Cibercriminosos estão explorando páginas da web falsas do Google Meet em uma campanha de malware em andamento chamada ClickFix para implantar infostealers visando sistemas Windows e macOS.
“Ao apresentar mensagens de erro falsas em navegadores da web, os invasores enganam os usuários para que copiem e executem scripts maliciosos do PowerShell, levando à infecção do sistema”, revelou a empresa francesa de segurança cibernética Sekoia em um relatório.
Nos últimos meses, vimos inúmeras variações da campanha ClickFix (também conhecida como ClearFake e OneDrive Pastejacking), onde invasores usam métodos diferentes para atrair vítimas para páginas fraudulentas. Esses sites então solicitam que os usuários executem comandos do PowerShell codificados, supostamente para resolver problemas de exibição de conteúdo do navegador, mas, na realidade, iniciam downloads de malware.
Essas páginas falsas geralmente personificam plataformas online populares, como Facebook, Google Chrome, PDFSimpli, reCAPTCHA e agora Google Meet, com potencial para falsificar Zoom também:
- meet.google.us-join[.]com
- meet.googie.com-join[.]us
- meet.google.com-join[.]us
- meet.google.web-join[.]com
- meet.google.webjoining[.]com
- meet.google.cdm-join[.]us
- meet.google.us07host[.]com
- googiedrivers[.]com
- us01web-zoom[.]us
- us002webzoom[.]us
- web05-zoom[.]us
- webroom-zoom[.]us
Em sistemas Windows, essa cadeia de ataque leva à implantação dos stealers StealC e Rhadamanthys, enquanto os usuários do macOS são alvos de um arquivo de imagem de disco malicioso (“Launcher_v1.94.dmg”) que instala o Atomic stealer.
Essa abordagem inovadora de engenharia social se destaca porque ignora a detecção de segurança, pois os usuários executam manualmente os comandos prejudiciais do PowerShell no terminal, em vez de ter o malware executado automaticamente por uma carga útil baixada.
Sekoia vinculou o grupo que se passava pelo Google Meet a dois equipes de traficantes: Slavic Nation Empire (também conhecido como Slavice Nation Land) e Scamquerteo, que funcionam como subgrupos dentro das operações maiores de markopolo e CryptoLove, respectivamente.
“Ambas as equipes de traficantes […] utilizam o mesmo modelo ClickFix imitando o Google Meet”, disse Sekoia. “Esta descoberta indica que esses grupos provavelmente compartilham recursos, chamados de ‘projeto de aterrissagem’, juntamente com a infraestrutura.”
Esta descoberta sugere a possibilidade de que ambos os agentes de ameaças estejam alavancando o mesmo serviço desconhecido de crime cibernético, com um terceiro possivelmente gerenciando sua infraestrutura nos bastidores.
Este desenvolvimento coincide com o surgimento de campanhas de malware que implementam o ThunderKitty stealer de código aberto, que compartilha semelhanças com Skuld e Kematian Stealer, juntamente com famílias de ladrões recentemente identificadas como Divulge, DedSec (também conhecido como Doenerium), Duck, Vilsa e Yunit.
“A proliferação de infostealers de código aberto marca uma grande mudança no cenário de ameaças cibernéticas”, observou a empresa de segurança cibernética Hudson Rock em julho de 2024.
“Ao reduzir as barreiras de entrada e acelerar a inovação, essas ferramentas podem impulsionar um aumento nas infecções de computador, criando desafios para profissionais de segurança cibernética e aumentando os riscos para empresas e indivíduos.”
Fonte: TheHackerNews