Calisto usa 'ClickFix' para mirar pesquisa da OTAN e ONGs | Riscos e Ameaças

Analistas descrevem uma campanha atribuída ao conjunto Calisto que usa a metodologia 'ClickFix' para comprometer pesquisadores da OTAN, ONGs e think tanks. O ataque combina spear‑phishing com PDFs corrompidos, redirecionadores PHP, injeção de JavaScript e um kit focado em ProtonMail por meio de Adversary‑in‑the‑Middle; infraestrutura inclui proxies e domínios registrados em múltiplos registradores.

Relatório público descreve uma campanha de phishing de múltiplas etapas atribuída ao grupo Calisto, que vem direcionando pesquisas e organizações estratégicas ligadas à OTAN e países que apoiam a Ucrânia.

Panorama e descoberta

Pesquisadores que analisaram a campanha identificaram o uso de táticas de engenharia social avançada — descritas pela fonte como a metodologia "ClickFix" — para comprometer alvos de alto valor. O relatório indica que as operações têm como foco instituições de pesquisa da OTAN, think tanks, ONGs e veículos de imprensa, especialmente em países que apoiam a Ucrânia.

Vetor e cadeia de ataque

A execução das intrusões começa com spear-phishing: e-mails cuidadosamente forjados que se fazem passar por contatos confiáveis e frequentemente incluem anexos ausentes ou PDFs corrompidos para induzir as vítimas a pedir reenvio. Após iniciar a correspondência, os atacantes convertem a interação em um canal de entrega de payloads através de links redirecionados hospedados em sites comprometidos.

O fluxo técnico descrito pela fonte inclui:

redirecionadores PHP em servidores comprometidos que aceitam parâmetros via GET parecidos com códigos de rastreamento;
injeção de JavaScript malicioso que redireciona usuários para portais de roubo de credenciais;
um kit de phishing personalizado hospedado em account.simpleasip[.]org, com foco em contas ProtonMail por meio de um mecanismo de Adversary-in-the-Middle;
técnicas que forçam o foco do cursor no campo de senha a cada 250 ms, impedindo a navegação normal do usuário;
interação com APIs controladas pelos atacantes (ex.: scorelikelygateway.simLeasip[.]org) para retransmitir credenciais, ao mesmo tempo em que exibem prompts falsos de CAPTCHA e autenticação de dois fatores.

Infraestrutura e persistência

A investigação aponta para o uso de serviços de proxy (logs citam o IP 196.44.117[.]196 associado ao Big Mama Proxy) e para um padrão de registro de domínios que migrou entre registradores — inicialmente Regway e depois servidores autoritativos da Namecheap. Esses elementos foram destacados como indicadores que permitem correlação de campanhas pelos analistas.

Impacto e alvos

Segundo a fonte, os alvos primários incluem pesquisadores e organizações ligadas a políticas e segurança, além de entidades humanitárias e de defesa da liberdade de imprensa. O texto afirma que o grupo expande operações contra apoiadores da Ucrânia, sem quantificar vítimas ou compromissos específicos: as fontes não detalham números de contas exfiltradas ou impactos operacionais concretos.

Limites das informações

O material consultado descreve, com nível técnico, a cadeia de ataque e elementos de infraestrutura, mas não fornece amostras de malware completas, nem indicações públicas de atribuição final além da ligação afirmada ao conjunto de intrusão Calisto e sua associação a um "nexo russo". A fonte utiliza linguagem de correlação com confiança média para alguns vínculos.

Recomendações e próximos passos

Embora o relatório apresente táticas e indicadores (domínios, IPs e padrões de registro), a publicação não inclui uma lista completa de IOCs formatada para integração automática em ferramentas de defesa. Organizações de pesquisa, ONGs e veículos de imprensa que operam com comunicações sensíveis devem reforçar controles de verificação de anexos, monitoramento de redirecionamentos e revisar políticas de resposta a solicitações de reenvio de documentação.

Fonte: Cyber Security News