clickfix-campaign - RunkIntel

# ClickFix Campaign > [!high] Técnica de engenharia social altamente eficaz que manipula usuários a executar PowerShell malicioso - adotada por dezenas de grupos desde 2024 > O ClickFix é uma técnica de engenharia social que convence usuários a copiar e executar manualmente scripts PowerShell maliciosos ao apresentar falsas mensagens de erro em sites comprometidos ou anexos de e-mail. Pioneirizado pelo TA571 em março de 2024, foi rapidamente adotado pelo cluster ClearFake e dezenas de grupos criminosos, entregando malware como NetSupport RAT, Lumma Stealer e DarkGate em campanhas que afetam o Brasil e Portugal. ## Visão Geral O ClickFix representa uma evolução significativa nas técnicas de engenharia social para distribuição de malware. A técnica contorna controles de segurança de navegadores e EDRs ao induzir o próprio usuário a executar código malicioso - eliminando a necessidade de exploração de vulnerabilidades ou downloads automáticos que seriam bloqueados. O mecanismo é elegante na sua simplicidade: o usuário visita um site comprometido ou abre um anexo de e-mail que apresenta uma mensagem de erro convincente (falha no Chrome, problema ao carregar documento Word, CAPTCHA de verificação). A mensagem instrui o usuário a "corrigir o problema" abrindo o terminal Windows ou a caixa de diálogo Executar (Win+R), e colar um comando PowerShell que está pré-copiado na área de transferência - tudo isso sem que o usuário perceba que está executando código malicioso. O [[ta571|TA571]] foi o primeiro ator documentado usando ClickFix, em março de 2024, enviando mais de 100.000 e-mails globalmente para milhares de organizações. O cluster [[clearfake-campaign|ClearFake]] adotou a técnica em abril de 2024, combinando-a com a tecnologia EtherHiding - armazenamento de payloads na blockchain Binance Smart Chain para resistência a takedowns. Até 2025, 9.300+ sites WordPress haviam sido comprometidos para entregar ClickFix, com 200.000 usuários expostos mensalmente. A relevância para o Brasil é direta: a campanha **Lampion** usou ClickFix para entregar um banking trojan voltado a organizações portuguesas e brasileiras, e múltiplas campanhas de [[uac-0050|UAC-0050]] com foco em língua portuguesa foram identificadas usando a mesma técnica. ## Attack Flow ```mermaid graph TB A["Vetor Inicial Site comprometido via WordPress ou e-mail com HTML attachment"] --> B["Overlay de Erro Falso Mensagem: Chrome quebrado ou Word nao carrega"] B --> C["PowerShell na Area de Transferencia Script malicioso auto-copiado sem interação visivel do usuario"] C --> D["Execução Manual pelo Usuario Win+R ou abrir PowerShell usuario cola e executa"] D --> E["Download de Payload EtherHiding via Binance BSC ou URL direta"] E --> F["Infostealer ou RAT Lumma Stealer, DarkGate NetSupport RAT, AsyncRAT"] ``` > **Atores:** TA571, ClearFake cluster, Storm-0249 | **Malware:** NetSupport RAT, Lumma Stealer, DarkGate | **Setores:** Global, Brasil, Portugal ## Cronologia ```mermaid timeline title ClickFix - Evolução da Técnica 2024-03 : TA571 usa ClickFix pela primeira vez - 100k emails globais 2024-04 : ClearFake adota ClickFix - overlay falso em sites comprometidos 2024-05 : ClearFake adiciona EtherHiding - payloads na blockchain Binance 2024-08 : Storm-0249 e Storm-1877 adotam ClickFix para ransomware 2024-11 : Mais de 100 sites de concessionarias comprometidos nos EUA 2025-01 : Lampion campaign usa ClickFix contra Portugal e Brasil 2025-03 : 9.300 sites comprometidos - 200.000 usuarios expostos por mes 2025-06 : UAC-0050 usa ClickFix em campanhas contra organizacoes de lingua portuguesa ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Sites WordPress comprometidos com injeção JavaScript maliciosa | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de PowerShell malicioso pelo próprio usuário via Run dialog | | Web Service | [[t1102-web-service\|T1102]] | EtherHiding - payloads hospedados em contratos Binance Smart Chain | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Scripts PowerShell ofuscados para evadir detecção de AV | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Injeção JavaScript para apresentar overlay e copiar payload para clipboard | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Anexos HTML em e-mails simulando documentos Word com erro | ## Vítimas e Impacto **Escala global em 2025:** - 9.300+ sites WordPress comprometidos com injeção ClearFake - 200.000 usuários expostos mensalmente a lures ClickFix - [[ta571|TA571]] enviou 100.000+ e-mails por campanha, afetando milhares de organizações - Setores afetados: todos os verticais, com foco em [[financial|financeiro]], [[technology|tecnologia]] e [[government|governo]] **Campanhas notáveis:** - **Lampion**: banking trojan via ClickFix contra entidades portuguesas e brasileiras - **Auto dealerships**: 100+ concessionárias comprometidas via fornecedor terceirizado de vídeo - **Transportation logistics**: TA571 customizou lures para setor de logística e transporte - **Government phishing**: UAC-0050 usou ClickFix contra entidades governamentais ## Relevância LATAM e Brasil O Brasil e Portugal são alvos documentados de campanhas ClickFix, especialmente via: - **Campanha Lampion**: trojan bancário entregue via ClickFix com lures em português, afetando organizações brasileiras e portuguesas do [[financial|setor financeiro]] - **UAC-0050**: grupo com histórico de ataques a organizações de língua portuguesa, adotou ClickFix em campanhas de 2025 - **Expansão regional**: grupos criminosos que operam na América Latina replicaram a técnica localizando lures para o contexto brasileiro - impersonando sistemas governamentais, portais bancários e serviços como Receita Federal O impacto é amplificado pela baixa maturidade em conscientização de segurança em médias e pequenas empresas brasileiras, onde usuários têm menos treinamento para identificar manipulação via engenharia social. ## Mitigação **Controles técnicos:** - Bloquear execução de scripts PowerShell de usuários sem privilégios administrativos (AppLocker/Windows WDAC) - Monitorar e alertar para uso incomum de powershell.exe e cmd.exe spawned por explorer.exe - Aplicar [[m1021-restrict-web-based-content|M1021]] - filtros de web para bloquear domínios comprometidos conhecidos **Controles humanos:** - Treinamento específico sobre ClickFix: nenhum site legítimo pede para copiar código no terminal - Aplicar [[m1017-user-training|M1017]] - treinamentos com exemplos de lures reais em português - Monitorar via [[ds-0029-network-traffic|DS-0029]] - conexões PowerShell a domínios externos não catalogados ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn) Proofpoint - Clipboard Compromise: A PowerShell Self-Pwn (2024) - [2](https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html) The Hacker News - ClearFake Infects 9,300 Sites (2025) - [3](https://www.kroll.com/en/publications/cyber/clearfake-update-tricks-victim-executing-malicious-powershell-code) Kroll - ClearFake Update: Tricks Victim into Executing PowerShell (2024) - [4](https://www.hhs.gov/sites/default/files/clickfix-attacks-sector-alert-tlpclear.pdf) HHS.gov - ClickFix Attacks Sector Alert (2025) - [5](https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape) Proofpoint - ClickFix Social Engineering Floods Threat Landscape (2024)