Uma nova campanha de cibercriminosos está a preocupar especialistas em segurança digital. Trata-se do ataque ClickFix, uma técnica de engenharia social que registou um aumento expressivo de 517% e que agora está a ser utilizada para distribuir um falso ChatGPT Atlas (o navegador de pesquisa por IA da OpenAI), criado especificamente para instalar malware capaz de roubar palavras-passe de navegadores.
A descoberta foi feita por Kaushik Devireddy, cientista de dados de IA da Fable Security, que detalhou como este esquema tem enganado vítimas em vários países.
Sites clonados e forte engenharia social tornam o golpe perigoso
Nos últimos dois anos, o ClickFix evoluiu de um simples truque de copiar e colar para uma estratégia sofisticada baseada em sites clonados, que imitam com grande precisão páginas legítimas. Como reportou o site Hackread, esta ameaça está ativa desde 2024, quando começou a ser utilizada por grupos apoiados pelos governos do Irão, Coreia do Norte e Rússia.
Em diferentes fases, o ataque atingiu ferramentas de estudantes como iClicker, programas de acesso remoto como AnyDesk, serviços de videoconferência como o Google Meet e, mais recentemente, esta falsa versão do ChatGPT Atlas.
O site fraudulento descoberto por Devireddy replicava fielmente o layout, o design e os textos de uma página legítima de instalação. A única pista era o domínio: um endereço do Google Sites, o que, paradoxalmente, aumenta a eficácia do golpe. Muitos utilizadores associam automaticamente a marca Google a segurança, reduzindo a suspeita e facilitando a instalação do software malicioso.
O momento crítico do ataque: copiar comandos no Terminal
A etapa mais perigosa do ataque surge quando o site falso pede ao utilizador que copie um comando aparentemente inofensivo e o cole no Terminal ou PowerShell. É nesse momento que o ataque ClickFix se concretiza.
O comando executa um script remoto que começa a solicitar repetidamente a palavra-passe do utilizador até obter a correta. Quando isso acontece, usa-a para escalar privilégios e assumir controlo administrativo do sistema. A partir daí, o atacante tem liberdade total para instalar um password stealer e extrair dados sensíveis armazenados no navegador.
Devireddy revela que esta combinação de engenharia social com execução autorizada pelo utilizador é tão eficaz que consegue contornar até soluções de segurança avançadas como CrowdStrike e SentinelOne. Como o comando é inserido manualmente, o sistema interpreta a ação como legítima, permitindo que o malware se infiltre sem acionar alertas.
Recomendações para evitar o ClickFix
A principal lição deixada pelos especialistas é simples: nenhum site legítimo solicita ao utilizador que copie comandos para o Terminal. Pesquisar por um download, clicar no link errado e seguir instruções aparentemente técnicas é suficiente para comprometer por completo um sistema.
A recomendação é evitar qualquer comando fornecido por páginas externas e desconfiar de instaladores encontrados por pesquisa patrocinada ou hospedados em domínios inesperados, mesmo que pareçam profissionais.
