Clickfix

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha chamada ClickFix, que utiliza sites legítimos comprometidos para distribuir um novo trojan de acesso remoto (RAT) conhecido como MIMICRAT. A campanha é caracterizada por sua sofisticação operacional, envolvendo uma cadeia de PowerShell em múltiplas etapas que contorna mecanismos de segurança do Windows, como ETW e AMSI, antes de implantar um loader baseado em Lua. O MIMICRAT, desenvolvido em C++, oferece suporte a funcionalidades avançadas, como a manipulação de tokens do Windows e tunelamento SOCKS5, permitindo um controle abrangente após a exploração. O ataque começa com a injeção de código JavaScript malicioso em um serviço legítimo de validação de BIN, que redireciona a vítima para uma página falsa de verificação do Cloudflare. A execução de comandos PowerShell leva à comunicação com um servidor de comando e controle (C2) para baixar scripts adicionais, culminando na entrega do MIMICRAT. A campanha é capaz de se adaptar a 17 idiomas, aumentando seu alcance. Os alvos incluem uma universidade nos EUA e usuários de língua chinesa, indicando uma abordagem oportunista e ampla.

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

A Microsoft revelou uma nova versão da tática de engenharia social chamada ClickFix, onde atacantes induzem usuários a executar comandos que realizam consultas DNS para obter um payload malicioso. O ataque utiliza o comando ’nslookup’ através do diálogo de execução do Windows, permitindo que os criminosos contornem controles de segurança. O ClickFix é frequentemente disseminado por meio de phishing, malvertising ou downloads automáticos, redirecionando as vítimas para páginas falsas que simulam verificações de CAPTCHA ou instruções para resolver problemas inexistentes. Essa técnica tem se tornado comum nos últimos dois anos, levando os usuários a infectarem suas próprias máquinas. A nova variante usa DNS como um canal leve de sinalização, reduzindo a dependência de requisições web tradicionais e misturando atividades maliciosas ao tráfego normal da rede. O payload baixado inicia uma cadeia de ataque que resulta na execução de um trojan de acesso remoto, ModeloRAT. Além disso, a Bitdefender reportou um aumento na atividade do Lumma Stealer, impulsionado por campanhas de ClickFix que utilizam verificações de CAPTCHA falsas. O artigo destaca a resiliência das operações de Lumma Stealer, que continuam a evoluir apesar de esforços de interrupção por parte das autoridades.

A recente pesquisa revela que atores de ameaças estão explorando artefatos gerados pelo modelo de linguagem Claude, da Antropic, e anúncios do Google em campanhas ClickFix para distribuir malware infostealer a usuários de macOS. Observou-se pelo menos duas variantes dessa atividade maliciosa, com mais de 10.000 acessos a conteúdos que orientam os usuários a executar comandos perigosos no Terminal. Os artefatos, que podem incluir instruções e guias, não são verificados quanto à precisão, o que aumenta o risco. As campanhas maliciosas direcionam os usuários a executar comandos que baixam um loader de malware, o MacSync, que exfiltra informações sensíveis do sistema. O malware se comunica com a infraestrutura de comando e controle (C2) utilizando um token codificado e um key API, disfarçando-se como atividade normal do macOS. A pesquisa indica que a mesma ameaça pode estar por trás de outras campanhas semelhantes, ampliando a preocupação sobre o uso indevido de modelos de linguagem. Especialistas recomendam que os usuários evitem executar comandos desconhecidos e verifiquem a segurança das instruções antes de qualquer execução.

Recentemente, observou-se um aumento nas infecções por LummaStealer, um malware do tipo infostealer que opera como uma plataforma de malware-as-a-service (MaaS). Essa onda de infecções é impulsionada por campanhas de engenharia social que utilizam a técnica ClickFix para entregar o malware CastleLoader. O LummaStealer, que foi severamente interrompido em maio de 2025 após a apreensão de 2.300 domínios por autoridades, voltou a operar em julho do mesmo ano. O CastleLoader, que surgiu em 2025, é um loader de malware que distribui diversas famílias de infostealers e trojans de acesso remoto, utilizando um modelo de execução modular e ofuscação extensiva. Ele realiza verificações de ambiente para evitar detecções e garante persistência ao se instalar no sistema. As campanhas atuais de LummaStealer visam usuários em todo o mundo, utilizando métodos como instaladores de software trojanizados e arquivos de mídia falsos. A técnica ClickFix, que envolve a apresentação de páginas falsas de verificação, tem se mostrado um vetor de infecção eficaz. Para se proteger, especialistas recomendam evitar downloads de fontes não confiáveis e não executar comandos desconhecidos em PowerShell.

Uma nova campanha de cibersegurança combina o método ClickFix com um CAPTCHA falso e um script assinado do Microsoft Application Virtualization (App-V) para entregar o malware infostealer Amatera. O script do App-V atua como um binário de ’living-off-the-land’, disfarçando a atividade maliciosa ao usar um componente confiável da Microsoft. A campanha inicia-se com um CAPTCHA que solicita que a vítima cole e execute um comando no Windows Run. Esse comando abusa do script legítimo SyncAppvPublishingServer.vbs, que normalmente é utilizado para gerenciar aplicações virtualizadas. O malware, uma versão em desenvolvimento do ACR infostealer, coleta dados de navegadores e credenciais. Durante a execução, ele verifica se está sendo analisado em um ambiente seguro, utilizando técnicas como espera infinita para evitar detecções. O ataque também utiliza esteganografia para ocultar cargas úteis em imagens PNG, que são extraídas e executadas em memória. Para se proteger contra esses ataques, recomenda-se restringir o acesso ao Windows Run, remover componentes do App-V desnecessários e monitorar conexões de saída. A Amatera é classificada como um malware como serviço (MaaS), tornando-se uma ameaça crescente no cenário de segurança cibernética.

Uma nova campanha de malware, identificada como parte da operação ClickFix, está enganando usuários com alertas falsos de extensão no navegador. Especialistas da Point Wild alertam que o ataque utiliza engenharia social para induzir as vítimas a instalar manualmente um software malicioso chamado DarkGate. O golpe simula o desaparecimento de uma extensão do Word, levando o usuário a clicar em um botão de ‘como corrigir’, que promete restaurar o acesso ao documento. Ao clicar, um comando do PowerShell é inserido na área de transferência do navegador, permitindo que os hackers conduzam o ataque sem que a vítima perceba. Uma vez instalado, o DarkGate pode baixar arquivos maliciosos e se camuflar em scripts codificados, tornando-se persistente mesmo após reinicializações do sistema. O malware coleta informações sensíveis e as envia para os servidores dos criminosos, explorando a confiança do usuário e a falta de atenção para os riscos online. Este tipo de ataque representa um desafio significativo para a segurança cibernética, pois pode passar despercebido até mesmo por sistemas de antivírus.

Pesquisadores de segurança da Huntress identificaram uma nova tática do malware ClickFix, que utiliza esteganografia para esconder códigos maliciosos em imagens PNG. Os cibercriminosos imitam atualizações críticas do Windows para enganar os usuários, que precisam copiar e colar comandos no prompt de comando para ativar o malware. Essa variante do ClickFix, que também inclui infostealers como LummaC2 e Rhadamantys, foi observada pela primeira vez em outubro de 2025. O ataque envolve a execução de código JavaScript através do binário nativo do Windows, mshta, e utiliza PowerShell e assembly .NET para extrair o payload malicioso. Apesar de parte da infraestrutura hacker ter sido desmantelada em uma operação em novembro, domínios falsos de atualização do Windows ainda estão ativos. Para se proteger, a Huntress recomenda monitorar processos suspeitos e desconfiar de comandos desconhecidos. A situação destaca a necessidade de vigilância constante contra técnicas de engenharia social cada vez mais sofisticadas.

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

Pesquisadores identificaram a continuidade da campanha SmartApeSG, que agora utiliza um vetor de ataque do tipo CAPTCHA falso, conhecido como ClickFix, para entregar cargas maliciosas do NetSupport RAT. Essa campanha, que surgiu em meados de 2024, inicialmente distribuía malware por meio de páginas de atualização de navegador falsificadas. Na sua evolução mais recente, a SmartApeSG adotou uma enganação mais convincente, abusando da confiança do usuário para acionar a execução do malware manualmente.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

Uma análise recente sobre a infraestrutura relacionada à campanha ClickFix revelou a existência de mais de 13.000 domínios maliciosos, utilizados em operações de phishing e entrega de malware. As campanhas ClickFix exploram a capacidade dos navegadores de escrever diretamente na área de transferência do usuário, enganando as vítimas a executar scripts maliciosos sob a aparência de verificação CAPTCHA. Um exemplo é o site greenblock[.]me, que solicita aos usuários que executem um comando PowerShell para baixar e executar um script Visual Basic, frequentemente resultando em infecções por malware.

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Um novo relatório da equipe de segurança da Microsoft revela um ataque de engenharia social chamado ClickFix, que tem enganado usuários a executar comandos em seus computadores, resultando em invasões. O ataque se disfarça de CAPTCHA, uma verificação comum para distinguir humanos de bots, mas solicita que a vítima execute uma série de comandos que culminam na execução de códigos maliciosos. O processo envolve pressionar as teclas Windows + R, colar um comando fornecido pelos cibercriminosos e executá-lo, o que pode permitir acesso remoto ao dispositivo e roubo de informações sensíveis, como senhas e dados de cartões de crédito.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.