# ClickFix Campaign 2025 > [!info] Visão Geral - Alta Relevância LATAM > A **campanha ClickFix 2025** representa uma das técnicas de engenharia social mais prolifica dos ultimos anos, com Guardio Labs descrevendo-a como "CAPTCHAgeddon". Iniciada pela ClearFake em mid-2024 e rapidamente adotada por dezenas de atores - incluindo [[g0032-lazarus-group]] e grupos de espionagem nation-state - a técnica engana usuarios a executar comandos PowerShell maliciosos via falsos CAPTCHAs. O [[s1229-havoc]] C2 Framework foi documentado pela FortiGuard em campanha usando Microsoft Graph API para ocultar comúnicacoes. Em 2025, o ClickFix tornou-se responsavel por 47% dos ataques observados pela Microsoft. ## Visão Geral O ClickFix é a engenharia social mais eficiente documentada na segunda metade da década de 2020: em vez de explorar vulnerabilidades técnicas, explora a disposição humana de seguir instruções quando um site de aparência legítima solicita. O mecanismo é simples ao ponto de ser genial — uma página web exibe um falso CAPTCHA da Cloudflare ou uma mensagem de "verificação necessária", copia silenciosamente um comando PowerShell malicioso para a área de transferência do usuário, e instrui a vítima a pressionar Win+R, colar o conteúdo e pressionar Enter. O usuário acredita estar provando que é humano; na prática, está executando malware com seus próprios privilégios. A técnica foi documentada pela primeira vez com a ClearFake em maio de 2024 e se propagou rapidamente pelo ecossistema criminoso como um framework de entrega agnóstico — qualquer malware pode ser distribuído via ClickFix. Em poucos meses, grupos que vão desde cibercriminosos de baixo escalão até atores de espionagem nation-state como o [[g0032-lazarus-group]] adotaram a técnica. O Lazarus a usou na campanha "ClickFake Interview" para atacar candidatos a emprego no setor de criptomoedas; o grupo [[g1037-ta577]] a usou em campanhas de phishing empresarial; o [[storm-0249]] migrou completamente do phishing convencional para ClickFix em janeiro de 2025. A Guardio Labs apelidou o fenômeno de "CAPTCHAgeddon". O que torna o ClickFix particularmente perigoso é a sua resistência às defesas técnicas convencionais: não há anexo malicioso para sandboxear, não há URL de download para bloquear no proxy, não há script que chegue via email. O malware é executado pelo próprio usuário, com seus próprios direitos, a partir de um comando que passa pela maioria das soluções de proteção de endpoint como execução legítima de PowerShell. Em agosto de 2025, a Microsoft estimou que o ClickFix era responsável por 47% de todos os ataques observados — uma penetração extraordinária para uma técnica com menos de dois anos de existência. Para o Brasil e a América Latina, o ClickFix é ameaça imediata e concreta: o Lampion, infostealer bancário especializado em roubo de credenciais de bancos digitais, foi entregue via ClickFix em campanhas documentadas atingindo México e Portugal em maio de 2025. Milhares de sites WordPress brasileiros comprometidos pela ClearFake já estão ativos como pontos de entrega de ClickFix. A técnica explora diretamente a menor maturidade de consciência de segurança de usuários em mercados em desenvolvimento — tornando o Brasil um alvo natural para a próxima onda de expansão. > [!latam] Alta Relevância para o Brasil — Ameaça Ativa em 2025 > O ClickFix é ameaça ativa e crescente para o Brasil. **Lampion** — infostealer especializado em bancos digitais brasileiros — foi entregue via ClickFix em campanhas que já atingiram México e Portugal. Sites **WordPress brasileiros comprometidos** pela ClearFake já servem como pontos de entrega. O **Lumma Stealer**, frequentemente entregue via ClickFix, rouba credenciais de aplicativos bancários (PIX, Nubank, Inter). A técnica é adaptada para usuários com menor maturidade de segurança — perfil prevalente no mercado brasileiro. ## Attack Flow ```mermaid graph TB A["🌐 Vetor Inicial<br/>Site comprometido, phishing,<br/>malvertising ou SEO poisoning"] --> B["🤖 Falso CAPTCHA<br/>Cloudflare Turnstile falso<br/>ou verificação humana fake"] B --> C["📋 Clipboard Hijack<br/>Comando PS copiado silenciosamente<br/>para area de transferencia"] C --> D["▶️ Execução Manual<br/>Vitima pressiona Win+R,<br/>Ctrl+V, Enter"] D --> E["⚡ PowerShell Stage 1<br/>Download de payload<br/>de infraestrutura C2"] E --> F["👻 Havoc C2 / Lumma<br/>Framework C2 ou<br/>infostealer instalado"] F --> G["📤 Exfiltração / Acesso<br/>Credenciais, cripto,<br/>ou acesso persistente"] ``` **Legenda:** ClickFix e uma técnica, nao uma familia de malware. Operadores usam o mecanismo para entregar [[s1229-havoc]], [[lumma-stealer]], [[s1160-latrodectus]], [[darkgaté]] e ransomware. [[g0032-lazarus-group]] usou ClickFix em "ClickFake Interview" para distribuir FrostyFerret/GolangGhost. ## Cronologia | Data | Evento | |------|--------| | Mai 2024 | ClearFake adota ClickFix - primeiro uso documentado em larga escala | | Jun 2024 | FortiGuard documenta campanha com Havoc C2 via Microsoft Graph API | | Set 2024 | Lazarus Group adota ClickFix em "ClickFake Interview" - alvos cripto | | Ján 2025 | Storm-0249 muda de phishing para ClickFix para distribuir Latrodectus | | Mar 2025 | 600.000+ ataques bloqueados por mes - triplicacao vs fev 2025 | | Mai 2025 | Lampion malware entregue via ClickFix a organizacoes em Portugal/Mexico | | Ago 2025 | Microsoft pública análise: ClickFix representa 47% dos ataques observados | | Ján 2026 | Nova variante com App-V abuse distribui Amatera Stealer | ## TTPs Documentadas | Técnica | ID | Descrição | |---------|-----|-----------| | PowerShell | [[t1059-001-powershell\|T1059.001]] | Comando PS malicioso executado pelo usuario via Run dialog | | Arquivo/Link Malicioso | [[t1204-001-malicious-link\|T1204.001]] | Usuario e enganado a clicar e executar comando manualmente | | Link de Phishing | [[t1566-002-spearphishing-link\|T1566.002]] | Emails com links para landing pages de CAPTCHA falso | | Arquivos Ofuscados | [[t1027-obfuscated-files-or-information\|T1027]] | PowerShell com XOR encryption e AMSI bypass | | MSHTA | [[t1218-mshta\|T1218]] | Variantes usam SyncAppvPublishingServer.vbs (LOLBin) | ## Vitimas Documentadas - **Usuarios globais via ClearFake**: 147.521 sistemas infectados (Expel, ago-2025) - **Organizacoes de hospitalidade**: campanha imitando Booking.com contra hoteleiros - **Governo/Educação/Transporte em Portugal**: campanha Lampion - inclui Mexico como alvo LATAM - **Candidatos a emprego em criptomoedas**: Lazarus ClickFake Interview - alvos financeiros - **SLTT dos EUA**: State/Local/Tribal/Territorial - campanha com Lumma Stealer (CIS report) ## Relevância para LATAM e Brasil O ClickFix tem relevância direta e imediata para o Brasil em 2025: 1. **Lampion malware via ClickFix já atingiu Mexico**: A campanha documentada pela Microsoft (mai-2025) com Lampion infostealer bancario afetou Mexico e Portugal - expansao para Brasil e questao de tempo 2. **WordPress brasileiro vulnerável**: Milhares de sites WordPress no Brasil foram comprometidos pela ClearFake - cada site e um potencial ponto de entrega de ClickFix 3. **Usuarios brasileiros executam comandos sem pensar**: A técnica explora falta de conscientizacao - populacao com menor maturidade em segurança e mais vulnerável 4. **Lumma Stealer e banco digital**: O infostealer final rouba credenciais de aplicativos bancarios brasileiros (PIX, Nubank, inter) ```mermaid graph TB subgraph "Ecossistema ClickFix 2025" A["Técnica ClickFix<br/>(vector agnostico)"] --> B["ClearFake<br/>WordPress comprometidos"] A --> C["Lazarus Group<br/>ClickFake Interview"] A --> D["Storm-0249 / TA578<br/>Phishing empresarial"] A --> E["Nation-State Actors<br/>Espionagem direcionada"] end subgraph "Payloads Entregues" F["Havoc C2"] G["Lumma Stealer"] H["Latrodectus"] I["Ransomware"] end B --> F B --> G D --> H E --> I ``` ## Mitigação - **Politica de execução PowerShell**: Restringir execução de PS por usuarios nao-administrativos - [[m1040-behavior-prevention-on-endpoint|M1040]] - **AMSI e Script Block Logging**: Habilitar logging completo de PowerShell para detectar evasão - [[m1049-antivirus-antimalware|M1049]] - **Treinamento específico sobre ClickFix**: Usuarios nunca devem executar comandos solicitados por um site - [[m1017-user-training|M1017]] - **Proteção de WordPress**: Manter CMS e plugins atualizados para prevenir comprometimento ClearFake - [[m1051-update-software|M1051]] - **Bloquear Win+R em ambientes corporativos**: Remover acesso ao Run dialog para usuarios sem necessidade administrativa - **Monitorar clipboard malicioso**: Solucoes de DLP podem detectar conteudo de PS copiado para clipboard ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/) Microsoft Security - Think Before You ClickFix: Complete Analysis (2025) - [2](https://thehackernews.com/2025/08/clickfix-malware-campaign-exploits.html) The Hacker News / Guardio Labs - CAPTCHAgeddon Analysis (2025) - [3](https://www.fortinet.com/blog/threat-research/clickfix-havoc-microsoft-graph) FortiGuard Labs - ClickFix Delivering Havoc C2 via Microsoft Graph API (2024) - [4](https://www.cisecurity.org/insights/blog/clickfix-an-adaptive-social-engineering-technique) CIS - ClickFix: Adaptive Social Engineering Technique (2025) - [5](https://sra.io/blog/beware-of-clickfix-a-growing-social-engineering-threat) SRA - Beware of ClickFix: Growing Social Engineering Threat (2025)