Microsoft divulgou detalhes de uma nova variante da técnica de engenharia social conhecida como ClickFix, que agora utiliza consultas DNS via comando nslookup para preparar e entregar workloads maliciosas.

O ataque engana usuários para que executem manualmente comandos no Windows, normalmente por meio da caixa “Executar” (Win+R). Ao rodar o comando, o sistema realiza uma consulta DNS contra um servidor externo controlado pelo invasor. O resultado dessa consulta especificamente o campo Name: retornado é tratado como a próxima etapa da execução maliciosa.

Segundo a equipe de inteligência de ameaças da Microsoft, essa variação usa o DNS como um canal leve de staging, reduzindo dependência de requisições HTTP tradicionais e permitindo que a atividade maliciosa se misture ao tráfego legítimo da rede.

O ClickFix se popularizou nos últimos dois anos por explorar confiança processual e não vulnerabilidades técnicas. Ele costuma aparecer em páginas falsas de CAPTCHA, alertas inexistentes de erro ou instruções para “corrigir” problemas fictícios no computador.

A técnica já gerou múltiplas variantes, como FileFix, CrashFix, ConsentFix e GlitchFix. O ponto central é sempre o mesmo: convencer a vítima a executar o código por conta própria, contornando controles de segurança tradicionais.

No novo cenário baseado em DNS, o ataque segue esta cadeia:

1. Execução manual de comando via cmd.exe.

2. Consulta DNS contra servidor externo.

3. Extração da resposta DNS como carga secundária.

4. Download de um arquivo ZIP hospedado externamente.

5. Execução de script Python malicioso.

6. Implantação do trojan de acesso remoto ModeloRAT.

7. Criação de persistência via arquivo LNK na pasta de inicialização do Windows.

8. Lumma Stealer e CastleLoader ganham força

Paralelamente, a Bitdefender alertou para aumento nas campanhas do Lumma Stealer, frequentemente distribuído por meio de páginas falsas de CAPTCHA no estilo ClickFix.

Um dos principais vetores é o CastleLoader, associado ao grupo hacker GrayBravo. O loader inclui verificações contra ambientes virtualizados e soluções de segurança antes de descriptografar e executar o malware em memória.

Mesmo após ações de repressão policial em 2025, o Lumma Stealer continua ativo, migrando rapidamente entre provedores de hospedagem e adotando novos loaders, como o RenEngine Loader e o Hijack Loader.

A maioria das infecções recentes foi registrada na Índia, França, Estados Unidos, Espanha, Alemanha e Brasil.

macOS também na mira

O uso de técnicas ClickFix não se limita ao Windows. Diversas campanhas recentes miraram usuários de macOS, explorando:

• Falsos artigos técnicos em plataformas como Medium.

• Anúncios patrocinados em motores de busca.

• Links compartilhados via serviços legítimos como Claude ou Evernote.

• Scripts AppleScript que abusam de permissões do sistema (TCC).

Stealers como Odyssey Stealer (derivado do Atomic macOS Stealer) e outras variantes priorizam o roubo de criptomoedas, atacando mais de 200 extensões de carteiras em navegadores.

Segundo pesquisadores, a falsa percepção de que “Mac não pega vírus” continua sendo um fator crítico de risco.

Tendência preocupante

Especialistas destacam que a eficácia do ClickFix está no abuso da confiança do usuário. As instruções parecem legítimas semelhantes a passos de suporte técnico levando vítimas a executar código arbitrário sem perceber.

A recomendação é reforçar treinamento contra engenharia social, monitorar atividades incomuns no terminal e no PowerShell, e implementar detecção específica para TTPs voltadas a macOS e Windows.