários e usuários para reconhecer e evitar ataques de phishing e engenharia social.

  • Desative macros e scripts: Configure programas para desativar macros e scripts por padrão, a menos que sejam absolutamente necessários.

  • Monitoramento contínuo: Use ferramentas de monitoramento de rede para detectar atividades suspeitas.


4. Indicadores de Comprometimento (IoC)

Vários Indicadores de Comprometimento (IoCs) foram identificados para auxiliar na detecção das campanhas ClickFix, incluindo endereços IP, domínios e hashes de arquivos maliciosos. Alguns dos IoCs detectados são:

  • Domínios:

    • hxxps://meet[.]google[.]com-join[.]us/wmq-qcdn-orj

    • hxxps://googiedrivers[.]com

  • IPs:

    • 77.221.157[.]170

    • 85.209.11[.]155

  • Hashes:

    • SHA256: 94379fa0a97cc2ecd8d5514d0b46c65b0d46ff9bb8d5a4a29cf55a473da550d5 (AMOS Stealer)


5. Conclusão

A campanha ClickFix, que utiliza páginas falsas do Google Meet, demonstra como ataques de engenharia social continuam sendo uma tática eficaz para criminosos cibernéticos. Esses ataques, voltados tanto para usuários comuns quanto para setores específicos, como transporte e desenvolvimento de software, são uma ameaça real e crescente.

As organizações e usuários devem permanecer vigilantes, seguindo as recomendações de segurança e adotando medidas proativas de proteção para mitigar os riscos apresentados por essas campanhas.


Referências:



 
 
 

Comments

Contate-nos

Obrigado(a)

Logo DMZ CAST
bottom of page