Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.
Fonte: https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/02/2026 • Risco: ALTO
MALWARE
Atores de ameaças abusam de consultas DNS em ataques ClickFix
RESUMO EXECUTIVO
Os ataques ClickFix estão se tornando mais sofisticados, utilizando DNS para entregar malware de forma discreta. A capacidade de modificar payloads em tempo real e a exploração de serviços populares como Azure aumentam o risco para as organizações. A instalação do ModeloRAT permite controle remoto, o que representa uma ameaça significativa à segurança dos dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados à recuperação de sistemas e perda de dados
Operacional
Instalação de malware e controle remoto de sistemas comprometidos
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Saúde']
📊 INDICADORES CHAVE
Uso de DNS como canal de entrega pela primeira vez em ataques ClickFix
Indicador
Instalação de ModeloRAT, um trojan de acesso remoto
Contexto BR
Criação de arquivos de persistência no sistema infectado
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de DNS para atividades suspeitas e comandos executados
2
Implementar bloqueio de consultas DNS para endereços IP não reconhecidos
3
Monitorar tráfego DNS e atividades de rede em busca de padrões anômalos
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a evolução das táticas de ataque que utilizam canais comuns como DNS para entregar malware, o que pode dificultar a detecção.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD e segurança de dados
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
