Uma nova variante do ataque conhecido como ClickFix está chamando a atenção por seu nível de sofisticação e ousadia. A campanha, que já teve crescimento explosivo em 2025, agora finge ser uma página da BBC e simula a verificação de segurança do Cloudflare para induzir usuários a executarem comandos maliciosos no próprio sistema.
A armadilha começa com redirecionamentos a partir de buscas manipuladas ou anúncios, que levam a uma réplica perfeita de uma página da BBC. O conteúdo parece legítimo: artigos copiados de fontes reais, design familiar, tudo pensado para criar um ambiente confiável. E aí vem o golpe.
Ao navegar na página, o usuário encontra um desafio de verificação típico do Cloudflare completo com logotipo, Ray ID e texto copiado diretamente da documentação oficial. O que parece um simples “clique para provar que você é humano” esconde uma ação bem mais perigosa.
A isca digital e o comando malicioso
Ao clicar no botão de verificação, um script PowerShell codificado em Base64 é automaticamente copiado para a área de transferência da vítima. Logo em seguida, o site exibe instruções: pressione Windows + R, cole (Ctrl + V) e tecle Enter. Tudo isso parece um passo comum para resolver um problema técnico e é aí que o malware entra.
Esse comando instala malwares como Lumma Stealer, DarkGate, AsyncRAT e NetSupport, que variam de ladrões de credenciais a trojans de acesso remoto. O ataque é sutil, eficiente e contorna ferramentas de detecção tradicionais, já que a execução do código parte da própria vítima.
Esse tipo de abordagem marca uma mudança clara no foco: menos exploração técnica, mais manipulação humana. Afinal, os sistemas ficam mais protegidos, mas os usuários seguem sendo o elo mais fraco.
Crescimento e novas variantes
O ClickFix não é novidade, mas o volume e a sofisticação aumentaram de forma alarmante. Segundo a ESET, só na primeira metade de 2025 houve um crescimento de 517% nos casos. Hoje, esse tipo de ataque já representa quase 8% dos bloqueios registrados, atrás apenas do phishing tradicional.
E as variações não param. Já existem versões que simulam páginas da Microsoft, do Chrome e de softwares específicos de mercado. Algumas campanhas mais recentes até desviam do Windows + R e instruem os usuários a colar o comando direto na barra de endereços do Windows Explorer uma adaptação que dribla políticas de mitigação anteriores.
A versão FileFix, identificada por pesquisadores como mr.d0x, segue esse padrão. Enquanto isso, a Microsoft rastreia esses ataques sob o nome de Storm-1865, mostrando o nível de atenção que esse vetor de ataque tem recebido.
Os códigos maliciosos costumam ser ofuscados, baixados de serviços aparentemente inofensivos e com checagens que impedem sua execução em ambientes virtualizados ou de análise. Resultado: passam ilesos por antivírus e sandboxes.
Como se defender de algo assim?
Aqui, a defesa técnica ajuda, mas a prevenção passa diretamente pelo usuário. E o problema é que a maioria das pessoas já está condicionada a “verificar que é humano”, sem nunca imaginar que isso pode resultar em um infostealer rodando por trás.
As recomendações incluem:
- Desativar o Windows Run (Win + R) via GPO ou registro
- Treinar usuários para identificar comportamentos suspeitos, como prompts inesperados para colar comandos
- Usar EDRs com análise comportamental, capazes de detectar execuções anômalas de PowerShell
- Refinar os filtros de DNS e bloqueio de anúncios, já que muitos ataques vêm de redirecionamentos e publicidade maliciosa
Felizmente, o setor tem reagido. Empresas como ESET e Proofpoint já reforçaram suas bases de dados com regras heurísticas específicas para ClickFix e variantes associadas.
