stoatwaffle - RunkIntel

# Stoatwaffle > [!medium] Loader via ClickFix - Abuso de Plataformas de IA > Stoatwaffle é um loader identificado em 2025, distribuído através da técnica **ClickFix** - uma forma de engenharia social que instrui usuários a executar comandos PowerShell ou scripts diretamente no terminal, disfarçados de "correções" ou "verificações de segurança". Documentado em campanhas que abusam de plataformas de **inteligência artificial** (como simulações de ChatGPT e Copilot) para enganar usuários a executar o loader. ## Visão Geral Stoatwaffle representa um exemplo da técnica ClickFix em ação: ao invés de infectar usuários via exploit ou anexo de email, o operador cria páginas web que imitam plataformas legítimas (como assistentes de IA, captchas HCAPTCHA, páginas de suporte técnico) e exibem mensagens como "Para ver o conteúdo, cole este comando no seu terminal" ou "Clique em Copiar, depois pressione Win+R e cole para verificar sua identidade". O nome Stoatwaffle (dado por pesquisadores de segurança ao rastrear esta família) identifica uma variante loader específica dentro do ecossistema ClickFix. O loader age como intermediário: uma vez executado pelo usuário (que acredita estar fazendo algo legítimo), Stoatwaffle baixa e executa payloads de segundo estágio mais sofisticados - que podem incluir RATs, infostealers como [[lumma-stealer|Lumma]] ou [[redline-stealer|RedLine]], ou ferramentas de ransomware. A técnica ClickFix tornou-se particularmente eficaz em 2024-2025 por duas razões. Primeiro, contorna completamente proteções técnicas: nenhum exploit é necessário pois o usuário executa voluntariamente o comando. Segundo, o crescimento do uso de ferramentas de IA criou familiaridade com "executar comandos fornecidos por assistentes" - tornando usuários menos desconfiados quando uma página falsa solicita execução de um script. O abuso específico de plataformas de IA como vetor de distribuição do Stoatwaffle é particularmente preocupante para o Brasil, onde o uso de ferramentas de IA generativa cresceu rapidamente em 2024-2025 e muitos usuários corporativos estão adaptando workflows para incluir assistentes de IA em tarefas do dia a dia. ## Como Funciona **Etapa 1 - Engenharia social ClickFix:** 1. Usuário recebe link (via email, WhatsApp, LinkedIn) ou encontra página via SEO 2. A página simula plataforma legítima (ChatGPT, Microsoft Copilot, Google Gemini, HCAPTCHA, OneDrive) 3. Uma mensagem exibe "erro" ou "verificação de segurança necessária" 4. O botão "Corrigir" ou "Verificar" copia automaticamente um comando para o clipboard **Etapa 2 - Execução do loader:** 1. Usuário executa o comando copiado no Run (Win+R) ou no terminal PowerShell 2. O comando é ofuscado (base64, variáveis, concatenação) para evadir análise simples 3. O Stoatwaffle loader é baixado via PowerShell/cmd de servidor C2 temporário 4. O loader é executado silenciosamente em background **Etapa 3 - Download do payload:** 1. Stoatwaffle estabelece comunicação com servidor C2 fixo ou via domínio DGA 2. Fingerprinting básico do sistema (SO, idioma, antivírus presente) 3. Download do payload apropriado ao ambiente detectado 4. Execução do payload de segundo estágio (infostealer, RAT ou ransomware) ## Attack Flow ```mermaid graph TB A["ClickFix Page Simula IA/Captcha ou suporte Microsoft"] --> B["Clipboard Hijack Comando malicioso copiado automaticamente"] B --> C["Execução usuario Win+R ou terminal cmd/PowerShell"] C --> D["Stoatwaffle baixado PowerShell obfuscado de servidor C2"] D --> E["Fingerprinting SO, AV, idioma detectados"] E --> F["Payload download Infostealer RAT ou ransomware"] F --> G["Infecção silenciosa Credenciais roubadas ou acesso persistente"] ``` **Legenda:** [[lumma-stealer]] · [[redline-stealer]] · [[t1204-002-malicious-file|T1204.002]] · [[t1059-001-powershell|T1059.001]] · [[t1105-ingress-tool-transfer|T1105]] ## Timeline ```mermaid timeline title ClickFix / Stoatwaffle - Linha do Tempo 2023 : ClickFix identificado : Primeiras campanhas : Simulacao de erros Chrome 2024-Q1 : Expansao rapida : Captcha falsos : OneDrive simulado 2024-Q3 : IA como vetor : ChatGPT / Copilot falsos : Crescimento explosivo 2025-01 : Stoatwaffle documentado : Campanhas abuso IA : Lab52 e outros pesquisadores 2025 : Multiples payloads : Lumma, RedLine, RATs : Técnica generalizada 2025 : LATAM impacto : Brasil entre alvos : PT-BR ClickFix pages ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Malicious File (User Execution) | [[t1204-002-malicious-file\|T1204.002]] | Usuário executa voluntariamente o comando ClickFix | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de scripts PowerShell ofuscados via clipboard | | Windows Command Shell | [[t1059-003-windows-command-shell\|T1059.003]] | Execução via cmd.exe ou Run (Win+R) | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do loader Stoatwaffle e payloads subsequentes | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Comandos base64 e concatenação para evadir inspeção | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para páginas ClickFix enviados por email ou redes sociais | ## Relevância para o Brasil e LATAM ClickFix e o Stoatwaffle têm impacto crescente e específico no Brasil: **Exposição ao ClickFix no Brasil:** - O Brasil é um dos maiores mercados de uso de ferramentas de IA generativa da América Latina, criando a familiaridade com "executar sugestões de assistentes de IA" que o ClickFix explora - Grupos de WhatsApp e Telegram corporativos brasileiros são canais comuns para distribuição de links ClickFix disfarçados de "solução para erro" - O [[financial|setor financeiro]] brasileiro, que usa intensivamente automação com scripts, tem usuários que normalizam execução de scripts copiados de fontes externas **Localização do ataque:** - Páginas ClickFix em português brasileiro foram detectadas em 2025, eliminando a barreira do idioma - Temas brasileiros como "verificação de acesso ao banco", "atualização do PIX" ou "correção de NF-e" foram usados como iscos **Payload brasileiro:** - Uma vez instalado, o Stoatwaffle pode entregar infostealers focados em roubo de credenciais bancárias brasileiras - A [[lgpd|LGPD]] exige notificação quando dados pessoais são exfiltrados, mesmo via técnica de engenharia social - Empresas brasileiras nos setores de [[technology|tecnologia]] e [[government|governo]] são alvos de versões com payloads de RAT para espionagem ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Stoatwaffle / ClickFix (TLP:GREEN) > **Comportamento:** > PowerShell iniciado via mshta.exe ou processo Run (Win+R) > Comandos base64 no histórico de PowerShell com download subsequente > Criação de arquivo executável em %TEMP% por PowerShell > > **Rede:** > HTTP GET de PowerShell para domínios recém-registrados (< 30 dias) > User-Agent padrão PowerShell em download de executável > > **Fonte:** Lab52 Research · ProofPoint Threat Research · Any.run Analysis **Mitigações recomendadas:** - Implementar [[m1042-disable-or-remove-feature-or-program|M1042]]: restringir execução de PowerShell por usuários padrão via GPO - Usar [[m1017-user-training|M1017]] com treinamento específico sobre ClickFix - "NUNCA execute comandos de sites ou mensagens" - Monitorar via [[ds0009-process-creation|DS0009]] inicializações de PowerShell por processos incomuns (mshta, wscript, cscript) - Aplicar [[m1038-execution-prevention|M1038]] com AppLocker para bloquear execução de scripts de diretórios temporários - Usar filtros DNS/proxy para bloquear domínios recém-registrados como destinos de download ## Referências - [1](https://lab52.io/blog/stoatwaffle-clickfix-loader/) Lab52 - Stoatwaffle ClickFix Loader Analysis (2025) - [2](https://www.proofpoint.com/us/blog/threat-insight/clickfix-how-hackers-are-outsmarting-traditional-phishing) Proofpoint - ClickFix: How Hackers Outsmart Traditional Phishing (2024) - [3](https://any.run/cybersecurity-blog/clickfix-technique/) ANY.RUN - ClickFix Technique Analysis (2024) - [4](https://www.bleepingcomputer.com/news/security/clickfix-attacks-increasing-in-volume-with-fake-captcha-pages/) BleepingComputer - ClickFix Attacks Increasing (2025) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.stoatwaffle) Malpedia - Stoatwaffle Entry (2025) - [6](https://www.trendmicro.com/en_us/research/25/b/clickfix-fake-updates.html) Trend Micro - ClickFix Fake Updates Campaign (2025)