Hackers utilizam erros falsos do Google Meet para espalhar malware que rouba informações

A campanha, denominada ClickFix, é direcionada a sistemas operacionais Windows e macOS. Essa tática de engenharia social, que surgiu em maio, utiliza mensagens disfarçadas de erros no Google Chrome, Microsoft Word e OneDrive, que induzem as vítimas a copiar e executar um trecho de código PowerShell no prompt de comando do Windows, infectando os sistemas com malwares como DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig e Lumma Stealer.

Em julho, a McAfee relatou um aumento nas campanhas ClickFix, especialmente nos EUA e Japão. Segundo uma empresa de cibersegurança, a campanha evoluiu significativamente, passando a utilizar falsos convites do Google Meet, e-mails de phishing direcionados a empresas de transporte e logística, páginas falsas do Facebook e comentários enganosos no GitHub.

No caso do Google Meet, os invasores enviam e-mails que parecem convites legítimos, com URLs que imitam links reais, como:

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

Ao acessar a página falsa, a vítima recebe um pop-up informando sobre um “problema técnico”, como uma falha no microfone ou nos fones de ouvido. Ao clicar no botão para corrigir o problema, o processo padrão do ClickFix se inicia, e o código PowerShell copiado pela página infecta o computador. Em sistemas macOS, o malware é inserido como um arquivo .DMG (imagem de disco da Apple) chamado “Launcher_v194”, contendo o AMOS Stealer.

A campanha ClickFix também utiliza outros canais de distribuição de malware, como Zoom, leitores de PDF, jogos falsos, navegadores, projetos web3 e aplicativos de mensagens.