🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças agora estão abusando de consultas DNS como parte dos ataques de engenharia social ClickFix para entregar malware, tornando este o primeiro uso conhecido de DNS como canal nessas campanhas.
Os ataques ClickFix normalmente induzem os usuários a executar manualmente comandos maliciosos sob o pretexto de corrigir erros, instalar atualizações ou ativar funcionalidades.
No entanto, esta nova variante utiliza uma nova técnica na qual um servidor DNS controlado pelo invasor entrega a carga de segundo estágio por meio de pesquisas de DNS.
Consultas DNS entregam um script malicioso do PowerShell
Em uma nova campanha ClickFix vista pela Microsoft, as vítimas são instruídas a executar o comando nslookup que consulta um servidor DNS controlado pelo invasor em vez do servidor DNS padrão do sistema.
O comando retorna uma consulta contendo um script malicioso do PowerShell que é então executado no dispositivo para instalar malware.
“Pesquisadores do Microsoft Defender observaram invasores usando outra abordagem de evasão para a técnica ClickFix: pedir aos alvos para executar um comando que executa uma pesquisa DNS personalizada e analisa a resposta Nome: para receber a carga útil do próximo estágio para execução”, diz uma postagem X da Microsoft Threat Intelligence.
Embora não esteja claro qual é a isca para induzir os usuários a executar o comando, a Microsoft diz que o ataque ClickFix instrui os usuários a executar o comando na caixa de diálogo Executar do Windows.
Este comando emitirá uma pesquisa de DNS para o nome de host "example.com" no servidor DNS do autor da ameaça em 84[.]21.189[.]20 e, em seguida, executará a resposta resultante por meio do interpretador de comandos do Windows (cmd.exe).
Essa resposta DNS retorna um campo "NAME:" que contém a segunda carga do PowerShell executada no dispositivo.
Resposta de consulta DNS contendo o segundo comando do PowerShell para execuçãoFonte: Microsoft
Embora esse servidor não esteja mais disponível, a Microsoft afirma que o comando PowerShell de segundo estágio baixou malware adicional da infraestrutura controlada pelo invasor.
Em última análise, esse ataque baixa um arquivo ZIP contendo um executável de tempo de execução do Python e scripts maliciosos que realizam o reconhecimento no dispositivo e no domínio infectados.
O ataque então estabelece persistência criando %APPDATA%\WPy64-31401\python\script.vbs e um atalho %STARTUP%\MonitoringService.lnk para iniciar o arquivo VBScript na inicialização.
A carga final é um trojan de acesso remoto conhecido como ModeloRAT, que permite que invasores controlem sistemas comprometidos remotamente.
Ao contrário dos ataques ClickFix usuais, que normalmente recuperam cargas via HTTP, esta técnica usa DNS como canal de comunicação e teste.
Ao usar respostas DNS para entregar scripts maliciosos do PowerShell, os invasores podem modificar cargas dinamicamente enquanto se misturam ao tráfego DNS normal.
Ataques ClickFix em rápida evolução
Os ataques ClickFix evoluíram rapidamente no ano passado, com os agentes de ameaças experimentando novas táticas de entrega e tipos de carga que visam uma ampla variedade de sistemas operacionais.
As campanhas ClickFix relatadas anteriormente dependiam de convencer os usuários a executar comandos PowerShell ou shell diretamente em seus sistemas operacionais para instalar malware.
Em campanhas mais recentes, os invasores expandiram suas técnicas além da entrega tradicional de carga útil de malware pela web.
Por exemplo, um ataque recente do ClickFix chamado "ConsentFix" abusa do aplicativo Azure CLI OAuth para sequestrar contas da Microsoft sem uma senha e ignorar a autenticação multifator (MFA).
Com o aumento da popularidade dos AI LLMs para uso diário, os agentes de ameaças começaram a usar páginas ChatGPT e Grok compartilhadas, bem como páginas Claude Artifact, para promover guias falsos para ataques ClickFix.
BleepingComputer também relatou hoje sobre um novo ataque ClickFix promovido por meio de comentários do Pastebin que enganou usuários de criptomoedas para que executassem JavaScript malicioso diretamente em seus navegadores enquanto visitavam uma exchange de criptomoedas para sequestrar transações.
Esta é uma das primeiras campanhas ClickFix projetadas para executar JavaScript no navegador e sequestrar a funcionalidade do aplicativo da web em vez de implantar malware.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
Os ataques ClickFix normalmente induzem os usuários a executar manualmente comandos maliciosos sob o pretexto de corrigir erros, instalar atualizações ou ativar funcionalidades.
No entanto, esta nova variante utiliza uma nova técnica na qual um servidor DNS controlado pelo invasor entrega a carga de segundo estágio por meio de pesquisas de DNS.
Consultas DNS entregam um script malicioso do PowerShell
Em uma nova campanha ClickFix vista pela Microsoft, as vítimas são instruídas a executar o comando nslookup que consulta um servidor DNS controlado pelo invasor em vez do servidor DNS padrão do sistema.
O comando retorna uma consulta contendo um script malicioso do PowerShell que é então executado no dispositivo para instalar malware.
“Pesquisadores do Microsoft Defender observaram invasores usando outra abordagem de evasão para a técnica ClickFix: pedir aos alvos para executar um comando que executa uma pesquisa DNS personalizada e analisa a resposta Nome: para receber a carga útil do próximo estágio para execução”, diz uma postagem X da Microsoft Threat Intelligence.
Embora não esteja claro qual é a isca para induzir os usuários a executar o comando, a Microsoft diz que o ataque ClickFix instrui os usuários a executar o comando na caixa de diálogo Executar do Windows.
Este comando emitirá uma pesquisa de DNS para o nome de host "example.com" no servidor DNS do autor da ameaça em 84[.]21.189[.]20 e, em seguida, executará a resposta resultante por meio do interpretador de comandos do Windows (cmd.exe).
Essa resposta DNS retorna um campo "NAME:" que contém a segunda carga do PowerShell executada no dispositivo.
Resposta de consulta DNS contendo o segundo comando do PowerShell para execuçãoFonte: Microsoft
Embora esse servidor não esteja mais disponível, a Microsoft afirma que o comando PowerShell de segundo estágio baixou malware adicional da infraestrutura controlada pelo invasor.
Em última análise, esse ataque baixa um arquivo ZIP contendo um executável de tempo de execução do Python e scripts maliciosos que realizam o reconhecimento no dispositivo e no domínio infectados.
O ataque então estabelece persistência criando %APPDATA%\WPy64-31401\python\script.vbs e um atalho %STARTUP%\MonitoringService.lnk para iniciar o arquivo VBScript na inicialização.
A carga final é um trojan de acesso remoto conhecido como ModeloRAT, que permite que invasores controlem sistemas comprometidos remotamente.
Ao contrário dos ataques ClickFix usuais, que normalmente recuperam cargas via HTTP, esta técnica usa DNS como canal de comunicação e teste.
Ao usar respostas DNS para entregar scripts maliciosos do PowerShell, os invasores podem modificar cargas dinamicamente enquanto se misturam ao tráfego DNS normal.
Ataques ClickFix em rápida evolução
Os ataques ClickFix evoluíram rapidamente no ano passado, com os agentes de ameaças experimentando novas táticas de entrega e tipos de carga que visam uma ampla variedade de sistemas operacionais.
As campanhas ClickFix relatadas anteriormente dependiam de convencer os usuários a executar comandos PowerShell ou shell diretamente em seus sistemas operacionais para instalar malware.
Em campanhas mais recentes, os invasores expandiram suas técnicas além da entrega tradicional de carga útil de malware pela web.
Por exemplo, um ataque recente do ClickFix chamado "ConsentFix" abusa do aplicativo Azure CLI OAuth para sequestrar contas da Microsoft sem uma senha e ignorar a autenticação multifator (MFA).
Com o aumento da popularidade dos AI LLMs para uso diário, os agentes de ameaças começaram a usar páginas ChatGPT e Grok compartilhadas, bem como páginas Claude Artifact, para promover guias falsos para ataques ClickFix.
BleepingComputer também relatou hoje sobre um novo ataque ClickFix promovido por meio de comentários do Pastebin que enganou usuários de criptomoedas para que executassem JavaScript malicioso diretamente em seus navegadores enquanto visitavam uma exchange de criptomoedas para sequestrar transações.
Esta é uma das primeiras campanhas ClickFix projetadas para executar JavaScript no navegador e sequestrar a funcionalidade do aplicativo da web em vez de implantar malware.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #novo #ataque #clickfix #abusa #do #nslookup #para #recuperar #carga #útil #do #powershell #via #dns
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário