Segundo um relatório da Scam Sniffer, hackers implementaram um novo método baseado em páginas falsas de verificação do Cloudflare para distribuir malware.
Essa tática, conhecida como injeção de área de transferência e execução de comandos, representa um risco significativo para usuários que não tomam precauções adicionais. Os golpes aumentam com a mesma velocidade da popularidade dos criptoativos.
Hackers usam páginas de verificação falsas
De acordo com análises técnicas, essa ameaça está se espalhando rapidamente e representa um risco considerável para aqueles que interagem com serviços online que parecem legítimos.
O ataque começa com uma página de verificação falsa que solicita “verificação adicional” para um domínio enganoso como kick[.]com[.]im/stripcoin. Esse processo, que parece inofensivo, inclui várias etapas que facilitam a distribuição de malware.
Essa página, cuidadosamente projetada para parecer legítima, engana as vítimas com comandos maliciosos na área de transferência. Assim, sem que o usuário perceba, os hackers exploram essa injeção para introduzir códigos PowerShell, uma ferramenta poderosa que pode executar instruções diretamente no sistema operacional.
Além disso, o próximo passo nesse esquema envolve o uso de domínios aparentemente inofensivos, como i.imghippo[.]com, que hospedam os arquivos maliciosos. Assim, esses arquivos, disfarçados como programas legítimos com nomes familiares como OneDrive.exe, são baixados e executados no dispositivo da vítima, comprometendo todo o sistema.
Uma vez ativado, o malware garante que permaneça operacional mesmo após reinicializações do sistema. Isso é alcançado configurando-o para iniciar automaticamente através dos mecanismos de inicialização do Windows, garantindo assim sua persistência e facilitando, principalmente, o acesso contínuo aos dados da vítima.
Como os hackers exploram o Cloudflare?
Os criminosos também recorrem a táticas de engenharia social para completar o objetivo. Desse modo, eles instruem os usuários a pressionar a combinação de teclas Windows + R e colar um texto de verificação que, sem o conhecimento do usuário, já foi modificado e injetado na área de transferência pelos próprios hackers.
Assim, esse texto nada mais é do que um conjunto de comandos pré-configurados que, quando executados, concedem controle remoto aos cibercriminosos, abrindo a porta para um comprometimento total do dispositivo.
Portanto, os sinais de alerta desse tipo de ataque são sutis, mas reveladores. Desde falsos avisos de segurança que imitam o Cloudflare até tentativas não autorizadas de elevar permissões administrativas, tudo aponta para uma tentativa de manipular o sistema. Até mesmo mudanças no histórico de comandos do Windows e o uso de serviços aparentemente legítimos para hospedar arquivos devem levantar suspeitas.
Desse modo, é crucial que os usuários permaneçam vigilantes e adotem medidas preventivas, como verificar cuidadosamente a autenticidade dos sites, evitar executar comandos não solicitados e se proteger com ferramentas de segurança confiáveis. Em um ambiente digital onde as ameaças estão em constante evolução, a cautela é a melhor defesa.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
