Uma nova e preocupante campanha de ciberataques, conhecida como ClickFix, foi recentemente identificada e está a visar tanto sistemas Windows como, pela primeira vez de forma mais adaptada, sistemas Linux. Esta tática de engenharia social, que engana as vítimas para executarem comandos maliciosos, demonstra uma evolução na sua abrangência e sofisticação.
O que é o ClickFix e como nos tenta enganar?
O ClickFix é uma técnica de engenharia social astuciosa. Os atacantes criam falsos sistemas de verificação ou simulam erros em aplicações web para convencer os visitantes a executar comandos na consola dos seus computadores. O objetivo final é, claro, a instalação de malware.
Historicamente, estes ataques eram mais comuns em sistemas Windows, onde os utilizadores eram levados a executar scripts PowerShell através do comando "Executar". Estas ações resultavam frequentemente na infeção por malware capaz de roubar informações e, em alguns casos, até mesmo em ataques de ransomware. No entanto, o cenário começou a mudar, e já em 2024 foi detetada uma campanha que, usando falsos erros do Google Meet, também tinha como alvo os utilizadores de macOS.
Nova campanha aponta baterias ao Linux
A mais recente investida, detetada na primeira semana de maio de 2025 por investigadores da Hunt.io, destaca-se por ser uma das primeiras a adaptar esta técnica de engenharia social especificamente para o ecossistema Linux. Este ataque em particular é atribuído ao grupo APT36, também conhecido como "Transparent Tribe", que se acredita ter ligações ao Paquistão.
A armadilha é montada através de um website que se faz passar pelo Ministério da Defesa da Índia, apresentando um link para um suposto comunicado de imprensa oficial.
Mecanismos de ataque diferenciados por sistema operativo
Ao clicar no referido link, o website identifica o sistema operativo do visitante e direciona-o para o fluxo de ataque correspondente.
No caso de utilizadores Windows, é apresentada uma página em ecrã completo que alerta para direitos de utilização de conteúdo limitados. Ao clicar em "Continuar", um código JavaScript é acionado, copiando um comando MSHTA malicioso para a área de transferência da vítima. De seguida, o utilizador é instruído a colar e executar este comando no terminal do Windows. Esta ação despoleta um carregador (loader) baseado em .NET que estabelece ligação com o endereço do atacante, enquanto, para disfarçar, é exibido um ficheiro PDF chamariz, fazendo com que tudo pareça legítimo.
Já os utilizadores Linux são redirecionados para uma página de CAPTCHA. Ao clicar no botão "Não sou um robot", um comando shell é copiado para a sua área de transferência. Posteriormente, a vítima é guiada a pressionar as teclas ALT+F2 (que abre a caixa de diálogo para executar comandos no Linux), colar o comando e premir Enter para o executar.
Payload em Linux: Um teste ou uma ameaça iminente?
O comando executado em sistemas Linux instala um payload denominado 'mapeal.sh'. De acordo com a análise da Hunt.io, a versão atual deste script não executa, para já, quaisquer ações maliciosas. A sua atividade limita-se a descarregar uma imagem JPEG de um servidor controlado pelos atacantes e a abri-la em segundo plano.
"O script descarrega uma imagem JPEG do mesmo diretório trade4wealth[.]in e abre-a em segundo plano," explica a Hunt.io. "Nenhuma atividade adicional, como mecanismos de persistência, movimento lateral ou comunicação de saída, foi observada durante a execução."
Contudo, esta aparente inocuidade pode ser apenas uma fase experimental. É bastante provável que o grupo APT36 esteja a testar a eficácia da sua cadeia de infeção em Linux. A simples substituição da imagem por um script malicioso seria suficiente para instalar malware ou executar outras atividades prejudiciais no sistema comprometido.
ClickFix: Uma ameaça multiplataforma que exige cautela redobrada
A adaptação da técnica ClickFix para realizar ataques em Linux é mais uma prova da sua eficácia e versatilidade. Este tipo de ataque já demonstrou ser capaz de visar as três principais plataformas de sistemas operativos para desktops.
Como regra geral de segurança, os utilizadores nunca devem copiar e colar comandos em caixas de diálogo de execução ou terminais sem compreenderem perfeitamente o que esses comandos fazem. Seguir esta simples precaução reduz significativamente o risco de infeção por malware e o consequente roubo de dados sensíveis.
Nenhum comentário
Seja o primeiro!