Ir ao conteúdo
Regras do Clube do Hardware

Verificação de captcha estranha ao acessar sites

vap25

Por vap25
em Vírus, malware, invasões e afins

 Compartilhar

Posts recomendados

  • Moderador
Rio McCloud
 

Rio McCloud

Postado
  • Moderador
Postado

@vap25 Boa noite! Isso daí com certeza é malware, mas é simples identificar o que ele fez: ao clicar no botão de verificação, ele escreveu algum conteúdo na sua área de transferência. Depois, ele exibiu essa mensagem, pedindo pra você abrir o Executar do Windows, colar o que está copiado no momento e dar OK.

 

O conteúdo da sua área de transferência muito provavelmente é um comando de PowerShell que vai carregar malware a partir de um site externo e infectar a máquina. Se você não seguiu as instruções, não se preocupe, você está limpo. Feche a guia e mantenha seu antivírus atualizado - é possível ver que o Microsoft Defender está com um ícone de alerta, verifique quais são os assuntos pendentes e resolva.

  • Curtir 4
  • GabrielLV alterou o título para Verificação de captcha estranha ao acessar sites
  • Moderador
Rio McCloud
 

Rio McCloud

Postado
  • Moderador
Postado
3 horas atrás, Rio McCloud disse:

O conteúdo da sua área de transferência muito provavelmente é um comando de PowerShell que vai carregar malware a partir de um site externo e infectar a máquina.

 

Na mosca: testei em um ambiente isolado e ele executou um comando de PowerShell, sem sequer pedir permissão do Controle de Conta do Usuário, e usou toda a CPU por alguns minutos. Depois parou, mas continuou rodando em segundo plano, e o primeiro sintoma foi o navegador Edge não abrir mais. O Microsoft Defender não neutralizou o malware.

 

Subi o arquivo para o VirusTotal e alguns poucos antivírus detectaram o arquivo, enquanto o site só o Kaspersky detectou.

 

image.png.118dfb8650f1c48cb2d4a1f6fbd0945d.png

  • Curtir 2
  • Amei 1
  • Membro VIP
Linio Alan
 

Linio Alan

Postado
  • Membro VIP
Postado

Entendi, mas achei que haveria uma identificação mais precisa do malware. Fiquei curioso pra saber se é uma variante predominante do Brasil ou de outras localidades, estou vendo muito usarem técnicas DLL sliding e obfuscation para não levantar suspeita de AVs (evasion), mas como outros AVs já tem a assinatura de payload malicioso e o Defender não detectou seria interessante saber a variante exata até para alertar sobre quais medidas de mitigação tomar, principalmente para quem tem somente o Defender no sistema.

  • Curtir 3
  • Moderador
Rio McCloud
 

Rio McCloud

Postado
  • Moderador
Postado

@Linio Alan @mick 07 Aqui os links para a URL com o arquivo .mp4 falso, e o próprio arquivo. Não tive muito tempo pra "brincar" com ele, mas o arquivo é baixado e executado através do próprio mshta do Windows.

Aparentemente o Microsoft Defender agora detecta o arquivo, mas aqui não funcionou. Talvez seja pelo módulo comportamental.

  • Curtir 2
  • Obrigado 2
  • Membro VIP
Linio Alan
 

Linio Alan

Postado
  • Membro VIP
Postado

@Rio McCloud obrigado pelo trabalho que você fez, no momento eu não conseguiria rodar um sandbox como você fez, além de um Threat Inteligence que, ao que tudo indica, nesta cepa "Wacatac.[.]H![.]ml" ter o poder de preceder outros ataques críticos, as ocorrências mais prevalentes que encontrei foram no sentido de roubo de credenciais e dados pessoais mesmo, aliado à isso também pude verificar uma compatibilidade enorme com outro malware que faz praticamente exatamente o que o @vap25 mostrou aqui, o que me refiro é o Lumma Stealer

 

image.thumb.png.d8b335f7171b14d126d53dd65331a80e.png

 

 

O melhor remédio para usuário final, neste caso, é manter todos os programas e o sistema atualizados, ter instalados e devidamente atualizados seu esquema de Antivírus e AntiMalware, capazes de detectar o Lumma. O próprio Windows Defender tem essa capacidade, porém esse malware de tempos em tempos recebe atualizações que o confere capacidade de se evadir mesmo das melhores soluções de segurança, mesmo as corporativas.

 

Este malware vem "fazendo a festa" no Brasil, com uma infinidade de vetores de infecção sendo exploradas ativamente, como downloads via torrents, Instagram, Telegram, Github e até o YouTube via links maliciosos.

 

O cuidado REDOBRADO ao se clicar em links precisa ser tomado, como vemos, nem sempre os programas de segurança conseguirão detectar o malware, então propagar a cyber higienização e educação precisam ser reforçados.

  • Curtir 2
  • Amei 1

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora
 Compartilhar
Ir à lista de tópicos

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

Mais

×
×
  • Criar novo...

GRÁTIS: ebook Redes Wi-Fi – 2ª Edição

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!