A cadeia usa interação manual do usuário, SyncAppvPublishingServer.vbs, configuração em calendário público, cargas em PNG e execução em memória para reduzir a exposição da infraestrutura maliciosa.
| Componente | Cadeias ClickFix em Windows Enterprise, Education e Windows Server que abusam de SyncAppvPublishingServer.vbs, wscript.exe, PowerShell em memória e serviços web confiáveis para entregar Amatera Stealer. |
| Vetor | Prompt falso de CAPTCHA induz o usuário a colar e acionar uma instrução na caixa Executar do Windows; a cadeia evita chamar PowerShell diretamente e usa um script assinado associado ao App-V. |
| Impacto | Execução encadeada de carregadores em memória, obtenção dinâmica de configuração, recuperação de carga oculta em imagem PNG e execução final de um carregador de shellcode voltado ao Amatera Stealer. |
| Prioridade | Monitorar abuso de SyncAppvPublishingServer.vbs, criação de processos envolvendo wscript.exe e PowerShell oculto, acesso a calendários públicos ou CDNs durante fluxos de verificação falsos e sinais de roubo de tokens. |
| Artefatos | Foram citados uso de Google Calendar em formato ICS como resolvedor de configuração, imagens PNG em serviços como gcdnb.pbrd[.]co e iili[.]io, além de jsDelivr em cadeia relacionada. |
| Alvos | A atividade relacionada a ClickFix mira criadores, páginas monetizadas e empresas que buscam verificação, com objetivo de facilitar tomada de contas após roubo de tokens. |
Uma campanha ClickFix passou a combinar falsas verificações de CAPTCHA com abuso de um script assinado da Microsoft associado ao Application Virtualization, o App-V, para entregar Amatera Stealer. O ponto central não é apenas a engenharia social, mas a forma como a execução inicial é desviada de caminhos mais óbvios. Em vez de instruir a vítima a iniciar PowerShell diretamente, o fluxo usa SyncAppvPublishingServer.vbs como intermediário, acionado por wscript.exe, para recuperar e executar um carregador em memória a partir de um servidor externo.
A técnica se apoia em uma premissa típica de ClickFix: o usuário acredita estar resolvendo um desafio de verificação ou corrigindo um problema apresentado pela página. A página maliciosa orienta a pessoa a copiar conteúdo para a área de transferência e acionar a caixa Executar do Windows. A diferença relevante nesta campanha é que o comando operacional omitido faz proxy da execução por um componente confiável do sistema, reduzindo a visibilidade de uma chamada direta a comando operacional omitido e dificultando políticas defensivas que dependem apenas de bloqueios simples de processo.
O abuso de SyncAppvPublishingServer.vbs já era conhecido em outros contextos de ameaça, inclusive por atores rastreados como DarkHotel e BlueNoroff em 2022, mas sua presença em fluxos ClickFix amplia a superfície de detecção necessária. O componente existe apenas em edições Enterprise e Education do Windows 10 e Windows 11, além de versões modernas do Windows Server. Quando App-V não está presente ou não está habilitado, a cadeia falha, o que indica foco operacional em ambientes corporativos e gerenciados, não em instalações domésticas ou Windows Pro.
A cadeia começa com uma página que apresenta um CAPTCHA falso e condiciona o usuário a executar uma ação manual. Essa etapa é importante porque transfere parte da responsabilidade inicial para uma interação legítima do usuário, dificultando a classificação automática como exploração remota tradicional. Após a execução, SyncAppvPublishingServer.vbs é usado como binário de living-off-the-land para iniciar a próxima fase por meio de wscript.exe, evitando o padrão mais comum de iniciar PowerShell como processo principal visível.
O primeiro carregador é ofuscado e inclui verificações para reduzir execução em ambientes de análise. Antes de avançar, ele valida condições esperadas, incluindo estado de área de transferência e sinais de ambiente. Em seguida, busca configuração em um arquivo público de calendário Google no formato ICS. Esse uso transforma um serviço confiável em resolvedor de configuração, permitindo alterar infraestrutura e parâmetros de entrega sem redistribuir todos os estágios anteriores. Para defesa, isso muda o foco: a comunicação com serviços legítimos não deve ser automaticamente tratada como benigna quando ocorre no encadeamento de processos associado a CAPTCHA falso e execução por script do sistema.
Depois de interpretar o arquivo de calendário, a cadeia recupera estágios adicionais. Um script PowerShell atua como carregador intermediário e executa outro script em memória. A etapa seguinte usa APIs WinINet para baixar uma imagem PNG de domínios defangados como gcdnb.pbrd[.]co e iili[.]io. A imagem contém uma carga PowerShell criptografada e comprimida. O conteúdo é decifrado, descomprimido com GZip em memória e executado por uma chamada dinâmica, resultando em um carregador de shellcode projetado para iniciar Amatera Stealer.
O desenho da campanha favorece baixa exposição de infraestrutura própria. O uso de calendário público, CDNs, imagens aparentemente comuns e componentes assinados do Windows cria uma cadeia na qual cada etapa parece aceitável quando analisada isoladamente. O risco operacional para defesas está na correlação: a sequência de navegador, alteração de área de transferência, caixa Executar, wscript.exe, script App-V, PowerShell em memória, acesso a ICS e recuperação de PNG é muito mais forte do que qualquer evento único.
A superfície diretamente exposta são estáções Windows corporativas em edições que incluem App-V ou servidores Windows modernos onde o componente está disponível. O fluxo não depende de uma exploração automática de vulnerabilidade remota; depende de persuasão visual e execução conduzida pelo usuário. Isso torna treinamentos e controles de experiência do usuário relevantes, mas insuficientes sem telemetria de endpoint capaz de observar a cadeia de processos e a execução em memória.
O ecossistema ClickFix também se expandiu para variantes e serviços especializados. Foram citados FileFix, JackFix e CrashFix, além de builders anunciados em fóruns por valores mensais entre US$ 200 e US$ 1.500. Um sistema de distribuição de tráfego chamado ErrTraffic foi descrito como voltado a campanhas similares, incluindo páginas comprometidas com JavaScript malicioso que simulam falhas visuais e propõem uma correção inexistente, técnica chamada GlitchFix. O serviço também oferece modos de distribuição por alertas falsos de atualização de navegador, diálogos falsos de fonte de sistema exigida e erros falsos de fonte ausente, com bloqueio explícito para máquinas em países da Comunidade dos Estados Independentes.
Outra cadeia relacionada envolve ClearFake em sites WordPress comprometidos, com iscas de atualização falsa de navegador e uso de ClickFix desde maio de 2024. Nesse fluxo, desafios CAPTCHA entregam Emmenhtal Loader, também conhecido como PEAKLIGHT, que por sua vez instala Lumma Stealer. A técnica EtherHiding aparece como mecanismo para obter JavaScript de próximo estágio por contratos inteligentes na BNB Smart Chain e injetar o CAPTCHA falso a partir de outro contrato. Em análise separada dessa atividade, foi estimado que até 147.521 sistemas podem ter sido infectados desde o fim de agosto de 2025.
A atividade associada a ClickFix foi observada desde pelo menos setembro de 2025 com 115 páginas usadas ao longo da cadeia e oito endpoints de exfiltração. Os alvos principais citados incluem criadores, páginas monetizadas e empresas em busca de verificação, com finalidade de tomada de contas após roubo de tokens.
- Windows 10 e Windows 11 Enterprise ou Education com App-V disponível.
- Windows Server moderno em ambientes gerenciados onde
SyncAppvPublishingServer.vbspode existir. - Usuários expostos a páginas de verificação falsa, atualização falsa, fonte ausente ou correção visual simulada.
- Sites WordPress comprometidos e páginas injetadas com JavaScript malicioso em campanhas relacionadas.
A detecção deve se concentrar em encadeamentos e não apenas em nomes de ferramentas. SyncAppvPublishingServer.vbs é um componente legítimo do Windows e pode ser protegido por TrustedInstaller, então sua presença no disco não é suspeita por si só. O sinal forte está no uso desse script fora do contexto esperado de App-V, especialmente quando precedido por atividade de navegador e seguido por wscript.exe, PowerShell oculto ou execução sem gravação evidente em disco.
Eventos de área de transferência e caixa Executar são difíceis de observar em muitos ambientes, mas sinais indiretos ajudam. Um navegador acessando página de verificação, seguido rapidamente por processos de script do Windows e tráfego para serviços web incomuns dentro do perfil do usuário, deve ser investigado. O acesso a um arquivo ICS público imediatamente antes de downloads de estágios, a recuperação de PNG por APIs WinINet e a presença de PowerShell em memória em uma árvore de processos iniciada por script App-V são indicadores comportamentais de alto valor.
No lado de rede, a defesa deve tratar domínios defangados citados como exemplos de classes de infraestrutura, não como lista completa. O uso de Google Calendar, jsDelivr, CDNs de imagem e blockchain em campanhas relacionadas mostra que bloqueio por reputação de domínio pode falhar quando o serviço em si é legítimo. A resposta deve correlacionar URL, agente de processo, usuário, tempo de navegação, árvore de execução e destino final de exfiltração, quando disponível.
wscript.exeiniciandoSyncAppvPublishingServer.vbsfora de tarefas administrativas esperadas de App-V.- PowerShell executado de forma oculta ou em memória a partir de uma árvore de processos ligada a
wscript.exe. - Acesso a arquivo ICS público como etapa intermediária antes de downloads de carregadores.
- Recuperação de PNG de serviços de hospedagem de imagem seguida por execução de conteúdo decifrado em memória.
- Páginas que simulam CAPTCHA, atualização de navegador, fonte obrigatória ou falha visual antes de orientar correção manual.
A mitigação deve começar pela redução do abuso de caminhos legítimos. Ambientes que não usam App-V devem avaliar a remoção, desabilitação ou restrição de execução associada ao componente, conforme compatibilidade operacional. Onde App-V for necessário, controles de aplicação devem limitar quem pode acionar SyncAppvPublishingServer.vbs, em quais contextos e com quais parâmetros. O objetivo não é tratar todo componente Microsoft como malicioso, mas impedir que um script assinado vire ponte genérica para execução arbitrária.
Controles de endpoint devem inspecionar comportamento de script, criação de processos e execução em memória. Bloqueios simples de comando operacional omitido podem ser contornados quando a execução é intermediada por script assinado e carregadores em memória. Políticas de redução de superfície de ataque, registro detalhado de PowerShell, visibilidade de AMSI quando aplicável e telemetria de criação de processo com linha de comando são essenciais para reconstruir a cadeia. Quando houver suspeita, a contenção deve priorizar isolamento do host, coleta de árvore de processos, revisão de tokens e sessões ativas, e busca por sinais de tomada de conta.
Como o objetivo citado envolve roubo de tokens e tomada de contas, a resposta não deve terminar na remoção do binário ou encerramento do processo. Sessões de navegador, tokens persistentes, cookies, credenciais salvas e integrações de contas monetizadas precisam ser invalidados ou revisados. Em páginas, criadores e empresas que buscam verificação, a defesa deve tratar solicitações incomuns de login, alteração de e-mail, mudança de método de recuperação e novos dispositivos como parte do escopo de investigação.
- Restringir ou desabilitar App-V e
SyncAppvPublishingServer.vbsquando o recurso não for necessário ao negócio. - Criar alertas para
wscript.exeacionando script App-V e subsequente execução PowerShell. - Habilitar telemetria de PowerShell, criação de processos, rede por processo e eventos de script.
- Investigar tráfego para calendários públicos, CDNs e imagens quando ocorrer dentro da mesma árvore de execução suspeita.
- Invalidar tokens e sessões de contas afetadas quando houver indício de roubo de credenciais ou tomada de conta.
- Treinar usuários para não executar instruções copiadas de páginas de CAPTCHA, atualização de navegador ou correção visual simulada.
0 Comentários