Pesquisadorores da Huntress Identificaram Uma variante da Nova do Ataque clickfix que sepprenda Como Instalador Legíimo do Anydesk para distribir o Metastaler InfoSoSealer. Uma Utiliza de Campanha Uma Página Falsa de Verificante do CloudFlare Turnstile, Levando a Víima Um Protocolo de Execução Um do Windows Que Aciona O Pesquisa de Windows E BAIXA UM PACOTE MSI MALICIOSO DESFARCARADO DE PDF.
Leia Tamboma
Phishing no Gmail USA solicita para EngaNar IA
Whatsapp Corrige Falha Crítica Explorada em iPhones e Macs
O Ataque FOI OBSERVAÇÃO EM AGOSTO, Quando Usuários que Buscavam Pelo Anydesk Encontraram UM Site Fraudulento Hospedado Em Anydeesk (.) tinta. Uma Página Exibia Uma Falsa Checagem de “Verificações Humana” E, Ao Ser Clicada, Redirecionava O Usuário para O File Explorer via ProtocoloLo Search-ms. Esse mecanismo entregava um ATIlO “Readme anydesk.pdf.lnk”, que executava o script automático de um script para os componentes do BAIXAR DOIS: o Instalador Oficial do Anydesk e um Arquivo Pdf Falso. Este Último, na Verdade, era pacote msi que incorporava dinamicamento ou nome do computador da víima sem link de download.
Uma Vez Instalado, O MSI LIBERAVA UM ARQUIVO PROTEGIDO COM PRIRTECTOR PRIVIL ls26.exe. Esse componente atua Como conta -gotas do metaasealista, com Função de Roubo de Credenciais em Navegadores e Exfiltração de Carteiras de Criptomoedas. O Ataque Ainda Incluía Rotinas de Remoção de Artefatos para Dificultário A detectar.
Um protocolo de exploração Search-ms Representa uma evolução em relação a variantes anteriores do clickfix, que dependiam de comandos inseridos manualmente pelo usuário. AO abusar de recursos pernas do Windows, os atacantes Conseguem Evitar reestriam impostas a ambientes corporativos e atrasar alertas de segurança até que o Payload Final Seja Executado.
Especialistas Recomendam Que Empresas Reforcem o Monitoramento de Protocolos, Implementar Auditoria de SMB e Adotem Análise Contextual de Instalações MSI Para Identificar e Bloquear Esse Tipo de Ataque.
