O ataque ClickFix no Windows Update representa uma das mais engenhosas estratégias recentes de engenharia social, usando uma tela falsa de atualização do Windows Update para induzir o usuário a executar, por conta própria, comandos maliciosos que instalam malware avançado. O golpe se baseia na simulação perfeita de um processo crítico do sistema, gerando uma falsa sensação de urgência e legitimidade.
Esse ataque, conhecido também como golpe ClickFix, exemplifica uma tendência alarmante, onde o usuário é levado a realizar ações que acredita serem parte natural do funcionamento do sistema. Ao pressionar determinadas teclas para suposta “verificação humana”, a vítima, sem saber, desencadeia a execução de scripts nocivos copiados automaticamente para a área de transferência.
O objetivo deste artigo é explicar em detalhes como funciona a fraude, desmontando a técnica por trás da falsa tela de atualização, revelando como a esteganografia em imagens PNG é usada para ocultar cargas maliciosas e oferecendo orientações práticas de mitigação e prevenção contra esse tipo de ameaça, especialmente relevante em um cenário onde ataques de engenharia social estão cada vez mais sofisticados.
A engenharia social do ClickFix, a isca perfeita
A primeira camada do ataque ClickFix no Windows Update é o uso de uma tela falsa exibida em modo full-screen, criada para imitar o comportamento visual de uma atualização crítica do sistema. Essa interface bloqueia a interação natural do usuário e simula o carregamento típico do Windows Update, incluindo barras de progresso, mensagens de inicialização e cores usuais da interface do Windows.
O elemento central da fraude é a instrução de “verificação humana”, que informa ao usuário que é necessário pressionar uma combinação específica de teclas para que o processo continue. O que a vítima não percebe é que, minutos antes, o site malicioso já executou um script que copia para a área de transferência um comando PowerShell completo, devidamente ofuscado.
Quando o usuário pressiona a combinação solicitada, o Windows interpreta essa ação como um comando para abrir o Executar (Win+R), colando automaticamente o conteúdo existente na área de transferência e executando sem qualquer aviso. Esse processo dá início à cadeia de infecção sem que a vítima perceba o que aconteceu, já que a tela falsa permanece ativa, disfarçando a atividade maliciosa em segundo plano.
Esse tipo de manipulação demonstra o quanto a engenharia social evoluiu, substituindo o antigo modelo em que criminosos tentavam convencer usuários a baixar arquivos por um mecanismo onde o próprio sistema parece solicitar ações, criando um cenário de confiança absoluta.
A sofisticação técnica, esteganografia em imagens PNG
A etapa técnica do ataque é ainda mais impressionante e revela o nível de especialização dos operadores do malware Windows Update falso. Após a execução inicial, o comando disparado pelo usuário aciona o mshta.exe, binário legítimo da Microsoft frequentemente abusado para carregar conteúdo remoto e executar código de forma silenciosa. O mshta, por sua vez, invoca um script PowerShell que baixa e executa outro módulo.
Esse segundo estágio aciona um Stego Loader, um loader em .NET Assembly, cuja função é extrair uma carga maliciosa escondida dentro dos dados de pixel de um arquivo PNG criptografado, usando técnicas de esteganografia que dificultam a detecção por antivírus e ferramentas de análise automática. A imagem PNG aparenta ser comum, mas na verdade carrega um payload cuidadosamente embarcado nos valores de cor que só podem ser decodificados por esse loader.
Após a extração, o loader reconstrói o binário malicioso diretamente na memória, evitando gravações no disco, técnica que aumenta drasticamente a evasão contra soluções de segurança tradicionais. É um encadeamento que combina abuso de binários legítimos, scripts ofuscados, esteganografia avançada e execução fileless, um conjunto raramente encontrado em ataques de larga escala.
Essa sofisticação posiciona o ataque ClickFix como um exemplo notável da evolução das táticas de entrega de malware e da migração para esquemas mais furtivos, capazes de enganar até usuários treinados.
As ameaças por trás, LummaC2 e Rhadamanthys
A carga final instalada pelo ataque depende da campanha ativa, mas dois nomes se destacam: LummaC2 e Rhadamanthys, ambos infostealers amplamente distribuídos no submundo cibercriminoso. Esses malwares são especializados em roubar informações sensíveis, como credenciais armazenadas no navegador, carteiras de criptomoedas, cookies de sessão, dados pessoais e até arquivos específicos do sistema.
O LummaC2 é conhecido por seu modelo de assinatura, onde criminosos pagam por acesso ao painel de controle, recebendo atualizações constantes e módulos adicionais desenvolvidos pela equipe por trás do projeto. É um dos infostealers mais avançados atualmente, exibindo forte evasão e comunicação criptografada com seus servidores de comando e controle.
Já o Rhadamanthys é igualmente sofisticado e tem sido amplamente usado em campanhas globais. Ele emprega técnicas de compressão avançadas, módulos modulares e grande capacidade de exfiltração de dados. Em muitas campanhas observadas, ambos os malwares são carregados usando o Donut, ferramenta de execução in-memory que converte binários inteiros em shellcode, permitindo que sejam executados diretamente na memória do sistema sem criação de arquivos.
Durante o ataque ClickFix, esses infostealers se beneficiam do contexto de confiança criado pela falsa tela de atualização, permitindo que a infecção aconteça rapidamente, com mínima chance de percepção por parte da vítima.
Como se proteger do ClickFix e de ataques similares
A proteção contra o ataque ClickFix Windows Update começa pela atenção do usuário, especialmente no que diz respeito à execução de comandos desconhecidos. A regra fundamental é simples: jamais executar comandos do Windows Copiados automaticamente de um site, especialmente se aparecerem de forma inesperada no campo “Executar”.
Para reduzir o risco desse tipo de ataque, recomenda-se:
1. Desativar o Executar (Win+R) para usuários comuns Isso impede que combinações de teclas possam disparar comandos sem supervisão, especialmente em ambientes corporativos.
2. Monitorar processos suspeitos Fluxos como explorer.exe → mshta.exe → powershell.exe são extremamente atípicos e devem ativar alertas de SIEM ou qualquer solução de monitoramento de endpoint, já que indicam o possível início de uma cadeia de ataque.
3. Manter o Windows e o Defender sempre atualizados O reforço constante de definições de segurança ajuda a bloquear scripts e técnicas de execução frequentemente usadas nesses golpes.
4. Desconfiar de telas full-screen inesperadas O Windows Update não exige “verificação humana”, tampouco solicita combinações especiais de teclas.
5. Treinar usuários Quanto mais pessoas estiverem familiarizadas com golpes que usam engenharia social avançada, menor a probabilidade de que sejam enganadas.
O ataque ClickFix é um alerta claro de que sistemas operacionais e interfaces familiares podem ser usados como armas quando explorados de forma convincente. A defesa depende, mais do que nunca, de atenção, boas práticas e monitoramento contínuo.
