ClickFix utiliza DNS para entregar malware

Uma nova campanha ClickFix está a utilizar consultas DNS como canal de distribuição de malware, no que é apontado como o primeiro caso conhecido desta técnica a recorrer ao protocolo DNS para entregar payloads maliciosos.

Os ataques ClickFix assentam em engenharia social, levando as vítimas a executar manualmente comandos sob o pretexto de corrigir erros, instalar atualizações ou ativar funcionalidades. Nesta variante, observada pela Microsoft, os atacantes instruem os utilizadores a correr o comando nslookup no Windows, direcionando a consulta para um servidor DNS controlado pelo adversário.

De acordo com a equipa de Threat Intelligence da Microsoft, os investigadores detetaram uma nova técnica de evasão, que descrevem como “pede às vítimas que executem um comando que realiza uma consulta DNS personalizada e interpreta o campo ‘Name:’ da resposta para obter o payload da fase seguinte e executá-lo”.

O comando efetua uma consulta ao domínio “example.com” através de um servidor DNS externo controlado pelos atacantes, em vez de usar o servidor predefinido do sistema. A resposta devolve no campo “Name:” um script PowerShell malicioso, que é depois executado através do interpretador de comandos do Windows.

Embora o servidor já não esteja ativo, a Microsoft indica que o payload de segunda fase descarregava malware adicional a partir de infraestrutura sob controlo dos cibercriminosos. O ataque resultava no download de um ficheiro ZIP com um runtime Python e vários scripts maliciosos destinados ao reconhecimento do sistema comprometido e do domínio.

Para garantir persistência, o malware criava ficheiros e atalhos em diretórios do utilizador associados ao roaming de aplicações e ao arranque automático do sistema, assegurando a execução do código malicioso sempre que a máquina era iniciada.

O payload final identificado é o ModeloRAT, um trojan de acesso remoto (RAT) que dá aos cibercriminosos controlo completo sobre os sistemas infetados.

Ao contrário das variantes anteriores do ClickFix, que recorriam sobretudo a HTTP para descarregar payloads, esta técnica utiliza o DNS como canal de comunicação e de staging. A manipulação das respostas DNS permite alterar dinamicamente os payloads e diluir o tráfego malicioso em consultas aparentemente legítimas, dificultando a deteção por soluções tradicionais de segurança.

ClickFix acelera diversificação técnica

Nos últimos meses, as campanhas ClickFix têm evoluído rapidamente, com os atacantes a testarem novos vetores e diferentes tipos de payload, direcionados a múltiplos sistemas operativos.

Para além dos tradicionais comandos PowerShell ou de shell, surgiram abordagens como o “ConsentFix”, que explora a aplicação OAuth do Azure CLI para comprometer contas Microsoft sem recurso a palavra-passe e contornar mecanismos de autenticação multifator.

Com a popularidade dos modelos de linguagem, os cibercriminosos passaram também a usar páginas públicas associadas ao ChatGPT, ao Grok e ao Claude para promover guias falsos ligados ao ClickFix. Noutras campanhas, recorreram a comentários no Pastebin para induzir utilizadores de criptomoedas a executar JavaScript malicioso diretamente no browser, com o objetivo de desviar transações.