A Nova Estratégia de Hacker Que Você Precisa Conhecer

Programação & Código

A Nova Estratégia de Hackers: Entenda o Golpe “ClickFix” e Como se Proteger

Hackers desenvolveram uma nova estratégia de ataque que é crucial conhecer para sua segurança digital. Felizmente, a proteção contra ela se resume, em grande parte, a estar ciente de sua existência. Como existem algumas variações, é importante entender como o golpe funciona.

O Que é o Ataque ClickFix e Como Ele Opera?

Este novo ataque está sendo chamado de ClickFix, um nome que fará sentido em breve. Geralmente, o golpe começa quando você se depara com um site que alega haver algum problema que precisa ser corrigido ou alguma verificação que você deve realizar para continuar.

Embora possa parecer um golpe comum que pede para baixar um arquivo infectado, o ClickFix tem uma abordagem diferente. O objetivo comum entre esses sites maliciosos não é apenas fazer você baixar e executar um arquivo, mas sim induzi-lo a executar um comando diretamente no seu computador.

Variedades do Golpe

O visual da página de ataque pode variar bastante. Exemplos comuns incluem:

  • Uma tela falsa de CAPTCHA ou um estilo semelhante ao Cloudflare.
  • Um falso documento do MS Word exibindo um erro com um botão de “como corrigir”.
  • Uma página de convite falsa para um servidor Discord.

Você pode tropeçar nesses sites maliciosos por meio de um e-mail, publicidade maliciosa ou até mesmo um site comprometido.

A Engenharia Social por Trás da Execução do Comando

Independentemente da aparência, o processo para que você execute o comando geralmente envolve os seguintes passos:

  1. O site exibe um botão que, ao ser clicado, copia um comando para a área de transferência (clipboard), sem que você perceba o que foi copiado.
  2. Em seguida, o site instrui você a executar ações específicas, como pressionar a Tecla Windows + R para abrir a caixa de diálogo “Executar” (Run box).
  3. O golpe pede que você pressione Ctrl + V para colar o comando copiado.
  4. Para mascarar a ação, o site pode adicionar preenchimento (padding) de texto antes do comando colado, para que usuários menos experientes não percebam que um comando foi inserido na caixa.

Alternativamente, a página pode exibir o comando completo, instruindo você a executá-lo, alegando que ele realiza uma tarefa benigna.

A Execução Maliciosa

Assim que você executa o comando, você está infectado. O que o comando faz é utilizar ferramentas nativas do Windows para baixar e executar um script da internet em uma única etapa. Esse script malicioso, hospedado em outra página, é acionado pelo seu comando.

O script baixado pode ter funcionalidades complexas. Tipicamente, ele fará o download de um “payload” final, que são os arquivos do vírus real. Atualmente, esse malware frequentemente é do tipo “stealer”, que rouba:

  • Todas as suas credenciais e logins.
  • Cookies, permitindo que os hackers acessem suas contas já logadas, ignorando senhas e autenticação de dois fatores.
  • Qualquer dado encontrado em carteiras de criptomoedas e outros arquivos no computador.

Os dados roubados são então exfiltrados (enviados) para o hacker. Além disso, esse malware frequentemente instala técnicas de persistência, como a criação de uma tarefa no Agendador de Tarefas (Task Scheduler). Isso garante que, mesmo se você deletar o malware, ele será baixado e reinstalado automaticamente toda vez que o Windows iniciar.

O nome “ClickFix” vem do fato de que as páginas geralmente pedem para você “clicar” em algo para “consertar” um problema.

Outras Formas de Execução e Protocolos de URL

O ataque não se limita apenas ao uso da caixa “Executar” (Run box). Em versões passadas, hackers já instruíram vítimas a colar comandos diretamente no Prompt de Comando.

Uma outra possibilidade, que requer confirmação do usuário, envolve protocolos de URL do Windows. Quando você clica em um link ou digita no navegador algo como `ms-calculator://`, o Windows pode ser instruído a abrir o aplicativo Calculadora.

Existem protocolos especiais que aceitam comandos, como `ms-clock://pausefocustimer`, que pausa o cronômetro do relógio. Hackers também exploraram um protocolo que permite ao navegador solicitar a abertura do Explorer. Isso pode criar um arquivo de atalho disfarçado (parecendo um PDF) que, ao ser aberto, executa o comando malicioso.

Se você vir um pop-up solicitando permissão para abrir outro aplicativo, saiba que isso pode ser um comando tentando ser executado. Embora existam usos legítimos (como aplicativos que abrem o navegador para autenticação e depois retornam), se isso ocorrer inesperadamente ao navegar, deve ser tratado com extrema cautela.

ClickFix Além do Windows (macOS)

É importante notar que este ataque não é exclusivo do Windows. Hackers criaram versões adaptadas para o macOS, utilizando scripts específicos. No caso do macOS, um ataque pode solicitar sua senha de administrador com a promessa de que é algo legítimo. Se você digitar sua senha, o script malicioso a salva, faz o download do payload e, a partir de então, utiliza sua senha para contornar qualquer segurança ao executar ações maliciosas.

Ofuscação dos Comandos

Os comandos maliciosos podem ser muito diferentes e muitas vezes são ofuscados para esconder sua verdadeira intenção. Às vezes, você pode ver o que parece ser uma URL, mas mesmo isso não é confiável. Hackers podem esconder o download de um script usando extensões de arquivo falsas, como `.mp3` ou `.mp4`, fazendo parecer que estão acessando um arquivo de áudio ou vídeo. Contudo, a ferramenta que executa o comando não se importa com a extensão; se for um script, ele será executado mesmo com a extensão errada.

Como se Proteger do ClickFix

A boa notícia é que este ataque requer interação direta do usuário. Se você souber o que procurar, estará protegido:

  1. Nunca digite ou cole um comando na caixa “Executar” (ou Prompt de Comando) simplesmente porque um site diz que é necessário para “consertar” algo. Isso é falso.
  2. Desconfie de qualquer site que instrua você a realizar uma ação fora do navegador para resolver um problema apresentado na página. A melhor abordagem é não confiar e sair do site.
  3. Esteja atento aos pop-ups que tentam abrir aplicativos externos através de protocolos de URL.

Este golpe se tornará popular porque, ao contrário dos vírus tradicionais que dependem de enganar o usuário a baixar um arquivo específico que ele já estava procurando, o ClickFix pode enganar qualquer pessoa que esteja apenas navegando. As pessoas podem se sentir mais propensas a seguir instruções quando elas se parecem com verificações de segurança cada vez mais complexas. É fácil ver isso como um mero aborrecimento, quando, na verdade, é uma ação extremamente maliciosa.

Se você notar algo suspeito, lembre-se de que o download do malware está ocorrendo de uma maneira diferente da que você está acostumado a esperar. Mantenha-se vigilante e alerte seus amigos sobre esse tipo de ameaça.

© 2025

política de privacidadetermos de uso