Microsoft denuncia ataque que começa com “prove que você não é um robô”

A Microsoft revelou uma nova campanha de ClickFix, baseada em engenharia social. A tática está usando o aplicativo de Terminal do Windows para ativar uma cadeia de ataque sofisticada para instalar o malware Lumma Stealer no computador da vítima.

O ataque do ClickFix começa com a vítima navegando normalmente na internet e esbarrando em uma página que exibe um CAPTCHA. Esses são os testes de verificação que pedem para o usuário provar que é humano, ao clicar em semáforos ou digitar letras distorcidas.

A página parece profissional, o layout é limpo e a instrução parece simples. A página pede que a vítima abra o terminal do Windows e cole um comando para completar a verificação. É nesse momento que o ataque começa. E a vítima, na maior parte das vezes, não percebe nada de errado.

A arte de parecer normal

Campanhas anteriores do mesmo tipo tinham um passo a passo que, com o tempo, ficou conhecido. A vítima era instruída a pressionar Win + R, que abre a janela “Executar” do Windows. É uma caixinha simples onde se digita comandos. Esse comportamento se tornou tão associado a ataques que sistemas de segurança passaram a monitorá-lo especificamente.

Na campanha identificada em fevereiro de 2026, a instrução passou a ser Windows + X e depois a tecla I. Esse atalho abre diretamente o Windows Terminal, uma ferramenta moderna e visualmente sofisticada. É a mesma usada por desenvolvedores, administradores de sistemas e profissionais de tecnologia.

O Comando Invisível

O texto que a vítima é instruída a colar no terminal não parece um comando. É uma longa sequência de letras e números sem sentido aparente, os criminosos usaram duas técnicas combinadas para esconder as instruções reais.

A primeira é a codificação hexadecimal. Qualquer texto pode ser convertido para uma representação em hexadecimal, que é o sistema numérico que usa os símbolos de 0 a 9 e de A a F. Isso torna o conteúdo completamente irreconhecível para um olho humano e dificulta que sistemas de segurança identifiquem palavras suspeitas, como “baixar” ou “executar”.

A segunda técnica é o embaralhamento XOR, uma operação matemática que cifra os dados usando uma chave secreta, funcionando como um código de substituição. Juntas, essas técnicas formam o que a área de segurança chama de ofuscação. 

O objetivo é esconder a intenção real do código. Quando a vítima cola e executa aquela sequência aparentemente sem sentido, o Windows PowerShell, linguagem de automação nativa, reverte silenciosamente toda a codificação e começa a executar as instruções reais.

Campanha tinha dois caminhos

A campanha se divide em dois caminhos distintos. Ambos chegam ao mesmo destino, que são as senhas salvas nos navegadores da vítima. No primeiro caminho, o script baixa o 7-Zip da internet, mas o salva com um nome aleatório como xk7f2q.exe.

O 7-Zip é um programa legítimo de compressão de arquivos. Renomeá-lo é uma técnica de evasão: sistemas de segurança que monitoram o 7z.exe simplesmente não reconhecem o arquivo com nome diferente.

Junto com ele, é baixado um ZIP com o arsenal completo do ataque. Uma vez instalado, o malware cria uma tarefa agendada para reiniciar automaticamente toda vez que o computador for ligado. Também adiciona sua pasta às exclusões do Microsoft Defender, fazendo com que o próprio antivírus da vítima passe a ignorá-lo.

O componente final é o Lumma Stealer. O malware se infiltra nos processos do Chrome e do Edge enquanto estão rodando e acessa os arquivos internos Web Data e Login Data, onde ficam todas as senhas salvas. O conteúdo é então enviado para servidores dos criminosos.

No segundo caminho, o comando baixa um arquivo .bat com nome aleatório, salvo em uma pasta de aplicativos legítimos para não levantar suspeitas. Esse script batch cria um segundo script em VBScript e é executado pelo MSBuild.exe.

O Lumma Stealer é um tipo de malware especializado em roubo de informações sensíveis, de uma família conhecida e documentada pela comunidade de segurança. Ela é voltada especificamente para credenciais salvas em navegadores. Para acessar essas senhas, ele usa uma técnica chamada injeção de código via QueueUserAPC().

Com ela, o malware se infiltra silenciosamente dentro dos processos do Google Chrome e do Microsoft Edge enquanto eles estão rodando. De dentro desses processos, o malware acessa os arquivos internos onde os navegadores armazenam credenciais. 

Vivendo da terra e da Blockchain

O script malicioso é executado através do MSBuild.exe. Essa é uma ferramenta oficial da Microsoft, usada por desenvolvedores de software para compilar programas, e é assinada digitalmente pela própria Microsoft. Essa técnica tem um nome na área de segurança. Ela se chama LOLBin, sigla em inglês para Living Off the Land Binary, que pode ser traduzido como “viver da terra”.

A ideia é não trazer ferramentas suspeitas de fora e usar apenas o que já existe no sistema operacional. Como o MSBuild.exe é um binário confiável assinado pela Microsoft, a maioria dos sistemas de segurança simplesmente não questiona o que ele está executando.

Mas a inovação mais marcante desse segundo caminho é outra. O script se conecta a endpoints RPC de blockchain de criptomoedas, que são interfaces de comunicação com redes como o Ethereum. Isso indica o uso de uma técnica conhecida como EtherHiding.

Os atacantes aproveitam a anonimidade rastreabilidade da tecnologia das criptomoedas para armazenar instruções para o malware diretamente em transações ou contratos inteligentes na blockchain. O malware no computador da vítima busca essas instruções consultando a rede pública de criptomoedas, como uma ordem fixada em um quadro que ninguém consegue remover.

Mesmo que o malware seja descoberto e analisado, a infraestrutura de controle dos atacantes permanece intacta e inacessível.

Qual o alvo?

Os arquivos Web Data e Login Data dos navegadores são, em linguagem simples, o cofre digital da maioria das pessoas. Ali estão armazenadas senhas de e-mail, redes sociais, serviços de streaming, internet banking e plataformas de trabalho. São todas as contas onde a vítima optou por “salvar a senha” no navegador. É um hábito extremamente comum, que a maioria das pessoas adota sem pensar duas vezes.

Uma vez com posse dessas credenciais, o atacante não precisa de mais nada. Ele pode acessar contas de e-mail e usá-las para novos ataques contra os contatos da vítima, acessar contas corporativas e comprometer redes inteiras de empresas. Além disso, também pode roubar dados financeiros, e vender as credenciais em mercados clandestinos na dark web, onde conjuntos de logins são comercializados em larga escala.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.