“E todos os computadores Windows já devem ser restritos para que comandos aleatórios e não assinados (não assinados pela organização) do PowerShell não sejam permitidos. Cada organização e máquina já deve ter a seguinte configuração de comando do PowerShell: ‘Set-ExecutionPolicy Restricted -Force‘ habilitado. Caso contrário, o risco de segurança cibernética da sua organização será muito maior do que o necessário.”

Cadeia de carga útil ‘construída para durar’

Josué Robackprincipal arquiteto de soluções de segurança da Swimlane, observou que a campanha delineada pela Microsoft leva o manual ClickFix a fluxos de trabalho diários mais confiáveis, fazendo com que os usuários executem conteúdo de comando colado em ferramentas legítimas do Windows que parecem rotineiras e seguras. Isso é importante, disse ele, porque ultrapassa os sinais de alerta mentais usuais que as pessoas associam a pop-ups incompletos e também pode evitar alguns dos controles e detecções que as equipes de segurança ajustaram aos padrões mais óbvios do ClickFix.

A cadeia de carga útil também foi construída para durar mais do que as variantes anteriores, acrescentou. Em vez de um truque de recuperação rápido e pronto, ele usa uma abordagem de entrega e persistência mais em camadas que o ajuda a se misturar, permanecer por mais tempo e aumentar silenciosamente o dano assim que atingir. Um caminho adiciona uma camada indireta adicional que ajuda a infraestrutura do invasor a se integrar e permanecer acessível, o que pode tornar as remoções e o bloqueio direto muito menos eficazes.