Campanha ClickFix atinge sistemas Windows com StealC Stealer
Uma sofisticada campanha de engenharia social está mirando usuários do Windows através de páginas de verificação CAPTCHA falsas para entregar o malware StealC. A campanha começa quando as vítimas visitam sites comprometidos que exibem verificações de segurança fraudulentas do Cloudflare, enganando-as para executar comandos maliciosos do PowerShell.
Vetor e exploração
O ataque começa com sites aparentemente legítimos que foram comprometidos por atores de ameaça. Quando os usuários visitam esses sites, um JavaScript malicioso carrega uma página CAPTCHA falsa que imita o sistema de verificação do Cloudflare. A página instrui as vítimas a pressionar Windows Key + R, depois Ctrl + V para colar um comando oculto, e finalmente pressionar Enter para executá-lo. Essa técnica ClickFix explora a confiança do usuário, fazendo-os acreditar que estão completando uma verificação de segurança rotineira quando, na verdade, estão lançando malware.
Impacto e alcance
O StealC visa credenciais de navegadores como Chrome, Edge e Firefox, extensões de carteiras de criptomoedas incluindo MetaMask e Coinbase Wallet, arquivos de autenticação de contas Steam, credenciais de e-mail do Outlook e informações do sistema com capturas de tela. O malware emprega técnicas de execução sem arquivo que operam inteiramente na memória sem gravar arquivos no disco, tornando a detecção extremamente difícil.
Organizações devem monitorar strings de User-Agent suspeitas como "Loader," sinalizar execuções de PowerShell com comandos codificados, detectar padrões de VirtualAlloc e CreateThread indicando injeção de shellcode, e alertar sobre acessos incomuns a bancos de dados de credenciais de navegadores.