Um simples comando copiado da internet e colado no terminal pode ser suficiente para comprometer todo o sistema. Essa é a base da nova campanha identificada pela Microsoft, que mostra como o método ClickFix evoluiu para explorar o comando nslookup e a infraestrutura de DNS na distribuição do perigoso Lumma Stealer.
A técnica mistura engenharia social sofisticada com o uso de ferramentas legítimas do próprio sistema operacional. O alvo são usuários de Windows e macOS, especialmente aqueles que buscam cracks, ativadores ou “soluções rápidas” para erros técnicos.
O alerta é claro. A nova fase do ataque não depende apenas de cliques em botões falsos. Agora, ela transforma o próprio usuário no executor da ameaça.
O que é o ClickFix e como a técnica evoluiu
O ClickFix é um método de engenharia social que simula problemas técnicos para convencer a vítima a executar ações que supostamente resolveriam um erro. Inicialmente, a estratégia envolvia botões falsos de correção ou downloads disfarçados de atualizações.
Com o tempo, os operadores dessa ameaça perceberam que usuários mais experientes desconfiavam de downloads diretos. A solução foi sofisticar a abordagem.
Em vez de oferecer um arquivo suspeito, a nova variante orienta a vítima a abrir o Prompt de Comando no Windows ou o Terminal no macOS e executar comandos de terminal apresentados como procedimentos técnicos legítimos.
Essa mudança reduz a chance de bloqueio automático por antivírus tradicionais, já que a ação parte do próprio usuário e utiliza ferramentas nativas do sistema.
O abuso do nslookup dentro da nova campanha
O ponto mais preocupante dessa evolução está no uso do nslookup.
O nslookup é um utilitário legítimo usado para consultar registros de DNS. Administradores de redes utilizam essa ferramenta para verificar se um domínio está resolvendo corretamente ou para diagnosticar falhas de conectividade.
Na nova campanha baseada no ClickFix, o comando é apresentado como parte de uma “verificação técnica”. A vítima recebe instruções detalhadas e aparentemente profissionais para executar uma consulta específica.
Mas essa consulta não é inocente.
O domínio consultado pertence à infraestrutura controlada pelos atacantes. A resposta do servidor DNS pode conter dados codificados que funcionam como sinalização para etapas seguintes do ataque. Em alguns casos, esses dados orientam o sistema a baixar componentes adicionais ou ativar scripts ocultos.
Esse modelo transforma o DNS em um canal de comunicação encoberto. Como consultas DNS fazem parte do funcionamento normal da internet, a atividade pode passar despercebida em muitos ambientes.
O uso do nslookup traz vantagens estratégicas para os criminosos:
• Exploração de ferramenta nativa do sistema
• Tráfego que parece legítimo
• Menor detecção por soluções tradicionais
• Maior credibilidade da instrução técnica
A combinação de engenharia social com abuso de infraestrutura básica da internet torna a ameaça significativamente mais sofisticada.
O ecossistema do malware: Lumma Stealer e CastleLoader
Após a etapa inicial, a infecção costuma envolver o Lumma Stealer, um malware especializado em roubo de informações.
O Lumma é conhecido por coletar:
• Credenciais armazenadas em navegadores
• Cookies de sessão
• Dados de preenchimento automático
• Carteiras de criptomoedas
• Tokens de autenticação
Mesmo após operações policiais internacionais em 2025 que afetaram parte da infraestrutura de grupos cibercriminosos, variantes do Lumma continuam circulando.
Em muitas campanhas, loaders intermediários, como o CastleLoader, são utilizados para baixar o payload final. Isso demonstra a existência de um ecossistema organizado, onde diferentes grupos colaboram na criação, distribuição e monetização do malware.
A campanha baseada no ClickFix funciona como porta de entrada. Uma vez dentro do sistema, o impacto pode escalar rapidamente, incluindo comprometimento de contas corporativas e perda financeira direta.
Ataques direcionados ao macOS e foco em criptomoedas
A nova variante também atinge usuários de macOS, reforçando que o sistema da Apple não está imune a ameaças modernas.
A abordagem é semelhante à observada no Windows. O usuário recebe instruções técnicas para executar um comando no Terminal sob o pretexto de corrigir um erro, validar software ou liberar acesso a determinado recurso.
Usuários que lidam com ativos digitais são alvos prioritários. O Lumma Stealer tem módulos capazes de identificar extensões de navegador associadas a carteiras cripto e serviços de exchange.
Entre os principais alvos estão:
• Extensões de wallet
• Credenciais armazenadas no navegador
• Tokens ativos de sessão
• Dados sensíveis vinculados a contas financeiras
A crença de que “Mac não pega vírus” contribui para reduzir a percepção de risco, algo que os operadores da campanha exploram de forma estratégica.
O papel de buscas patrocinadas e conteúdos falsos
Outro fator crítico na disseminação dessa ameaça está na manipulação de resultados patrocinados.
Criminosos utilizam plataformas de anúncios, como Google Ads, para posicionar páginas maliciosas no topo das buscas. Usuários que procuram por cracks, ativadores ou tutoriais técnicos podem acabar acessando conteúdos fraudulentos altamente convincentes.
Além disso, links compartilhados em plataformas de publicação e comentários técnicos também têm sido utilizados como vetores de redirecionamento.
O fato de um resultado aparecer em destaque não garante legitimidade. A engenharia social moderna investe cada vez mais em aparência profissional e linguagem técnica detalhada.
Como se proteger dessa nova ameaça
A proteção começa com comportamento consciente.
Nenhum site legítimo deve exigir que você execute comandos de terminal para resolver um erro simples de navegador ou ativação de software comum.
Medidas recomendadas incluem:
• Desconfiar de instruções técnicas fora de canais oficiais
• Evitar download de softwares piratas ou ativadores
• Manter sistema e aplicativos atualizados
• Utilizar soluções de segurança com análise comportamental
• Monitorar consultas DNS incomuns em ambientes corporativos
Administradores de sistemas devem prestar atenção especial a padrões anômalos de consultas DNS para domínios recém-registrados ou pouco conhecidos.
A educação do usuário continua sendo uma das defesas mais eficazes contra campanhas baseadas em engenharia social.
Conclusão
A evolução do ClickFix mostra como ameaças digitais estão se tornando mais técnicas e mais psicológicas ao mesmo tempo. O uso do nslookup e da infraestrutura de DNS demonstra criatividade criminosa e conhecimento profundo de como funcionam redes e sistemas operacionais.
Com a distribuição do Lumma Stealer, o impacto pode ir muito além de um simples malware. Estamos falando de roubo de identidade digital, invasão de contas corporativas e perdas financeiras reais.
O alerta da Microsoft reforça uma lição essencial. Ferramentas legítimas podem ser exploradas de forma maliciosa. Copiar e colar comandos sem entender exatamente o que fazem é um risco significativo.
