ClickFix: ataque usa finger.exe e CAPTCHAs falsos para instalar malware

A campanha ClickFix abusa do utilitário finger.exe para recuperar scripts via protocolo finger (TCP 79) quando vítimas executam comandos induzidas por CAPTCHAs falsos. Os atacantes retornam PowerShell codificado que baixa payloads maliciosos. Recomenda‑se bloquear porta 79, monitorar tráfego finger, detectar PowerShell Base64 e educar usuários contra execução manual de comandos.

Descoberta e escopo / O que mudou agora

Pesquisadores do Internet Storm Center e análises publicadas relataram uma campanha batizada ClickFix que abusa do utilitário legacy finger.exe para recuperar e executar payloads em sistemas Windows. A técnica explora páginas de CAPTCHA falsas que instruem vítimas a executar comandos locais.

Vetor e exploração / Mitigações

O ataque usa o protocolo finger (porta TCP 79) para obter de um servidor de comando e controle um texto que contém comandos PowerShell codificados em Base64. Campanhas identificadas (por exemplo KongTuke e SmartApeSG) retornam scripts que baixam e executam arquivos maliciosos subsequentes.

Mitigações recomendadas:

Bloquear explicitamente a porta TCP 79 em firewalls de borda e proxies corporativos quando não for necessária;
Detectar e bloquear uso de finger.exe e tráfego finger em ambientes gerenciados (IDS/IPS e regras de inspeção profunda podem ser aplicadas);
Treinar usuários para não executar comandos locais vindos de páginas web ou CAPTCHAs que peçam execução manual de utilitários;
Monitorar e analisar execução de PowerShell com comandos Base64 e atividades de download subsequentes.

Impacto e alcance / Setores afetados

A técnica é particularmente eficaz contra ambientes onde protocolos legados permanecem abertos ou não monitorados e contra usuários que seguem instruções de páginas enganadoras. Organizações com políticas de rede permissivas, estações de trabalho sem EDR alinhado ou configuradas para permitir execução de scripts locais estão em maior risco.

Limites das informações / O que falta saber

Os relatórios descrevem a técnica e campanhas observadas, incluindo exemplos de comandos finger usados para recuperar scripts. Entretanto, os detalhes sobre taxa de sucesso, métricas de vítimas e alcance geográfico completo não foram divulgados nas matérias consultadas. Equipes de defesa devem buscar IOCs e amostras para enriquecer detecção local.

Repercussão / Próximos passos

Além do bloqueio de porta e observabilidade, recomenda‑se que equipes de SOC atualizem regras para identificar padrões de finger e respostas contendo payloads codificados, e que EDRs monitorem execução de comandos legacy convocados a partir do navegador. Comunicação ao usuário final sobre CAPTCHAs falsos e engenharia social completa a defesa.