A ameaça do malware ClickFix continua evoluindo e se tornando uma das técnicas de engenharia social mais perigosas da atualidade. Diferentemente de muitos ataques tradicionais, essa abordagem não depende de falhas complexas de software para comprometer um sistema. Em vez disso, ela explora um alvo muito mais vulnerável: o próprio usuário.
Nos últimos meses, pesquisadores de segurança identificaram novas campanhas ClickFix utilizando carregadores avançados de malware capazes de instalar trojans bancários, ladrões de credenciais e ferramentas de acesso remoto. Entre os destaques estão os novos loaders BabaDeda, Lorem Ipsum e Potemkin, que representam uma nova fase da profissionalização do crime cibernético.
Neste artigo, você entenderá como funciona a técnica ClickFix, conhecerá os novos carregadores utilizados pelos criminosos e descobrirá medidas práticas para evitar que um simples clique ou comando copiado do navegador transforme seu computador em uma porta de entrada para invasores.
O que é a tática ClickFix e por que ela funciona tão bem
A técnica ClickFix é uma forma de engenharia social que manipula usuários para executarem comandos maliciosos por conta própria.
Em vez de explorar vulnerabilidades diretamente, os criminosos exibem páginas falsas simulando erros de sistema, problemas de navegador, verificações CAPTCHA ou supostas mensagens de suporte técnico. A vítima recebe instruções aparentemente legítimas para resolver o problema.
Normalmente, a fraude segue um padrão simples:
- O usuário acessa um site comprometido ou malicioso.
- Surge uma mensagem informando que existe um problema técnico.
- A página orienta a pressionar Win + R no Windows ou abrir o Terminal no macOS.
- Um comando já copiado para a área de transferência é colado e executado.
- O comando baixa e instala malware sem que a vítima perceba.
O sucesso da técnica ocorre porque a ação parte do próprio usuário. Muitos mecanismos de proteção interpretam a execução como uma atividade legítima, dificultando a identificação do ataque.
Além disso, os criminosos investem em interfaces cada vez mais convincentes, simulando avisos de empresas conhecidas, navegadores populares e ferramentas de segurança.
A evolução para uma arquitetura modular de malware
As campanhas modernas de malware ClickFix passaram a adotar uma arquitetura modular.
Em vez de entregar o malware final diretamente, os criminosos utilizam pequenos programas conhecidos como loaders ou carregadores. Esses componentes têm a função de estabelecer comunicação com servidores remotos e baixar apenas os módulos necessários para cada vítima.
Essa estratégia oferece diversas vantagens para os invasores:
- Menor detecção por antivírus tradicionais.
- Atualizações rápidas dos componentes maliciosos.
- Adaptação a diferentes sistemas operacionais.
- Distribuição de cargas úteis específicas para cada região ou perfil de vítima.
- Maior persistência após a infecção.
Foi justamente nesse contexto que surgiram os novos carregadores identificados por pesquisadores de segurança.
Conheça os novos carregadores: BabaDeda, Lorem Ipsum e Potemkin
As recentes campanhas associadas ao malware ClickFix demonstram uma crescente sofisticação operacional. Cada loader possui características próprias, objetivos específicos e técnicas de evasão avançadas.
Embora desempenhem funções semelhantes, suas implementações mostram diferentes abordagens para comprometer sistemas corporativos e domésticos.
BabaDeda Loader e o roubo de dados no Windows
O BabaDeda Loader foi identificado como uma ameaça voltada principalmente para ambientes Windows.
Após ser executado, ele estabelece comunicação com servidores de comando e controle para receber componentes adicionais. Uma de suas características mais notáveis é a capacidade de realizar verificações geográficas antes da infecção.
Pesquisadores observaram mecanismos que evitam a execução em sistemas localizados na Rússia e na Bielorrússia, comportamento frequentemente associado a grupos criminosos que tentam evitar problemas em determinadas regiões.
Outro aspecto preocupante é a utilização de técnicas de injeção de processos, incluindo o uso do processo legítimo svchost.exe para ocultar atividades maliciosas.
Entre os riscos associados ao BabaDeda estão:
- Roubo de credenciais.
- Coleta de informações do sistema.
- Download de malwares adicionais.
- Instalação de ferramentas de acesso remoto.
- Possível entrega de ransomware em estágios posteriores.
Lorem Ipsum Loader e a exploração do WordPress
O Lorem Ipsum Loader ganhou destaque por sua associação com campanhas ligadas ao grupo conhecido como Vanilla Tempest.
Nesse caso, os invasores exploram sites WordPress comprometidos para distribuir cargas maliciosas. Usuários que acessam páginas adulteradas podem ser direcionados para conteúdos falsos contendo instruções típicas da técnica ClickFix.
Uma característica interessante observada pelos pesquisadores é o uso de versões antigas do Node.js para auxiliar em determinadas etapas da cadeia de infecção.
A estratégia busca misturar componentes legítimos e maliciosos, dificultando análises automatizadas e aumentando as chances de sucesso da campanha.
O resultado é uma operação altamente flexível, capaz de alterar rapidamente sua infraestrutura conforme as defesas evoluem.
Potemkin e o controle remoto via Lua
O Potemkin Loader representa outra evolução importante nas campanhas de malware ClickFix.
Seu diferencial está no uso da linguagem Lua para execução de tarefas e comunicação com a infraestrutura dos criminosos.
O carregador também utiliza técnicas avançadas de geração dinâmica de domínios por meio de um algoritmo de geração de domínio (DGA). Esse mecanismo cria múltiplos endereços automaticamente, dificultando o bloqueio pelos defensores.
Além disso, pesquisadores identificaram métodos voltados para contornar determinadas proteções presentes em navegadores baseados no projeto Chromium.
Após estabelecer conexão com os servidores dos invasores, o Potemkin pode receber comandos remotamente, transformar o dispositivo em um ponto de acesso para novas atividades criminosas e baixar módulos adicionais conforme necessário.
Essa flexibilidade torna a ameaça especialmente perigosa em ambientes corporativos.
Como o malware ClickFix usa falsas atualizações de navegadores
Uma das tendências mais preocupantes observadas recentemente é o uso de atualizações falsas de navegadores como isca.
Usuários recebem mensagens alegando que o navegador está desatualizado ou que existe um problema crítico de segurança. Em vez de direcionar para o processo oficial de atualização, o site exibe instruções para executar comandos manuais.
O golpe funciona porque muitas pessoas já estão acostumadas a receber notificações de atualização regularmente.
Quando combinada com elementos visuais profissionais, logotipos legítimos e mensagens de urgência, a fraude se torna extremamente convincente.
O resultado é que a vítima acredita estar corrigindo um problema de segurança quando, na verdade, está instalando malware em seu próprio dispositivo.
A resposta da indústria: alertas no macOS e segurança de navegadores
O crescimento das campanhas ClickFix chamou a atenção de empresas de tecnologia em todo o setor.
Uma das respostas mais relevantes veio da Apple, que passou a reforçar mecanismos de proteção no macOS Tahoe.
O sistema agora apresenta avisos adicionais quando usuários tentam colar determinados comandos diretamente no Terminal. O objetivo é criar uma camada extra de conscientização antes da execução de instruções potencialmente perigosas.
A iniciativa busca interromper justamente o principal vetor explorado pelas campanhas ClickFix: a manipulação psicológica que leva usuários a executar comandos desconhecidos.
Paralelamente, fabricantes de navegadores continuam investindo em recursos como:
- Proteção contra phishing.
- Bloqueio de páginas maliciosas.
- Detecção de downloads suspeitos.
- Monitoramento de roubo de credenciais.
- Alertas sobre extensões potencialmente perigosas.
Embora essas tecnologias sejam importantes, elas não eliminam completamente o risco quando a própria vítima executa voluntariamente os comandos.
Como se proteger de ataques de execução de comandos
A principal lição deixada pelas campanhas de malware ClickFix é simples: nunca execute comandos que você não compreende completamente.
Se um site solicitar que você abra o PowerShell, o Prompt de Comando, o Executar (Win+R) ou o Terminal, trate a situação com extrema desconfiança.
Algumas medidas práticas podem reduzir significativamente o risco:
- Nunca copie e cole comandos fornecidos por páginas desconhecidas.
- Verifique atualizações apenas pelos canais oficiais dos fabricantes.
- Mantenha Windows, macOS e navegadores atualizados.
- Utilize soluções de segurança confiáveis.
- Ative autenticação multifator sempre que possível.
- Faça backups periódicos dos seus dados.
- Treine colaboradores e familiares para identificar golpes de engenharia social.
- Desconfie de mensagens com tom de urgência excessiva.
A evolução do malware ClickFix mostra que os cibercriminosos estão cada vez mais focados em explorar o comportamento humano em vez de apenas vulnerabilidades técnicas. Os novos carregadores BabaDeda, Lorem Ipsum e Potemkin demonstram como essas operações se tornaram mais sofisticadas, modulares e difíceis de detectar.
A boa notícia é que a conscientização continua sendo uma das defesas mais eficazes. Entender como esses golpes funcionam é o primeiro passo para evitar infecções, vazamentos de dados e prejuízos financeiros.