Clickfix

Pesquisadores identificaram a continuidade da campanha SmartApeSG, que agora utiliza um vetor de ataque do tipo CAPTCHA falso, conhecido como ClickFix, para entregar cargas maliciosas do NetSupport RAT. Essa campanha, que surgiu em meados de 2024, inicialmente distribuía malware por meio de páginas de atualização de navegador falsificadas. Na sua evolução mais recente, a SmartApeSG adotou uma enganação mais convincente, abusando da confiança do usuário para acionar a execução do malware manualmente.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

O Lampion Stealer, um trojan bancário desenvolvido por atores de ameaça brasileiros, evoluiu suas táticas de infecção ao incorporar a técnica de engenharia social conhecida como ClickFix. Desde junho de 2024, essa campanha tem demonstrado capacidades sofisticadas de evasão, visando usuários de língua portuguesa e resultando em dezenas de novas infecções diariamente. A campanha utiliza contas de e-mail comprometidas para enviar mensagens de phishing que se disfarçam como recibos de transferências bancárias. Os e-mails contêm anexos ZIP que iniciam uma cadeia de infecção em múltiplas etapas, projetada para implantar um malware que rouba credenciais. A técnica ClickFix substitui links maliciosos tradicionais, levando as vítimas a executar comandos no Windows que baixam e executam scripts maliciosos. O malware coleta informações sensíveis, como credenciais bancárias portuguesas, e utiliza uma infraestrutura distribuída para evitar a detecção. A taxa de detecção permanece baixa, com os arquivos iniciais apresentando zero detecções em ferramentas de segurança. Essa evolução nas táticas de ataque destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger os usuários contra essas ameaças.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

Uma análise recente sobre a infraestrutura relacionada à campanha ClickFix revelou a existência de mais de 13.000 domínios maliciosos, utilizados em operações de phishing e entrega de malware. As campanhas ClickFix exploram a capacidade dos navegadores de escrever diretamente na área de transferência do usuário, enganando as vítimas a executar scripts maliciosos sob a aparência de verificação CAPTCHA. Um exemplo é o site greenblock[.]me, que solicita aos usuários que executem um comando PowerShell para baixar e executar um script Visual Basic, frequentemente resultando em infecções por malware.

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

Recentemente, atores de ameaças associados à Coreia do Norte têm utilizado iscas do tipo ClickFix para disseminar malwares conhecidos como BeaverTail e InvisibleFerret. Essa nova abordagem visa principalmente profissionais de marketing e traders em organizações de criptomoedas e varejo, ao invés de focar em desenvolvedores de software, como era comum anteriormente. O malware BeaverTail, que atua como um ladrão de informações e downloader de um backdoor em Python, foi inicialmente exposto em 2023 e faz parte de uma campanha mais ampla chamada ‘Contagious Interview’.

Um novo relatório da equipe de segurança da Microsoft revela um ataque de engenharia social chamado ClickFix, que tem enganado usuários a executar comandos em seus computadores, resultando em invasões. O ataque se disfarça de CAPTCHA, uma verificação comum para distinguir humanos de bots, mas solicita que a vítima execute uma série de comandos que culminam na execução de códigos maliciosos. O processo envolve pressionar as teclas Windows + R, colar um comando fornecido pelos cibercriminosos e executá-lo, o que pode permitir acesso remoto ao dispositivo e roubo de informações sensíveis, como senhas e dados de cartões de crédito.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.