Hack Alerta

ClearFake usa fake CAPTCHA e script do Windows para execução remota

Por Redação Hack Alerta Publicado em 22/01/2026 05:01 Riscos e Ameaças Tempo de leitura: 4 min

Operação ClearFake evolui: páginas com fake CAPTCHA induzem vítimas a executar um comando via Run (Win+R) que passa argumentos para SyncAppvPublishingServer.vbs, um script legítimo do Windows. Expel e a reportagem vinculam a campanha a um contrato público em blockchain e ao CDN jsDelivr, estimando cerca de 150.000 sistemas potencialmente impactados.

Uma onda recente da operação ClearFake converte desafios de "verificação" em páginas legítimas comprometidas numa cadeia de infecção que executa comandos no endpoint sem deixar artefatos óbvios em disco.

Resumo e vetor

Relatada pelo Cyber Security News com base em investigação da Expel, a nova fase do ClearFake combina engenharia social com técnicas living‑off‑the‑land (LotL): páginas comprometidas exibem um falso CAPTCHA que induz a vítima a abrir o diálogo Executar (Win+R) e colar um comando já pré‑copiado na área de transferência. Esse comando passa argumentos maliciosos para um script legítimo do Windows — SyncAppvPublishingServer.vbs — que reside em System32 e faz parte do App‑V.

Infraestrutura e resiliência operacional

Os operadores deslocaram parte da infraestrutura para contratos inteligentes compatíveis com Ethereum (um contrato público visível na BNB Smart Chain test network) que servem como centro de comando: páginas comprometidas buscam código JavaScript codificado nesses contratos por meio de endpoints Web3 públicos. Estágios posteriores dos carregadores e payloads finais são hospedados em um CDN amplamente usado, jsDelivr, o que reduz a eficácia de bloqueios baseados apenas em domínios ou IPs.

Escopo e métricas disponíveis

Segundo os pesquisadores citados, o sistema de distribuição de tráfego por trás da campanha permite estimar aproximadamente 150.000 sistemas impactados, com base em identificadores únicos armazenados no contrato público. Também foi apresentada uma distribuição geográfica e um gráfico temporal de infecções, segundo a reportagem.

Impacto técnico

  • Execução: o abuso de SyncAppvPublishingServer.vbs permite execução de código/PowerShell com parâmetros controlados pelo atacante, evitando a gravação direta de binários maliciosos no disco.
  • Evasão: o uso de scripts legítimos do sistema e de um CDN confiável gera tráfego que parece legítimo, complicando a detecção por bloqueios simples e por soluções que dependem de listas de domínio/IP.
  • Persistência e extensão: o modelo permite entregar carregadores que implantam infostealers, backdoors ou outras cargas úteis subsequentes; o relatório indica potencial para roubo de dados e acesso remoto, mas não lista exemplos públicos de payloads finais específicos.

Evidências e limites das informações públicas

A cobertura cita trabalho da Expel que rastreou a framework JavaScript do ClearFake em centenas de sites comprometidos e vinculou esses sites ao contrato inteligente público. No entanto, as fontes não fornecem (a partir do material divulgado):

  • lista nominal de domínios comprometidos ou indicadores de comprometimento (IOCs) detalhados;
  • identificação de organizações vítimas ou setores mais afetados;
  • descrição completa dos payloads finais com amostras técnicas anexadas ao relatório público citado.

Recomendações técnicas (baseadas nas táticas observadas)

  • Bloqueio de execução não autorizada: monitorar e restringir o uso de scripts originais do sistema que aceitam parâmetros do usuário, aplicando controle de aplicação/whitelisting e análises de linha de comando.
  • Proteção contra engenharia social: treinar usuários para não executar passos de Run/colar comandos indicados por páginas web e reforçar políticas de clipboard em ambientes sensíveis.
  • Inspeção de tráfego e reputação: contornar a falsa sensação de segurança que CDNs e endpoints Web3 trazem, analisando assinaturas comportamentais e padrões de solicitações a jsDelivr e endpoints Web3 suspeitos.
  • Detecção LotL: ampliar regras de EDR para identificar invocações incomuns de SyncAppvPublishingServer.vbs e correntes que envolvam execução de PowerShell via Run dialog.

O que falta esclarecer

As divulgações públicas citadas não detalham setores ou empresas afetadas nem fornecem uma lista de IOCs padronizados para bloqueio imediato; o número de ~150.000 sistemas provém de contadores armazenados num contrato público, mas não há transparência sobre quantos desses representam endpoints corporativos versus consumidores. Em outras palavras, faltam indicadores que permitam a resposta automatizada em larga escala por equipes de segurança.

Observação final

O caso ilustra a convergência entre engenharia social, abuso de componentes legítimos do sistema operacional e uso de infraestrutura aparentemente legítima (CDNs e contratos públicos) para aumentar a resiliência da cadeia de ataque. Pesquisas adicionais com IOCs e amostras de payloads são necessárias para traduzir a estimativa de alcance em medidas concretas de contenção.

Baseado em publicação original de Cyber Security News
Tags: #clearfake #fake-captcha #lotl #powershell #syncappv #jsdelivr #blockchain #infostealer #windows
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar