A equipe de cibersegurança do Sekoia descobriu uma nova variante de um golpe de roubo de informações conhecido como ClearFake. O golpe já existe há pelo menos dois anos, mas está de volta em uma modalidade mais sofisticada e perigosa com o objetivo de limpar carteiras de criptomoedas e obter credenciais de acesso das vítimas.
O esquema utiliza uma falsa página de CAPTCHA para enganar a vítima — aquela etapa de verificação de segurança que envolve resolver um quebra-cabeça, digitar um código ou clicar em um botão para continuar. Os pesquisadores encontraram sites falsos que replicam esse mecanismo tanto na aparência mais tradicional quanto no formato Turnstile, usado pela plataforma de hospedagem Cloudfare.
Esse novo formato de golpe foi chamado de ClickFix por envolver uma falsa correção de um erro na internet do usuário. Até a metade do ano passado, foram identificados ao menos 9,3 mil sites que foram comprometidos e exibem a página falsa que pode gerar a instalação de malwares como o já tradicional LummaStealer. A quantidade de possíveis vítimas expostas a esse risco é de aproximadamente 200 mil pessoas.
Como o ClearFake age no PC
O golpe começa com os cibercriminosos invadindo sites legítimos dos mais variados tipos e regiões a partir de múltiplos métodos. Eles incluem vulnerabilidades no servidor ou até o acesso direto às páginas por meio de roubo de identidade de algum administrador.
De posse desses privilégios, eles conseguem adicionar um código HTML que se sobrepõe ao carregamento da página. Quando uma pessoa tenta acessá-la, em vez do conteúdo original, ela se depara com a falsa verificação de segurança.
Ao tentar resolver o CAPTCHA falso duas vezes, que envolve simplesmente o clique em uma caixa, a vítima se depara com uma mensagem de erro e o aviso de que há algum problema no tráfego da conexão — o que é mentira, mas gera credibilidade para a fraude. É neste momento que o site sugere então que você corrija manualmente a falha.
Os criminosos sugerem um passo a passo que envolve abrir a janela pop-up "Executar" do Windows e colar um código específico. Em algumas das mensagens encontradas pela Sekoia, a sequência até já tinha sido adicionar na Área de Transferência do computador, bastando ao usuário dar o comando Ctrl+V. Em outras, é preciso copiar um suposto "código de verificação" e replicá-lo na caixa de texto.
Ao fazer isso, a pessoa está adicionando um código em JavaScript que inclui um comando PowerShell na máquina. Ele infecta o sistema, permite o download de malwares e é capaz de causar vários estragos, incluindo o roubo de criptomoedas de uma carteira digital e outras informações sigilosas.
O que é um CAPTCHA?
O CAPTCHA é é um mecanismo de verificação de identidade de servidores de hospedagem. O objetivo dessa ferramenta de proteção é confirmar se a pessoa por trás da solicitação de visita ao site é um usuário legítimo ou um bot tentando gerar acessos artificiais.
Além de remeter ao verbo "to catch" (que é pegar em inglês), o nome é uma sigla para Teste de Turing Público Totalmente Automatizado para Diferenciar Computadores de Humanos. O Teste de Turing é uma famosa avaliação proposta por um dos maiores pesquisadores da área da tecnologia para distinguir sistemas artificiais formados por robôs de usuários humanos.
Normalmente, o CAPTCHA envolve passos simples com o teclado ou cursor. As tarefas incluem digitar um código exibido na tela, resolver contas matemáticas simples e selecionar imagens determinadas (como apenas cachorros ou bicicletas, por exemplo). Neste último caso, as respostas podem ser usadas para treinar sistemas automatizados de reconhecimento de caracteres visuais — a Google usa esse mecanismo há anos para melhorar o seu algoritmo.
Você conhece a tecnologia que a PM de SP usa para rastrear vítimas com chamadas de emergência? Aprenda mais sobre ela nesta reportagem! Aproveite para seguir o TecMundo no X (Twitter), Instagram, Facebook e YouTube para saber tudo sobre o mundo da tecnologia!
Categorias
