Pesquisadores da Microsoft revelaram recentemente uma complexa campanha de ciberataque, denominada ClickFix, que explora t\u00e1ticas de engenharia social e ferramentas nativas do Windows para subtrair credenciais de navegadores. O alerta, emitido por especialistas da empresa, detalha uma metodologia inovadora que utiliza desde p\u00e1ginas falsas com CAPTCHAs enganosos at\u00e9 a sofisticada blockchain do Ethereum para evadir detec\u00e7\u00e3o e assegurar o roubo de dados sens\u00edveis.<\/p>\n
O vetor inicial do ataque \u00e9 uma p\u00e1gina web aparentemente benigna que exibe um CAPTCHA, solicitando ao usu\u00e1rio que prove n\u00e3o ser um rob\u00f4. Contudo, em vez das tradicionais verifica\u00e7\u00f5es visuais, a p\u00e1gina instrui a v\u00edtima a abrir o Terminal do Windows e colar um comando espec\u00edfico para completar a verifica\u00e7\u00e3o. Essa etapa crucial representa o ponto de partida da cadeia de ataque, muitas vezes passando despercebida pela v\u00edtima devido \u00e0 sua apar\u00eancia profissional e \u00e0 simplicidade da instru\u00e7\u00e3o.<\/p>\n
Diferentemente de campanhas anteriores, que instru\u00edam o uso do atalho Win + R para abrir a caixa ‘Executar’ \u2013 um comportamento que se tornou monitorado por sistemas de seguran\u00e7a \u2013 esta nova variante instrui o atalho Windows + X seguido pela tecla I. Essa sequ\u00eancia abre diretamente o Windows Terminal, uma ferramenta moderna e robusta, frequentemente utilizada por desenvolvedores e profissionais de TI, conferindo uma falsa sensa\u00e7\u00e3o de legitimidade \u00e0 opera\u00e7\u00e3o. O comando a ser colado \u00e9 uma longa sequ\u00eancia de caracteres aparentemente sem sentido, ofuscada por meio de codifica\u00e7\u00e3o hexadecimal e embaralhamento XOR, t\u00e9cnicas combinadas para esconder as instru\u00e7\u00f5es maliciosas reais e dificultar sua identifica\u00e7\u00e3o por sistemas de seguran\u00e7a.<\/p>\n
Ap\u00f3s a execu\u00e7\u00e3o do comando ofuscado, o Windows PowerShell, uma linguagem de automa\u00e7\u00e3o nativa do sistema, reverte as codifica\u00e7\u00f5es e inicia a instala\u00e7\u00e3o do malware Lumma Stealer. O processo se divide em dois caminhos distintos, mas convergentes para o mesmo objetivo: o roubo de senhas salvas nos navegadores. No primeiro caminho, o script baixa um programa leg\u00edtimo como o 7-Zip, por\u00e9m com um nome de arquivo aleat\u00f3rio para evas\u00e3o de detec\u00e7\u00e3o, e um pacote ZIP contendo o arsenal completo do ataque. Uma vez instalado, o malware garante sua persist\u00eancia criando uma tarefa agendada para reiniciar com o sistema e adiciona sua pasta \u00e0s exclus\u00f5es do Microsoft Defender, inativando a prote\u00e7\u00e3o do pr\u00f3prio antiv\u00edrus da v\u00edtima.<\/p>\n
O Lumma Stealer, um tipo de malware especializado em roubo de informa\u00e7\u00f5es sens\u00edveis, \u00e9 ent\u00e3o ativado. Ele se infiltra nos processos de navegadores como Chrome e Edge, em tempo de execu\u00e7\u00e3o, para acessar os arquivos internos ‘Web Data’ e ‘Login Data’, onde as credenciais s\u00e3o armazenadas. Essas informa\u00e7\u00f5es s\u00e3o subsequentemente enviadas para servidores controlados pelos criminosos.<\/p>\n
No segundo caminho de ataque, um arquivo .bat com nome aleat\u00f3rio \u00e9 baixado e salvo em uma pasta de aplicativos leg\u00edtimos. Este script, executado atrav\u00e9s do MSBuild.exe \u2013 uma ferramenta oficial da Microsoft e digitalmente assinada \u2013 cria um segundo script em VBScript. Essa t\u00e9cnica, conhecida como LOLBin (Living Off the Land Binary), explora ferramentas leg\u00edtimas do sistema operacional para evitar alertas de seguran\u00e7a, uma vez que o MSBuild.exe \u00e9 considerado um bin\u00e1rio confi\u00e1vel.<\/p>\n
A inova\u00e7\u00e3o mais not\u00e1vel deste segundo caminho reside no uso da tecnologia blockchain. O script malicioso conecta-se a endpoints RPC de blockchains de criptomoedas, como a rede Ethereum, empregando uma t\u00e9cnica conhecida como EtherHiding. Os atacantes armazenam instru\u00e7\u00f5es para o malware diretamente em transa\u00e7\u00f5es ou contratos inteligentes na blockchain, aproveitando a anonimidade e a rastreabilidade da tecnologia. Desta forma, o malware busca suas ordens na rede p\u00fablica de criptomoedas, garantindo que a infraestrutura de controle dos atacantes permane\u00e7a intacta e inacess\u00edvel, mesmo que o malware no computador da v\u00edtima seja descoberto e analisado.<\/p>\n
A posse das credenciais armazenadas nos arquivos ‘Web Data’ e ‘Login Data’ dos navegadores representa uma amea\u00e7a cr\u00edtica. Essas contas frequentemente incluem acessos a e-mails, redes sociais, servi\u00e7os de streaming, plataformas de trabalho e internet banking. Com essas informa\u00e7\u00f5es, os atacantes podem realizar novos ataques contra os contatos da v\u00edtima, comprometer redes corporativas, efetuar roubos financeiros e vender as credenciais em mercados clandestinos na dark web. A complexidade e a engenhosidade desta campanha sublinham a crescente sofistica\u00e7\u00e3o das amea\u00e7as cibern\u00e9ticas e a imperativa necessidade de vigil\u00e2ncia por parte dos usu\u00e1rios.<\/p>\n
Fonte: TECNOLOGIA – Tecmundo<\/small><\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft alerta para golpe sofisticado que rouba senhas via falso CAPTCHA e Terminal Windows. Campanha emprega blockchain Ethereum para evas\u00e3o, visando credenciais salvas em navegadores.<\/p>\n","protected":false},"author":1,"featured_media":1528,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[5],"tags":[172,828,827,829],"class_list":["post-1529","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-ciberseguranca","tag-lumma-stealer","tag-microsoft","tag-roubo-de-credenciais"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg","uagb_featured_image_src":{"full":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"thumbnail":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"medium":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"medium_large":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"large":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"1536x1536":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false],"2048x2048":["https:\/\/audiview.com.br\/news\/wp-content\/uploads\/2026\/03\/news-1772828923.jpg",96,96,false]},"uagb_author_info":{"display_name":"admin","author_link":"https:\/\/audiview.com.br\/news\/author\/admin\/"},"uagb_comment_info":0,"uagb_excerpt":"Microsoft alerta para golpe sofisticado que rouba senhas via falso CAPTCHA e Terminal Windows. Campanha emprega blockchain Ethereum para evas\u00e3o, visando credenciais salvas em navegadores.","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts\/1529","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/comments?post=1529"}],"version-history":[{"count":0,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/posts\/1529\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/media\/1528"}],"wp:attachment":[{"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/media?parent=1529"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/categories?post=1529"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/audiview.com.br\/news\/wp-json\/wp\/v2\/tags?post=1529"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}