- Ferramentas de fotos falsas com alta classificação nos resultados de pesquisa usam táticas ClickFix para induzir os usuários a executar código malicioso.
- As vítimas são primeiro infectadas pelo CastleLoader, que então implanta o NetSupport RAT e um CastleStealer personalizado.
- A campanha destaca como o vício em SEO e a engenharia social transformam tarefas simples em roubo de credenciais e comprometimento remoto.
Sites que prometem remover fundos de selfies estão, na verdade, apenas instalando malware que rouba informações nos computadores das pessoas, descobriram pesquisadores de segurança.
Especialista em segurança cibernética na Huntress explicação Foi assim que encontrei meu site no topo das páginas de resultados de pesquisas devido ao meu vício em SEO. Portanto, quando as pessoas procuram uma ferramenta de remoção de plano de fundo, é provável que cheguem a esse site malicioso específico.
Quando você carrega uma foto para este serviço, ela não é processada. Não é carregado ou compartilhado de forma alguma. Porém, o site pede que o usuário “verifique se você é humano” abrindo o programa Windows Run e colando o comando copiado na área de transferência.
CastleLoader, CastleStealer e NetSupport RAT
No estilo típico do ClickFix, o invasor pede à vítima para executar o malware diretamente, primeiro infectando o dispositivo com CastleLoader. Este é o carregador padrão usado para passar cargas adicionais.
O CastleLoader permite que o vilão implante dois estágios. Malware incluindo NetSupport RAT e CastleStealer.
O primeiro é um Trojan de acesso remoto (RAT) que concede aos invasores acesso remoto aos sistemas infectados, enquanto o último é um ladrão .NET personalizado que tem como alvo credenciais de navegador, dados de carteira de criptomoeda, tokens Discord e arquivos de sessão do Telegram.
“O que começou com alguém tentando remover o fundo de uma selfie terminou com um ladrão .NET personalizado vasculhando senhas de navegadores, armazenamento de carteiras de criptomoedas e sessões de Telegram, e um NetSupport RAT instalado em disco para acesso posterior”, explicou Huntress.
Os ataques ClickFix podem ser mitigados por meio de treinamento. Os usuários devem estar cientes de que os serviços legítimos não solicitam que os usuários verifiquem se não são bots com atividade no dispositivo (por exemplo, executando programas localmente). Alternativamente, os administradores podem desativar o atalho Win+R para Executar para reduzir a probabilidade de as vítimas realmente executarem o malware.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e Adicione-nos como fonte preferencial Receba notícias, análises e opiniões de especialistas em seu feed.
