O grupo LeakNet passou a usar a técnica ClickFix em sites comprometidos para ampliar a disseminação de ransomware, em uma tática que combina engenharia social com abuso de páginas legítimas para obter acesso inicial às vítimas. O método chama atenção por transformar ambientes confiáveis em ponto de entrada para infecções mais complexas.
Nesse tipo de golpe, o usuário é induzido a executar uma ação manual sob a falsa justificativa de resolver um erro, concluir uma verificação ou liberar o acesso a um conteúdo. Em vez de explorar diretamente uma falha no sistema, os criminosos manipulam a interação da vítima para iniciar a cadeia maliciosa de forma aparentemente legítima.
Ao usar sites comprometidos, a campanha ganha uma camada extra de credibilidade. Isso porque o ataque deixa de depender apenas de domínios abertamente suspeitos e passa a se apoiar em páginas reais, já indexadas e com reputação estabelecida, o que dificulta a identificação imediata por usuários e até por filtros de segurança.
Uma vez executada a ação induzida pelo ClickFix, a operação pode abrir caminho para download de cargas adicionais, coleta de informações do sistema, persistência e movimentação lateral dentro da rede. Em contextos corporativos, esse primeiro acesso pode ser suficiente para que os operadores avancem até a etapa de exfiltração de dados e criptografia dos arquivos.
O risco é ainda maior porque campanhas desse tipo exploram comportamentos comuns do dia a dia, como clicar em verificações, resolver mensagens de erro ou seguir instruções exibidas na própria tela. Essa familiaridade reduz a desconfiança inicial e torna a fraude mais eficiente.
