Todo cuidado é pouco: ao confirmar que não é um robô, você pode ter seus Dados roubados

Parte da rotina de todos que se informam, trabalham e consomem produtos e serviços na internet, as frequentes telas de verificação que solicitam uma prova de que por trás das ações está um humano, e não um robô, podem ser uma ameaça à cibersegurança. As populares – e até então inofensivas – páginas de CAPTCHA têm sido usadas como porta de entrada para o cibercrime e não por acaso estão por trás da campanha de malware ClickFix, responsável pelo sequestro recente de mais de 260 mil sites, transformando plataformas confiáveis em sistemas de distribuição de softwares maliciosos.

Quando bem-sucedida, a investida espalha infostealers, malware projetado para roubar Dados confidenciais, tais como credenciais de logins, informações bancárias e pessoais, anotações e carteiras de criptomoedas. Vendidos na dark web, os Dados são utilizados em diversos tipos de ataques, como ransomware e roubo de cripto ativos, tendo potencial para afetar toda uma cadeia de suprimentos. Foi o que ocorreu há pouco no Brasil no caso envolvendo o PIX e que resultou no desvio de quase R$ 1 bilhão.

Na prática, o ClickFix é uma tática de engenharia social para enganar as pessoas e fazê-las executar códigos maliciosos, por isso geralmente aparece como uma mensagem de erro falsa seguida de uma possibilidade de “correção” simples que envolve executar um comando no Prompt de Comando do Windows ou no PowerShell. O método do falso CAPTCHA especificamente copia uma verificação CAPTCHA real, com aparência de sites confiáveis, como o Cloudflare, fazendo com que os usuários copiem scripts maliciosos do PowerShell e colem na caixa Executar do Windows.

Desafiador por envolver engenharia social, o que implica risco para qualquer pessoa que navegue na web, e se apoiar em um recurso no qual se tem confiança, como as páginas de verificação, o ClickFix apresenta ainda um importante complicador que derruba uma ideia cristalizada no mercado e o deixa potencialmente mais perigoso: ele pode afetar qualquer sistema operacional, podendo assim atacar dispositivos Android, Mac, Linux ou Windows. Considerados por muito tempo super seguros, macOS e Linux podem se tornar alvos graças a um detector de sistema operacional (SO) do malware, por meio do qual é possível entregar diferentes configurações e payloads do ClickFix.

Para se prevenir dessa ameaça é necessário contar com uma estratégia de proteção robusta contra ataques do gênero e que envolva a adoção de diversas medidas. Entre elas, a importação de Indicadores de Comprometimento (IOCs), o escaneamento de endpoints para busca de instalações MSI ou execuções de osascript e o isolamento de dispositivos suspeitos, além da redefinição de senhas e tokens armazenados em navegadores, como por exemplo Office 365 e VPNs. Soma-se a isso o monitoramento e o eventual bloqueio do Telegram, pois se trata de um canal frequentemente empregado na exfiltração comum. E, não menos importante, é preciso investir na educação dos usuários, reforçando a mensagem de não executar comandos de páginas CAPTCHA falsas.

Por se tratar de um ataque que apela à engenharia social, com capacidade de transformar sites confiáveis em armadilhas, a campanha ClickFix representa uma ameaça que serve de alerta para organizações públicas e privadas de todo o mundo.

Por Germán Patiño, vice-presidente de Vendas para a América Latina da Lumu Technologies