CAPTCHAgeddon: CAPTCHA falso usado no novo ataque do ClickFix para implantar carga útil de malware

O ClickFix, que começou como uma ferramenta de simulação de equipe vermelha em setembro de 2024, rapidamente se transformou em um sistema de entrega de malware generalizado que supera seus antecessores, como a fraude de atualização de navegador falsa ClearFake.

Inicialmente demonstrada pelo pesquisador de segurança John Hammond para fins educacionais, essa falsa técnica CAPTCHA engana os usuários para que executem Comandos do PowerShell por meio da manipulação da área de transferência, ignorando os downloads de arquivos tradicionais.

No final de 2024, a ProofPoint o apelidou de ClickFix, destacando sua mudança das táticas EtherHiding que escondem código em contratos inteligentes Ethereum para uma engenharia social mais insidiosa.

Essa variante “CAPTCHAgeddon” aproveita a infraestrutura confiável, permitindo infecções drive-by e spear-phishing, resultando na implantação generalizada de infostealers como o Lumma, que exfiltram credenciais e dados sem problemas.

Táticas de evasão que levam a infecções

A propagação do ClickFix se diversificou de malvertising em redes obscuras direcionadas a sites de streaming e software para se infiltrar em plataformas WordPress comprometidas com altas classificações de SEO, onde CAPTCHAs falsos sobrepõem conteúdo legítimo, acionado por interações do usuário para integração natural.

De acordo com o relatório, os invasores exploram ainda mais as mídias sociais, repositórios do GitHub com READMEs enganosos e sites de isca otimizados para SEO com artigos raspados borrados, obrigando os usuários a “verificar” o acesso.

Narrativamente, esses ataques empregam engenharia social sofisticada, imitando os desafios do reCAPTCHA ou da Cloudflare com logotipos dinâmicos de sites que puxam logotipos de sites por meio de IDs do AdZone e prompts urgentes como “IP suspeito detectado”, aumentando a persuasão.

Em phishing direcionado, como falsificações de Booking.com, eles redirecionam de páginas de marca para CAPTCHAs temáticos, instalando ladrões para coleta abrangente de dados em vez de credenciais únicas.

Tecnicamente, a evasão gira em torno de comandos ofuscados do PowerShell usando mutações de maiúsculas e minúsculas (por exemplo, PoWeRsHeLL), truques ASCII e carregamento dinâmico de scripts de servidores invasores, evitando scanners estáticos.

As cargas são incorporadas em arquivos de aparência legítima, como socket.io.min.js em CDNs simulados, ou abusam do Google Scripts para hospedagem de domínio confiável, reduzindo suspeitas e ignorando filtros.

As adaptações multiplataforma se estendem ao macOS e Linux por meio de scripts bash, instruindo os usuários a colar comandos em terminais, explorando a falta de familiaridade dos usuários não técnicos.

Em meados de 2025, esses métodos ampliaram a superfície de ataque, com exemplos ofuscados revelando invocações simples de curl buscando cargas remotas.

Clustering revela ecossistemas de invasores

Para dissecar esse cenário de ameaças, os pesquisadores da Guardio aplicaram o clustering DBSCAN em milhares de cargas úteis da área de transferência, extraindo recursos como entropia de domínio, padrões de ofuscação e estruturas de comando.

Essa abordagem não supervisionada identificou clusters distintos, como as buscas uniformes e não ofuscadas do PowerShell do Cluster 16 de TLDs .run/.press com caminhos UUID, indicando kits de ferramentas compartilhados.

Outros clusters mostram ofuscação pesada ou híbridos de plataforma cruzada, mapeando perfis de invasores para bloqueio proativo.

Essa evolução ressalta uma mutação viral em Ameaças cibernéticas, deslocando cepas mais antigas por meio de infecciosidade superior. Os defensores devem priorizar a análise comportamental em vez das assinaturas, pois ferramentas como o FileFix sugerem outras adaptações.

Indicadores de Comprometimento (IOCs)

The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça