Um grupo de cibercriminosos ligado ao Paquistão, identificado como APT36 (Transparent Tribe), foi apontado como responsável por uma campanha que utiliza um site falso do sistema postal da Índia para infectar dispositivos Windows e Android com malware.
Ataque cibernético via site fraudulento
A investigação conduzida pela empresa de segurança CYFIRMA revelou que o domínio malicioso “postindia[.]site” foi criado para enganar usuários. Quem acessa a página por um computador Windows recebe um arquivo PDF malicioso, enquanto usuários de Android são induzidos a baixar um aplicativo disfarçado de oficial do India Post.
Método de infecção em sistemas Windows
O documento PDF distribuído no ataque contém táticas do tipo “ClickFix”. Ele orienta a vítima a pressionar as teclas Win + R, inserir um comando PowerShell na caixa de diálogo Executar e executá-lo. Esse procedimento pode comprometer totalmente o sistema. A análise de metadados do arquivo revela que foi criado em 23 de outubro de 2024 por um autor identificado como “PMYLS”, possivelmente em referência a um programa governamental do Paquistão. O domínio fraudulento foi registrado um mês depois, em 20 de novembro de 2024.
O comando PowerShell presente no arquivo tem a função de baixar uma carga maliciosa de um servidor remoto, atualmente inativo, hospedado no IP 88.222.245[.]211.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Infecção em dispositivos Android
Ao acessar o site falso por um smartphone, os usuários são instruídos a baixar um aplicativo supostamente oficial para melhorar a experiência. No entanto, o arquivo APK malicioso requer permissões amplas, incluindo acesso a contatos, localização e armazenamento externo.
Após a instalação, o aplicativo altera seu ícone para se parecer com um serviço legítimo do Google Accounts, dificultando sua identificação e remoção. Além disso, ele força os usuários a conceder permissões e continua em execução mesmo após a reinicialização do dispositivo. O app também solicita autorização para ignorar a otimização de bateria, garantindo que permaneça ativo constantemente.
ClickFix: uma ameaça crescente
Especialistas alertam que a técnica “ClickFix” tem sido amplamente explorada por cibercriminosos e grupos APT, atingindo tanto usuários comuns quanto profissionais de tecnologia. Esse método representa uma ameaça significativa, pois induz vítimas a executar comandos perigosos sem perceber os riscos envolvidos.
A recomendação para usuários é evitar baixar arquivos de fontes desconhecidas, verificar a autenticidade dos sites acessados e manter soluções de segurança sempre atualizadas.
