Falsa atualização do Windows esconde malware ClickFix em imagens
Os ataques do malware ClickFix seguem evoluindo. De acordo com pesquisadores de segurança, agora uma nova tática inclui a imitação de atualizações críticas do sistema operacional do Windows para esconder, com esteganografia, códigos maliciosos do usuário. O que é phishing e como se proteger? O que é Engenharia Social? Aprenda a identificar e se proteger de golpes Vale lembrar que o funcionamento do ClickFix depende da ação do usuário: é necessário copiar e colar os comandos maliciosos no prompt de comando do sistema. Para convencer o internauta a fazer isso, os cibercriminosos usam técnicas de engenharia social e iscas visuais, de maneiras cada vez mais sofisticadas. Atualização falsa e códigos em imagens A pesquisa envolvendo o malware foi feita pela equipe de cibersegurança Huntress, que identificou a distribuição de infostealers nos computadores das vítimas, especificamente LummaC2 e Rhadamantys. O usuário, nessa variante, vê uma página de navegador que imita uma atualização de segurança crítica do Windows na tela, ou, em alguns casos, um CAPTCHA. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- O ataque ClickFix, que entrega supostas soluções de problemas, utiliza várias táticas para enganar os usuários, até mesmo vídeos de guia (Imagem: Push Security/Divulgação) Ao invés de baixar um arquivo, como em invasões tradicionais, o malware esconde, em pixels de imagens em PNG, códigos maliciosos através de esteganografia. São usados canais de cor específicos para reconstruir e desencriptar o payload malicioso diretamente na memória do computador. É explorado o binário nativo do Windows mshta para executar código JavaScript: são várias etapas, usando PowerShell e assembly .NET (neste caso, o Stego Loader) para extrair o arquivo final no PNG. O Stego Loader possui um recurso de blob encriptado em AES que, na verdade, traz a imagem esteganografada que contém o shellcode. Never seen this ClickFix method before. pic.twitter.com/EUBB5yfN7e — Reid H. (@Reid0nly) October 20, 2025
Após extraído e descompactado, o malware finalmente infecta o sistema. A variante do Rhadamantys que usa o método foi percebida pela primeira vez em outubro, antes da Operação Endgame desmantelar parte da infraestrutura hacker responsável, em 13 de novembro. Mesmo com a iniciativa, domínios falsos de atualização do Windows ainda seguem ativos, mesmo que o malware já não chegue mais em alguns usuários. Para evitar ataques ClickFix, a equipe Huntress recomenda o monitoramento de cadeias de processo suspeitas, como o explorer.exe iniciando processos como mshta.exe ou o PowerShell sem ser comandado. Convém sempre desconfiar de instruções de instalação ou solução de problemas que pedem a cópia e colagem de comandos ou códigos desconhecidos no PC. Confira também: "Precisa de ajuda?" Novo malware tem até vídeo tutorial para te guiar no golpe Nem a autenticação de dois fatores escapa desta nova falha do Android Hackers dizem ter roubado dados de mil empresas em ataque à Salesforce VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts Leia a matéria no Canaltech.