Hackers usam pop-ups falsos do reCAPTCHA para instalar malware e roubar criptomoedas.

O grupo de cibersegurança eSentire descobriu o uso de pop-ups falsos no estilo CAPTCHA para enganar vítimas e levá-las a implantar malware de coleta dedent, como o Amatera Stealer, e o NETSupport RAT, por meio de um método conhecido como ClickFix.

A Unidade de Resposta a Ameaças (TRU) da eSentire tem tracuma escalada nas campanhas que abusam do ClickFix para obter acesso inicial a sistemas-alvo em novembro. De acordo com a TRU, os agentes de ameaças usam esse método para induzir as vítimas a executar comandos maliciosos manualmente por meio do prompt Executar do Windows. 

Uma vez executados, esses comandos iniciam uma cadeia de infecção que termina com a implantação do Amatera Stealer e do NetSupport RAT, ambas ferramentas legítimas de monitoramento remoto que foram reaproveitadas por cibercriminosos para acesso remoto não autorizado.

A campanha ClickFix usa o reCAPTCHA para inserir malware.

Segundo pesquisa da eSentire publicada na última quinta-feira, hackers estão atraindo vítimas usando sites falsos e pop-ups que se parecem com "verificações de segurança", incluindo caixas de verificação reCAPTCHA fraudulentas e páginas falsificadas do Cloudflare Turnstile. 

As interfaces enganosas induzem os usuários a "corrigir" um suposto problema, com as instruções levando-os a executar comandos maliciosos sem perceber os riscos. Após a execução do comando inicial, o Amatera Stealer é instalado primeiro, seguido pela instalação do NetSupport Manager, que permite aos hackers monitorar e controlar a máquina comprometida como se estivessem fisicamente presentes.

O Amatera Stealer não é uma ameaça totalmente nova, mas sim a evolução mais recente do ACR Stealer, também conhecido como AcridRain. A versão anterior surgiu inicialmente como um produto de malware como serviço em fóruns de hackers em 2024, sendo distribuída por diversos usuários através de pacotes de assinatura.

As vendas do ACR foram suspensas em meados de 2024, quando seu desenvolvedor, conhecido online como SheldIO, vendeu o código-fonte do malware. Apesar do anúncio da venda, o grupo afirmou que isso “não significava o fim” do desenvolvimento. Pesquisadores agora acreditam que o Amatera é o sucessor direto do ACR, reconstruído com mais recursos e novas técnicas de evasão.

A Amatera, descoberta pela empresa de auditoria de segurança Proofpoint em junho, está disponível por assinatura, com preços que variam de US$ 199 por mês a US$ 1.499 por ano.

“O Amatera oferece aos agentes de ameaças amplas capacidades de exfiltração de dados, visando carteiras de criptomoedas, navegadores, aplicativos de mensagens, clientes FTP e serviços de e-mail. Ele emprega estratégias avançadas de evasão, como as chamadas de sistema WoW64, para contornar os mecanismos de interceptação em modo de usuário utilizados por sandboxes, soluções antivírus e produtos EDR”, afirmou a eSentire.

O malware foi escrito em C++ e é capaz de coletar senhas salvas, dados de cartões, históricos de navegação e arquivos de navegadores como Chrome, Brave, Edge, Opera, Firefox e plataformas especializadas como Tor Browser e Thunderbird. 

Carregadores do Windows PowerShell de múltiplos estágios ocultando malware

De acordo com a análise de ameaças da eSentire, o processo de infecção do Amatera é construído sobre várias camadas de comandos PowerShell ofuscados. 

Os pesquisadores da TRU observaram uma fase de descriptografia de payloads subsequentes usando um processo XOR na string “AMSI_RESULT_NOT_DETECTED”, um termo associado à Interface de Varredura Antimalware da Microsoft. O desenvolvedor do loader pode ter escolhido a frase intencionalmente para confundir os pesquisadores que realizam análises dinâmicas.

Embora o Amatera seja o payload mais comum distribuído nessas campanhas, a eSentire também documentou casos em que o mesmo loader foi usado para implantar outros infostealers, incluindo Lumma e Vidar. Algumas amostras não possuíam os parâmetros de configuração necessários para executar loaders de múltiplos estágios, e nesses casos os hackers optaram por implantar o NetSupport Manager diretamente.

A eSentire e outras empresas de segurança documentaram campanhas de e-mail que distribuíam arquivos de script Visual Basic disfarçados de faturas. Ao serem abertos, os arquivos executavam scripts em lote que iniciavam carregadores do PowerShell, distribuindo o XWorm.

Outras campanhas envolveram sites comprometidos que redirecionavam os visitantes para páginas falsas de verificação da Cloudflare, imitando as solicitações do ClickFix. Essa atividade foi associada a uma operação conhecida por nomes como SmartApeSG, HANEYMANEY e ZPHP, todas utilizando o NetSupport RAT como carga útil final.

Hackers criaram sites fraudulentos do Booking.com que hospedavam verificações CAPTCHA falsificadas, instruindo os usuários a abrir a caixa de diálogo Executar do Windows e executar um comando, e instalando diretamente um script de roubo dedentem sistemas infectados.

Algumas das campanhas de phishing associadas a essas distribuições de malware estão usando um novo kit de phishing conhecido como Cephas. De acordo com a empresa de soluções de cibersegurança Barracuda, o Cephas utiliza um método avançado de ofuscação que insere caracteres invisíveis no código-fonte das páginas de phishing, dificultando a detecção por scanners automatizados.

"O kit oculta seu código criando caracteres invisíveis aleatórios dentro do código-fonte, o que o ajuda a burlar os scanners anti-phishing e a impedir que as regras YARA baseadas em assinaturas correspondam aos métodos exatos de phishing", escreveu em sua análise na semana passada.