Campanha ClickFix Entrega Backdoor PowerShell Chamado BAITSWITCH

BR Defense Center (By River de Morais e Silva)
malware

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

BAITSWITCH é um downloader que se comunica com seu C2 e executa uma série de comandos para garantir a persistência e o armazenamento de cargas úteis no registro do Windows. O malware também é capaz de executar scripts PowerShell arbitrários e coletar informações do sistema. A campanha destaca a eficácia contínua de vetores de engenharia social e a necessidade de políticas de segurança rigorosas, como o controle de aplicativos e a implementação de soluções de isolamento de navegador para prevenir interações maliciosas.

Fonte: https://cyberpress.org/baitswitch-powershell-backdoor-2/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
26/09/2025 • Risco: ALTO
MALWARE

Campanha ClickFix Entrega Backdoor PowerShell Chamado BAITSWITCH

RESUMO EXECUTIVO
A campanha ClickFix, atribuída ao grupo APT COLDRIVER, utiliza engenharia social para comprometer sistemas de organizações civis. O malware BAITSWITCH permite acesso persistente e roubo de dados, destacando a necessidade de medidas de segurança robustas para prevenir tais ataques.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de documentos e acesso persistente a sistemas comprometidos.
Setores vulneráveis
['ONGs, setor de direitos humanos, mídia']

📊 INDICADORES CHAVE

Campanha ClickFix atribuída ao grupo APT COLDRIVER. Indicador
BAITSWITCH se conecta ao servidor C2 em captchanom.top. Contexto BR
O malware executa comandos a cada três minutos. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de acesso e identificar qualquer atividade suspeita relacionada a comandos PowerShell.
2 Implementar políticas de controle de aplicativos e restringir a execução de scripts não autorizados.
3 Monitorar continuamente as interações com páginas web e comandos executados no ambiente corporativo.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a eficácia das técnicas de engenharia social e a possibilidade de ataques semelhantes em suas organizações.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais de cidadãos brasileiros.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).