📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft divulgou detalhes de uma nova versão da tática de engenharia social ClickFix, na qual os invasores enganam usuários desavisados para que executem comandos que realizam uma pesquisa no Sistema de Nomes de Domínio (DNS) para recuperar a carga útil do próximo estágio.
Especificamente, o ataque depende do uso do comando “nslookup” (abreviação de pesquisa de servidor de nomes) para executar uma pesquisa de DNS personalizada acionada por meio da caixa de diálogo Executar do Windows.
ClickFix é uma técnica cada vez mais popular que é tradicionalmente entregue por meio de esquemas de phishing, malvertising ou download drive-by, muitas vezes redirecionando os alvos para páginas de destino falsas que hospedam verificações CAPTCHA falsas ou instruções para resolver um problema inexistente em seus computadores executando um comando por meio da caixa de diálogo Executar do Windows ou do aplicativo macOS Terminal.
O método de ataque tornou-se difundido nos últimos dois anos, uma vez que depende de as vítimas infectarem as suas próprias máquinas com malware, permitindo assim que os agentes da ameaça contornem os controlos de segurança. A eficácia do ClickFix foi tal que gerou diversas variantes, como FileFix, JackFix, ConsentFix, CrashFix e GlitchFix.
"No último teste baseado em DNS usando ClickFix, o comando inicial é executado por meio de cmd.exe e executa uma pesquisa de DNS em um servidor DNS externo codificado, em vez do resolvedor padrão do sistema", disse a equipe do Microsoft Threat Intelligence em uma série de postagens no X. "A saída é filtrada para extrair a resposta DNS `Nome:`, que é executada como a carga útil do segundo estágio."
A Microsoft disse que esta nova variação do ClickFix usa DNS como um “canal leve de teste ou sinalização”, permitindo que o agente da ameaça alcance a infraestrutura sob seu controle, bem como crie uma nova camada de validação antes de executar a carga útil do segundo estágio.
“Usar o DNS dessa forma reduz a dependência de solicitações tradicionais da Web e pode ajudar a misturar atividades maliciosas com o tráfego normal da rede”, acrescentou o fabricante do Windows.
A carga baixada subsequentemente inicia uma cadeia de ataque que leva ao download de um arquivo ZIP de um servidor externo ("azwsappdev[.]com"), do qual um script Python malicioso é extraído e executado para realizar o reconhecimento, executar comandos de descoberta e descartar um Script Visual Basic (VBScript) responsável por lançar o ModeloRAT, um trojan de acesso remoto baseado em Python anteriormente distribuído através do CrashFix.
Para estabelecer a persistência, um arquivo de atalho do Windows (LNK) apontando para o VBScript é criado na pasta de inicialização do Windows para que o malware seja iniciado automaticamente sempre que o sistema operacional for iniciado.
A divulgação ocorre no momento em que o Bitdefender alerta sobre um aumento na atividade do Lumma Stealer, impulsionado por campanhas CAPTCHA falsas no estilo ClickFix que implantam uma versão AutoIt do CastleLoader, um carregador de malware associado a um ator de ameaça de codinome GrayBravo (anteriormente TAG-150).
CastleLoader incorpora verificações para determinar a presença de software de virtualização e programas de segurança específicos antes de descriptografar e lançar o malware ladrão na memória. Fora do ClickFix, sites que anunciam software crackeado e filmes piratas servem como isca para cadeias de ataque baseadas no CastleLoader, enganando os usuários para que baixem instaladores não autorizados ou executáveis disfarçados de arquivos de mídia MP4.
Outras campanhas do CastleLoader também aproveitaram sites que prometem downloads de software crackeado como ponto de partida para distribuir um instalador NSIS falso que também executa scripts VBA ofuscados antes de executar o script AutoIt que carrega o Lumma Stealer. O carregador VBA foi projetado para executar tarefas agendadas responsáveis por garantir a persistência.
“Apesar dos esforços significativos de interrupção da aplicação da lei em 2025, as operações do Lumma Stealer continuaram, demonstrando resiliência ao migrar rapidamente para novos provedores de hospedagem e adaptar carregadores e técnicas de entrega alternativas”, disse a empresa romena de segurança cibernética. “No centro de muitas dessas campanhas está o CastleLoader, que desempenha um papel central em ajudar o LummaStealer a se espalhar pelas cadeias de entrega.”
Curiosamente, um dos domínios na infraestrutura do CastleLoader (“testdomain123123[.]shop”) foi sinalizado como um comando e controle do Lumma Stealer (C2), indicando que os operadores das duas famílias de malware estão trabalhando juntos ou compartilhando provedores de serviços. A maioria das infecções por Lumma Stealer foi registrada na Índia, seguida pela França, EUA, Espanha, Alemanha, Brasil, México, Romênia, Itália e Canadá.
“A eficácia do ClickFix reside no abuso da confiança processual, e não nas vulnerabilidades técnicas”, disse Bitdefender. “As instruções se assemelham a etapas de solução de problemas ou soluções alternativas de verificação que os usuários podem ter encontrado anteriormente. Como resultado, as vítimas muitas vezes não conseguem reconhecer que estão executando manualmente código arbitrário em seu próprio sistema”.
CastleLoader é n
Especificamente, o ataque depende do uso do comando “nslookup” (abreviação de pesquisa de servidor de nomes) para executar uma pesquisa de DNS personalizada acionada por meio da caixa de diálogo Executar do Windows.
ClickFix é uma técnica cada vez mais popular que é tradicionalmente entregue por meio de esquemas de phishing, malvertising ou download drive-by, muitas vezes redirecionando os alvos para páginas de destino falsas que hospedam verificações CAPTCHA falsas ou instruções para resolver um problema inexistente em seus computadores executando um comando por meio da caixa de diálogo Executar do Windows ou do aplicativo macOS Terminal.
O método de ataque tornou-se difundido nos últimos dois anos, uma vez que depende de as vítimas infectarem as suas próprias máquinas com malware, permitindo assim que os agentes da ameaça contornem os controlos de segurança. A eficácia do ClickFix foi tal que gerou diversas variantes, como FileFix, JackFix, ConsentFix, CrashFix e GlitchFix.
"No último teste baseado em DNS usando ClickFix, o comando inicial é executado por meio de cmd.exe e executa uma pesquisa de DNS em um servidor DNS externo codificado, em vez do resolvedor padrão do sistema", disse a equipe do Microsoft Threat Intelligence em uma série de postagens no X. "A saída é filtrada para extrair a resposta DNS `Nome:`, que é executada como a carga útil do segundo estágio."
A Microsoft disse que esta nova variação do ClickFix usa DNS como um “canal leve de teste ou sinalização”, permitindo que o agente da ameaça alcance a infraestrutura sob seu controle, bem como crie uma nova camada de validação antes de executar a carga útil do segundo estágio.
“Usar o DNS dessa forma reduz a dependência de solicitações tradicionais da Web e pode ajudar a misturar atividades maliciosas com o tráfego normal da rede”, acrescentou o fabricante do Windows.
A carga baixada subsequentemente inicia uma cadeia de ataque que leva ao download de um arquivo ZIP de um servidor externo ("azwsappdev[.]com"), do qual um script Python malicioso é extraído e executado para realizar o reconhecimento, executar comandos de descoberta e descartar um Script Visual Basic (VBScript) responsável por lançar o ModeloRAT, um trojan de acesso remoto baseado em Python anteriormente distribuído através do CrashFix.
Para estabelecer a persistência, um arquivo de atalho do Windows (LNK) apontando para o VBScript é criado na pasta de inicialização do Windows para que o malware seja iniciado automaticamente sempre que o sistema operacional for iniciado.
A divulgação ocorre no momento em que o Bitdefender alerta sobre um aumento na atividade do Lumma Stealer, impulsionado por campanhas CAPTCHA falsas no estilo ClickFix que implantam uma versão AutoIt do CastleLoader, um carregador de malware associado a um ator de ameaça de codinome GrayBravo (anteriormente TAG-150).
CastleLoader incorpora verificações para determinar a presença de software de virtualização e programas de segurança específicos antes de descriptografar e lançar o malware ladrão na memória. Fora do ClickFix, sites que anunciam software crackeado e filmes piratas servem como isca para cadeias de ataque baseadas no CastleLoader, enganando os usuários para que baixem instaladores não autorizados ou executáveis disfarçados de arquivos de mídia MP4.
Outras campanhas do CastleLoader também aproveitaram sites que prometem downloads de software crackeado como ponto de partida para distribuir um instalador NSIS falso que também executa scripts VBA ofuscados antes de executar o script AutoIt que carrega o Lumma Stealer. O carregador VBA foi projetado para executar tarefas agendadas responsáveis por garantir a persistência.
“Apesar dos esforços significativos de interrupção da aplicação da lei em 2025, as operações do Lumma Stealer continuaram, demonstrando resiliência ao migrar rapidamente para novos provedores de hospedagem e adaptar carregadores e técnicas de entrega alternativas”, disse a empresa romena de segurança cibernética. “No centro de muitas dessas campanhas está o CastleLoader, que desempenha um papel central em ajudar o LummaStealer a se espalhar pelas cadeias de entrega.”
Curiosamente, um dos domínios na infraestrutura do CastleLoader (“testdomain123123[.]shop”) foi sinalizado como um comando e controle do Lumma Stealer (C2), indicando que os operadores das duas famílias de malware estão trabalhando juntos ou compartilhando provedores de serviços. A maioria das infecções por Lumma Stealer foi registrada na Índia, seguida pela França, EUA, Espanha, Alemanha, Brasil, México, Romênia, Itália e Canadá.
“A eficácia do ClickFix reside no abuso da confiança processual, e não nas vulnerabilidades técnicas”, disse Bitdefender. “As instruções se assemelham a etapas de solução de problemas ou soluções alternativas de verificação que os usuários podem ter encontrado anteriormente. Como resultado, as vítimas muitas vezes não conseguem reconhecer que estão executando manualmente código arbitrário em seu próprio sistema”.
CastleLoader é n
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #divulga #ataque #clickfix #baseado #em #dns #usando #nslookup #para #teste #de #malware
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário