Table of Contents
Campanha de Malware ClickFix Utiliza Páginas Falsas do Google Meet
Atacantes estão explorando páginas falsas do Google Meet como parte de uma campanha de malware em andamento, denominada ClickFix, visando a entrega de infostealers para sistemas Windows e macOS.
Tática de Engenharia Social
“Essa tática envolve a exibição de mensagens de erro falsas em navegadores da web para enganar os usuários, levando-os a copiar e executar um código PowerShell malicioso, o que, por fim, infecta seus sistemas,” afirmou a empresa francesa de cibersegurança Sekoia em um relatório compartilhado com o The Hacker News.
Variações da campanha ClickFix (também conhecida como ClearFake e OneDrive Pastejacking) foram amplamente relatadas em meses recentes, com atacantes empregando diferentes iscas para redirecionar usuários a páginas fraudulentas. Essas páginas têm como objetivo implantar malware, incitando os visitantes do site a executar um código PowerShell codificado para resolver um suposto problema na exibição de conteúdo no navegador.
Páginas Falsas e Serviços em Alta
Essas páginas são conhecidas por se disfarçarem como serviços online populares, incluindo Facebook, Google Chrome, PDFSimpli, reCAPTCHA, e agora também Google Meet e potencialmente Zoom. Os endereços associados a essas páginas incluem:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.com-join[.]us
- meet.google.web-join[.]com
- meet.google.webjoining[.]com
- meet.google.cdm-join[.]us
- meet.google.us07host[.]com
- googiedrivers[.]com
- us01web-zoom[.]us
- us002webzoom[.]us
- web05-zoom[.]us
- webroom-zoom[.]us
Impacto e Consequências para Usuários do Windows e macOS
Em sistemas Windows, a cadeia de ataque culmina na implantação de StealC e Rhadamanthys, enquanto usuários do macOS da Apple recebem um arquivo de imagem de disco armado (“Launcher_v1.94.dmg”) que instala outro stealer conhecido como Atomic.
Essa tática emergente de engenharia social é notável por sua capacidade de evadir a detecção por ferramentas de segurança, na medida em que envolve os usuários na execução manual do comando PowerShell malicioso diretamente no terminal, ao contrário de ser automaticamente invocado por um payload baixado.
Grupos de Ameaças e Interconexões
Sekoia atribuiu o cluster que se faz passar pelo Google Meet a dois grupos de trafegantes, nomeadamente Slavic Nation Empire (também conhecido como Slavice Nation Land) e Scamquerteo, que são subequipes dentro de markopolo e CryptoLove, respectivamente.
“Ambas as equipes de trafegantes […] usam o mesmo modelo ClickFix que se faz passar pelo Google Meet,” afirmou Sekoia. “Essa descoberta sugere que essas equipes compartilham materiais, também conhecidos como ‘projetos de aterrissagem’, assim como infraestrutura.”
Isso, por sua vez, levantou a possibilidade de que ambos os grupos de ameaças estejam utilizando o mesmo serviço de cibercrime ainda desconhecido, com um terceiro aparentemente gerenciando sua infraestrutura.
A Evolução das Campanhas de Malware
O desenvolvimento surge no contexto de campanhas de malware emergentes que distribuem o ThunderKitty, um stealer de código aberto, que compartilha semelhanças com Skuld e Kematian Stealer, além de novas famílias de stealers nomeadas Divulge, DedSec (também conhecido como Doenerium), Duck, Vilsa, e Yunit.
“O aumento de infostealers de código aberto representa uma mudança significativa no mundo das ameaças cibernéticas,” notou a empresa de cibersegurança Hudson Rock. “Ao baixar a barreira de entrada e fomentar a inovação rápida, essas ferramentas podem alimentar uma nova onda de infecções cibernéticas, apresentando desafios para profissionais de cibersegurança e aumentando o risco geral para empresas e indivíduos.”
#Malware, #Cibersegurança, #GoogleMeet, #ClickFix, #EngenhariaSocial, #Infostealers, #SegurançaDigital
Fonte:https://thehackernews.com/2024/10/beware-fake-google-meet-pages-deliver.html