A corrida entre cibercriminosos e especialistas em segurança nunca foi tão acirrada. Enquanto as empresas desenvolvem novas formas de defesa, surgem ameaças ainda mais inteligentes, furtivas e perigosas. Entre os exemplos mais recentes estão o malware MostereRAT e a campanha de ataques ClickFix, que mostram como a criminalidade digital está se sofisticando.
Neste artigo, vamos analisar em detalhe essas campanhas: o funcionamento do trojan bancário MostereRAT, a evolução do ataque ClickFix e, o mais preocupante, como a Inteligência Artificial (IA) já está sendo usada para tornar golpes de phishing ainda mais convincentes.
As informações se baseiam em pesquisas recentes de laboratórios como o Fortinet FortiGuard Labs, a Huntress e a CloudSEK, oferecendo credibilidade e contexto para que você entenda o tamanho do desafio atual.
A ameaça silenciosa do MostereRAT: mais que um simples trojan
O MostereRAT nasceu como um malware com foco em roubo bancário, mas rapidamente evoluiu para uma ferramenta de acesso remoto (RAT) altamente furtiva. Diferente de outros trojans, ele combina técnicas avançadas de evasão com funcionalidades capazes de dar aos atacantes controle quase total sobre o sistema infectado.
Como o ataque começa: um phishing direcionado
A infecção normalmente se inicia por meio de e-mails de phishing cuidadosamente elaborados. Esses e-mails apresentam iscas comerciais — como faturas, propostas ou documentos falsos — e têm como alvo principal usuários no Japão.
Quando o destinatário clica no anexo ou no link fornecido, é induzido a baixar um arquivo malicioso, abrindo caminho para a execução do MostereRAT.
O que torna o MostereRAT tão perigoso?
O diferencial do trojan MostereRAT está em suas técnicas inovadoras de ocultação e persistência:
- Uso da EPL (Easy Programming Language), uma linguagem de programação pouco comum, que dificulta a análise por pesquisadores de segurança.
- Capacidade de desabilitar proteções do Windows, bloqueando a comunicação entre antivírus e seus servidores, de forma semelhante à ferramenta de Red Team EDRSilencer.
- Comunicação com o servidor de comando e controle (C2) protegida por mTLS (TLS mútuo), garantindo criptografia de ponta a ponta.
- Possibilidade de execução com privilégios de TrustedInstaller, nível que oferece aos atacantes poderes administrativos extremos no sistema comprometido.
Essas características fazem do MostereRAT um exemplo claro de como os trojans tradicionais estão se transformando em plataformas completas de espionagem e controle.
ClickFix evolui: de um clique a um ladrão de informações
Enquanto o MostereRAT chama a atenção por sua engenharia avançada, o ataque ClickFix mostra a criatividade dos atacantes em explorar recursos legítimos do sistema para enganar o usuário.
A armadilha do falso captcha e do explorador de arquivos
Nesta campanha, as vítimas acessam um site aparentemente protegido pelo Cloudflare Turnstile, um sistema de verificação semelhante a um captcha.
No entanto, ao “resolver” o desafio, o usuário não passa por uma validação de segurança real. Em vez disso, o clique aciona a abertura do Explorador de Arquivos do Windows.
Esse truque é possível graças ao abuso do manipulador de protocolo URI search-ms:, que permite exibir atalhos diretamente no explorador. Assim, o usuário é levado a visualizar um arquivo malicioso (.LNK) hospedado em um servidor remoto.
O objetivo final: roubar seus dados com o MetaStealer
Se a vítima executa o arquivo .LNK, a cadeia de ataque prossegue: o sistema baixa e instala o MetaStealer, um malware especializado em roubo de credenciais, cookies e informações sensíveis.
Com isso, os atacantes têm acesso a contas online, dados financeiros e até ambientes corporativos, o que torna a ameaça especialmente grave.
O futuro sombrio: quando a IA se torna a isca
Se os casos do MostereRAT e do ClickFix já são preocupantes, a pesquisa da CloudSEK mostra um cenário ainda mais alarmante: a utilização da Inteligência Artificial como parte central de ataques de engenharia social.
A técnica, chamada de overdose de prompt, consiste em inundar páginas da web com instruções ocultas em CSS. Essas instruções não são visíveis para o usuário, mas são interpretadas por ferramentas de IA que resumem o conteúdo da página.
O resultado? O resumo gerado pela IA — em um e-mail, navegador ou até mesmo em aplicativos de produtividade — traz informações manipuladas pelo atacante. Em vez de uma síntese legítima, o usuário pode receber passos detalhados de um ataque ClickFix, sem perceber que está sendo enganado.
Essa manipulação da confiança do usuário na IA mostra como a tecnologia, quando mal utilizada, pode se tornar uma arma poderosa para golpes de phishing avançado.
Conclusão: como se proteger dessas ameaças avançadas
As campanhas do MostereRAT e do ClickFix são um lembrete claro de que os ataques cibernéticos estão se tornando mais sofisticados. Com a adição da IA como vetor de manipulação, o risco para usuários comuns e empresas cresce de forma acelerada.
Para se proteger, é essencial adotar uma postura de segurança proativa:
- Mantenha sistemas e programas atualizados, aplicando correções de segurança regularmente.
- Desconfie de e-mails inesperados, mesmo que pareçam legítimos ou tragam documentos “importantes”.
- Evite instalar programas de fontes não oficiais, especialmente quando solicitados por links suspeitos.
- Eduque-se continuamente sobre novas técnicas de phishing e engenharia social.
A batalha contra o cibercrime é constante, mas a consciência e a prevenção são suas melhores armas.
E você, já se deparou com um phishing tão elaborado que quase enganou? Compartilhe sua experiência nos comentários!
