Golpe usa teste falso do Google para roubar senhas em PCs, Mac e Android

Wait 5 sec.

Pesquisadores do Malwarebytes revelaram como cibercriminosos têm utilizado uma técnica psicológica para distribuir malwares por meio de verificação de CAPTCHA. Essa série de ataques está relacionada ao ClickFix e afeta milhares de aparelhos, com a capacidade de roubar senhas, desativar antivírus e dar controle total dos aparelhos aos invasores.O ClickFix é um tipo de metodologia de golpe muito popular nos últimos anos, conhecido pelo seu forte apelo de engenharia social para enganar as vítimas. O objetivo é mirar no comportamento humano, ou seja, usar métodos para entrar na mente da vítima e induzi-la a realizar algum processo que dê acesso para os criminosos.A tática consiste em criar páginas falsas na internet que imitam perfeitamente serviços de segurança confiáveis, como o Google ou a Cloudflare. Ao acessar os sites, as vítimas se deparam com aquelas mensagens de confirmação tipo CAPTCHA. Frases como “prove que você é humano” são utilizadas para enganar.Malware usado neste golpe pode ser alugado para outros criminosos utilizarem (Imagem: MalwareBytes/reprodução)Para resolver este problema, a página mostra um botão de “copiar e colar”, seguido por instruções para o usuário abrir ferramentas de comando do Windows, como o PowerShell. A ideia é que a vítima copie e cole aquele comando e vá até esse PowerShell para colar o código, iniciando o processo de infecção.O problema em cair nessa armadilha, é que a vítima acaba colocando um ladrão de dados em seu próprio computador. Dessa forma, o malware pode roubar senhas salvas em navegadores da internet, credenciais de cartões de crédito, chaves e saldos de carteiras de criptomoedas, sessões ativas de login, etc.Por trás do ClickFixGolpes do ClickFix são muito simples ao olhar pelo contexto geral, mas escondem peças de uma engenharia ilícita. A primeira dessas engrenagens nocivas é o código de copia e cola que será inserido no Windows. Essa é uma linha de código que deixa todo o sistema da vítima suscetível para receber um malware.Ao ser inserido, o código acessa secretamente um link na internet e baixa um código para ser executado imediatamente em uma pasta. Nesta pasta, o comando instala um script disfarçado de um software legítimo chamado de Franz, feito para gerenciar mensagens. É esse Franz modificado que se conecta a um servidor externo para baixar o ResiLoader.O Resiloader é um carregador apelidado pelos pesquisadores que se esconde no Franz e utiliza uma técnica chamada de BYOVD. Essa técnica consiste em instalar um arquivo legítimo da empresa OPSWAT, mas com falhas ou já defasado. Como o app possui brechas, o malware instalado força o encerramento de mais de 140 processos de antivírus e deixa o PC indefeso.Código colado no PowerShell passa direto sem ser analisado pelos mecanismos de segurança (Imagem: MalwareBytes/reprodução)Para finalizar, depois de vasculhar o PC e remover suas defesas, esse vírus se esconde em um processo legítimo chamado de “ServiceModelReg.exe” enquanto rouba dados sem ninguém saber.Uma curiosidade sobre esse golpe é um sistema de direcionamento de tráfego utilizado pelos cibercriminosos. O sistema identifica o dispositivo do usuário: se for um PC com Windows, ele envia o vírus adequado, mas se for Android ou Mac, o golpe ou o vírus podem mudar.Como se protegerO ClickFix é um golpe com origens muito simples, então a forma de conseguir se proteger desse ataque é igualmente tranquila. A recomendação é nunca copiar e colar conteúdos para acessar algum site ou consertar algum problema do computador. Nenhum site legítimo exige abrir o PowerShell para qualquer coisa.Golpistas utilizam contadores de tempo e alertas para fazer você agir por impulso. A tática dos criminosos é criar o máximo de um sensor de urgência para te convencer. Sempre pense duas vezes e desconfie daquilo que é solicitado na página acessada e não faça nada por impulso.Também é muito importante que você ative a autenticação em duas etapas (MFA) para seus aplicativos, contas e redes sociais para evitar o comprometimento dessas contas.Por falar em roubo de dados, um novo Cavalo de Troia consegue acessar computadores e utilizar o copia e cola para alterar o destino das transferências bancárias. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.