Pesquisadores da Huntress identificaram uma nova campanha do malware ClickFix, que se apresenta como instalador legítimo do AnyDesk, mas na verdade distribui o infostealer MetaStealer. O ataque, detectado em agosto, utiliza uma página falsa de verificação do Cloudflare Turnstile para induzir usuários a executar um protocolo do Windows, acionando o Windows Search e baixando um pacote MSI malicioso disfarçado de PDF.
O site fraudulento, hospedado em anydeesk[.]ink, oferecia um atalho chamado “Readme Anydesk.pdf.lnk”, que automaticamente baixava o instalador oficial do AnyDesk e um PDF falso — na realidade, um MSI que incorporava o nome do computador da vítima no link de download.
Uma vez instalado, o malware libera um arquivo protegido chamado ls26.exe, que atua como dropper do MetaStealer, roubando credenciais de navegadores e carteiras de criptomoedas, além de apagar rastros para dificultar a detecção.
A exploração do protocolo search-ms representa uma evolução do ClickFix, permitindo que os atacantes usem recursos legítimos do Windows para contornar restrições corporativas e atrasar alertas de segurança.
Especialistas recomendam que empresas reforcem o monitoramento de protocolos, realizem auditoria de SMB e implementem análise de arquivos MSI para identificar e bloquear esse tipo de ataque.
