Uma nova campanha de phishing ClickFix estรก a utilizar o Microsoft SharePoint para distribuir o framework de pรณs-exploraรงรฃo Havoc, alertam investigadores de seguranรงa.
Esta tรกctica sofisticada combina engenharia social com abuso de plataformas legรญtimas para comprometer sistemas.
Como funciona o ataque ClickFix
O ataque inicia-se com um e-mail de phishing contendo um anexo HTML malicioso. Ao abrir o ficheiro, รฉ exibida uma mensagem de erro falsa alegando problemas de ligaรงรฃo ao OneDrive e sugerindo uma atualizaรงรฃo manual da cache DNS.
A pรกgina inclui um botรฃo โComo corrigirโ que copia um comando PowerShell para a รกrea de transferรชncia do Windows. Os atacantes incentivam as vรญtimas a colar e executar este comando, desencadeando assim a cadeia de infeรงรฃo.
Abuso do SharePoint para distribuir malware
O script inicial executa um segundo script alojado num servidor SharePoint controlado pelos atacantes. Este, por sua vez, descarrega um script Python que implementa o framework Havoc como um ficheiro DLL no sistema da vรญtima.
A utilizaรงรฃo do SharePoint, uma plataforma empresarial legรญtima da Microsoft, ajuda os atacantes a contornar deteรงรตes de seguranรงa e aumenta as hipรณteses de sucesso do ataque.
O que รฉ o framework Havoc?
O Havoc รฉ um framework de pรณs-exploraรงรฃo avanรงado, concebido para testes de penetraรงรฃo e simulaรงรฃo de ameaรงas. Oferece capacidades modulares para operaรงรตes furtivas de comando e controlo, incluindo:
- Execuรงรฃo em memรณria
- Comunicaรงรตes encriptadas
- Tรฉcnicas de evasรฃo de defesas modernas
Estas caracterรญsticas tornam o Havoc uma ferramenta poderosa nas mรฃos de atacantes, permitindo-lhes manter persistรชncia e movimentar-se lateralmente em redes comprometidas.
Aumento da popularidade dos ataques ClickFix
Os investigadores da Fortiguard Labs, que tรชm monitorizado esta campanha desde o ano passado, notam um aumento significativo na popularidade dos ataques ClickFix nos รบltimos meses:
- Em outubro, uma nova variante de malware comprometeu milhares de sites WordPress, instalando um plugin malicioso que servia o ataque ClickFix.
- Semanas antes, foram observadas falsas chamadas do Google Meet quebradas, tambรฉm uma variante do ataque ClickFix.
Como te protegeres contra ataques ClickFix
Para te protegeres contra este tipo de ameaรงas, considera as seguintes medidas:
- Mantรฉm o teu software e sistemas operativos atualizados
- Utiliza soluรงรตes de seguranรงa robustas e mantรฉm-nas atualizadas
- Sรช cรฉtico em relaรงรฃo a e-mails nรฃo solicitados com anexos ou links
- Nรฃo executes comandos ou scripts de fontes nรฃo confiรกveis
- Implementa autenticaรงรฃo multifator em todas as contas possรญveis
- Educa-te e aos teus colaboradores sobre as tรฉcnicas de phishing atuais
A campanha ClickFix que utiliza o Microsoft SharePoint para distribuir o malware Havoc demonstra a crescente sofisticaรงรฃo dos ataques cibernรฉticos. Ao combinar engenharia social com o abuso de plataformas legรญtimas, os atacantes conseguem contornar muitas defesas tradicionais.
ร crucial que indivรญduos e organizaรงรตes permaneรงam vigilantes, implementem boas prรกticas de seguranรงa e mantenham-se informados sobre as รบltimas ameaรงas e tรฉcnicas de ataque.
Sรณ atravรฉs de uma abordagem proativa e multicamada ร ciberseguranรงa podemos esperar mitigar eficazmente estes riscos em constante evoluรงรฃo.
