Volume de links maliciosos com técnica ClickFix quase quadruplicou em 12 meses

A técnica de engenharia social ClickFix registou uma subida acentuada em 2025, com um crescimento de 400% no número de links maliciosos associados, revela o relatório The Human Factor 2025 Vol. 2 da Proofpoint. Os investigadores concluíram que os links maliciosos foram quatro vezes mais utilizados do que anexos infetados em mensagens eletrónicas dirigidas a potenciais vítimas.

O método ClickFix assenta em convencer o utilizador a copiar e colar comandos maliciosos no terminal da sua máquina. Normalmente, os atacantes simulam a necessidade de resolver um erro, frequentemente relacionado com falhas em testes CAPTCHA.

De acordo com a empresa, que analisou um universo de mais de 3,4 biliões de emails, 21 biliões de URL e 1,4 bilião de mensagens SMS, a atividade relacionada com o ClickFix aumentou de forma expressiva a partir de fevereiro de 2025, o que culminou num crescimento anual de 400% até maio. Esse avanço colocou a técnica entre os métodos de ataques mais disseminados através de URL.

Apesar desde crescimento, os ataques de phishing direcionados ao roubo de credenciais continuam a ser predominantes em relação às campanhas de malware sofisticado, como ransomware. No total, a Proofpoint identificou 3,7 mil milhões de links com o objetivo de recolher credenciais, contra apenas 8,3 milhões concebidos para disseminar software malicioso.

Entre os diferentes tipos de malware distribuídos por links, o software de acesso remoto destacou-se como o mais prevalente, representado 34% dos casos. Seguiram-se os keyloggers e os infostealers, destinados ao roubo de informações sensíveis.

No campo do roubo de credenciais, os atacantes recorreram em larga escala a kits de phishing pré-fabricados, como o CoGUI e o Darcula. Estas ferramentas permitem lançar campanhas em grande volume, algumas das quais envolveram dezenas de milhões de emails numa única ofensiva.

O kit CoGUI foi particularmente associado à exploração da marca Amazon, utilizada em 61% das campanhas detetadas. Com recurso a modelos prontos a usar, os criminosos conseguem imitar facilmente páginas e comunicações legítimas.

Já o Darcula tem sido amplamente explorado em campanhas de smishing, ou seja, ataques de phishing por SMS. A Proofpoint registou um aumento de 2,534% deste tipo de ameaça ao longo de 2024, demonstrando a crescente relevância dos dispositivos moveis como alvo.

Mais de metade das mensagens suspeitas de smishing continham URL maliciosos (55%), segundo o relatório. A investigação indica ainda que três em cada quatro organizações foram alvo deste tipo de ataque no último ano.

Outra tendência em destaque é o chamado quishing, que explora códigos QR para redirecionar os utilizadores a links de phishing. Apenas no primeiro semestre de 2025, a Proofpoint observou quase 4,2 milhões de tentativas de ataque através desta técnica.

Os atacantes também tiram partido de serviços legítimos de alojamento e partilha de ficheiros, como o Microsofot OneDrive, o Dropbox e o Google Drive. Desta forma, conseguem mascarar a natureza maliciosa dos links, o que dificulta a deteção por mecanismos de segurança.

Para mitigar estas ameaças, a Proofpoint recomenda que as organizações reforcem a proteção em todas as fases do ciclo de vida dos emails, desde a pré-entrega à interação com os links, mas também noutros canais de comunicações, como SMS, Microsoft Teams e redes sociais.

A identificação dos colaboradores mais expostos e com maior probabilidade de interagir com mensagens fraudulentas é outro dos passos apontados pela empresa para reduzir o impacto da engenharia social.

O relatório destaca ainda a importância de soluções de deteção e resposta baseadas em Inteligência Artificial (IA). “Para enfrentar as ameaças atuais centradas no ser humano em evolução e emergentes em escala, é necessária uma deteção em várias camadas e orientada por IA. Apenas soluções avançadas baseadas em IA conseguem identificar os sinais mais subtis em canais como email, mensagens, aplicações SaaS ou ferramentas de colaboração”, conclui a Proofpoint.