Infraestrutura de comando e controle descentralizada
Uma nova e perigosamente engenhosa campanha de malware chamada ClearFake foi pega usando contratos inteligentes de blockchain para executar suas operações, tornando quase impossível para as equipes de segurança encerrá-la. Em vez de depender de servidores tradicionais que podem ser desligados, os atacantes esconderam sua infraestrutura de comando e controle dentro da rede de teste BNB Smart Chain, uma rede descentralizada que nenhuma autoridade pode apreender ou suspender. A técnica EtherHiding permite armazenar instruções de roteamento de payload dentro de contratos inteligentes, contornando todos os métodos de bloqueio baseados em URL.
Os pesquisadores da Trend Micro analisaram essa intrusão em maio de 2026 e descobriram a profundidade total da campanha. A campanha se espalha comprometendo sites legítimos e injetando código JavaScript oculto em suas páginas. As vítimas não precisam fazer nada suspeito para serem infectadas. Simplesmente visitar um site legítimo adulterado pode acionar a cadeia de entrega multiestágio do malware.
O que torna esta campanha especialmente alarmante é sua longevidade confirmada. Quatro contratos inteligentes foram identificados, todos compartilhando uma única carteira de implantador, com o contrato mais antigo implantado quase um ano antes da análise. Isso não é um experimento de uma única vez. É uma campanha de longo prazo, totalmente operacional, construída para sobreviver a qualquer tentativa de derrubada.
Técnica EtherHiding e entrega de payload
A técnica EtherHiding funciona armazenando JavaScript malicioso diretamente dentro de um contrato inteligente na rede de teste BNB Smart Chain, em vez de qualquer host web tradicional. Quando uma vítima visita um site comprometido, o código injetado consulta silenciosamente a blockchain e recupera o payload completo no navegador sem envolver URL externa. Como os dados da blockchain são replicados em milhares de nós simultaneamente, não há servidor para derrubar, domínio para apreender ou endereço IP para bloquear.
Quatro contratos serviram a funções distintas: o Contrato A entregou o despachante anti-análise, o Contrato B manteve a sobreposição ClickFix para Windows, o Contrato C manteve o payload para macOS e o Contrato D atuou como um rastreador on-chain que confirmou cada comprometimento de vítima em tempo real. Operar na rede de teste também significou que os atacantes não pagaram nada, já que os tokens BNB de teste não têm valor monetário.
Campanha ClickFix e entrega dual de malware
Uma vez que a consulta blockchain foi bem-sucedida, as vítimas viram uma sobreposição convincente de reCAPTCHA falso do Google completo com uma caixa de seleção "Não sou um robô". Clicar nisso acionou o painel de engenharia social ClickFix, que simultaneamente injetou um comando malicioso diretamente na área de transferência da vítima. Usuários do Windows foram instruídos a abrir a caixa de diálogo Executar e colar, carregando um DLL remoto na memória sem que nenhum arquivo fosse escrito no disco.
A cadeia de ataque entregou duas ferramentas perigosas simultaneamente: SectopRAT, um Trojan de Acesso Remoto baseado em .NET capaz de sequestrar sessões de navegador, e ACRStealer, um infostealer em C++ que colhe senhas, números de cartão de crédito, cookies e dados de carteira de criptomoedas. As equipes de segurança são aconselhadas a bloquear o tráfego JSON-RPC de saída para endpoints RPC da rede de teste BSC, o que remove o passo de consulta do contrato antes que qualquer payload execute.
Recomendações de defesa e monitoramento
Desabilitar o serviço Windows WebClient em estações de trabalho que não precisam de WebDAV elimina o mecanismo de entrega de carregador de DLL remoto. Políticas de gerenciamento de navegador restringindo o acesso de escrita na área de transferência podem interromper o passo ClickFix antes que uma vítima execute o comando injetado. O treinamento de conscientização do usuário final sobre iscas falsas de CAPTCHA e ClickFix permanece como a primeira linha de defesa, já que toda a cadeia pós-infecção aqui exigiu apenas uma ação deliberada da vítima.