O que é um ataque ClickFix e como ele funciona em detalhes?

Informatec Digital » Recursos » O que é um ataque ClickFix e como ele funciona em detalhes?

Os ataques ClickFix tornaram-se um dos truques de engenharia social mais populares. No mundo do cibercrime: campanhas que parecem inofensivas, com falsos avisos do navegador ou verificações de segurança, mas que acabam fazendo com que o usuário execute código malicioso em seu computador, quase sem perceber.

Longe de ser uma curiosidade técnica, o ClickFix já foi utilizado em campanhas reais na América Latina, Europa e outras regiões., distribuindo programas de roubo de informações, cavalos de Troia de acesso remoto (RATs) e carregadores complexos como o GHOSTPULSE ou o NetSupport RAT, e até mesmo se aproveitando de vídeos do TikTok ou tutoriais do YouTube para alcançar milhares de vítimas.

O que exatamente é um ataque ClickFix?

ClickFix é uma técnica de engenharia social relativamente recente (popularizada desde 2024). que se baseia em algo muito simples: convencer o usuário a copiar e executar comandos em seu próprio sistema para "corrigir" um suposto problema técnico ou concluir uma verificação.

Em vez de baixar um programa malicioso diretamente, o site malicioso injeta um script ou comando na área de transferência. (por exemplo, comandos do PowerShell no Windows ou comandos MSHTA) e, em seguida, mostra instruções passo a passo para a vítima colar e executar em um console, caixa Executar ou terminal.

Essa tática explora o que muitos pesquisadores chamam de “fadiga de verificação”.Os usuários estão acostumados a clicar rapidamente em botões como "Sou humano", "Corrigir" ou "Atualizar agora" sem analisar muito a mensagem, o que os torna muito vulneráveis ​​quando a tela se parece com uma verificação do Cloudflare, um CAPTCHA do Google ou um erro do Google Meet ou Zoom.

O nome ClickFix vem precisamente dos botões que normalmente aparecem nessas iscas.Com textos como "Corrigir", "Como corrigir", "Corrigir agora" ou "Resolver problema", que dão a impressão de que o usuário está aplicando uma solução rápida, quando na realidade está copiando e executando um script que baixa malware.

Como funciona um ataque ClickFix passo a passo

Embora existam muitas variações, quase todos os ataques ClickFix seguem uma sequência comum. que combina sites comprometidos, scripts JavaScript maliciosos e a intervenção "forçada" do usuário para executar o código.

O primeiro passo geralmente é visitar um site legítimo que foi comprometido ou uma página diretamente maliciosa., que a vítima alcança através de um link em um e-mail de phishing, resultados de mecanismos de busca manipulados (SEO malicioso), anúncios maliciosos ou até mesmo de um vídeo do TikTok ou YouTube com supostos truques para ativar software pago.

Essa página exibe um aviso ou verificação falsa que simula um problema técnico.: erro ao carregar um documento, falha na atualização do navegador, problemas com o microfone ou a câmera no Google Meet/Zoom, ou uma suposta verificação anti-bot como Cloudflare ou reCAPTCHA que impede você de continuar a menos que algo seja "corrigido".

Assim que o usuário pressionar o botão "correto" ou marcar a caixa "Sou humano"Um script JavaScript injeta automaticamente um comando malicioso na área de transferência, geralmente um comando PowerShell ou MSHTA ofuscado, que então baixa outro malware de um servidor remoto.

O site exibe um guia detalhado para a vítima executar esse comando., por exemplo:

• Clique no botão “Corrigir” para “copiar o código da solução”..
• Pressione as teclas Win+R para abrir a janela Executar. no Windows.
• Pressione Ctrl+V para colar o conteúdo da área de transferência. (o comando malicioso).
• Pressione Enter para "corrigir o problema" ou continue com a verificação..

Em variações mais avançadas, o truque é feito com Win+X ou com o console do navegador.O usuário é instruído a abrir um terminal do PowerShell com privilégios de administrador a partir do menu rápido (Win+X) ou a usar o console do navegador (F12 ou Ctrl+Shift+I) e colar um bloco de código JavaScript ou uma função de "verificação" ali.

Após a execução do comando, o restante da infecção se desenvolve em segundo plano.O script baixa outras partes de servidores de comando e controle (C2), descompacta arquivos, executa DLLs maliciosas por meio de carregamento lateral e acaba instalando infostealers ou RATs na memória ou no disco.

Por que o ClickFix é tão difícil de detectar?

Uma das grandes vantagens do ClickFix para os atacantes é que ele contorna muitas barreiras de segurança tradicionais.Porque a cadeia de infecção parece começar pelo próprio usuário e não por um arquivo baixado ou uma exploração clássica.

Não há necessariamente um anexo suspeito ou um executável baixado diretamente do navegador.Isso significa que muitos filtros de e-mail, bloqueadores de downloads e verificadores de reputação de URLs não detectam nada explicitamente malicioso nessa primeira fase.

O comando é executado a partir de um "shell confiável" do sistema, como o PowerShell, o cmd.exe ou o console do navegador.Isso confere ao malware uma aparência de atividade legítima e complica o trabalho de programas antivírus baseados em assinaturas e de algumas soluções de segurança que não são muito boas em análise comportamental.

Os produtos de segurança normalmente detectam a ameaça depois que o código malicioso já foi executado. ou tentativas de integração em processos protegidos, modificação de arquivos críticos como o arquivo hosts, estabelecimento de persistência ou comunicação com um servidor C2; ou seja, em uma fase pós-exploração.

A essa altura, o atacante pode já ter obtido acesso significativo ao sistema.Elevar privilégios, roubar credenciais, movimentar-se lateralmente pela rede corporativa ou até mesmo tentar desativar o antivírus e outras camadas de defesa.

Onde o ClickFix é visto na prática: canais e iscas comuns.

Investigações realizadas por diversos laboratórios de segurança demonstraram que o ClickFix é utilizado em uma ampla gama de campanhas., destinado tanto a usuários domésticos quanto a empresas em setores críticos.

Os atacantes costumam usar esses canais para implantar suas iscas ClickFix.:

• Sites legítimos comprometidos, nas quais eles injetam frameworks JavaScript como o ClearFake para exibir avisos falsos de atualização ou verificação.
• Publicidade maliciosa (malvertising)especialmente banners e anúncios patrocinados que redirecionam para páginas falsas de download de software ou de validação de navegador.
• Tutoriais e vídeos no YouTube ou TikTok, com supostos truques para ativar software ou desbloquear recursos premium gratuitamente.
• Fóruns e sites de suporte técnico falsos que imitam portais de ajuda., onde é "recomendado" executar comandos para corrigir erros do sistema.

Na América Latina, já foram documentados casos em que sites oficiais e universitários foram comprometidos.Por exemplo, o site da Escola de Engenharia Industrial da Universidade Católica do Chile ou o site do Fundo de Habitação da Polícia do Peru, que acabaram exibindo fluxos do ClickFix para seus visitantes.

Agências de segurança dos EUA alertaram sobre campanhas direcionadas a usuários que buscam jogos, leitores de PDF, navegadores Web3 ou aplicativos de mensagens.Tudo isso é feito explorando buscas cotidianas para redirecionar para páginas que implementam o ClickFix.

Também foram observadas campanhas que se baseiam em supostas páginas do Google Meet, Zoom, DocuSign, Okta, Facebook ou Cloudflare., onde é exibido um erro do navegador ou uma verificação CAPTCHA, forçando o usuário a seguir a sequência de copiar e executar comandos.

Malware mais comum distribuído com o ClickFix

O ClickFix raramente é a única peça do ataque.Geralmente, trata-se apenas do vetor inicial que permite a implantação de uma cadeia de infecção em vários estágios com uma ampla variedade de malware.

Entre as famílias mais proeminentes observadas nas campanhas recentes estão:

• Ladrões de informações como Vidar, Lumma, Stealc, Danabot, Atomic Stealer ou Odyssey Stealer, especializada em roubar credenciais de navegador, cookies, dados de preenchimento automático, carteiras de criptomoedas, credenciais de VPN e FTP, etc.
• RATs (trojans de acesso remoto) como NetSupport RAT ou ARECHCLIENT2 (SectopRAT)que permitem aos atacantes controlar o sistema, executar comandos, exfiltrar informações e iniciar fases subsequentes, incluindo ransomware.
• Carregadores avançados como GHOSTPULSE, Latrodectus ou ClearFakeque atuam como uma espécie de cola, baixando, descriptografando e carregando as partes seguintes na memória, frequentemente com camadas muito elaboradas de ofuscação e criptografia.
• Ferramentas para roubar informações financeiras e corporativas, que extraem dados de formulários, clientes de e-mail, mensagens e aplicativos comerciais.

Em campanhas ativas realizadas durante 2024 e 2025, observou-se que o ClickFix alimentava cadeias complexas.Por exemplo, um programa falso do ClickFix que executa o PowerShell baixa um arquivo ZIP contendo um executável legítimo (como o jp2launcher.exe do Java) e uma DLL maliciosa e, por meio de instalação manual, acaba executando o NetSupport RAT no computador.

Outro caso comum é o uso do MSHTA com URLs ofuscadas para domínios como iploggerco., que imitam serviços legítimos de encurtamento ou registro de IP; a partir daí, um script PowerShell codificado em Base64 é baixado e acaba liberando agentes de teste do Lumma Stealer ou similares.

Estudos de caso reais e campanhas em destaque com ClickFix

Relatórios de diversas equipes de resposta a incidentes e laboratórios de segurança identificaram várias campanhas altamente ativas. que giram em torno do ClickFix como ponto de partida.

No setor empresarial, observou-se um impacto notável em setores como: Tecnologia avançada, serviços financeiros, manufatura, comércio varejista e atacadista, administração pública, serviços profissionais e jurídicos, energia e serviços públicos, entre muitos outros.

Em uma campanha de maio de 2025, os atacantes usaram o ClickFix para implantar o NetSupport RAT. por meio de páginas falsas que imitavam o DocuSign e o Okta, aproveitando-se da infraestrutura associada ao framework ClearFake para injetar JavaScript que manipulava a área de transferência.

Durante os meses de março e abril de 2025, foi documentado um aumento no tráfego para domínios controlados pela família Latrodectus., que começou a usar o ClickFix como técnica de acesso inicial: um portal comprometido redirecionava para uma verificação falsa, a vítima executava um PowerShell pressionando Win+R e isso baixava um MSI que instalava a DLL maliciosa libcef.dll.

Em paralelo, foram detectadas campanhas de typosquatting ligadas ao Lumma Stealer.Nesses ataques, as vítimas eram instruídas a executar comandos MSHTA que apontavam para domínios que imitavam o iplogger; esses comandos baixavam scripts PowerShell altamente ofuscados que acabavam descompactando pacotes com executáveis ​​como PartyContinued.exe e conteúdo CAB (Boat.pst) para configurar um mecanismo de script AutoIt responsável por executar a versão final do Lumma.

A Elastic Security Labs também descreveu campanhas em que o ClickFix serve como gancho inicial para o GHOSTPULSE.que por sua vez carrega um carregador .NET intermediário e finalmente injeta o ARECHCLIENT2 na memória, contornando mecanismos como o AMSI por meio de interceptação e ofuscação avançada.

No âmbito do usuário final, vários fornecedores mostraram exemplos simplificados do ataque ClickFix. Nela, uma página de "atualização do navegador" ou um CAPTCHA falso copia silenciosamente um script para a área de transferência e, em seguida, força o usuário a colá-lo no PowerShell com privilégios de administrador, facilitando a conexão com a infraestrutura de comando e controle (C2) e o download de executáveis ​​que modificam o sistema.

Um fenômeno particularmente preocupante é a chegada do ClickFix ao TikTok.Vídeos gerados até mesmo com IA promovem "métodos fáceis" para ativar versões gratuitas ou pagas do Office, Spotify Premium ou programas de edição, mas na realidade orientam os usuários a copiar e colar comandos maliciosos que instalam programas de roubo de informações como Vidar ou Stealc.

Como os analistas detectam infecções do ClickFix

Embora possa parecer mágica negra para o usuário, as infecções por ClickFix deixam um rastro técnico. que as equipes de busca de ameaças e os sistemas EDR podem usar para detectar o incidente.

Em ambientes Windows, um dos pontos de análise é a chave de registro RunMRU., que armazena os comandos executados recentemente na janela Executar (Win+R):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Os analistas revisam essas entradas em busca de padrões suspeitos.Comandos ofuscados, uso do PowerShell ou MSHTA com URLs incomuns, chamadas para domínios desconhecidos ou referências a ferramentas administrativas que o usuário comum não costuma usar.

Quando os atacantes usam a combinação de teclas Win+X (menu de acesso rápido) para iniciar o PowerShell ou o Prompt de Comando.A pista está na telemetria de processos: eventos de criação de processos (como o ID 4688 no log de segurança do Windows), onde o explorer.exe inicia o powershell.exe logo após pressionar Win+X.

A correlação com outros eventos, como o acesso à pasta %LocalAppData%\Microsoft\Windows\WinX\ ou conexões de rede suspeitas após essa execução.Isso ajuda a delinear o comportamento típico de uma infecção por ClickFix, especialmente se processos como certutil.exe, mshta.exe ou rundll32.exe aparecerem imediatamente depois.

Outro vetor de detecção é o uso indevido da área de transferência.Soluções avançadas de filtragem de URL e segurança de DNS podem identificar JavaScript que tenta injetar comandos maliciosos na área de transferência, bloqueando a página antes que o usuário conclua a sequência.

O que os atacantes estão tentando alcançar com a técnica ClickFix?

Por trás de toda essa engenharia social, existe um objetivo claro: obter benefícios econômicos com informações roubadas., tanto de usuários individuais quanto de organizações.

Os mecanismos de roubo de informações implantados por meio do ClickFix são projetados para coletar credenciais, cookies e dados confidenciais. armazenados em navegadores, clientes de e-mail, aplicativos corporativos ou carteiras de criptomoedas, bem como em documentos internos e dados financeiros.

Com esse material, agentes maliciosos podem realizar diversas atividades criminosas.:

• Empresas de extorsãoameaçar divulgar informações confidenciais sobre a organização ou seus clientes.
• Para cometer fraude financeira direta explorando contas bancárias comprometidas, sistemas de pagamento online ou carteiras de criptomoedas.
• Falsificar a identidade da empresa ou de seus funcionários. Para cometer fraudes contra terceiros, como o típico golpe do CEO ou ataques BEC.
• Venda de credenciais e pacotes de dados na dark web que outros grupos criminosos usarão em futuros ataques.
• Para realizar espionagem industrial ou geopolítica Quando o alvo é uma organização específica ou um setor estratégico.

Em muitas campanhas documentadas, o ClickFix foi apenas o primeiro passo rumo a ataques maiores.Incluindo implantação de ransomware após o roubo de credenciais, acesso prolongado a redes corporativas ou uso da infraestrutura comprometida como trampolim para outros objetivos.

Como usuários e empresas podem se proteger contra o ClickFix?

A defesa contra o ClickFix combina tecnologia, melhores práticas e muita conscientização.Porque o ponto fraco que essa técnica explora é precisamente o comportamento do usuário.

Em nível individual, existem várias regras de ouro muito simples. o que reduz bastante o risco de quedas:

• Nunca cole código em um console (PowerShell, cmd, terminal, console do navegador) só porque um site pede.por mais legítimo que possa parecer.
• Desconfie de verificações da Cloudflare, CAPTCHAs ou páginas de "atualização do navegador" que solicitam etapas estranhas. além de clicar em uma caixa ou em um botão.
• Mantenha seu navegador, sistema operacional e aplicativos sempre atualizados.Instale atualizações apenas de fontes oficiais e não de banners ou pop-ups aleatórios.
• Ative a autenticação de dois fatores (2FA) em contas importantes., para dificultar ainda mais a vida dos atacantes, mesmo que consigam roubar a senha.

No ambiente corporativo, além dessas recomendações, as empresas devem ir um passo além. e abordar o ClickFix como uma ameaça específica dentro de sua estratégia de segurança.

Algumas medidas-chave para as organizações são::

• Restringir o uso de ferramentas de execução de comandos (PowerShell, cmd, MSHTA) por meio de políticas de grupo, listas de controle de aplicativos ou configurações de EDR, de forma que apenas perfis técnicos os utilizem e sempre registrando a atividade.
• Implemente soluções modernas de antimalware e EDR. Com recursos de detecção baseados em comportamento, é capaz de identificar padrões de execução suspeitos mesmo quando o usuário intervém.
• Monitore o tráfego de rede e as conexões de saída para domínios com má reputação.especialmente em relação a serviços de encurtamento de URLs, domínios recém-registrados ou TLDs incomuns.
• Analise periodicamente artefatos como RunMRU, logs do PowerShell e eventos de segurança. Para detectar indicadores de uso indevido das combinações Win+R, Win+X ou consoles administrativos.

Um pilar fundamental é a formação contínua e realista dos funcionários.Um curso teórico não basta; é útil realizar testes controlados de engenharia social que simulem campanhas do tipo ClickFix, fraudes de CEO, phishing avançado ou malvertising.

Essas simulações nos permitem medir o nível de maturidade da força de trabalho em relação a essas técnicas.Ajuste a estratégia de conscientização, identifique as áreas de maior risco e reforce a cultura de "parar e pensar" antes de seguir instruções suspeitas em um site ou em um e-mail.

Além disso, é vital que as empresas estejam preparadas para responder rapidamente a um incidente.Ter planos de resposta claros, equipes ou fornecedores especializados e processos de contenção e erradicação bem definidos para quando um possível caso de ClickFix ou qualquer outro vetor de comprometimento for detectado.

A proliferação da técnica ClickFix deixa claro que os atacantes encontraram uma maneira muito eficaz de transformar o usuário em um cúmplice involuntário.E não hesitam em combiná-lo com malware sofisticado, infraestruturas de comando e controle dinâmicas e campanhas massivas em redes sociais ou mecanismos de busca; entender como funciona, reconhecer seus sinais e fortalecer tanto a tecnologia quanto a educação dos usuários faz a diferença hoje entre sofrer uma violação grave ou interromper o ataque a tempo.