Microsoft detalha nova onda de ataques ClickFix que abusam de DNS e nslookup para espalhar malware
A Microsoft tornou públicos novos achados sobre uma evolução perigosa da técnica de engenharia social conhecida como ClickFix. A nova variante substitui, em boa parte, o uso clássico de requisições HTTP por consultas DNS realizadas com o comando `nslookup`, usando esse mecanismo como uma espécie de “canal oculto” para preparar e acionar cargas maliciosas em sistemas Windows.
O golpe continua baseado em um princípio simples e extremamente eficaz: fazer com que o próprio usuário execute, de forma manual, um comando no computador acreditando que está corrigindo um erro ou seguindo um passo de suporte técnico. Normalmente, o criminoso orienta a vítima a abrir a janela “Executar” (Win+R) ou o Prompt de Comando e colar uma instrução pronta.
Ao rodar esse comando, o sistema não faz nada “mágico” por conta própria: ele apenas executa uma consulta DNS, por meio do `nslookup`, para um servidor controlado pelo invasor. A resposta dessa consulta – em especial o campo Name retornado – é manipulada como se fosse a próxima instrução da cadeia de ataque, funcionando como uma etapa de “preparo” (staging) para a infecção.
De acordo com a área de inteligência de ameaças da Microsoft, essa abordagem transforma o DNS em um canal leve e discreto de comunicação, reduzindo a necessidade de conexões HTTP diretas logo no início do ataque. Isso dificulta a detecção por soluções de segurança que se apoiam em inspeção de tráfego web tradicional, uma vez que as consultas DNS, em geral, se misturam ao fluxo legítimo da rede.
—
Por que o ClickFix é tão perigoso?
O ClickFix ganhou destaque nos últimos dois anos justamente por não depender, necessariamente, de falhas técnicas no sistema, mas sim da confiança processual do usuário. Em vez de explorar uma vulnerabilidade de software, a técnica explora o hábito de seguir instruções de “suporte” sem questionar sua origem.
Golpes desse tipo são frequentemente disfarçados como:
– páginas falsas de CAPTCHA que pedem um “passo extra” para liberar o acesso;
– alertas inexistentes de erro no sistema ou no navegador;
– mensagens afirmando que é preciso “consertar” um suposto problema crítico;
– orientações passo a passo que imitam linguagem de suporte técnico.
A vítima acredita que está resolvendo uma falha e, na prática, está colando e executando comandos que abrem caminho para uma infecção completa. Essa lógica inspirou diversas variações da técnica, batizadas com nomes como FileFix, CrashFix, ConsentFix e GlitchFix. O denominador comum é sempre o mesmo: fazer com que o próprio usuário contorne, sem perceber, as camadas tradicionais de proteção.
—
Como funciona a nova cadeia de ataque baseada em DNS
Na variante analisada pela Microsoft, o uso de DNS não é apenas um detalhe técnico, mas um componente central da cadeia maliciosa. De forma simplificada, o fluxo segue os passos abaixo:
1. Execução manual do comando
O usuário é induzido a abrir o `cmd.exe` ou a caixa “Executar” e inserir um comando aparentemente legítimo. Esse comando chama o `nslookup` para consultar um domínio controlado pelo criminoso.
2. Consulta DNS a um servidor externo
O `nslookup` envia a requisição a um servidor de DNS sob controle do invasor. Em vez de apenas responder com um IP, o servidor devolve informações estrategicamente montadas para servir como instrução de próxima etapa.
3. Uso da resposta DNS como carga secundária
O campo Name da resposta, ou outro dado da consulta, é interpretado como uma espécie de script ou parâmetro. Assim, o atacante consegue “injetar” a próxima fase do ataque apenas manipulando a resposta DNS.
4. Download de arquivo ZIP malicioso
A partir dessas informações, é acionado o download de um arquivo ZIP hospedado em um serviço externo. Dentro dele, encontra-se o conteúdo necessário para prosseguir com a infecção.
5. Execução de script Python malicioso
O ZIP contém um script Python, preparado para rodar no sistema da vítima. Esse script realiza a comunicação com o servidor de comando e controle (C2), baixa componentes adicionais e configura o ambiente para o trojan.
6. Implantação do trojan ModeloRAT
Em seguida, é instalado o ModeloRAT, um trojan de acesso remoto (RAT) que dá ao invasor a capacidade de controlar o computador à distância, roubar dados, monitorar atividades e instalar outros malwares.
7. Persistência via atalho LNK na inicialização
Para garantir que o acesso malicioso sobreviva a reinicializações, o ataque cria um arquivo de atalho (`.lnk`) na pasta de inicialização do Windows, o que assegura a execução automática dos componentes maliciosos sempre que o sistema é ligado.
Esse encadeamento mostra como um simples comando “copiar e colar” pode desencadear uma sequência complexa de ações que, ao final, entregam controle total da máquina ao atacante.
—
Lumma Stealer e CastleLoader: ameaça combinada
Enquanto o ClickFix segue evoluindo, outras famílias de malware se aproveitam da mesma lógica de engenharia social. Pesquisadores de segurança relataram um aumento expressivo em campanhas do Lumma Stealer, um ladrão de informações focado em credenciais, carteiras de criptomoedas e dados de navegador.
Essas campanhas costumam usar iscas visuais semelhantes às do ClickFix, como:
– páginas falsas de CAPTCHA;
– telas que imitam verificações de segurança do navegador;
– supostos formulários de validação.
Um dos principais vetores para disseminar o Lumma Stealer é o CastleLoader, ferramenta associada ao grupo hacker conhecido como GrayBravo. O papel do loader é preparar o ambiente e garantir que o malware principal só seja executado em condições adequadas.
O CastleLoader realiza, por exemplo:
– checagens para identificar se o sistema está rodando em máquina virtual ou sandbox;
– verificações básicas para detectar antivírus ou soluções de segurança mais conhecidas;
– rotinas de descriptografia da carga maliciosa diretamente em memória, reduzindo a chance de detecção baseada em arquivos.
Somente após passar por esses filtros é que o Lumma Stealer é executado, roubando credenciais, cookies de sessão, dados de autofill e informações sensíveis armazenadas no navegador.
—
Adaptação constante: novos loaders e infraestrutura dinâmica
Mesmo após operações policiais e esforço coordenado de derrubada de infraestrutura em 2025, o Lumma Stealer segue ativo. Uma das razões é a capacidade dos criminosos de:
– mudar rapidamente de provedores de hospedagem;
– alternar domínios, endereços de C2 e serviços de nuvem;
– incorporar novos loaders à cadeia de infecção.
Entre os loaders observados recentemente estão o RenEngine Loader e o Hijack Loader, ambos projetados para atuar como intermediários entre o primeiro contato com a vítima e a execução do malware final. Essa modularidade complica a tarefa de bloqueio definitivo, já que os operadores podem trocar componentes conforme são detectados.
Relatos indicam que, nas campanhas mais recentes, o Lumma Stealer tem infectado principalmente sistemas na Índia, França, Estados Unidos, Espanha, Alemanha e Brasil, refletindo uma atuação global e focada em países com grande número de usuários conectados e ampla adoção de serviços financeiros digitais.
—
macOS também passou a ser alvo prioritário
A estratégia ClickFix não se limita ao ambiente Windows. Diversas campanhas recentes começaram a mirar usuários de macOS, explorando a confiança histórica na segurança da plataforma e a crença equivocada de que “Mac não pega vírus”.
Entre as táticas observadas, destacam-se:
– textos que se passam por artigos técnicos ou tutoriais avançados, publicados em blogs e plataformas de conteúdo;
– anúncios patrocinados em mecanismos de busca, levando a páginas que oferecem supostos instaladores, utilitários ou correções;
– arquivos compartilhados por meio de serviços legítimos de produtividade e notas;
– scripts AppleScript desenhados para abusar das permissões do sistema, em especial das políticas de Transparência, Consentimento e Controle (TCC).
Nessas campanhas, especial atenção tem sido dada a stealers para macOS, como o Odyssey Stealer, derivado do Atomic macOS Stealer, além de outras variantes menos conhecidas. Esses malwares focam principalmente no roubo de criptomoedas, mirando mais de 200 extensões de carteiras digitais em navegadores, além de dados sensíveis associados a contas, tokens e carteiras locais.
Pesquisadores alertam que o mito de que “Mac é imune a vírus” ainda influencia o comportamento de muitos usuários, que acabam negligenciando práticas básicas de segurança, como uso de soluções antimalware específicas para macOS, revisão atenta de permissões solicitadas por aplicativos e verificação da procedência de instaladores.
—
Por que o abuso de confiança é o ponto central
A grande força do ClickFix – e de várias campanhas associadas – está em um fator humano: abuso da confiança. Em vez de tentar invadir um sistema à força, o atacante se apresenta como alguém que está ajudando, orientando ou corrigindo algo.
Na prática, algumas características se repetem:
– linguagem que imita comunicados de grandes empresas de tecnologia ou suporte oficial;
– uso de termos técnicos suficientes para parecer profissional, mas explicados de forma “passo a passo”;
– indução a ações manuais (abrir o terminal, colar um comando, alterar configurações) que driblam proteções automatizadas.
Essa abordagem contorna diversas barreiras, porque o comando é disparado pelo próprio usuário, muitas vezes com privilégios administrativos, sem que uma vulnerabilidade de software tenha sido explorada diretamente.
—
Como reconhecer e evitar golpes no estilo ClickFix
Para reduzir o risco de cair em ataques desse tipo, algumas práticas são fundamentais:
1. Desconfie de qualquer instrução que peça para você abrir o terminal e colar comandos prontos
Empresas legítimas raramente fornecem comandos longos para serem executados cegamente por usuários comuns, especialmente via pop-ups, anúncios ou páginas desconhecidas.
2. Verifique a origem da mensagem ou da página
Alertas de erro que surgem do nada, ao acessar sites aleatórios ou ao clicar em anúncios, são fortes candidatos a ser armadilhas. Erros reais de sistema costumam vir acompanhados de códigos específicos e aparecem em janelas nativas do sistema operacional, não em páginas de navegador fantasiosas.
3. Cuidado com páginas de CAPTCHA e verificações “extras”
Se um suposto CAPTCHA solicitar que você faça mais do que marcar caixas ou identificar imagens (como baixar arquivos, rodar scripts ou executar comandos), isso é sinal de golpe.
4. Não confie apenas na aparência profissional
Criminosos investem em design, logos e textos bem escritos para parecerem legítimos. O critério principal deve ser a procedência: como você chegou àquela página? Ela foi aberta a partir de um anúncio obscuro, de um e-mail não solicitado ou de um redirecionamento estranho?
—
Medidas recomendadas para empresas e equipes de TI
No contexto corporativo, o desafio é ainda maior, pois um único usuário enganado pode comprometer toda a rede. Algumas medidas estratégicas incluem:
– Treinamento recorrente em engenharia social
Não basta um curso único. É preciso reforçar periodicamente exemplos de golpes atuais, incluindo simulações de mensagens que pedem execução de comandos, supostos scripts de correção ou orientações de “suporte”.
– Monitoramento de atividades incomuns em terminal e PowerShell
Ferramentas de monitoramento e EDR podem ser configuradas para gerar alertas ao detectar padrões típicos de campanhas ClickFix, como o uso inusitado de `nslookup`, `curl`, `powershell -EncodedCommand` e outros comandos relevantes.
– Políticas de execução de scripts e restrição de privilégios
Reduzir o uso de contas com privilégios administrativos e aplicar políticas de execução controlada de scripts (no Windows e no macOS) pode limitar o impacto de comandos que, porventura, sejam executados pelos usuários.
– Detecções específicas para TTPs de macOS e Windows
Soluções de segurança devem ser configuradas não apenas para identificar arquivos maliciosos, mas também para monitorar técnicas, táticas e procedimentos (TTPs) associados a esses ataques, como abuso de AppleScript, alterações em TCC, criação suspeita de arquivos LNK na inicialização, entre outros.
—
Recomendações práticas para usuários domésticos
Usuários comuns também podem elevar muito seu nível de proteção com medidas relativamente simples:
– manter o sistema operacional e os navegadores sempre atualizados;
– utilizar soluções antimalware confiáveis, tanto no Windows quanto no macOS;
– desabilitar a execução automática de mídias e arquivos baixados sempre que possível;
– revisar extensões de navegador instaladas, removendo itens desconhecidos ou desnecessários;
– guardar senhas em gerenciadores dedicados em vez de depender apenas do navegador.
Além disso, é importante ter o hábito de parar e refletir antes de seguir qualquer instrução inesperada que envolva digitar comandos, alterar configurações avançadas ou baixar arquivos de fontes pouco claras. Em caso de dúvida, o ideal é consultar diretamente o suporte oficial do fabricante do sistema ou de um profissional de confiança, em vez de seguir orientações encontradas em pop-ups, anúncios ou páginas suspeitas.
—
Panorama e tendência
O avanço do ClickFix e de malwares como ModeloRAT, Lumma Stealer, CastleLoader e Odyssey Stealer evidencia uma tendência clara: invasores estão investindo cada vez mais na combinação de engenharia social sofisticada com técnicas técnicas discretas, como o uso de DNS para staging e execução em memória para evitar arquivos em disco.
Enquanto usuários permanecerem dispostos a seguir instruções sem checar a fonte, esses ataques continuarão eficazes, independentemente de quão avançadas sejam as soluções de segurança instaladas. A resposta, portanto, passa por uma dupla frente: fortalecer a educação em cibersegurança e aprimorar continuamente as ferramentas de monitoramento e detecção comportamental, tanto em ambientes domésticos quanto corporativos.