Grupo Lazarus adota técnica ClickFix para reforçar operações de ciberespionagem

O grupo Lazarus, conhecido pela sua ligação à Coreia do Norte e por campanhas de ciberespionagem em larga escala, atualizou a sua metodologia de ataque ao incluir a técnica ClickFix, uma abordagem de engenharia social em ascensão no panorama na cibersegurança.

De acordo com os investigadores da CN-SEC, a ameaça, também rastreada como APT-Q-1, demonstra uma capacidade de adaptação notável, ao combinar manipulação da interface do utilizador com operações tradicionais de recolha de informação.

A técnica ClickFix consiste em apresentar às vítimas falsos problemas técnicos e orientá-las para aplicar soluções que, na realidade, executam código malicioso. Este tipo de abordagem confere ao ataque uma aparência de legitimidade, o que aumenta a taxa de sucesso.

Na sua adaptação, o Lazarus incorporou o ClickFix na infraestrutura já utilizada para campanhas de recrutamento falsas, o que cria um vetor de ataque em várias camadas. A estratégia combina ofertas de emprego fraudulentas com instruções técnicas enganosas.

Os analistas identificaram a campanha através da descoberta de um script malicioso que descarregava pacotes de software NVIDIA adulterados. Estes ficheiros serviam de disfarce para a instalação do BeaverTail, um ladrão de informações exclusivo do grupo.

A cadeia de ataque inicia-se quando as vítimas são atraídas para sites de entrevistas fictícias. Durante o processo, surge a indicação de que existem problemas de configuração da câmara, o que cria uma alegada necessidade de resolução imediata.

Num passo seguinte, os utilizadores recebem o que aparenta ser uma atualização legítima do driver NVIDIA. No entanto, a carga útil esconde uma sequência de execução maliciosa, que marca o início da infeção. O vetor primário de infeção utiliza um comando do PowerShell, responsável por descarregar e extrair um ficheiro ZIP a partir de servidores comprometidos, e lança o ataque.

As investigações mais recentes mostram ainda que o Lazarus expandiu o seu alcance e desenvolveu variantes para Windows e macOS. Este detalhe evidencia a aposta em capacidade multiplataforma e numa diversificação dos alvos. A versão para Windows foca-se sobretudo em ambientes empresariais através de mecanismos de implantação baseados em Node.js. Já no macOS, os atacantes recorrem a scripts de Shell compatíveis com processadores Apple Silicon e Intel.

O pacote principal, distribuído como “nvidiaRelease.zip”, contém diversos componentes desenhados para garantir compatibilidade entre plataformas e persistência nos sistemas.

Um dos ficheiros incluídos, o ClickFix-1.bat, desencadeia uma série de comandos que descarregam o ficheiro adulterado, expandem o conteúdo e executam um script adicional (run.vbs), que realiza reconhecimento do sistema.

Nos casos de sistemas Windows 11, o processo inclui ainda a execução de drvUpdate.exe, um backdoor avançado capaz de correr comandos remotos, manipular ficheiros e estabelecer contacto com servidores de comando e controlo.

Para garantir persistência, o malware altera o registo do Windows através de entradas na chave de inicialização. Desta forma, assegura a execução automática sempre que o sistema é reiniciado.

O componente BeaverTail, responsável pela exfiltração de dados, comunica com uma infraestrutura redundante, o que permite ao grupo Lazarus manter o acesso prolongado aos sistemas comprometidos, dificultado a deteção pelas equipas de cibersegurança.