Backdoor

Grupo de hackers utiliza ClickFix para implantar backdoor CORNFLAKE.V3

Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.