A nova geração de malware com ClickFix e WMI

DeepLoad: A nova geração de malware com ClickFix e WMI para Roubo de Credenciais

O cenário de ameaças cibernéticas evolui constantemente, impulsionado por técnicas cada vez mais sofisticadas de evasão e engenharia social. Um exemplo recente dessa evolução é o malware DeepLoad, uma nova ameaça que combina técnicas modernas como ClickFix, execução via PowerShell, injeção em memória e persistência via WMI.

Essa campanha representa um avanço significativo na forma como atacantes exploram o comportamento humano e os recursos nativos do sistema operacional para comprometer dispositivos e roubar credenciais sensíveis.

1. O que é o malware DeepLoad

O DeepLoad é um loader malicioso projetado para iniciar cadeias de ataque complexas, com foco principal na coleta de credenciais armazenadas em navegadores e sessões ativas.

Diferente de malwares tradicionais, ele não depende apenas de arquivos persistentes em disco. Sua operação envolve:

• Execução em memória

• Uso de processos legítimos do Windows

• Ofuscação avançada (possivelmente assistida por IA)

Pesquisadores indicam que o malware utiliza técnicas de injeção de processo e ofuscação inteligente para evitar detecção por ferramentas de segurança convencionais.

2. Vetor inicial: Engenharia Social com ClickFix

O ataque começa com uma técnica de engenharia social chamada ClickFix, que engana o usuário simulando a necessidade de corrigir um erro no sistema.

Funcionamento do ataque:

• O usuário acessa uma página maliciosa

• É instruído a executar um comando no Windows (via “Executar”)

• O comando ativa o PowerShell

• Um script malicioso é baixado e executado

Essa abordagem explora a confiança do usuário e contorna mecanismos tradicionais de proteção, pois depende de uma ação legítima iniciada manualmente.

Campanhas ClickFix são amplamente utilizadas para distribuir malwares de roubo de credenciais e trojans de acesso remoto.

3. Técnicas avançadas de evasão

O DeepLoad incorpora múltiplas camadas de evasão, tornando sua detecção extremamente difícil.

3.1 Uso de Binários Legítimos (Living-off-the-Land)

O malware utiliza ferramentas nativas como:

• mshta.exe para execução remota

• PowerShell para carregamento dinâmico

Isso reduz a necessidade de arquivos maliciosos visíveis.

3.2 Injeção em processos confiáveis

O payload é injetado em processos legítimos, como:

• LockAppHost.exe (tela de bloqueio do Windows)

Essa técnica permite que o malware opere disfarçado dentro de processos confiáveis.

3.3 Execução em memória (Fileless Malware)

O DeepLoad evita gravação em disco ao:

• Gerar DLLs temporárias com nomes aleatórios

• Executar código diretamente na memória

• Utilizar compilação dinâmica em C# via PowerShell

Essa abordagem dificulta análises forenses e detecção por antivírus tradicionais.

3.4 Injeção APC (Asynchronous Procedure Call)

A técnica APC permite:

• Inserir código malicioso em processos suspensos

• Executar payloads sem criar artefatos detectáveis

Isso torna o ataque praticamente invisível para soluções baseadas em assinatura.

4. Persistência com WMI: O diferencial estratégico

Um dos aspectos mais perigosos do DeepLoad é o uso do Windows Management Instrumentation (WMI) para persistência.

Como funciona:

• O malware cria eventos WMI maliciosos

• Após alguns dias, o código é reexecutado automaticamente

• Não há necessidade de interação do usuário

Essa técnica permite reinfectar o sistema mesmo após limpeza aparente, ampliando o tempo de permanência do atacante.

5. Roubo de credenciais em tempo real

O roubo de dados ocorre logo nas fases iniciais do ataque, incluindo:

• Senhas armazenadas em navegadores

• Cookies de sessão

• Dados de autofill

Mesmo que o loader principal seja interrompido, os dados já podem ter sido comprometidos .

Esse comportamento está alinhado com tendências recentes, onde o roubo de credenciais continua sendo uma das principais ameaças globais, com milhões de dados comprometidos anualmente.

6. Impactos para empresas e usuários

A campanha DeepLoad apresenta riscos significativos:

6.1 Comprometimento de Contas

Credenciais roubadas podem ser usadas para:

• Acesso a sistemas corporativos

• Fraudes financeiras

• Ataques de credential stuffing

6.2 Movimentação lateral

Uma única credencial pode permitir:

• Escalada de privilégios

• Acesso a redes internas

• Implantação de ransomware

6.3 Persistência invisível

O uso de WMI dificulta:

• Detecção por antivírus

• Remoção completa da ameaça

7. Boas práticas de mitigação

Para usuários:

• Nunca executar comandos sugeridos por sites desconhecidos

• Evitar clicar em “correções rápidas” suspeitas

• Utilizar autenticação multifator (MFA)

Para empresas:

• Monitorar uso de PowerShell e mshta.exe

• Implementar detecção comportamental (EDR/XDR)

• Auditar eventos WMI regularmente

Para equipes de segurança:

• Realizar testes de Red Team com foco em engenharia social

• Adotar políticas de Zero Trust

• Monitorar atividades em memória (fileless attacks)

8. Tendências e evolução do cibercrime

O DeepLoad demonstra uma mudança clara no cenário de ameaças:

• Uso crescente de IA para ofuscação

• Ataques baseados em comportamento humano

• Redução da dependência de arquivos maliciosos

Além disso, o modelo Crime-as-a-Service (CaaS) tem facilitado a disseminação dessas técnicas, permitindo que atacantes menos experientes utilizem ferramentas altamente sofisticadas.

Conclusão

O malware DeepLoad representa um novo patamar de sofisticação em campanhas de roubo de credenciais, combinando engenharia social avançada, execução em memória e persistência furtiva via WMI.

A principal lição é que a segurança cibernética não pode mais depender exclusivamente de assinaturas ou detecção baseada em arquivos. É necessário adotar uma abordagem centrada em comportamento, contexto e inteligência de ameaças.

Em um cenário onde o usuário é frequentemente o elo mais fraco, a conscientização e a educação digital tornam-se tão importantes quanto as tecnologias de defesa. Organizações que investirem em visibilidade, resposta rápida e treinamento contínuo estarão mais preparadas para enfrentar ameaças como o DeepLoad.

Referências Bibliográficas

• CAVEIRA TECH. Malware DeepLoad usa ClickFix e WMI para roubar credenciais de navegador. Disponível em: https://caveiratech.com/post/malware-deepload-usa-clickfix-e-wmi-para-roubar-credenciais-de-navegador-9313697
• OKTA Threat Intelligence. How ClickFix campaigns deliver credential-stealing malware. Disponível em: https://www.okta.com/pt-br/blog/threat-intelligence/how-this-click-fix-campaign-leads-to-redline-stealer/