Segurança

Elite do cibercrime militar russo adota técnica Clickfix para invadir redes

O grupo Sandworm, unidade de inteligência militar do GRU russo, passou a usar falsos testes de CAPTCHA para implantar malwares em organizações na Ucrânia.

Compartilhar
Terminal de comando do Windows exibindo linhas de código malicioso ao lado de uma simulação de tela de verificação de CAPTCHA falso.
Terminal de comando do Windows exibindo linhas de código malicioso ao lado de uma simulação de tela de verificação de CAPTCHA falso.

O CERT da Ucrânia emitiu um alerta de segurança cibernética na última quarta-feira revelando que o Sandworm, uma das unidades de espionagem digital mais avançadas e agressivas do GRU (o serviço de inteligência militar da Federação Russa), adotou a técnica de engenharia social conhecida como Clickfix para comprometer redes de organizações críticas ucranianas. A campanha de infecção, que teve início no período da primavera e continuou ativa ao longo de todo o verão, representa um salto tático significativo para o grupo russo. Ao converter um método de infecção anteriormente dominado por criminosos comuns com motivação financeira em uma arma de espionagem estatal, o Sandworm conseguiu transpor defesas corporativas robustas que normalmente bloqueiam downloads automáticos de arquivos executáveis maliciosos de servidores externos.

Terminal de comando do Windows exibindo linhas de código malicioso ao lado de uma simulação de tela de verificação de CAPTCHA falso.
Foto: Ars Technica

De acordo com o relatório detalhado publicado pelos analistas do CERT ucraniano, a ofensiva digital russa comprometeu com sucesso a rede interna de pelo menos uma organização de alta sensibilidade estratégica após um de seus dispositivos ser infectado pelo FreakyPoll, o malware de controle remoto customizado que faz parte do arsenal exclusivo do grupo militar. Durante a varredura e resposta ao incidente, as autoridades cibernéticas da Ucrânia identificaram pelo menos 10 websites legítimos comprometidos que foram sequestrados e modificados para hospedar a infraestrutura do Clickfix. Essas páginas exibiam um falso desafio de CAPTCHA projetado especificamente para enganar os funcionários administrativos e fazer com que eles executassem, de forma voluntária, comandos do console PowerShell em suas próprias estações de trabalho.

A mecânica intrínseca do Clickfix explora a complacência comportamental de usuários finais que enfrentam rotineiramente barreiras de autenticação e verificações de segurança na internet moderna. Quando um internauta acessa um dos 10 sites comprometidos, o sistema injeta um script malicioso que altera o comportamento visual da página web, simulando uma interrupção técnica no carregamento ou exibindo uma caixa de verificação que imita os tradicionais serviços de bloqueio de robôs de empresas globais. O visitante é então instruído a copiar um bloco de caracteres alfanuméricos altamente ofuscados fornecido pelo falso CAPTCHA e inseri-lo manualmente no terminal de comando do sistema operacional Windows, alegando que esse procedimento manual é necessário para provar a presença de um operador humano real atrás do teclado físico.

A evolução do Clickfix

A técnica do Clickfix não nasceu nos laboratórios de guerra digital do GRU russo, tendo surgido originalmente como um vetor de infecção popularizado por cibercriminosos financeiros de alta performance no último ano. Grupos criminosos focados na disseminação rápida de infostealers e vírus de roubo de credenciais bancárias descobriram que induzir o usuário a copiar e colar códigos diretamente no console do sistema operacional era um método muito mais eficiente para driblar filtros antivírus de navegação do que as campanhas tradicionais de phishing com arquivos anexos. A transição desse vetor para os arsenais de operações militares do Sandworm aponta para um fenômeno de hibridização de táticas ciberespaciais, onde agências estatais reaproveitam com agilidade as metodologias mais produtivas do mercado negro para acelerar suas intrusões.

Ao incorporar o Clickfix às suas ações ofensivas nesta primavera e verão, o Sandworm demonstrou capacidade de adaptação em tempo real para superar as tecnologias de isolamento de processos dos navegadores de internet contemporâneos. Quando o navegador baixa e executa scripts nativos em páginas da web, essas ações ocorrem dentro de um ambiente isolado (conhecido como sandbox), impedindo que códigos JavaScript tenham acesso direto aos recursos do sistema operacional do computador do usuário. Contudo, quando o próprio funcionário, agindo sob um pretexto de segurança simulado por um falso CAPTCHA, copia o código para a área de transferência do Windows e o executa em seu terminal de comando, ele efetivamente neutraliza todos os mecanismos de segurança e restrições impostos pelo navegador, abrindo uma porta direta para a execução de payloads maliciosos.

Como o ataque funciona

O ataque executado pelo Sandworm baseia-se em uma cadeia de execução rigorosamente estruturada para evitar detecções imediatas pelos sistemas de defesa das corporações. No momento em que a vítima insere o comando copiado no prompt do PowerShell, o script de primeiro estágio faz uma chamada em segundo plano para conectar-se aos servidores de comando e controle gerenciados pela inteligência militar russa. Esse script inicial é estruturado para fazer o download automático de cargas adicionais compostas por scripts Visual Basic (VBS) e outros artefatos que são implantados de forma silenciosa na estrutura do computador afetado pelo ataque.

Esses scripts maliciosos em formato VBS desempenham o papel crucial de estabelecer o controle básico sobre as permissões de execução do sistema local, operando à margem dos sistemas tradicionais de segurança que monitoram apenas novos arquivos binários compilados (como arquivos executáveis no formato .exe). Para garantir que a infecção resista à reinicialização da máquina e que os atacantes não percam o acesso caso o usuário desligue o computador no final do expediente, o script de primeiro estágio se encarrega de salvar uma dessas variantes de arquivos maliciosos diretamente dentro do diretório Startup (Inicializar) do sistema operacional Windows, integrando o malware ao processo padrão de inicialização de software do dispositivo de trabalho.

O ecossistema do Sandworm

Para esta campanha específica de Clickfix executada no leste europeu, os operadores táticos do GRU prepararam um ecossistema modular de ferramentas de malware, cada uma encarregada de uma função cirúrgica dentro da infraestrutura de espionagem. Os componentes identificados pelas autoridades incluem o programa de persistência inicial batizado de GHETTOVIBE (ou GhettoVibe) e o utilitário de inteligência de rede conhecido como SCOUTCURL (ou ScoutCurl). Ambos trabalham em perfeita sintonia técnica para pavimentar o caminho para a posterior instalação do malware mais robusto do grupo, o sofisticado backdoor FreakyPoll.

O GHETTOVIBE atua como a ferramenta de sustentação inicial da intrusão, operando de maneira persistente a partir da pasta Startup e garantindo que os invasores mantenham um canal de comunicação aberto com a máquina sob ataque. Uma vez consolidado esse canal inicial, os atacantes do Sandworm ordenam o download do SCOUTCURL, uma poderosa ferramenta de varredura construída integralmente sob a linguagem de script PowerShell. A missão primordial do SCOUTCURL é realizar um reconhecimento completo e silencioso do ecossistema do computador afetado, de modo a classificar e avaliar o nível de importância que aquele dispositivo específico representa dentro da organização governamental ou empresarial invadida.

A atividade de espionagem do SCOUTCURL concentra-se em coletar uma série de dados críticos sobre o sistema infectado para posterior exfiltração em massa. Essa ferramenta em PowerShell vasculha minuciosamente as características fundamentais de hardware da máquina, a lista de programas instalados no sistema operacional, a hierarquia de diretórios locais, arquivos sensíveis de usuários e, de maneira altamente perigosa, informações e credenciais salvas de navegadores de internet. Essa massa de dados exfiltrada ajuda os analistas do GRU a tomar a decisão estratégica de prosseguir com a infecção de larga escala nas redes corporativas de alto valor técnico por meio do backdoor FreakyPoll, ou simplesmente descartar as estações de trabalho consideradas irrelevantes para os propósitos de inteligência militar.

Análise tática da ameaça

"O comando, como um exemplo, poderia ser destinado a carregar e salvar um arquivo VBS no diretório Startup", afirmou o comunicado traduzido publicado pelo CERT da Ucrânia na última terça-feira. "Uma das variantes de tal programa foi chamada de GHETTOVIBE. Na próxima etapa, para determinar a importância do objeto do ciberataque, a ferramenta de software SCOUTCURL pode ser carregada no computador atacado, que é um script PowerShell que realiza o reconhecimento básico coletando e exfiltrando informações sobre o computador: características básicas, programas, arquivos, dados do navegador de Internet, etc."

Essa declaração das autoridades governamentais confirma que o Sandworm está utilizando uma tática baseada em fases bem definidas para mitigar o risco de detecção por equipes de resposta a incidentes. Ao fragmentar as atividades ofensivas entre um instalador minimalista, um persistor silencioso como o GHETTOVIBE, um coletor de reconhecimento como o SCOUTCURL e um backdoor de persistência prolongada como o FreakyPoll, os atacantes evitam disparar as assinaturas de comportamento complexas que muitos sistemas antivírus e plataformas de EDR (Endpoint Detection and Response) buscam ativamente ao analisar logs de processos no Windows.

Outro elemento tático que torna a campanha do Clickfix extremamente atrativa para uma agência governamental avançada como o GRU é a redução dramática no consumo de recursos financeiros e operacionais para a obtenção de acessos iniciais de alto nível. No mercado de ciberespionagem de elite, o desenvolvimento ou a aquisição de vulnerabilidades do tipo dia zero (zero-day) em navegadores populares como o Chrome ou o Firefox exige meses de pesquisa de engenharia reversa ou transações de milhões de dólares. A metodologia do Clickfix inverte essa lógica de investimento tecnológico, demonstrando que uma simples tela de CAPTCHA falsa e um texto convincente são suficientes para que funcionários de organizações sensíveis entreguem voluntariamente o controle administrativo de suas estações ao comando remoto de hackers de Estado.

Impacto no cenário brasileiro

Apesar de o alerta emitido pelo CERT da Ucrânia focar diretamente em organizações daquele país europeu em função das hostilidades militares ativas com a Federação Russa, o surgimento do uso estatal de técnicas como o Clickfix acende um sinal de alerta vermelho para o mercado corporativo e governamental do Brasil. O cenário brasileiro de segurança cibernética é constantemente marcado por ataques de engenharia social voltados a roubos financeiros e sequestros de dados corporativos através de ransomwares de alta agressividade, tornando as estações de trabalho de organizações brasileiras alvos perfeitos para táticas adaptadas de clonagem de CAPTCHAs.

Organizações brasileiras que gerenciam serviços de infraestrutura essencial — tais como empresas distribuidoras de energia elétrica, companhias de telecomunicações e grandes redes de fornecimento de água e saneamento, que historicamente constituem os alvos de sabotagem prediletos de grupos de elite como o Sandworm —, devem reavaliar suas defesas perimetrais à luz desta nova onda do Clickfix. O fato de que a campanha de espionagem cibernética utilizou mais de 10 sites comprometidos mostra que os invasores têm capacidade técnica de infiltrar-se em plataformas de uso diário de colaboradores, gerando ambientes confiáveis para as vítimas antes da execução do comando malicioso no PowerShell.

Estratégias de mitigação técnica

Para se proteger contra a investida do Clickfix e conter a infiltração de ferramentas como o GHETTOVIBE e o SCOUTCURL, os diretores de tecnologia e segurança de informação precisam ir além das tradicionais assinaturas de antivírus de arquivos executáveis e implementar controles rigorosos baseados na execução de privilégios de sistemas e no controle de comportamentos do sistema operacional Windows. A principal barreira de defesa contra esse tipo de ataque consiste em desabilitar o acesso direto ao prompt do PowerShell e ao console administrativo do terminal para usuários comuns de escritórios administrativos que não necessitam desse tipo de ferramenta técnica para suas funções profissionais cotidianas.

Adicionalmente, os administradores de redes de TI devem implementar políticas de segurança estritas por meio de sistemas de EDR capazes de correlacionar a execução de novos scripts na pasta Startup do sistema. Se um navegador corporativo disparar um comportamento de cópia e colagem de blocos de script complexos que invoquem de forma subsequente comandos ocultos em plano de fundo, o sistema de resposta a incidentes deve bloquear de forma imediata o processo associado e isolar preventivamente o terminal de rede de forma a deter o FreakyPoll de enviar suas exfiltrações finais de arquivos aos operadores cibernéticos estrangeiros. O caso do Sandworm e do seu avanço com o Clickfix confirma que a conscientização técnica dos colaboradores contra truques avançados de terminal continua sendo um pilar fundamental da resiliência corporativa moderna.

#Sandworm#Clickfix#cibersegurança#PowerShell#espionagem
Compartilhar

Artigos Relacionados