Mimicrat

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha chamada ClickFix, que utiliza sites legítimos comprometidos para distribuir um novo trojan de acesso remoto (RAT) conhecido como MIMICRAT. A campanha é caracterizada por sua sofisticação operacional, envolvendo uma cadeia de PowerShell em múltiplas etapas que contorna mecanismos de segurança do Windows, como ETW e AMSI, antes de implantar um loader baseado em Lua. O MIMICRAT, desenvolvido em C++, oferece suporte a funcionalidades avançadas, como a manipulação de tokens do Windows e tunelamento SOCKS5, permitindo um controle abrangente após a exploração. O ataque começa com a injeção de código JavaScript malicioso em um serviço legítimo de validação de BIN, que redireciona a vítima para uma página falsa de verificação do Cloudflare. A execução de comandos PowerShell leva à comunicação com um servidor de comando e controle (C2) para baixar scripts adicionais, culminando na entrega do MIMICRAT. A campanha é capaz de se adaptar a 17 idiomas, aumentando seu alcance. Os alvos incluem uma universidade nos EUA e usuários de língua chinesa, indicando uma abordagem oportunista e ampla.