Pesquisadores de segurança alertam para o crescimento dos ataques denominados “ClickFix”, técnica em que o usuário é induzido a copiar e executar comandos maliciosos em seu próprio computador após interagir com um site aparentemente legítimo. O método, já associado ao grupo de ransomware Interlock e a agentes estatais, foi relacionado a incidentes recentes que afetaram organizações como Kettering Health, DaVita, City of St. Paul (Minnesota) e Texas Tech University Health Sciences Center.
Como funciona o golpe
Em páginas que simulam CAPTCHA, correção de erros ou outros desafios, JavaScript copia automaticamente código nocivo para a área de transferência. A vítima, convencida de que precisa resolver um problema, cola o conteúdo em terminais locais, como PowerShell, desencadeando a infecção.
Três motivos para a alta taxa de sucesso
1. Falta de preparo do usuário
A educação de segurança costuma focar em e-mails suspeitos, downloads ou inserção de senhas em sites. A prática de abrir um aplicativo e rodar comandos, porém, raramente é abordada em treinamentos. Além disso, a ação de cópia ocorre de forma invisível no navegador, reduzindo ainda mais a desconfiança.
2. Entrega quase indetectável
Os criminosos disseminam as páginas por envenenamento de resultados em buscadores (SEO poisoning) e anúncios maliciosos, evitando o uso de e-mail e, consequentemente, camadas tradicionais de filtragem. Domínios rotativos, proteção contra bots e conteúdo ofuscado ajudam a driblar ferramentas de detecção.
3. EDR como última barreira
Como não há download de arquivos e a execução parte do próprio usuário, soluções de detecção e resposta em endpoints (EDR) recebem contexto limitado para bloquear a ameaça. Se o comando estiver fragmentado ou ofuscado, a identificação imediata se torna ainda mais difícil. Organizações que permitem dispositivos pessoais sem gerenciamento agravam as lacunas de proteção.
Limitações das recomendações atuais
Medidas genéricas, como restringir o acesso ao diálogo “Executar” do Windows, não abrangem todos os utilitários que podem ser explorados (LOLBINs). Especialistas alertam que, no futuro, o ataque pode ocorrer inteiramente dentro do navegador, dispensando a etapa de execução no sistema operacional.
Imagem: attackers in the wild
Detecção no navegador
Frente às falhas nas camadas tradicionais, pesquisadores anunciaram mecanismos de bloqueio de cópia e colagem suspeitas diretamente no browser, tentativa de interromper o golpe no momento inicial, antes de qualquer interação com o endpoint.
Por enquanto, a recomendação é reforçar treinamentos para alertar usuários sobre solicitações de copiar comandos, adotar políticas de menor privilégio e validar a cobertura de EDR, especialmente em dispositivos próprios de colaboradores.
Com informações de The Hacker News