A Microsoft revelou uma campanha de phishing em andamento que tem como alvo o setor de hotelaria, se passando pela plataforma de viagens online Booking.com. Os golpistas utilizam uma técnica de engenharia social cada vez mais frequente chamada ClickFix para disseminar malware que rouba credenciais.
Segundo a gigante da tecnologia, essa atividade teve início em dezembro de 2024 e tem como objetivo final a realização de fraudes financeiras e roubos de dados. A empresa está monitorando a campanha sob a designação Storm-1865.
“Esse ataque de phishing mira especificamente profissionais de empresas do setor hoteleiro na América do Norte, Oceania, Sul e Sudeste Asiático e diversas regiões da Europa, que provavelmente têm relações com a Booking.com, enviando e-mails fraudulentos que aparentam ser da empresa”, afirmou a Microsoft em um relatório divulgado.
A técnica ClickFix tem se popularizado nos últimos meses, pois leva os usuários a executar malware sob o pretexto de corrigir um erro inexistente. Para isso, as vítimas são instruídas a copiar, colar e executar comandos enganosos que iniciam a infecção do sistema. Esse método foi identificado pela primeira vez em outubro de 2023.
O golpe começa quando o Storm-1865 envia um e-mail malicioso para um alvo informando sobre uma suposta avaliação negativa feita por um hóspede na Booking.com e solicitando “feedback”. A mensagem contém um link ou um anexo em PDF que supostamente leva ao site da plataforma.
No entanto, ao clicar no link, a vítima é redirecionada para uma página falsa de verificação CAPTCHA sobreposta a um “fundo sutilmente semelhante ao site legítimo da Booking.com”. Essa tática busca gerar uma falsa sensação de segurança e aumentar a probabilidade de sucesso do golpe.
“O CAPTCHA falso é o ponto onde a página usa a técnica ClickFix para forçar o download do malware”, explicou a Microsoft. “Essa estratégia orienta o usuário a usar um atalho de teclado para abrir a janela Executar do Windows, colar e executar um comando que a página insere automaticamente na área de transferência.”
Em resumo, esse comando usa o binário legítimo mshta.exe para instalar um segundo estágio da infecção, contendo diversas famílias de malware conhecidas, como XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT.
A Microsoft já havia identificado anteriormente o Storm-1865 atacando consumidores por meio de plataformas de e-commerce, utilizando phishing para direcioná-los a páginas de pagamento fraudulentas. O uso do ClickFix, portanto, demonstra uma evolução na estratégia dos criminosos, permitindo que eles driblem mecanismos de segurança tradicionais contra phishing e malware.
“O grupo de ameaças rastreado como Storm-1865 realiza ataques de phishing voltados para roubo de credenciais e fraudes financeiras”, acrescentou a empresa.
“Essas campanhas vêm se intensificando desde o início de 2023, utilizando mensagens enviadas por meio de plataformas de terceiros, como agências de viagens e sites de e-commerce, além de serviços de e-mail como Gmail e iCloud Mail.”
O Storm-1865 é apenas uma das várias operações criminosas que adotaram o ClickFix como método de disseminação de malware. O sucesso dessa técnica é tão expressivo que até grupos estatais da Rússia e do Irã, como APT28 e MuddyWater, passaram a utilizá-la para atrair vítimas.
“Esse método explora o comportamento humano: ao oferecer uma ‘solução’ plausível para um problema fictício, os criminosos fazem com que a própria vítima execute a ação maliciosa, conseguindo contornar muitas das defesas automatizadas”, apontou um relatório do Group-IB publicado hoje.
Uma das campanhas documentadas pela empresa de segurança cibernética de Cingapura mostra o uso do ClickFix para distribuir um downloader chamado SMOKESABER, que posteriormente instala o Lumma Stealer. Outras campanhas utilizaram táticas como anúncios maliciosos, manipulação de SEO, exploração de repositórios no GitHub e spam em fóruns e redes sociais para espalhar links do ClickFix.
“A técnica ClickFix representa uma evolução nas abordagens de engenharia social, explorando a confiança dos usuários e funcionalidades dos navegadores para entregar malware”, destacou o Group-IB. “A rápida adoção desse método por criminosos e grupos de hackers patrocinados por governos demonstra sua eficácia e simplicidade de implementação.”
Outras campanhas conhecidas que fazem uso do ClickFix incluem:
• Uso de CAPTCHAs falsos para executar comandos PowerShell em múltiplos estágios, resultando na instalação de infostealers como Lumma e Vidar;
• Uso de desafios fraudulentos do Google reCAPTCHA por um grupo chamado Blind Eagle para implantar malware;
• Uso de links falsos de confirmação de reserva que redirecionam vítimas para páginas fraudulentas de verificação CAPTCHA, levando ao Lumma Stealer;
• Uso de páginas falsas com identidade visual do Windows para induzir os usuários a acessar sites infectados que instalam malware.
Os diferentes métodos de infecção do Lumma Stealer também foram exemplificados por uma campanha que utiliza repositórios falsos no GitHub para distribuir um carregador de malware chamado SmartLoader.
“Esses repositórios maliciosos são disfarçados como ferramentas legítimas, incluindo cheats de jogos, softwares pirateados e utilitários de criptomoedas”, alertou a Trend Micro em uma análise recente. “A campanha atrai vítimas prometendo funcionalidades gratuitas ou ilegais, levando-as a baixar arquivos ZIP maliciosos (ex: Release.zip, Software.zip).”
A operação ilustra como cibercriminosos estão explorando a confiança em plataformas populares como o GitHub para propagar malware.
As descobertas foram divulgadas no mesmo momento em que a Trustwave detalhou uma campanha de phishing por e-mail que utiliza iscas relacionadas a faturas para distribuir uma versão aprimorada do malware StrelaStealer, operado por um agente identificado como Hive0145.
“As variantes do StrelaStealer empregam múltiplas camadas de ofuscação e técnicas de disfarce para dificultar sua detecção”, explicou a Trustwave. “Há indícios de que os operadores desse malware desenvolveram um crypter próprio, chamado ‘Stellar loader’, projetado especificamente para ocultar o StrelaStealer.”
+Mais
YouTube alerta: Vídeo IA do CEO em golpe de phishing
Cibercriminosos replicam sites de marcas em minutos usando o Darcula PhaaS v3
Wi-Fi “Bomba” impede avião de decolar