Os hackers começaram a usar um método de ataque “silencioso”: quase nenhuma interação necessária

A empresa de segurança cibernética Check Point alertou sobre um novo método de hacking chamado “FileFix”.

O método permite que cibercriminosos induzam os usuários a executar comandos maliciosos, representando sérios riscos à segurança. Além disso, enquanto os usuários são enganados, seus computadores os induzem a executar ações rotineiras.

COMO FUNCIONA?

O FileFix é um derivado da técnica "ClickFix", amplamente utilizada anteriormente. O ClickFix enganava os usuários, fazendo-os executar comandos maliciosos através da janela "Executar" do Windows. O Executar é uma das ferramentas mais utilizadas nos sistemas operacionais Windows. Essa janela é usada para executar qualquer ação no computador ou abrir qualquer aplicativo ou programa. O FileFix, por outro lado, abre o Explorador de Arquivos do Windows diretamente de uma página da web e carrega automaticamente um comando oculto do PowerShell na área de transferência do usuário. O PowerShell é uma ferramenta desenvolvida pelo Windows para automatizar processos do computador. Nesse caso, ele está, na verdade, implementando software malicioso. O método de ataque funciona passo a passo da seguinte forma:

- Uma página web falsa é aberta (por exemplo, “verificação visual” ou “compartilhamento de documentos”).

- Esta página inicia o explorer.exe depois que você clica no botão "Abrir o Explorador de Arquivos".

- Copiar simultaneamente JavaScript e um comando malicioso do PowerShell para a área de transferência.

- A página instrui o usuário a "Colar na barra de endereço e pressionar Enter". Isso faz com que o Windows execute o comando malicioso do PowerShell em segundo plano.

Alvos de comportamentos rotineiros

Em resumo, na maioria dos casos, usuários que podem não entender o que está acontecendo estão executando o malware seguindo comandos de seus computadores. Ressalta-se que esse ataque não é realizado por meio de nenhuma vulnerabilidade de software, mas sim pela exploração do comportamento rotineiro e da confiança do usuário. Pesquisadores da Check Point afirmaram que agentes maliciosos já começaram a usar o método FileFix, mas que os arquivos atualmente carregados são inofensivos. Isso sugere que os invasores provavelmente estão testando antes de implantar malware real. Especialistas em entrevista à IT Pro observaram que o fato de o FileFix estar sendo usado em campo poucos dias após seu lançamento público destaca a rapidez com que os invasores se adaptam a novos métodos. "Os invasores estão dificultando cada vez mais a implementação de defesas, visando funcionalidades essenciais do Windows", disse Dray Agha, gerente de operações de segurança da empresa de segurança cibernética Huntress. "Eles conseguem executar comandos maliciosos do PowerShell sem disparar alertas de segurança padrão." Agha observou que o FileFix é amplamente utilizado e com sucesso, e que muitos usuários caíram nessa técnica.

COMO PROTEGER?

Os especialistas da Check Point ofereceram as seguintes recomendações às equipes de segurança de TI para se protegerem contra tais ataques:

- Monitore de perto páginas de verificação falsas e sites de phishing que imitam serviços populares. Seja particularmente cauteloso com páginas falsas que usam modelos semelhantes ao Cloudflare. - Implemente e atualize regularmente regras para detectar invocações incomuns do PowerShell acionadas por conteúdo copiado para a área de transferência e pela interação do usuário. - Monitore tendências de engenharia social e atualize regularmente o treinamento dos funcionários, os planos de resposta a incidentes e os protocolos de segurança. - Crie uma "cultura de verificação". Os funcionários nunca devem atender a solicitações incomuns ou inesperadas sem primeiro verificá-las com o departamento de segurança relevante. Além disso, a conscientização do usuário continua sendo a linha de defesa mais importante para mitigar o impacto de tais ataques. Usuários individuais também são aconselhados a ficarem atentos aos seguintes pontos:

- Desconfie muito de e-mails e páginas da web que solicitam ações incomuns, como copiar e colar. - Sites ou softwares genuínos raramente pedem que você execute comandos manuais para corrigir problemas.