🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Malware Intelligence

Criadores do YouTube estão sitiados novamente: a técnica Clickflix alimenta ataques de malware

Em uma nova e assustadora reviravolta em uma ameaça antiga, os cibercriminosos estão mais uma vez atacando os criadores do YouTube, desta vez com uma técnica insidiosamente inteligente chamada Clickflix. Disfarçados de colaborações legítimas de marca, os atacantes induzem os criadores de conteúdo a executar scripts maliciosos do PowerShell que roubam silenciosamente credenciais do navegador, dados de carteiras criptográficas e muito mais. A investigação mais recente da CloudSEK se aprofunda nessa campanha em rápida evolução, expondo como os atacantes transformam portais falsos da Microsoft em armas, manipulam ações de pranchetas e mantêm uma persistência furtiva. Se você é criador, profissional de segurança ou simplesmente está curioso sobre as últimas inovações em malware, este relatório é uma leitura obrigatória.
March 25, 2025
6
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Este relatório esclarece uma campanha sofisticada de malware voltada para Criadores do YouTube por meio do spearphishing. Os atacantes exploram marcas confiáveis e ofertas de colaboração profissional para entregar anexos maliciosos. Ao empregar o Técnica Clickflix para a entrega de malware, eles aumentam ainda mais seu engano. As linhas de assunto e o conteúdo do e-mail são meticulosamente projetados para imitar oportunidades de negócios legítimas, como promoções, propostas de parceria e colaborações de marketing.

Durante a segmentação Criadores do YouTube não é uma tática nova, já que abordamos anteriormente uma campanha semelhante nesta notícia, o uso do Técnica Clickflix representa um novo avanço que requer uma investigação mais aprofundada.

Os agentes de ameaças estão usando o Técnica Clickflix para atingir Criadores do YouTube por meio de e-mails de phishing disfarçados de materiais promocionais, contratos ou propostas comerciais. Esses e-mails contêm anexos maliciosos, como documentos do Word, PDFs ou arquivos do Excel, servindo como vetor inicial de infecção. O ataque depende de engenharia social, fazendo com que as vítimas copiem e colem scripts do PowerShell que executam malware em seus sistemas. Uma vez ativado, o malware rouba dados do navegador, incluindo credenciais de login, cookies e carteiras, ou concede acesso remoto aos atacantes. Esta campanha explora especificamente o interesse dos criadores do YouTube em acordos e parcerias de marcas para aumentar sua eficácia.

Mapa mental da campanha de malware

Visão geral:

A equipe de pesquisa de ameaças da CloudSek descobriu uma campanha de malware na qual os agentes de ameaças se fazem passar por marcas populares que a Pictory e sua colaboração profissional oferece como um disfarce para distribuir malware usando a técnica clickflix. No e-mail abaixo, o ator da ameaça apresenta uma proposta de colaboração de marca da equipe Pictory (plataforma de criação de vídeo).

O Snapshot mostra um e-mail do Threat actor para facilitar o processo usando o formulário de pagamento

Quando o usuário clica no link do formulário de pagamento, um documento do Google é aberto contendo todos os detalhes para posterior processamento.

O Snapshot mostra um documento do Google contendo o processo de pagamento.

Abaixo do documento do Google, solicite a abertura de um “formulário de transferência bancária” no arquivo Word para um processo de pagamento tranquilo.

Documento do Google incorporado URL do ClickFlix no formulário de transferência eletrônica

Curiosamente, o Threat Actor criou uma página falsa da Microsoft que se assemelha ao Microsoft Word. A página também exibia uma mensagem de erro que dizia que a “extensão 'Word Online' não está instalada” e apresentava duas opções para continuar: “Como corrigir” e “Corrigir automaticamente”.

Site falso do Microsoft Office com erro na sobreposição

Clicar no botão “Como corrigir” copiou um comando do PowerShell codificado em base64 para a área de transferência do computador, e a mensagem na página foi alterada para instruir o alvo a abrir um terminal PowerShell e clicar com o botão direito do mouse na janela do console. Clicar com o botão direito do mouse em uma janela do terminal colou o conteúdo da área de transferência e executou o PowerShell.

A vítima segue as instruções da sobreposição e copia o script do PowerShell clicando em “Como corrigir”

Análise e atribuição:

Ao verificar o código-fonte da página da web, os scripts parecem estar muito ofuscados e projetados para manipular o comportamento do navegador, provavelmente para fins maliciosos ou enganosos.

A página da web maliciosa contém código ofuscado

Essa página da web maliciosa inclui detecção baseada em agente de usuário e só é executada quando acessada de um PC ou laptop.

A página da Web inclui detecção baseada em agente de usuário

Injetando conteúdo na prancheta

A linha da área de transferência contém um comando do PowerShell codificado em Base64 que acessa a URL especificada e executa o conteúdo da página. Dentro desse conteúdo, há um script ofuscado do PowerShell que, em última análise, baixa a carga maliciosa.

Script Powershell malicioso

Análise e análise do script:

Esse script do PowerShell parece ser um código malicioso projetado para coletar determinados arquivos e interagir com servidores remotos para potencialmente executar cargas úteis prejudiciais. Aqui está um resumo do que cada parte faz:

Liberação de DNS: Limpa o cache do DNS para eliminar vestígios de atividades maliciosas anteriores.

Persistência do trabalho agendado: O script cria um trabalho agendado “fs3s3s8s” que funciona indefinidamente a cada minuto, mantendo a persistência.

Acesso ao ambiente: Isso recupera o caminho para a pasta “Recentes”, que normalmente armazena arquivos acessados recentemente. Em seguida, ele procura arquivos com a extensão.normaldaki nessa pasta. Esses arquivos podem ser arquivos maliciosos ou iscas usadas para execução posterior.

Solicitações HTTP: Busca conteúdo malicioso de servidores remotos para execução.

Decodificação Base64 e execução dinâmica de código: Executa scripts codificados em Base64, uma técnica de ofuscação usada em malware.

Carregamento dinâmico de montagem: O script carrega e executa dinamicamente o código na memória, evitando a detecção por não gravar no disco.

Comando e controle:

O malware se comunica com os servidores de Comando e Controle (C2) para exfiltrar dados roubados. Inicialmente, ele tenta fazer uma solicitação de DNS para flowers.what-is-game.xyz

Instantâneo do malware se conectando a flowers.what-is-game.xyz

Depois de infectar um sistema, um ladrão estabelece comunicação com servidores de comando e controle (C2) para exfiltrar dados roubados. Ele tenta se conectar aos domínios do servidor C2 usando o domínio de topo (TLD) “.xyz”. Os agentes de ameaças utilizam redes de entrega de conteúdo (CDNs) para distribuição de carga útil e servidores C2 para exfiltração de dados.

Solicitação de DNS para cdn.findfakesnake.xyz e Cat-watches-site.xyz 104.78.173.167

Instantâneo do malware se conectando a cdn.findfakesnake.xyz e Cat-watches-site.xyz

Solicitação de DNS para Cdn.cart-newlocate.xyz

Instantâneo do malware se conectando a cdn.cart-newlocate.xyz

Árvore de processos:

Árvore de processos

Navegador e cookies:

O Lumma Stealer tenta roubar todos os dados do navegador visando credenciais armazenadas, cookies, informações de preenchimento automático e histórico de navegação. Ele pode extrair senhas salvas, tokens de sessão e outros detalhes confidenciais dos navegadores da Web, permitindo que os invasores obtenham acesso não autorizado às contas.

Instantâneo do malware coletando todos os dados do navegador

Aplicativos baseados em Mozilla:

O ladrão coleta dados do usuário de caminhos específicos associados a vários aplicativos baseados na Mozilla, incluindo Firefox, Thunderbird e Pale Moon, além de navegadores menos conhecidos, como K-Meleon e Cyberfox. Esses caminhos de dados geralmente estão localizados na pasta AppData do usuário em Roaming.

Instantâneo do malware coletando todos os dados de aplicativos baseados em mozilla

Navegadores baseados em Chromium:

Em seguida, ele recupera dados de caminhos específicos associados a vários navegadores baseados em Chromium, como Google Chrome, Opera, Brave e alternativas como Vivaldi e Yandex. Além disso, ele identifica diretórios relacionados a jogos e outros softwares, destacando locais onde os dados do usuário podem ser armazenados localmente.

Instantâneo do malware coletando todos os dados de aplicativos baseados em Chromium

Extensões de carteira e autenticador:

Em seguida, ele extrai dados de 280 carteiras de criptomoedas, se elas estiverem presentes no sistema, visando aquelas incluídas em uma lista predefinida.

Instantâneo de malware coletando dados de 280 carteiras de criptomoedas

Infraestrutura de caçadores de ameaças:

Nossa investigação aprofundada sobre a infraestrutura do agente da ameaça revelou que uma conta do Google Drive incorporada a um URL malicioso do Clickflix para pagamentos dos autores do YouTube estava vinculada ao e-mail “[email protected]”. Também observamos que ele foi atualizado pela última vez em 18/02/2025.

Instantâneo contendo detalhes do criador do Google Drive

Durante nossa investigação do OSINT sobre[email protected],” descobrimos uma avaliação interessante do Google Maps sobre o Capri Motel, localizado em Okul Cad, Gökçedere, Mutlu Sk. 2/A, 77400 Termal/Yalova, Türkiye. A avaliação foi escrita por alguém usando o nome Aubree Chapman. Essa conta pode pertencer ao agente da ameaça ou ser uma conta comprometida.

Análise de mapas do Google por e-mail [email protected], chamada Aubree Chapman

Táticas e técnicas do MITRE ATT&CK:

ATT&CK Tactic Technique & ID Description
Initial Access Spearphishing Link (T1566.002) The threat actor sends a targeted phishing email containing a malicious link. When the recipient clicks the link, they are redirected to a compromised or attacker-controlled website designed to deliver malware.
Execution Windows Management Instrumentation (T1047) Utilizes WMI to access system data within .NET.
Defense Evasion Obfuscated Files or Information (T1027) Uses DPAPI for data encryption, applies BCrypt for cryptographic operations, and encodes data in Base64.
Defense Evasion Deobfuscate/Decode Files or Information (T1140) Decodes Base64-encoded data within .NET.
Discovery System Information Discovery (T1082) Retrieves OS version, checks processor core count, accesses environment variables, and identifies the hostname.
Discovery File and Directory Discovery (T1083) Verifies the existence of files and directories, retrieves common file paths, and enumerates files on Windows.
Discovery Process Discovery (T1057) Lists active processes and identifies specific processes by name.
Discovery Software Discovery (T1518) Gathers details about installed and running software by enumerating processes.
Collection Data from Information Repositories (T1213) Extracts data from WMI repositories through specific queries.
Command and Control C2 Communication (T1071) The threat actor establishes communication with a Command and Control (C2) server to receive instructions, exfiltrate stolen data, or download additional payloads. This communication can take various forms, such as HTTPS, DNS tunneling, or encrypted channels, to evade detection.

Indicadores de compromisso (IOCs):

Hash's 256 Filename
cace23a661e2792804416147df9dcf3ef59ebf56cfaf
9c20d0813aa5f0d95613		 archivo.txt
URL Label
Google Drive Link Google Drive
ClickFlix Link ClickFlix webpage
flowers.what-is-game.xyz c2
cat-watches-site.xyz c2
cdn.findfakesnake.xyz c2
cdn.cart-newlocate.xyz c2
https://cat-watches-site.xyz/api/$jeep API call
Email Label
[email protected] Google Drive Owner
[email protected] Spearphishing Email
IPv4
104.21.38.22 104.78.173.167
172.67.199.240

Conclusão:

A técnica de engenharia social do Clickflix representa um método altamente enganoso para a entrega de malware. Ao incorporar scripts codificados em base64 em solicitações de erro aparentemente legítimas, os invasores manipulam os usuários para que executem, sem saber, uma série de ações que acionam comandos maliciosos do PowerShell. Esses comandos normalmente baixam e executam cargas úteis, como arquivos HTA, de servidores remotos, levando à implantação de malware como o Lumma Stealer.

Depois que o malware está ativo, ele inicia várias operações maliciosas, incluindo roubar dados pessoais dos usuários e transmiti-los ao servidor de comando e controle (C2). A cadeia de ataque geralmente incorpora mecanismos furtivos e de persistência, como limpar o conteúdo da área de transferência e executar processos em segundo plano para evitar a detecção. Ao disfarçar scripts nocivos como alertas do sistema ou mensagens de solução de problemas, os invasores enganam efetivamente os usuários para que facilitem a execução de malware, resultando no comprometimento do sistema.

Recomendações para mitigar a campanha de malware Clickflix

Para se proteger contra a campanha de malware Clickflix, organizações e indivíduos devem implementar as seguintes medidas de segurança:
1. Conscientização e treinamento do usuário
  • Eduque os usuários, especialmente os criadores de conteúdo e influenciadores, sobre as táticas de engenharia social usadas na distribuição de malware.
  • Incentive o ceticismo em relação a e-mails ou mensagens não solicitados que ofereçam patrocínios, oportunidades de monetização ou downloads de software.
  • Ofereça treinamento de conscientização sobre segurança para identificar links de phishing, anexos suspeitos e pop-ups enganosos.

2. Filtragem de e-mail e web

  • Implemente soluções avançadas de filtragem de e-mail para detectar e bloquear tentativas de phishing contendo links ou anexos maliciosos.
  • Use a análise de reputação de domínio para impedir o acesso a sites maliciosos conhecidos.
  • Ative os recursos de navegação segura nos navegadores para alertar os usuários sobre sites nocivos.

3. Proteção de terminais e detecção de ameaças

  • Implante soluções de antivírus (NGAV) e de detecção e resposta de terminais (EDR) de próxima geração para identificar e bloquear execuções suspeitas de scripts.
  • Monitore atividades incomuns do PowerShell, especialmente comandos relacionados à decodificação Base64 e à execução remota de carga útil.
  • Configure a lista branca de aplicativos para evitar a execução não autorizada de scripts.

4. Controles de segurança de rede

  • Implemente proxies da web e regras de firewall para restringir o acesso aos domínios associados às campanhas da Clickflix.
  • Ative o monitoramento do tráfego de rede para detectar conexões com a infraestrutura conhecida de comando e controle (C2).
  • Use a filtragem de DNS para bloquear solicitações a sites maliciosos que hospedam cargas de malware.

5. Resposta a incidentes e caça a ameaças

  • Desenvolva um plano de resposta a incidentes para lidar com possíveis infecções causadas por ataques baseados no ClickFlix.
  • Realize auditorias regulares de segurança e análises forenses em sistemas comprometidos para detectar malwares ocultos.
  • Use os serviços de inteligência de ameaças para se manter atualizado sobre as novas táticas, técnicas e procedimentos (TTPs) usados pelos atacantes.

6. Patch e endurecimento do sistema

  • Mantenha os sistemas operacionais, os navegadores e o software de segurança atualizados para mitigar as vulnerabilidades que os invasores exploram.
  • Desative os recursos desnecessários do PowerShell e do Windows Script Host (WSH) se não forem necessários para operações diárias.
  • Restrinja a execução de macros e scripts não assinados para reduzir o risco de ataques baseados em scripts.
Ao adotar uma abordagem de segurança em várias camadas, organizações e indivíduos podem reduzir significativamente o risco de serem vítimas da campanha de malware da Clickflix.

Referências

Postagens relacionadas:

Como os agentes de ameaças exploram as colaborações de marcas para atingir canais populares do YouTube
Lumma Stealer Chronicles: campanha temática em PDF usando a infraestrutura de instituições educacionais comprometidas

Mayank Sahariya
Passionate about national security, the author investigates organized cybercrime, analyzes malware, and explores dark web ecosystems. With a focus on cybersecurity and fintech, his work supports law enforcement, intelligence agencies, and organizations in mitigating emerging threats.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Malware Intelligence
August 27, 2025
9
min
O preço da confiança: analisando a campanha de malware que explora o legado da TASPEN para atingir idosos indonésios
Leia mais
Este é um texto dentro de um bloco div.
Malware Intelligence
July 25, 2025
6
min
Atores de ameaças induzem as vítimas a baixar arquivos.HTA usando o ClickFix para espalhar o ransomware Epsilon Red
Leia mais
Este é um texto dentro de um bloco div.
Malware Intelligence
September 19, 2024
5
min
Desmascarando o perigo: o malware Lumma Stealer explora páginas CAPTCHA falsas
Leia mais