O centro CERT da Ucrânia alertou que um dos grupos de hackers de elite do governo russo usou um ataque chamado Clickfix para comprometer equipamentos pertencentes a organizações ucranianas sensíveis.
Clickfix se tornou uma técnica de ataque eficaz que os invasores (principalmente criminosos com motivação financeira) começaram a usar no último ano. Os sites controlados por invasores exibem um código de verificação que exige que os visitantes copiem um texto amontoado e colem-no em seus terminais. O texto contém scripts que, uma vez inseridos, executam ações maliciosas, normalmente instalando malware ou roubando dados confidenciais. A Equipe de Resposta a Emergências de Computadores (CERT) da Ucrânia disse na quarta-feira que Sandworm, uma unidade avançada de hackers do serviço de inteligência militar russo GRU, está atualmente usando a tecnologia.
“GhettoVibe”, “ScoutCurl”, etc.
Os ataques Clickfix começam na primavera e continuam durante todo o verão. A campanha resultou no comprometimento da rede de pelo menos uma organização quando foi descoberto que dispositivos conectados estavam infectados pelo FreakyPoll, o nome de um dos pacotes de malware personalizados do Sandworm. As autoridades ucranianas descobriram 10 sites comprometidos que exibem um comando do PowerShell como parte de um código de verificação falso necessário para garantir que há uma pessoa real por trás do teclado acessando o dispositivo.
Depois que o usuário insere o script, ele pode instalar scripts maliciosos do Visual Basic e outros malwares, que por sua vez podem instalar vários malwares Sandworm. Freqüentemente, o primeiro malware a ser executado é um programa de reconhecimento que coleta informações do dispositivo infectado. As máquinas consideradas importantes receberão malware subsequente que adiciona backdoors ao sistema.
“Por exemplo, o comando pode ser projetado para carregar e salvar um arquivo VBS no diretório de inicialização”, disse uma versão traduzida do comunicado de terça-feira. “Uma variante deste programa é chamada GHETTOVIBE. Na próxima etapa, para determinar o significado do objeto de ataque cibernético, a ferramenta de software SCOUTCURL pode ser carregada no computador comprometido. Este é um script PowerShell que realiza reconhecimento básico coletando e roubando informações sobre o computador: assinaturas básicas, programas, arquivos, dados do navegador da Internet, etc.”



