Falsa verificação contra robôs – Pesquisadores da Microsoft identificaram uma nova onda de ataques virtuais que começa de forma aparentemente inofensiva: uma página que pede ao usuário para provar que não é um robô. A partir dessa etapa comum da navegação na internet, criminosos conseguem ativar um processo que instala um malware capaz de roubar dados armazenados em navegadores.
A campanha utiliza uma técnica conhecida como ClickFix, baseada em engenharia social. O golpe incentiva o usuário a executar comandos no próprio sistema, utilizando ferramentas legítimas do Windows para iniciar uma série de ações que termina na instalação do malware Lumma Stealer.
LEIA: Auditoria no Empresa Cidadã corta 71% dos cadastros e afeta licença-maternidade ampliada
O ataque começa quando a vítima acessa uma página que exibe um CAPTCHA, sistema normalmente usado para verificar se quem está navegando é um humano. A página apresenta um layout aparentemente profissional e pede ao usuário que abra o terminal do Windows e “cole” um comando para finalizar a verificação.
É nesse momento que o ataque é ativado. Ao seguir as instruções, a vítima executa um comando que dá início a um processo de instalação de softwares maliciosos, sem perceber que o procedimento faz parte de uma fraude.
Mudança na estratégia dos criminosos
Campanhas anteriores desse tipo costumavam orientar o usuário a pressionar o atalho Win + R, que abre a janela “Executar” do Windows. Como essa ação passou a ser monitorada por ferramentas de segurança, os criminosos mudaram a estratégia.
Na campanha identificada em fevereiro de 2026, as instruções pedem que o usuário pressione Windows + X e depois a tecla I, combinação que abre diretamente o Windows Terminal. A ferramenta é amplamente usada por desenvolvedores e administradores de sistemas, o que ajuda a tornar a ação aparentemente confiável.
Comando escondido
O texto que a vítima precisa colar no terminal não parece um comando comum. Trata-se de uma sequência longa de letras e números que, à primeira vista, não deixa evidente sua função.Para esconder as instruções reais, os criminosos utilizaram duas técnicas. A primeira é a codificação hexadecimal, que transforma qualquer texto em uma sequência numérica complexa. A segunda envolve um método de embaralhamento matemático conhecido como XOR.
Quando o comando é executado, o PowerShell, ferramenta de automação do próprio Windows, reconstrói o conteúdo original e inicia silenciosamente as ações golpistas.
Caminhos para o roubo de dados
De acordo com a análise da Microsoft, a campanha possui dois caminhos diferentes de execução, mas ambos levam ao mesmo objetivo: obter as senhas salvas nos navegadores da vítima.
No primeiro caso, os comandos automáticos baixam da internet o programa 7-Zip, uma ferramenta legítima de compressão de arquivos, e salvam o arquivo com um nome aleatório para evitar que seja detectado por sistemas de segurança. Em seguida, um pacote comprimido contendo outros componentes do ataque é instalado no computador.
Depois de instalado, o malware cria uma tarefa agendada que reinicia automaticamente o computador sempre que for ligado. Também coloca sua própria pasta ao lixo do antivírus Microsoft Defender, fazendo com que o sistema de proteção ignore sua presença.
Malware mira navegadores
A etapa final da operação é o Lumma Stealer, um malware especializado em roubo de informações sensíveis. Ele se infiltra nos processos dos navegadores enquanto estão em execução e tem acesso a arquivos internos onde ficam armazenadas os dados salvos.
Entre esses arquivos estão os chamados Web Data e Login Data, que guardam logins e senhas utilizados em diversos serviços online. Depois de coletadas, as informações são enviadas para servidores controlados pelos criminosos.
No segundo caminho identificado pelos pesquisadores, o ataque baixa um arquivo de comandos com extensão .bat em uma pasta que normalmente contém aplicativos legítimos. Esse script cria outro arquivo em VBScript e o executa utilizando o MSBuild.exe.
Uso de ferramentas do próprio sistema
O MSBuild.exe é um programa oficial da Microsoft utilizado por desenvolvedores para compilar softwares. Por ser um arquivo legítimo e assinado digitalmente, muitas ferramentas de segurança não bloqueiam sua execução.
Essa técnica é conhecida na área de segurança como Living Off the Land Binary, ou LOLBin. A estratégia consiste em utilizar programas já presentes no sistema operacional para executar atividades maliciosas, evitando a instalação de ferramentas externas suspeitas.
Instruções escondidas na blockchain
Uma das características mais incomuns da campanha envolve o uso da blockchain do Ethereum. O malware consulta os meios de comunicação da rede de criptomoedas para obter instruções adicionais.
Essa técnica, conhecida como EtherHiding, permite que os criminosos armazenem comandos dentro de transações ou contratos registrados na blockchain. Como essas informações ficam em uma rede pública, torna-se muito mais difícil remover ou interromper a infraestrutura usada no ataque.
Cofre digital das vítimas
Os arquivos de credenciais armazenados pelos navegadores funcionam como um verdadeiro cofre digital para muitos usuários. Neles ficam guardadas senhas de e-mail, redes sociais, serviços de streaming, contas bancárias e plataformas de trabalho.
Quando essas informações são roubadas, os criminosos podem acessar diretamente os serviços da vítima, utilizar contas comprometidas para novos ataques ou vender os dados em mercados clandestinos na internet.
(Com informações de Tecmundo)
(Foto: Reprodução/Kerfin7)
