Até grupos de espionagem cibernética parecem ter usado o processo ClickFix. No final de outubro, um grupo APT identificado como UAC-0050, com um histórico de atacar organizações da Ucrânia, lançou uma campanha de phishing em língua ucraniana que usava notificações falsas sobre documentos compartilhados para direcionar os usuários a um site controlado pelo invasor. O site usou uma combinação de reCAPTCHA Phish e ClickFix para induzir os usuários a usar o PowerShell como parte do desafio CAPTCHA. O código foi divulgado por um hacker raramente usado chamado Lucky Volunteer.
Redução
Incluído no Windows por padrão, o PowerShell é uma linguagem de script e um ambiente muito poderoso, projetado para simplificar e executar tarefas de administração do sistema. Devido ao seu uso generalizado em ataques de malware nos últimos 10 anos, os produtos de segurança monitoram invocações potencialmente maliciosas do PowerShell.
No entanto, eles tendem a olhar para situações em que os scripts do PowerShell são usados por outros processos, porque é assim que o PowerShell é frequentemente abusado – como parte de uma cadeia maior de ataques, como o lançamento de macros maliciosas do Microsoft Word ou o download e a execução de malware. script malicioso do PowerShell para extrair cargas adicionais.
