Hackers têm explorado uma tática de engenharia social conhecida como "ClickFix" para disseminar um sofisticado backdoor, batizado de CORNFLAKE.V3. De acordo com um relatório recente da Mandiant, uma empresa de cibersegurança do Google, essa atividade é parte de um esquema de acesso como serviço, onde invasores usam páginas falsas de CAPTCHA como isca para obter acesso inicial a sistemas de usuários, que é então vendido a outros grupos hackers.

A estratégia "ClickFix" engana as vítimas para que copiem um script malicioso do PowerShell e o executem por meio da caixa de diálogo "Executar" do Windows. O ataque geralmente se inicia quando o usuário chega a uma página falsa de verificação CAPTCHA, após interagir com resultados de busca contaminados por envenenamento de SEO (otimização para motores de busca) ou anúncios maliciosos.

O acesso obtido por essa técnica, rastreada como UNC5518, é monetizado por pelo menos dois grupos hackers distintos:

• UNC5774: Um grupo com motivação financeira que utiliza o CORNFLAKE para entregar diversas cargas maliciosas.

• UNC4108: Um hacker com motivação desconhecida, que emprega o PowerShell para distribuir ferramentas como VOLTMARKER e NetSupport RAT.

Uma vez executado, o script malicioso verifica se está em um ambiente virtualizado antes de iniciar o CORNFLAKE.V3. Observado em versões JavaScript e PHP, o backdoor permite a execução de diferentes tipos de cargas maliciosas via HTTP, como arquivos executáveis, DLLs, scripts em lote e comandos do PowerShell. Ele também é capaz de coletar informações básicas do sistema e transmiti-las para um servidor externo, usando túneis Cloudflare para dificultar a detecção.

O CORNFLAKE.V3 é uma versão aprimorada do CORNFLAKE.V2, com a adição de persistência no host por meio de uma chave de registro do Windows e suporte a tipos de carga adicionais. Através desse backdoor, os hackers podem injetar uma variedade de ferramentas, incluindo utilitários de reconhecimento de Active Directory, scripts para roubo de credenciais e um outro backdoor chamado WINDYTWIST.SEA, que permite tráfego TCP reverso e acesso remoto. Algumas versões do WINDYTWIST.SEA também tentam se mover lateralmente nas redes infectadas.

Para mitigar a ameaça do "ClickFix", a Mandiant recomenda que as organizações desabilitem a caixa de diálogo "Executar" do Windows sempre que possível, realizem simulações de engenharia social e implementem sistemas robustos de registro e monitoramento para detectar a execução de cargas maliciosas.

Via - THN