Uma nova técnica de engenharia social chamada ClickFix vem sendo usada para induzir vítimas a executar comandos locais que baixam malware, incluindo cargas de ransomware. O golpe se aproveita da familiaridade dos usuários com CAPTCHAs e processos de verificação para criar um falso senso de legitimidade. O esquema começa com redirecionamentos a páginas forjadas que exibem um CAPTCHA ou uma verificação aparentemente legítima.
Em seguida surge uma mensagem instruindo o usuário a copiar e colar um trecho de texto em uma ferramenta nativa do sistema, como Executar do Windows, Terminal do macOS ou um campo de comando. O texto solicitado a colar não é uma frase inocente, mas um comando ofuscado que ativa um downloader em PowerShell, bash ou AppleScript. Ao executar o comando, o dispositivo baixa e executa uma carga maliciosa que pode instalar info stealers, trojans de acesso remoto e, em muitos casos, ransomware. Os atacantes adaptaram a técnica para múltiplas plataformas e variações de interface, apelidando diferenças como FileFix ou TerminalFix, cada uma com instruções específicas para convencer usuários de sistemas distintos. O uso de CAPTCHAs auxilia na evasão de crawlers e aumenta a confiança do alvo. ClickFix é eficiente porque contorna filtros tradicionais contra anexos e links maliciosos: nada precisa ser anexado ao e-mail ou baixado manualmente pelo usuário além de um simples colar.
A ação explora hábitos de interação e a tendência de seguir instruções que aparentam corrigir um problema imediato. Para se defender, empresas e usuários devem restringir a execução de scripts não assinados e implementar allowlists de aplicações. Ferramentas como AppLocker, WDAC e políticas de execução do PowerShell reduzem drasticamente a possibilidade de comandos colados serem executados. A chegada do ClickFix mostra que ataques modernos combinam engenharia social e abuso de utilitários legítimos para escapar de defesas tradicionais.
