A nova campanha de ataque, que possui como alvo o sistema Windows da Microsoft, caracteriza uma evolução do método de engenharia social ClickFix, na qual consultas DNS realizadas por meio do utilitário nativo nslookup são utilizadas como mecanismo de staging e entrega de código malicioso.
Nesse modelo, respostas DNS são manipuladas para transportar dados codificados que contêm comandos e scripts PowerShell, posteriormente reconstruídos e executados no host comprometido.
A técnica permite o carregamento progressivo de payloads e a instalação de malware em sistemas Windows, incluindo Remote Access Trojans (RATs) e Infostealers, explorando uma abordagem living-off-the-land que utiliza ferramentas legítimas do sistema operacional.
O uso do protocolo DNS como canal de transporte contribui significativamente para evasão de detecção baseada em rede, uma vez que o tráfego se mistura a consultas legítimas e frequentemente não é submetido a inspeção profunda em ambientes corporativos.
A campanha representa uma evolução significativa de ataques baseados em engenharia social, explorando ferramentas legítimas do próprio sistema operacional para contornar mecanismos tradicionais de defesa.
Cadeia de infecção observada
O método conhecido como ClickFix baseia-se em engenharia social. A vítima é induzida a executar manualmente comandos apresentados como soluções para supostos problemas técnicos. Normalmente, o usuário recebe instruções para copiar e executar comandos em terminais do Windows, acreditando estar resolvendo um problema legítimo.
Nesta nova campanha, os atacantes aprimoraram o método ao integrar o uso de consultas DNS como mecanismo de entrega de payload. A cadeia de passos observada tem sido a seguinte:
- A vítima é levada (por instruções passo a passo em sites, e‑mails ou chats de “suporte”) a abrir o diálogo Executar do Windows (Win+R) ou um terminal e colar um comando aparentemente benigno.
- Esse comando executa o nslookup apontando NÃO para o resolvedor DNS padrão da máquina, mas para um servidor DNS externo controlado pelo atacante (IP ou domínio hard‑coded no comando).
- A resposta DNS vem especialmente formatada: o campo “Name:” ou dados de resposta contêm um script PowerShell ou dados codificados que são filtrados e passados diretamente para execução como segundo estágio.
- O PowerShell então baixa um arquivo ZIP a partir da infraestrutura do atacante, contendo um runtime Python portátil e vários scripts que fazem reconhecimento de host/domínio, instalam persistência e puxam payloads adicionais.
Por que este ataque é preocupante
O uso do DNS como canal de entrega aumenta significativamente a capacidade de evasão, pois:
- O DNS raramente é bloqueado em ambientes corporativos;
- Em muitas organizações não inspecionam profundamente consultas DNS;
- As ferramentas utilizadas são nativas do Windows (living-off-the-land).
Isso reduz a eficácia de soluções tradicionais baseadas apenas em assinaturas ou monitoramento de downloads.
Recomendações de mitigação
Organizações e usuários devem adotar medidas preventivas imediatas:
Para equipes de segurança
- Monitorar uso incomum de
nslookupe PowerShell; - Implementar inspeção e logging avançado de tráfego DNS;
- Detectar consultas DNS com volumes anormais ou respostas longas;
- Aplicar políticas de execução restrita para PowerShell; e
- Utilizar EDR/XDR com detecção COMPORTAMENTAL.
Para usuários
- Nunca executar comandos sugeridos por sites ou pop-ups;
- Desconfiar de páginas que pedem ações manuais no terminal; e
- Validar instruções técnicas apenas em fontes oficiais.
Conclusão
A campanha identificada demonstra uma tendência crescente no cenário de ameaças: o abuso de ferramentas legítimas e protocolos essenciais da Internet para contornar mecanismos tradicionais de defesa.
O uso combinado de engenharia social ClickFix e entrega de payload via DNS reforça a necessidade de estratégias de defesa baseadas em comportamento, telemetria e análise contextual, e não apenas em bloqueios convencionais.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.