Uma nova e sofisticada campanha de phishing, batizada de ClickFix, está colocando em risco tanto hotéis quanto clientes de plataformas de reservas online como Booking.com e Expedia. Essa operação criminosa, descoberta por especialistas da Sekoia, combina engenharia social e o perigoso malware PureRAT para roubar credenciais e aplicar fraudes financeiras em larga escala.
Diferente dos golpes comuns, o Phishing ClickFix é altamente direcionado e convincente. Ele finge ser uma comunicação legítima da Booking.com, pedindo ao gerente do hotel que realize uma suposta verificação de segurança — mas o que realmente acontece é o download e execução de um trojan de acesso remoto (RAT) que dá controle total ao invasor.
Este artigo explica como o golpe funciona passo a passo, detalha a ameaça técnica do PureRAT e mostra como viajantes e hoteleiros podem se proteger contra essa nova onda de ataques cibernéticos.
O que é o golpe ClickFix e o malware PureRAT?
ClickFix: A engenharia social do falso reCAPTCHA
O nome ClickFix vem de uma tática engenhosa usada pelos criminosos para enganar vítimas por meio de páginas falsas de verificação, que imitam o visual de um reCAPTCHA ou de uma ferramenta de diagnóstico da Booking.com.
O gerente do hotel recebe um e-mail aparentemente legítimo informando sobre uma falha técnica em sua conta ou a necessidade de “verificação de integridade do sistema”. O link leva a uma página que parece confiável, com o logotipo da plataforma e um cronômetro, sugerindo que o procedimento é urgente.
Na página, a vítima é instruída a copiar e executar manualmente um comando do PowerShell para “corrigir o problema”. Esse comando é, na verdade, o início da infecção, ele baixa e instala o malware PureRAT. Essa técnica de engenharia social ClickFix é extremamente eficaz, pois o usuário acredita estar realizando um passo de segurança legítimo.
PureRAT (ou zgRAT): O espião modular
O PureRAT, também conhecido como zgRAT, é um Trojan de Acesso Remoto (RAT) modular escrito em Delphi, projetado para dar ao atacante controle completo sobre o sistema comprometido.
Suas capacidades incluem:
- Controle remoto de mouse e teclado;
- Captura de tela e gravação de webcam;
- Keylogging (registro de tudo digitado);
- Roubo e exfiltração de arquivos e credenciais;
- Persistência através de chaves de registro (“Run”);
- Técnicas furtivas como DLL side-loading, que permitem que o malware se disfarce como um processo legítimo do Windows.
Uma vez instalado, o PureRAT estabelece comunicação com um servidor remoto controlado pelos criminosos, enviando periodicamente dados sensíveis e permitindo o acesso contínuo à máquina infectada.
Como o ataque ao setor hoteleiro funciona passo a passo
Fase 1: A isca (spear-phishing)
A operação começa com um e-mail de spear-phishing — uma mensagem cuidadosamente personalizada e enviada a gerentes de hotéis e pousadas. Esses e-mails são muitas vezes enviados de contas comprometidas de outros estabelecimentos, o que aumenta a credibilidade.
As mensagens afirmam que há problemas de sincronização de reservas ou pendências de verificação de segurança, usando linguagem formal e logotipos oficiais do Booking.com ou Expedia. O objetivo é forçar o destinatário a agir rapidamente — e clicar no link malicioso.
Fase 2: A armadilha (engenharia social ClickFix)
Ao clicar, o gerente é levado para uma página falsa do ClickFix, que apresenta instruções detalhadas e visuais convincentes. Essa página pode até adaptar o idioma e o sistema operacional da vítima, tornando o golpe ainda mais crível.
O “teste de segurança” pede que o usuário copie um comando PowerShell e o execute manualmente — supostamente para “corrigir uma falha de autenticação”. Esse comando, porém, baixa e executa o PureRAT, iniciando a infecção.
Segundo a empresa Push Security, os operadores do ClickFix chegaram a incluir animações, vídeos e cronômetros falsos para pressionar a vítima e reforçar a aparência de legitimidade.
Fase 3: A infecção e o roubo
Uma vez que o PureRAT é instalado, ele cria persistência no sistema, garantindo que continue ativo mesmo após reinicializações. O malware então busca credenciais da extranet de reservas, especialmente do Booking.com e Expedia, armazenadas no navegador ou em arquivos locais.
Essas credenciais são enviadas para o servidor do invasor, permitindo o acesso total às contas empresariais do hotel. A partir daí, os criminosos exploram as informações de hóspedes e reservas reais para realizar fraudes financeiras de segunda etapa.
O objetivo final: Fraude em duas frentes
Para o criminoso: Venda de acessos
O acesso obtido aos sistemas dos hotéis tem grande valor no submundo cibernético. Criminosos vendem essas credenciais em fóruns de cibercrime, como o LolzTeam, onde outros grupos compram os logins para explorar de diversas formas.
Essa prática faz parte do chamado crime como serviço (CaaS), em que operadores de malware distribuem ferramentas como o PureRAT para afiliados em troca de comissão. Assim, o golpe ClickFix não é isolado — ele se insere em uma rede global de cibercrime profissionalizada.
Para o cliente: O golpe do pagamento falso
Com acesso legítimo às reservas, os criminosos passam a se comunicar com os hóspedes usando seus dados reais, o que torna o golpe quase impossível de identificar.
Eles entram em contato por WhatsApp ou e-mail, alegando que há um problema no pagamento ou solicitando uma “verificação do cartão de crédito”. Enviam então um link falso para pagamento, que captura os dados bancários do viajante.
O resultado é uma fraude dupla: o hotel tem seu sistema comprometido e sua reputação abalada, enquanto o cliente sofre o prejuízo financeiro direto.
Como se proteger da ameaça ClickFix
Se você é um cliente ou viajante (usando Booking.com ou Expedia)
- Nunca insira dados de pagamento fora da plataforma oficial ou do aplicativo do serviço.
- Desconfie de mensagens urgentes pedindo “confirmação de cartão de crédito” por e-mail ou WhatsApp.
- Verifique sempre a URL: ela deve começar com “https://www.booking.com” ou “https://www.expedia.com”.
- Evite clicar em links enviados por terceiros — acesse diretamente o site ou o app para checar notificações.
- Em caso de dúvida, ligue diretamente para o hotel usando o número exibido no Google, e não o que consta no e-mail recebido.
Se você é um gerente ou funcionário de hotel
- Treine sua equipe para identificar e-mails de phishing e situações suspeitas.
- Nunca copie e cole comandos no PowerShell ou Terminal sem entender sua origem.
- Implemente autenticação de dois fatores (2FA) nas contas de extranet e sistemas de reservas.
- Verifique os endereços de e-mail oficiais e evite clicar em links de mensagens que aparentem urgência.
- Mantenha antivírus e sistemas atualizados, e use soluções de monitoramento que detectem execução de scripts suspeitos.
Essas práticas reduzem drasticamente o risco de infecção por malware PureRAT e de envolvimento no phishing ClickFix.
Conclusão: Uma ameaça em constante evolução
O caso ClickFix mostra como os cibercriminosos estão evoluindo, misturando engenharia social sofisticada com malwares avançados para explorar setores específicos — neste caso, o mercado hoteleiro, que depende fortemente da confiança digital.
A campanha reflete uma nova fase do cibercrime: personalizada, profissional e difícil de detectar, mesmo por usuários experientes.
A conscientização é a primeira linha de defesa. Compartilhe este alerta com amigos, familiares e, principalmente, com donos de hotéis e pousadas. Com informação e cautela, é possível reduzir o impacto de golpes como o Phishing ClickFix e proteger tanto empresas quanto viajantes.
