Falsa atualização do Windows espalha malware em usuários que acessam sites adultos

Uma nova campanha de hacking está explorando clones falsos de sites adultos e pop-ups fraudulentos de atualização do Windows para enganar vítimas e instalar múltiplos stealers em seus computadores. A operação, apelidada de JackFix, foi identificada por Pesquisadores da Acronis, que observaram o uso combinado de malvertising e engenharia social para induzir o usuário a executar comandos perigosos sob o pretexto de uma “atualização crítica” do sistema.

Segundo o relatório, os usuários são redirecionados para páginas que imitam plataformas como Pornhub e xHamster. Ao interagir com qualquer elemento, surge uma tela falsa de atualização do Windows que toma o monitor inteiro, instruindo a vítima a abrir o comando Executar, colar um código malicioso e pressionar Enter. A pressão psicológica criada pelo ambiente adulto aumenta a chance de que o usuário cumpra as instruções rapidamente, sem questionar sua legitimidade.

A fraude se baseia no padrão ClickFix, uma técnica que tem crescido rapidamente e que, de acordo com a Microsoft, hoje representa 47% dos vetores de acesso inicial usados por hackers. Diferente dos tradicionais captchas falsos, o JackFix exibe uma página criada apenas com HTML e JavaScript, imitando fielmente a estética de uma atualização genuína do Windows, incluindo fundo azul e texto branco reminiscentes da famosa “tela azul da morte”.

Para dificultar a fuga, a campanha tenta bloquear teclas como Esc, F11, F5 e F12, embora falhas no código permitam que algumas dessas teclas ainda funcionem. Quando o usuário executa o comando malicioso, o ataque inicia com um payload MSHTA, que utiliza o legítimo mshta.exe para chamar um script JavaScript. Esse script, por sua vez, aciona um comando PowerShell que se conecta a um servidor remoto para baixar outro script altamente ofuscado.

Essa cadeia de ataque utiliza técnicas de ofuscação, verificações anti-análise, redirecionamentos simulados e até exclusões automáticas no Microsoft Defender para garantir que o malware não seja detectado. O PowerShell tenta elevar privilégios, repetindo solicitações de permissão até que o usuário aceite momento em que múltiplos payloads são baixados.

A Acronis identificou que o script pode distribuir até oito malwares diferentes ao mesmo tempo, entre eles:

• Rhadamanthys Stealer

• Vidar Stealer 2.0

• RedLine Stealer

• Amadey

• Diversos RATs e loaders adicionais

Essa estratégia de “spray and pray” aumenta consideravelmente a chance de infecção. Basta que um dos payloads seja executado com sucesso para que senhas, carteiras de criptomoedas e dados pessoais sejam comprometidos.

Uma investigação paralela da Huntress encontrou uma campanha similar, também baseada em ClickFix, que usava esteganografia para esconder o estágio final do ataque em uma imagem PNG. Ambas as operações compartilham domínios e infraestrutura, sugerindo que podem estar conectadas ao mesmo grupo hacker possivelmente de língua russa, devido a comentários de código encontrados nas páginas falsas.

O sucesso do ClickFix se explica pela simplicidade brutal da técnica: o usuário, enganado, executa o malware com suas próprias mãos, driblando controles de segurança. Especialistas recomendam treinar equipes para reconhecer esse tipo de fraude e, se possível, desabilitar a caixa Executar via Políticas de Grupo ou Registro.

Via - THN