🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Scam

Exposto o golpe do DeepSeek ClickFix! Proteja seus dados antes que seja tarde demais

Os cibercriminosos estão explorando a crescente popularidade do DeepSeek para lançar campanhas de phishing da ClickFix, induzindo os usuários a clicarem em links CAPTCHA falsos que roubam credenciais e instalam malwares como o Vidar e o Lumma Stealer. Esses ataques personificam a marca da DeepSeek para parecerem legítimos, contornarem medidas de segurança e infectarem vítimas inocentes. A equipe de pesquisa de ameaças da CloudSEK descobriu um domínio malicioso distribuindo malware por meio de botões de verificação enganosos. Saiba como identificar esses golpes, proteger suas contas com o MFA e evitar se tornar a próxima vítima! Mantenha-se informado e proteja seus dados AGORA, antes que seja tarde demais! 🔥
February 10, 2025
5
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Os agentes de ameaças estão explorando a crescente popularidade do DeepSeek lançando campanhas de phishing que usam a marca DeepSeek. Essas campanhas visam roubar credenciais e distribuir malware, inclusive por meio de esquemas de investimento falsos.

A equipe de pesquisa de ameaças da CloudSek descobriu um domínio usado para espalhar o malware Vidar Stealer por meio de campanhas de phishing da ClickFix, um tipo de golpe em que as vítimas são induzidas a clicar em um link malicioso que parece ser uma verificação de captcha. Esses links geralmente levam à instalação de malware, como o Lumma Stealer mencionado neste relatório. Um anterior postagem no blog, publicado em setembro do ano passado, explicou isso em detalhes.

Análise e atribuição

Análise do domínio falso

1. Em 31 de janeiro de 2025, CloudSEKO AI URL Analyzer contextual detectou um domínio com o nome deepseekcaptcha [.] top O domínio foi hospedado atrás do Cloudflare e foi usado para exibir uma oferta falsa de tema para blogueiros do DeepSeek.

O domínio falso que se faz passar pela marca DeepSeek na campanha ClickFix

2. O registro WHOIS mostra que o domínio foi registrado em 31 de janeiro de 2025. O domínio usa os serviços de hospedagem da Cloudflare para mascarar sua verdadeira natureza e evitar a detecção de mecanismos de busca baseados em IA, permitindo que ele permaneça sem ser detectado por um longo período.

3. Ao analisar a funcionalidade e o fluxo do site de phishing, ficou claro que clicar no botão “Verificar” na página inicial da página maliciosa copiaria um comando malicioso do PowerShell e, uma vez que as instruções fossem seguidas, o download de um arquivo malicioso começaria.

A página falsa de captcha maliciosa baixa o malware quando a vítima segue as etapas

4. O comando destacado na captura de tela revela que o arquivo chamado 1.exe foi baixado e posteriormente executado a partir do %TEMP% diretório sem qualquer interação do usuário. Ao verificar o endereço IP, 147,45,44 [.] 209 descobrimos que a listagem de diretórios revela todos os arquivos e scripts nas campanhas usadas.

Outras amostras de malware Vidar, juntamente com o script de download e o arquivo HTA presentes no IP 147.45.44 [.] 209

4. Com base na análise estática primária do arquivo baixado, 1.exe é classificado como o downloader de 1º estágio do Vidar Stealer que é usado para infectar dispositivos e roubar informações.

5. Uma análise mais aprofundada revelou que o ladrão incorporou plataformas de mídia social, como Telegram e Steam, em sua infraestrutura para fornecer atualizações e suporte, bem como a funcionalidade de comando e controle (C2). Isso inclui incorporar o endereço IP/URL na página de perfil, que o malware recupera durante o estágio inicial de execução.

Perfil Steam usado para baixar a próxima amostra de stag do IP presente como nome de usuário do perfil

Recomendações

  • Conscientização e educação do usuário: A melhor defesa contra ataques de phishing é uma base de usuários bem informada. Organizações e indivíduos devem realizar programas regulares de treinamento de conscientização sobre segurança que eduquem os usuários sobre os riscos dos ataques de phishing e como identificá-los e evitá-los. Isso inclui:
    • Identificação de e-mails de phishing: Ensine os usuários a reconhecer os sinais comuns de e-mails de phishing, como endereços de remetentes suspeitos, solicitações urgentes de informações pessoais e links para sites desconhecidos.
    • Passe o mouse antes de clicar em: Incentive os usuários a passarem o mouse sobre os links antes de clicarem para verificar o URL de destino.
    • Verificando a autenticidade do site: Aconselhe os usuários a verificar o símbolo do cadeado e “https://” na barra de endereço para garantir que estejam visitando um site seguro.
    • Denunciando atividades suspeitas: Estabeleça um processo claro para que os usuários denunciem e-mails ou sites suspeitos ao departamento de TI.
  • Autenticação multifator (MFA): A implementação da MFA adiciona uma camada extra de segurança ao exigir que os usuários forneçam várias formas de verificação antes de acessar contas ou sistemas confidenciais. Isso pode reduzir significativamente o risco de acesso não autorizado, mesmo que as credenciais sejam comprometidas.
  • Soluções de filtragem de e-mail e antiphishing: Use soluções de filtragem de e-mail e anti-phishing para detectar e bloquear e-mails maliciosos antes que eles cheguem às caixas de entrada dos usuários. Essas soluções podem usar uma variedade de técnicas, como detecção baseada em assinaturas, análise de reputação e aprendizado de máquina, para identificar e colocar em quarentena e-mails de phishing.
  • Segmentação de rede: Segmentar a rede pode ajudar a conter a propagação de malware no caso de um ataque de phishing bem-sucedido. Ao isolar sistemas e dados críticos do resto da rede, as organizações podem limitar os possíveis danos causados por uma violação.
  • Plano de resposta a incidentes: Ter um plano de resposta a incidentes bem definido pode ajudar as organizações a responder de forma rápida e eficaz aos ataques de phishing. Esse plano deve incluir procedimentos para identificar, conter e erradicar a ameaça, bem como para se comunicar com as partes interessadas.
  • Atualizações regulares de software: Manter o software e os sistemas atualizados com os patches de segurança mais recentes é crucial para mitigar as vulnerabilidades que podem ser exploradas pelos agentes de ameaças.
  • Software antimalware: A implantação de software antimalware em todos os endpoints pode ajudar a detectar e remover softwares maliciosos que podem ser instalados por meio de ataques de phishing.
  • Gerenciamento de senhas: Incentive os usuários a usar senhas fortes e exclusivas para todas as suas contas e evitar a reutilização de senhas em vários sites. Considere implementar um gerenciador de senhas para ajudar os usuários a gerenciar suas credenciais com segurança.

Seguindo essas recomendações, organizações e indivíduos podem reduzir significativamente o risco de serem vítimas de ataques de phishing e se proteger dos riscos associados de roubo de dados, perda financeira e danos à reputação.

Lista de indicadores de compromissos

A seguir estão os IOCs reunidos na campanha:

IOCs
1.exe (sha256:cd7bd1c6b651a700f059bc89168d6950292d77fb3703da401fdc83acae911aae)
din.exe (sha256:3defc89a9190f7ba4474aaa8fb3f5a738a721dc1999ac6f71d438cdeadb20e7)
lem.exe (sha256:cedb81c4665ea6e96d6bce5b08546fa776d37f2ed10fee4eb65d216ba90bd839)
test.hta (sha256:a3a5303a15cf016427104042c4968b9483abbb062af46fc138d4401078f2fe84)
script.ps1 (sha256:f2fbe8f49cf070c8672c64a75a732b4545f5055e96570e873866ef534ffbe8ec)
yoda.exe (sha256:b112123f490a0505d0c2722abc65d1285865c519ec9587fe72e988c38fc1fcbc)
147.45.44[.]209
95.217.25[.]45
hxxps://steamcommunity[.]com/profiles/76561199824159981 (Malicious URL)
deepseekcaptcha[.]top

Referências

Apêndice

Fluxo de trabalho de uma campanha genérica do ClickFix para distribuir malware - neste caso, o malware Vidar

Anshuman Das
Cyber Threat Researcher at CloudSEK, investigating emerging threats and vulnerabilities. Passionate about threat intelligence, security awareness, and making cybersecurity accessible to all.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Scam
March 13, 2025
5
min
Os golpes do Ramadã estão em alta: brindes falsos, armadilhas criptográficas e doações fraudulentas
Leia mais
Este é um texto dentro de um bloco div.
Scam
March 11, 2025
3
min
O lado negro do comércio eletrônico: como redes de avaliações falsas manipulam as compras on-line
Leia mais
Este é um texto dentro de um bloco div.
Scam
March 6, 2025
5
min
PrintSteal: Expondo sites não autorizados que se fazem passar por CSC envolvidos em fraudes de geração de documentos KYC em grande escala
Leia mais