- Cibercriminosos ligados à Rússia estão realizando uma nova campanha ClickFix contra empresas europeias de hotelaria e hospitalidade
- As vítimas recebem mensagens de reserva falsas que levam a uma falsa “Tela Azul da Morte”, que faz com que scripts maliciosos sejam executados.
- O malware desativa o Windows Defender, rouba credenciais e dados da área de transferência
Os cibercriminosos russos estão tentando implantar backdoors e ladrões de informações nos computadores das pessoas com uma nova campanha ClickFix, mas esta vem com uma reviravolta sorrateira.
Os ataques ClickFix geralmente são baseados em pop-ups – a vítima recebe uma mensagem de erro e ao mesmo tempo é oferecida uma correção. Essa correção, seja para executar um comando ou baixar software, ocorre quando as próprias vítimas instalam o malware.
Esta campanha, que se centra nos hotéis europeus e na indústria hoteleira em geral, é um pouco diferente, disseram os investigadores da Securonix.
BSOD falso
Tudo começa como sempre: a vítima receberia um e-mail informando que algo estava errado com sua última reserva e que ela precisava se mudar com urgência ou perderia a reserva/seria cobrada mais ou algo assim. O e-mail foi projetado para parecer ser de um serviço de reservas popular e vem com um botão “Ver detalhes”, mas é aí que o golpe acontece.
Clicar no botão exibe uma mensagem “demorando muito para carregar”, seguida por uma falsa Tela Azul da Morte (BSOD). A ideia de um computador físico, num momento delicado onde dinheiro e reservas estão em jogo, está estrategicamente colocada para fazer a vítima entrar em pânico e tentar consertar as coisas. Como de costume nos ataques ClickFix, a janela BSOD também virá com uma solução e, neste caso, é executar um script no programa Executar.
Este script baixa malware e outras ferramentas maliciosas, desativa o Windows Defender e exibe o site de backup real para atrair a vítima. Não parece haver um nome específico para o malware, mas os pesquisadores dizem que ele funciona como um infostealer, roubando senhas, dados da área de transferência e outras informações.
Para a Securonix, a campanha é uma “evolução sofisticada na distribuição de malware como commodity”.
“A manipulação psicológica, combinada com o abuso de binários de sistema não confiáveis, como o `MSBuild.exe’, permite que a infecção penetre profundamente no sistema da vítima antes que as defesas tradicionais possam reagir”, disseram os pesquisadores.
“A complexidade técnica da cadeia de infecção demonstra uma intenção clara de evitar a detecção e manter a persistência a longo prazo”.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
