Nova variante do ataque ClickFix usa Windows Terminal para contornar mecanismos de deteção

Uma nova evolução da campanha de engenharia social ClickFix está a recorrer ao Windows Terminal para executar comandos maliciosos e contornar mecanismos de deteção existentes no sistema operativo Windows. O alerta foi divulgado pela Microsoft, que identificou a nova técnica em campanhas observadas recentemente.

Tal como em variantes anteriores, o ataque utiliza páginas falsas de CAPTCHA e mensagens de verificação ou resolução de problemas para convencer as vítimas a executar comandos manualmente. No entanto, nesta nova abordagem, os utilizadores são instruídos a abrir diretamente o Windows Terminal, em vez de utilizarem a tradicional caixa de execução do sistema.

Nos ataques ClickFix clássicos, as vítimas eram levadas a pressionar Win + R para abrir a janela “Executar” e colar um comando malicioso. Na nova variante, os atacantes pedem às vítimas que utilizem o atalho que abre o Windows Terminal (wt[.]exe) — um ambiente de execução de comandos com privilégios mais elevados e que se integra visualmente em fluxos administrativos legítimos.

Segundo a Microsoft, esta mudança torna o ataque mais difícil de detetar e aumenta a probabilidade de sucesso, uma vez que o ambiente do terminal pode parecer mais legítimo para utilizadores que estão a seguir instruções técnicas.

Depois de executado, o comando inicia um processo PowerShell que descodifica comandos ocultos em formato hexadecimal, desencadeando uma cadeia de ataque em múltiplas fases. O objetivo final é instalar o Lumma Stealer, um malware especializado em roubo de informação.

O malware obtém persistência no sistema através da criação de tarefas agendadas, incorpora mecanismos de evasão de antivírus e recolhe dados sensíveis armazenados no navegador, incluindo credenciais e informações de sessão.

Em outra variante identificada pela Microsoft, os comandos executados no Windows Terminal descarregam um script batch que é executado através do Command Prompt e do MSBuild[.]exe. Este código comunica com endpoints RPC de blockchain, sugerindo o uso da técnica conhecida como EtherHiding, que utiliza infraestruturas blockchain para ocultar atividades maliciosas.

O script também utiliza técnicas avançadas de injeção de código, incluindo QueueUserAPC, para inserir código malicioso nos processos chrome.exe e msedge.exe, com o objetivo de extrair dados de navegação e credenciais armazenadas.

Os investigadores identificaram ainda uma outra variante da campanha, designada InstallFix, que utiliza sites clonados de ferramentas de inteligência artificial para enganar utilizadores e levá-los a executar comandos maliciosos, resultando igualmente na instalação de malware de roubo de informação.

A Microsoft alerta que este tipo de ataques demonstra como campanhas de engenharia social estão a evoluir para explorar ferramentas legítimas do sistema operativo, dificultando a deteção por soluções de segurança tradicionais e aumentando o risco para organizações e utilizadores finais.