Descoberta e Escopo
Uma nova variante de ataque social, conhecida como ClickFix, foi identificada utilizando o Windows Terminal como vetor principal para evadir mecanismos de detecção tradicionais. A técnica envolve páginas falsas de CAPTCHA que instruem as vítimas a colar comandos maliciosos diretamente no terminal do Windows, em vez de utilizarem a caixa de diálogo "Executar" (Run dialog) como em campanhas anteriores.
Vetor e Exploração
Os atacantes exploram a confiança do usuário em ferramentas administrativas legítimas. Ao redirecionar a execução de scripts maliciosos para o Windows Terminal, a atividade pode parecer menos suspeita em alguns ambientes monitorados, onde o uso do terminal é comum para tarefas de administração de sistemas. O objetivo é burlar filtros de segurança que focam em processos de execução padrão ou em scripts de PowerShell não assinados.
Implicações para a Segurança
Para profissionais de segurança e CISOs, essa mudança de vetor exige uma revisão das políticas de monitoramento de endpoints. A detecção deve focar não apenas no conteúdo do comando, mas no contexto de sua execução e na origem da solicitação que levou o usuário a interagir com o terminal. A evasão baseada em ferramentas legítimas do sistema operacional representa um desafio significativo para soluções de resposta a incidentes.
Recomendações
Equipes de segurança devem reforçar a conscientização dos usuários sobre a verificação de solicitações de execução de comandos. Além disso, é recomendável monitorar logs de atividade do Windows Terminal para identificar padrões de execução incomuns, especialmente aqueles originados de navegadores web ou e-mails de phishing.