VOLTAR ÀS NOTÍCIAS
Última Hora

Campanha ClickFix Explora Windows App-V para Implantar o Infostealer Amatera

4 min de leituraFonte: BleepingComputer

Pesquisadores descobrem campanha maliciosa que combina a técnica ClickFix, CAPTCHAs falsos e scripts assinados do Microsoft App-V para disseminar o infostealer Amatera em sistemas Windows.

Cadeia de Ataque ClickFix Explora Windows App-V para Disseminar o Infostealer Amatera

Pesquisadores de segurança descobriram uma nova campanha maliciosa que combina a técnica ClickFix, prompts falsos de CAPTCHA e um script assinado do Microsoft Application Virtualization (App-V) para implantar o infostealer Amatera em sistemas Windows. O ataque destaca táticas em evolução para burlar controles de segurança e evitar detecção.

Visão Geral do Ataque e Detalhes Técnicos

A campanha começa quando usuários encontram sites maliciosos ou malvertising que acionam um prompt falso de verificação CAPTCHA. Quando as vítimas interagem com o CAPTCHA, a cadeia de ataque é iniciada, aproveitando o ClickFix — um método que abusa de injeção de HTML para manipular cliques do usuário e executar scripts maliciosos.

Os criminosos exploram o Microsoft App-V, uma tecnologia legítima de virtualização de aplicativos, usando um script assinado do App-V para executar comandos arbitrários. Essa técnica permite que os atacantes burlem restrições de segurança, já que scripts do App-V são inerentemente confiáveis pelos sistemas Windows. A carga final, Amatera, é um infostealer projetado para exfiltrar dados sensíveis, incluindo credenciais, cookies de navegadores e informações de carteiras de criptomoedas.

Os principais componentes técnicos do ataque incluem:

  • Prompts falsos de CAPTCHA para enganar usuários e iniciar o ataque.
  • Injeção de HTML via ClickFix para manipular interações do usuário.
  • Scripts assinados do App-V para executar comandos maliciosos com confiança elevada.
  • Infostealer Amatera para exfiltração de dados e persistência.

Impacto e Avaliação de Risco

O infostealer Amatera representa riscos significativos para indivíduos e organizações. Uma vez implantado, o malware pode:

  • Coletar credenciais de login, cookies de navegadores e dados de preenchimento automático.
  • Roubar informações de carteiras de criptomoedas e outros detalhes financeiros.
  • Estabelecer persistência em sistemas infectados, permitindo o roubo de dados a longo prazo.

O uso de scripts assinados do App-V complica a detecção, já que esses scripts são tipicamente incluídos em whitelists por soluções de segurança. Esta campanha reforça a necessidade de monitoramento robusto de ferramentas de virtualização de aplicativos e execução de scripts iniciados pelo usuário.

Mitigação e Recomendações

As equipes de segurança devem implementar as seguintes medidas para mitigar os riscos associados a esta campanha:

  1. Monitorar e Restringir a Execução de Scripts do App-V

    • Auditar e restringir a execução de scripts assinados do App-V apenas a fontes confiáveis.
    • Implementar whitelisting de aplicativos para evitar a execução não autorizada de scripts.

  2. Aumentar a Conscientização dos Usuários

    • Treinar funcionários para reconhecer prompts falsos de CAPTCHA e interações suspeitas na web.
    • Incentivar a notificação de pop-ups ou solicitações de verificação incomuns.

  3. Implementar Detecção Avançada de Ameaças

    • Utilizar soluções de endpoint detection and response (EDR) para monitorar execuções anômalas de scripts.
    • Implementar análise comportamental para detectar atividades de infostealers, como exfiltração não autorizada de dados.

  4. Atualizar e Aplicar Patches nos Sistemas

    • Garantir que todos os sistemas Windows e ferramentas de virtualização estejam atualizados com os últimos patches de segurança.
    • Desativar ou restringir o App-V se não for necessário para as operações comerciais.

  5. Proteções em Nível de Rede

    • Bloquear domínios maliciosos conhecidos associados ao Amatera e a infostealers similares.
    • Implementar filtragem web para impedir o acesso a sites de malvertising e phishing.

Conclusão

Esta campanha demonstra a sofisticação das ameaças cibernéticas modernas, combinando engenharia social, abuso de ferramentas legítimas e implantação de malware em uma única cadeia de ataque. As organizações devem adotar uma abordagem de segurança em múltiplas camadas para detectar e mitigar tais ameaças de forma eficaz. Vigilância, educação dos usuários e monitoramento proativo são essenciais para se defender contra essas táticas em evolução.

Compartilhar

TwitterLinkedIn