Resumo
Analistas identificaram uma campanha de engenharia social que usa uma mensagem falsa de "Word Online" chamada ClickFix para induzir usuários a executar comandos PowerShell e instalar o trojan de acesso remoto DarkGate.
Descoberta e escopo
Pesquisadores da Point Wild identificaram a campanha ClickFix, que exibe um erro forjado sobre uma extensão do navegador ausente e orienta a vítima a clicar em um botão “How to fix”. Segundo o relatório, o clique aciona um script JavaScript que coloca um comando PowerShell malicioso na área de transferência do usuário; a infecção só prossegue se a vítima colar e executar o comando no terminal.
Vetor e técnica de entrega
A página maliciosa contém conteúdo ofuscado (base64 e funções reversas) que, quando decodificado, executa um comando PowerShell semelhante a iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64))));. Esse comando baixa um arquivo HTA remoto (dark.hta) que atua como estágio intermediário.
Payload e persistência
O HTA cria um diretório em C:, deixa um executável AutoIt e um script (.a3x) que, após decodificação e uso de algoritmos DES, revela e executa o payload final: o DarkGate RAT. Conforme descrito pelos analistas, DarkGate estabelece comunicação com servidores de comando e controle, provendo controle remoto completo do sistema comprometido.
Evasão e sofisticação
A campanha evita controles automáticos ao exigir ação manual do usuário (colar/executar o comando), técnica que lida com limitações de detecção baseada em navegador. O uso de múltiplas camadas de ofuscação (HTML com base64, AutoIt, HTA e DES) aumenta a complexidade de análise e a capacidade de burlar assinaturas simples.
Evidências e limites das informações
As informações disponíveis foram publicadas pela Point Wild e relatadas pelo Cyber Security News. Não há, até o momento, dados públicos sobre alcance (número de vítimas), setores mais afetados ou domínios de distribuição em larga escala. Também não foi publicada confirmação de exploração em ambientes corporativos nem indicadores de campanhas de ransomware associados ao DarkGate neste vetor.
Impacto
DarkGate é descrito como um RAT capaz de controle total e exfiltração, portanto a instalação representa compromisso completo do endpoint. O principal risco operacional é execução remota e persistência, com potencial para movimentos laterais caso credenciais ou artefatos sensíveis sejam capturados.
Recomendações práticas
- Bloquear e monitorar domínios e URLs associados à campanha, quando identificados internamente;
- Desencorajar e treinar usuários quanto a comandos colados em terminais — políticas de segurança devem proibir execução de scripts não validados;
- Habilitar controles de aplicação/endpoint (AppLocker, políticas de execução do PowerShell) e registrar/monitorar eventos de PowerShell com elevados níveis de telemetria;
- Implementar proteção em camadas (NAC, EDR com detecção de comportamento pós-execução, segmentação de rede) para reduzir impacto de compromissos de endpoint.
O que falta
Não há dados públicos sobre a escala da campanha nem amostras completas dos servidores C2 divulgadas no relatório aberto; portanto, equipes de resposta devem tratar a ameaça como de alto risco mas com escopo operacional indeterminado até novas divulgações.
Fonte
Point Wild, reportado via Cyber Security News