Published on

Novas campanhas de malware amplificam riscos digitais

Authors

From MostereRAT to ClickFix: Novas Campanhas de Malware Destacam Riscos Crescentes de IA e Phishing

Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de phishing que entrega um malware bancário furtivo transformado em trojan de acesso remoto chamado MostereRAT.

O ataque de phishing incorpora várias técnicas avançadas de evasão para obter controle completo sobre sistemas comprometidos, extrair dados sensíveis e estender sua funcionalidade servindo plugins secundários.

A campanha, que visa principalmente usuários japoneses, utiliza iscas relacionadas a consultas comerciais para enganar os destinatários. Os e-mails contêm links maliciosos que levam a um site infectado para baixar um documento armadilhado - um arquivo do Microsoft Word que incorpora um arquivo ZIP contendo um executável que dispara a execução do MostereRAT.

Características do MostereRAT:

  • Usa linguagem de programação EPL (Easy Programming Language) para desenvolver payloads em estágios
  • Desativa ferramentas de segurança e mecanismos do Windows
  • Bloqueia tráfego de rede associado a programas de segurança
  • Executa como TrustedInstaller para interferir em processos críticos do Windows
  • Implanta ferramentas de acesso remoto como AnyDesk, TigerVNC e TightVNC
  • Coleta detalhes do host, executa arquivos maliciosos, captura screenshots e cria usuários ocultos

Campanha ClickFix e MetaStealer

Paralelamente, outra campanha emprega técnicas "ClickFix" para distribuir o information stealer MetaStealer para usuários que buscam ferramentas como AnyDesk.

A cadeia de ataque envolve:

  • Exibição de uma página falsa do Cloudflare Turnstile
  • Download de um instalador falso do AnyDesk
  • Solicitação de verificação que dispara uma mensagem pop-up pedindo para abrir o Windows File Explorer
  • Uso do protocolo "search-ms:" para exibir um arquivo LNK disfarçado de PDF
  • Ativação de um pacote MSI que instala o MetaStealer

Adaptação com IA

A CloudSEK detalhou uma nova adaptação da tática ClickFix que aproveita prompts invisíveis usando métodos de ofuscação baseados em CSS para weaponizar sistemas de IA e produzir resumos que incluem instruções ClickFix controladas por atacantes.

Esta abordagem explora a confiança dos usuários em resumos gerados por IA para entregar instruções maliciosas passo a passo que podem facilitar a implantação de ransomware.

Recomendações: Manter soluções de segurança atualizadas e educar usuários sobre os perigos da engenharia social permanecem essenciais para mitigar esses riscos.