A Microsoft revelou uma nova variante da técnica de engenharia social conhecida como ClickFix, na qual os invasores enganam usuários para executarem comandos que realizam consultas DNS (Domain Name System) para baixar a próxima etapa do malware.
O ataque utiliza o comando "nslookup" por meio da janela Executar do Windows para disparar consultas DNS personalizadas.
Tradicionalmente, o ClickFix é usado em ataques via phishing, malvertising ou drive-by downloads, redirecionando vítimas para páginas falsas com CAPTCHAs simulados ou que apresentam instruções para executar comandos que supostamente resolveriam problemas inexistentes no computador.
Nos últimos dois anos, o método se popularizou por fazer com que as próprias vítimas infectem suas máquinas, facilitando a evasão de controles de segurança.
O sucesso do ClickFix gerou variantes como FileFix, JackFix, ConsentFix, CrashFix e GlitchFix.
Segundo a equipe de Threat Intelligence da Microsoft, o novo método executa o comando inicial pelo cmd.exe, realizando uma consulta DNS a um servidor externo codificado, em vez do resolvedor padrão do sistema.
A resposta retorna o valor do campo "Name" da consulta, que é então executado como payload da segunda etapa.
A Microsoft explica que o uso do DNS nesse contexto funciona como um canal leve de sinalização, permitindo ao invasor validar o ambiente antes de liberar a próxima fase do ataque.
Isso reduz a dependência de requisições web convencionais, tornando as ações maliciosas menos perceptíveis no tráfego de rede.
Após o download, inicia-se uma cadeia de ataques que inclui o download de um arquivo ZIP de um servidor externo ("azwsappdev[.]com"), extração de um script malicioso em Python para reconhecimento e execução de comandos, além de um VBScript que executa o trojan de acesso remoto ModeloRAT, escrito em Python e conhecido por sua distribuição via variante CrashFix.
Para garantir persistência, um atalho (.LNK) é criado na pasta de inicialização do Windows, assegurando que o malware seja executado a cada inicialização do sistema.
Essa divulgação acompanha um alerta da Bitdefender sobre o aumento das atividades do stealer Lumma, promovidas por campanhas falsas de CAPTCHA que utilizam o mesmo estilo do ClickFix.
Essas campanhas implantam uma variante em AutoIt do CastleLoader, um loader de malware associado ao grupo GrayBravo (ex-TAG-150).
O CastleLoader inclui verificações para evitar ambientes virtuais e programas de segurança antes de decriptar e carregar o stealer diretamente na memória.
Além do ClickFix, sites de pirataria de software e filmes são usados como isca em campanhas que distribuem instaladores falsos disfarçados de arquivos MP4.
Outras campanhas do CastleLoader empregam instaladores falsos NSIS combinados a scripts VBA ofuscados, que criam tarefas agendadas para manter persistência antes de executar o stealer Lumma.
Apesar das ações policiais previstas para 2025, as operações do Lumma Stealer persistem, migrando rapidamente entre provedores e adaptando suas técnicas e loaders.
O CastleLoader permanece no centro dessas campanhas, facilitando a propagação.
Notavelmente, um dos domínios usados pelo CastleLoader ("testdomain123123[.]shop") foi identificado como servidor de comando e controle (C2) do Lumma Stealer, indicando possível cooperação ou compartilhamento de infraestrutura entre os operadores dos dois malwares.
A maioria das infecções por Lumma foi registrada na Índia, seguida por França, Estados Unidos, Espanha, Alemanha, Brasil, México, Romênia, Itália e Canadá.
A Bitdefender destaca que o ClickFix explora a confiança processual dos usuários, apresentando instruções que parecem procedimentos legítimos, o que dificulta o reconhecimento da execução manual de código malicioso.
Além do CastleLoader, outra cadeia de ataques que usa o loader RenEngine Loader tem sido observada desde março de 2025.
Essa campanha distribui o Lumma Stealer disfarçado de cheats para jogos e softwares piratas, com um loader secundário chamado Hijack Loader.
Dados da Kaspersky indicam que o RenEngine Loader afeta principalmente usuários na Rússia, Brasil, Turquia, Espanha, Alemanha, México, Argélia, Egito, Itália e França.
Paralelamente, várias campanhas recentes usam elaborados artifícios de engenharia social, como o ClickFix, para distribuir stealers e loaders variados.
No macOS, campanhas de phishing e malvertising têm entregado o Odyssey Stealer, um fork do Poseidon Stealer focado no roubo de credenciais de carteiras de criptomoedas, com controle remoto via LaunchDaemon persistente.
No Windows, ataques ClickFix usam páginas falsas de CAPTCHA em sites comprometidos para induzir usuários a executar comandos PowerShell que implantam o stealer StealC.
Há também campanhas de phishing por e-mail que utilizam arquivos SVG maliciosos dentro de arquivos ZIP protegidos por senha, orientando vítimas a executar comandos PowerShell com o método ClickFix, instalando o infostealer open source Stealerium.
Outra campanha explora recursos públicos de serviços de inteligência artificial generativa, como o Anthropic Claude, para hospedar instruções maliciosas do ClickFix em links patrocinados no Google, que distribuem os stealers Atomic e MacSync.
Usuários que buscam por analisadores CLI de espaço em disco para macOS são direcionados a um artigo falso no Medium que imita o suporte da Apple, induzindo-os a executar comandos ClickFix que baixam payloads de um servidor externo.
O domínio raxelpak[.]com, usado nessa campanha, tem histórico desde 2021 e provavelmente foi reapropriado para evitar detecção.
Uma variante dessa campanha promove a instalação falsa do Homebrew via links associados ao Claude e Evernote, usando anúncios reais direcionados a usuários técnicos para disseminar malwares.
Outra campanha maliciosa de phishing no macOS induz ao download de arquivos AppleScript que, embora não concedam permissões diretamente, forjam autorizações via TCC para executar ações maliciosas com binários assinados pela Apple, roubando credenciais e baixando payloads adicionais.
A campanha ClearFake usa iscas falsas de CAPTCHA em sites WordPress comprometidos para disparar a execução de arquivos HTA e implantar o Lumma Stealer.
Essa campanha também injeta JavaScript malicioso para aplicar a técnica EtherHiding, que executa contratos na BNB Smart Chain e busca payloads em repositórios públicos, dificultando a detecção devido à imutabilidade do blockchain.
Relatórios recentes da Flare reforçam que atores maliciosos têm aumentado o foco no macOS, priorizando o roubo de criptomoedas.
Isso se deve ao perfil dos usuários de Mac e à irreversibilidade das transações em moedas digitais.
Segundo a empresa, a crença de que "Macs não pegam vírus" está ultrapassada e é perigosa.
Organizações com usuários de macOS precisam adotar soluções capazes de detectar técnicas específicas, como apps não assinados solicitando senhas, atividades incomuns no Terminal, acessos a nós blockchain sem justificativa financeira e padrões de exfiltração de dados do Keychain e navegadores.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...