Pesquisas de inteligência apontam para um ciclo perigoso: credenciais roubadas por infostealers são usadas para comprometer sites legítimos, transformando-os em distribuidores de malware mediante uma armadilha chamada “ClickFix”.
Descoberta e escopo
O relatório citado pela matéria do Cyber Security News, com base em dados do Hudson Rock Threat Intelligence Team e da plataforma ClickFix Hunter, descreve um padrão em que domínios legítimos são sequestrados com credenciais administrativas obtidas por infostealers. A plataforma ClickFix Hunter rastreia mais de 1.600 domínios ativos; cruzamento com os registros de credenciais comprometidas da Hudson Rock identificou 220 domínios (aproximadamente 13%) que hospedavam campanhas ClickFix e cujas credenciais de administração estavam expostas em logs de infostealers.
Vetor e exploração — o método "ClickFix"
Segundo a investigação, a cadeia típica começa com um website legítimo que passa a exibir iscas visuais — por exemplo, falsos prompts de segurança que imitam Google reCAPTCHA ou erros de navegador. Ao interagir com esses elementos, um JavaScript malicioso copia silenciosamente um comando PowerShell para a área de transferência do usuário.
O usuário é então instruído a abrir o Executar (Windows+R) e colar o “código de verificação” (Ctrl+V). Esse fluxo faz com que o comando seja executado localmente, baixando infostealers como Lumma, Vidar ou Stealc. A técnica contorna controles tradicionais porque é a própria ação do usuário que dispara a execução do código.
Evidências e exemplos
A análise apontou domínios específicos em que o padrão foi observado, entre eles jrqsistemas.com e wo.cementah.com. Em pelo menos um caso (jrqsistemas.com), a inteligência indica que as credenciais de login do administrador WordPress haviam sido previamente exfiltradas por infostealers, posteriormente usadas para fazer upload de scripts maliciosos que servem a campanhas ClickFix.
Impacto operacional e dinâmica do ciclo
Os pesquisadores descrevem um efeito de retroalimentação: à medida que mais máquinas são infectadas, mais credenciais administrativas são colhidas, o que permite o comprometimento de mais sites legítimos; esses sites, por sua vez, ampliam a superfície de distribuição do malware. Por operar via infraestruturas legítimas dispersas (provedores de hospedagem comerciais, sites de empresas), a campanha torna-se resiliente a derrubadas focadas em servidores maliciosos centralizados.
Limites das evidências
O mapeamento documentado pela Hudson Rock e ClickFix Hunter fornece correlação entre credenciais vazadas e domínios que hospedam iscas ClickFix. A matéria apresenta números agregados e exemplos, mas não publica, no corpo do texto consultado, listas exaustivas de domínios afetados nem amostras de comandos PowerShell para evitar replicação do ataque.
Implicações para defesa e remediação
- Proteção de credenciais administrativas é crítica: uso de MFA robusto, segregação de contas administrativas e rotação de credenciais;
- Monitoração de integridade de sites e verificação de artefatos web (scripts injetados) para detectar hospedagem de iscas;
- Educação sobre iscas sociais que instruem usuários a executar comandos locais — fluxos de clipboard-injection devem ser tratados como indicadores de ataque;
- Integração entre threat intelligence que detecta credenciais comprometidas e equipes de resposta a incidentes para revogar acessos e limpar infraestruturas comprometidas.
Conclusão
A investigação enfatiza que a distribuição moderna de malware tem migrado do uso exclusivo de servidores dedicados para um modelo que explora websites legítimos comprometidos via credenciais furtadas. A natureza descentralizada desse ecossistema dificulta ações pontuais de mitigação e exige coordenação entre inteligência de credenciais, provedores de hospedagem e equipes de resposta para interromper o ciclo.