📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft divulgou na quinta-feira detalhes de uma nova campanha generalizada de engenharia social ClickFix que aproveitou o aplicativo Windows Terminal como uma forma de ativar uma cadeia de ataque sofisticada e implantar o malware Lumma Stealer.
A atividade, observada em fevereiro de 2026, faz uso do programa emulador de terminal em vez de instruir os usuários a iniciar a caixa de diálogo Executar do Windows e colar um comando nela.
“Esta campanha instrui os alvos a usar o atalho Windows + X → I para iniciar o Terminal do Windows (wt.exe) diretamente, guiando os usuários para um ambiente privilegiado de execução de comandos que se mistura a fluxos de trabalho administrativos legítimos e parece mais confiável para os usuários”, disse a equipe do Microsoft Threat Intelligence em uma série de postagens no X.
O que torna a variante mais recente notável é que ela ignora detecções projetadas especificamente para sinalizar abuso na caixa de diálogo Executar, sem mencionar o aproveitamento da legitimidade do Terminal do Windows para induzir usuários desavisados a executar comandos maliciosos entregues por meio de páginas CAPTCHA falsas, prompts de solução de problemas ou outras iscas de verificação.
A cadeia de ataque pós-comprometimento também é única: quando o usuário cola um comando codificado em hexadecimal e compactado em XOR copiado da página de isca ClickFix em uma sessão do Terminal do Windows, ele abrange instâncias adicionais do Terminal/PowerShell para invocar um processo do PowerShell responsável pela decodificação do script.
Isso, por sua vez, leva ao download de uma carga ZIP e de um binário 7-Zip legítimo, mas renomeado, o último dos quais é salvo em disco com um nome de arquivo aleatório. O utilitário então extrai o conteúdo do arquivo ZIP, desencadeando uma cadeia de ataque em vários estágios que envolve as seguintes etapas -
Recuperando mais cargas úteis
Configurando persistência por meio de tarefas agendadas
Configurando exclusões do Microsoft Defender
Exfiltração de dados de máquina e rede
Implantando o Lumma Stealer usando uma técnica chamada QueueUserAPC() injetando o malware nos processos "chrome.exe" e "msedge.exe"
“O ladrão tem como alvo artefatos de navegador de alto valor, incluindo dados da Web e dados de login, coletando credenciais armazenadas e exfiltrando-as para uma infraestrutura controlada pelo invasor”, disse a Microsoft.
O fabricante do Windows disse que também detectou um segundo caminho de ataque, como parte do qual, quando o comando compactado é colado no Terminal do Windows, ele baixa um script em lote nomeado aleatoriamente para a pasta "AppData\Local" por meio de "cmd.exe" para gravar um script do Visual Basic na pasta Temp (também conhecida como% TEMP%).
“O script em lote é então executado via cmd.exe com o argumento de linha de comando /launched. O mesmo script em lote é então executado através de MSBuild.exe, resultando em abuso de LOLBin”, acrescentou. "O script se conecta aos endpoints Crypto Blockchain RPC, indicando uma técnica de etherhiding. Ele também executa injeção de código baseada em QueueUserAPC() nos processos chrome.exe e msedge.exe para coletar dados da Web e dados de login."
A atividade, observada em fevereiro de 2026, faz uso do programa emulador de terminal em vez de instruir os usuários a iniciar a caixa de diálogo Executar do Windows e colar um comando nela.
“Esta campanha instrui os alvos a usar o atalho Windows + X → I para iniciar o Terminal do Windows (wt.exe) diretamente, guiando os usuários para um ambiente privilegiado de execução de comandos que se mistura a fluxos de trabalho administrativos legítimos e parece mais confiável para os usuários”, disse a equipe do Microsoft Threat Intelligence em uma série de postagens no X.
O que torna a variante mais recente notável é que ela ignora detecções projetadas especificamente para sinalizar abuso na caixa de diálogo Executar, sem mencionar o aproveitamento da legitimidade do Terminal do Windows para induzir usuários desavisados a executar comandos maliciosos entregues por meio de páginas CAPTCHA falsas, prompts de solução de problemas ou outras iscas de verificação.
A cadeia de ataque pós-comprometimento também é única: quando o usuário cola um comando codificado em hexadecimal e compactado em XOR copiado da página de isca ClickFix em uma sessão do Terminal do Windows, ele abrange instâncias adicionais do Terminal/PowerShell para invocar um processo do PowerShell responsável pela decodificação do script.
Isso, por sua vez, leva ao download de uma carga ZIP e de um binário 7-Zip legítimo, mas renomeado, o último dos quais é salvo em disco com um nome de arquivo aleatório. O utilitário então extrai o conteúdo do arquivo ZIP, desencadeando uma cadeia de ataque em vários estágios que envolve as seguintes etapas -
Recuperando mais cargas úteis
Configurando persistência por meio de tarefas agendadas
Configurando exclusões do Microsoft Defender
Exfiltração de dados de máquina e rede
Implantando o Lumma Stealer usando uma técnica chamada QueueUserAPC() injetando o malware nos processos "chrome.exe" e "msedge.exe"
“O ladrão tem como alvo artefatos de navegador de alto valor, incluindo dados da Web e dados de login, coletando credenciais armazenadas e exfiltrando-as para uma infraestrutura controlada pelo invasor”, disse a Microsoft.
O fabricante do Windows disse que também detectou um segundo caminho de ataque, como parte do qual, quando o comando compactado é colado no Terminal do Windows, ele baixa um script em lote nomeado aleatoriamente para a pasta "AppData\Local" por meio de "cmd.exe" para gravar um script do Visual Basic na pasta Temp (também conhecida como% TEMP%).
“O script em lote é então executado via cmd.exe com o argumento de linha de comando /launched. O mesmo script em lote é então executado através de MSBuild.exe, resultando em abuso de LOLBin”, acrescentou. "O script se conecta aos endpoints Crypto Blockchain RPC, indicando uma técnica de etherhiding. Ele também executa injeção de código baseada em QueueUserAPC() nos processos chrome.exe e msedge.exe para coletar dados da Web e dados de login."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #revela #campanha #clickfix #usando #terminal #windows #para #implantar #lumma #stealer
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário