# ClickFix Campaign 2024 > [!high] Engenharia social via "fixes" falsos para copiar e colar comandos PowerShell maliciosos > **ClickFix** é uma técnica de engenharia social em crescimento exponencial desde meados de 2024: sites comprometidos ou páginas de phishing exibem erros ou CAPTCHAs falsos, instruindo o usuário a "corrigir" o problema abrindo o Windows PowerShell e colando um comando fornecido. O usuário inadvertidamente executa um stager malicioso que baixa loaders como [[emmenhtal]] e infostealers como [[lumma-stealer]]. A técnica contorna soluções de segurança de email e não exige nenhuma vulnerabilidade — depende inteiramente da engenharia social do usuário. ## Visão Geral ClickFix representa a convergência de engenharia social sofisticada com a realidade de que usuários finais, especialmente em ambientes corporativos, frequentemente seguem instruções de "TI" sem questionar. A técnica explora a familiaridade crescente do público com CAPTCHAs, verificações de identidade e mensagens de erro de browser — construindo uma narrativa plausível ("seu browser precisa de atualização", "erro de renderização — clique para corrigir", "verificação humana necessária") que termina em instruções de copiar e colar um comando PowerShell no terminal do Windows. O processo técnico é eficiente: ao "corrigir o problema", o usuário abre manualmente o PowerShell (Run dialog, Win+R → powershell), cola o comando fornecido, e pressiona Enter. O comando é um one-liner ofuscado que executa um stager em memória (tipicamente o PEAKLIGHT/[[emmenhtal]]) ou baixa diretamente um payload de segundo estágio. Por ser o próprio usuário a executar o PowerShell com suas próprias credenciais, o ataque não precisa de escalonamento de privilégios — e muitas soluções de EDR não bloqueiam comandos PowerShell executados interativamente pelo usuário. Para o Brasil, a campanha é particularmente relevante porque usuários brasileiros estão entre os mais visados por operações de ClickFix com lures em português — especialmente variantes que imitam páginas de verificação de CAPTCHA em sites governamentais, bancários e de streaming. O [[financial|setor financeiro]] e empresas de [[technology|tecnologia]] precisam incluir ClickFix explicitamente em treinamentos de conscientização, com exemplos visuais claros de como distinguir CAPTCHAs legítimos de falsos e por que nenhum site legítimo solicita execução de comandos PowerShell. > [!latam] ClickFix no Brasil — Lures em Português > Pesquisadores identificaram múltiplas campanhas ClickFix com páginas em português brasileiro, imitando sites governamentais (Receita Federal, DETRAN), bancos brasileiros e plataformas de streaming. O CERT.br registrou aumento de reportes relacionados à técnica em 2024. Empresas de segurança como Tempest e ISH documentaram variantes localizadas com lures de nota fiscal, multas de trânsito e atualizações do certificado digital. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Link para página de ClickFix via phishing ou site comprometido | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Usuário executa PowerShell malicioso voluntariamente | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Comando PowerShell ofuscado para evadir análise | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download de payload de segundo estágio | ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape) Proofpoint - ClickFix Social Engineering Technique (2024) - [2](https://www.trendmicro.com/en_us/research/24/g/clickfix-technique.html) Trend Micro - ClickFix Technique Analysis (2024) - [3](https://www.elastic.co/security-labs/peaklight-decoding-the-stager) Elastic Security Labs - PEAKLIGHT Stager Analysis (2024) - [4](https://www.cert.br/docs/alertas/clickfix-2024.html) CERT.br - Alerta ClickFix Brasil (2024)