Microsoft detalha nova leva de ataques ClickFix que abusam de DNS e nslookup para preparar malware
A Microsoft revelou uma evolução preocupante da técnica de engenharia social conhecida como ClickFix. A nova variante aproveita consultas DNS realizadas por meio do comando nslookup, no Windows, como etapa intermediária para montar e distribuir cargas maliciosas, reduzindo a visibilidade em mecanismos de defesa tradicionais.
Em vez de explorar falhas técnicas no sistema operacional, o golpe foca em manipular o usuário. As vítimas são convencidas a digitar e executar comandos manualmente na caixa “Executar” (Win+R) ou no Prompt de Comando, acreditando estar seguindo uma orientação legítima de suporte técnico ou de um site confiável. Ao rodar o comando sugerido, o Windows realiza uma consulta DNS direcionada a um servidor controlado pelo atacante.
O elemento central dessa técnica é a forma como a resposta DNS é utilizada. O campo “Name” retornado pela consulta não é apenas informação de rede: ele passa a funcionar como um “container” da próxima etapa do ataque. Nessa resposta podem vir instruções adicionais, endereços para download de malware ou parâmetros para scripts, que dão continuidade silenciosa ao comprometimento da máquina.
De acordo com a equipe de inteligência de ameaças da Microsoft, essa adaptação transforma o DNS em um canal leve para “staging” de ataques, diminuindo a necessidade de conexões HTTP explícitas. Com isso, o tráfego malicioso tende a se misturar mais facilmente ao fluxo DNS normal da empresa ou do usuário, tornando a detecção baseada apenas em navegação web muito menos eficiente.
Como funciona o novo fluxo de ataque ClickFix baseado em DNS
Embora os cenários possam variar, a cadeia observada pela Microsoft em campanhas recentes costuma seguir uma sequência bastante estruturada:
1. Orientação enganosa ao usuário
A vítima acessa uma página falsa (por exemplo, um pseudo-CAPTCHA, um alerta de erro inexistente ou um “assistente de correção”) que exibe instruções passo a passo, pedindo para copiar um comando específico.
2. Execução manual do comando
O usuário abre o Executar (Win+R) ou o cmd.exe e cola o comando fornecido, acreditando estar resolvendo um problema ou concluindo uma verificação de segurança.
3. Consulta DNS via nslookup
O comando executado aciona o nslookup para consultar um domínio sob controle do criminoso. A requisição passa pela infraestrutura DNS normalmente, como qualquer outra, o que dificulta a identificação imediata do abuso.
4. Uso da resposta DNS como “carga secundária”
O valor retornado no campo “Name” ou em outros registros DNS é interpretado como instrução. Ali podem estar o caminho de um arquivo, um comando adicional ou código parcialmente ofuscado.
5. Download de arquivo ZIP malicioso
Com base nas informações extraídas da resposta DNS, o sistema baixa um arquivo ZIP hospedado externamente. Esse pacote contém o próximo estágio do malware, muitas vezes disfarçado de utilitário, patch ou ferramenta de suporte.
6. Execução de script em Python
Dentro do ZIP, um script Python malicioso é executado. Ele é responsável por montar o ambiente, estabelecer comunicação com o servidor de comando e controle (C2) e instalar outros componentes.
7. Implantação de trojan de acesso remoto (RAT)
Na cadeia analisada pela Microsoft, o script culmina na instalação do ModeloRAT, um trojan de acesso remoto que permite ao invasor controlar a máquina, exfiltrar dados, registrar teclas digitadas e executar comandos adicionais.
8. Persistência via arquivo LNK
Para garantir que o malware sobreviva a reinicializações, é criado um atalho (LNK) na pasta de inicialização do Windows. Assim, o código malicioso é executado automaticamente toda vez que o sistema é ligado.
Por que o ClickFix é tão perigoso
O ClickFix é uma técnica que se consolidou nos últimos anos porque se apoia, sobretudo, na confiança no processo, não em vulnerabilidades de software. Em vez de explorar uma falha de memória ou um bug em um serviço exposto, o atacante manipula a vítima para que ela própria contorne as defesas do sistema.
Esse método ganhou nomes diferentes conforme o contexto e as campanhas: FileFix, CrashFix, ConsentFix, GlitchFix, entre outros. Apesar das variações, o princípio permanece o mesmo: criar uma situação aparentemente legítima que faça o usuário acreditar que precisa “consertar” algo, seguindo comandos fornecidos por um site ou suposto assistente técnico.
A sofisticação não está apenas no código malicioso, mas também no design das páginas falsas, nas mensagens de erro e na linguagem usada para pressionar a vítima. Frequentemente, esses sites simulam interfaces de empresas conhecidas, janelas de sistema ou até artigos técnicos passo a passo, com imagens, caixas de código e instruções “profissionais”.
Lumma Stealer e CastleLoader: ecossistema malicioso em expansão
Enquanto o ClickFix evolui, outros componentes do submundo cibercriminoso também se fortalecem. Pesquisadores apontam um aumento significativo nas campanhas envolvendo o Lumma Stealer, um malware focado em roubo de credenciais e dados sensíveis, frequentemente distribuído por meio de páginas falsas de CAPTCHA e fluxos similares aos do ClickFix.
Um dos principais vetores de entrega observados é o CastleLoader, associado ao grupo GrayBravo. Esse loader funciona como um “entregador especializado”: antes de liberar a carga principal, ele executa verificações para detectar se está rodando em ambiente virtualizado, em sandbox ou sob monitoramento de soluções de segurança. Só após se certificar de que não está sendo analisado é que ele descriptografa o payload e o executa diretamente na memória, reduzindo rastros no disco.
Mesmo após operações policiais e tomadas de infraestrutura em 2025, o Lumma Stealer demonstrou alta resiliência. Os operadores do malware passaram a alternar rapidamente entre provedores de hospedagem, domínios e serviços de distribuição, além de adotar novos loaders como RenEngine Loader e Hijack Loader, ampliando a capacidade de evasão.
Dados recentes mostram que as maiores concentrações de infecção por Lumma Stealer foram registradas em países como Índia, França, Estados Unidos, Espanha, Alemanha e Brasil, evidenciando que a ameaça tem alcance global, mas também impacto expressivo na América Latina.
macOS também virou alvo prioritário
A ideia de que ataques desse tipo se limitam ao Windows já não se sustenta. Campanhas recentes mostram o uso de técnicas semelhantes ao ClickFix voltadas especificamente a usuários de macOS. Em vez de janelas de sistema clássicas do Windows, os criminosos se apoiam em:
– Falsos artigos técnicos publicados em plataformas de conteúdo, com tutoriais supostamente avançados para “otimizar” ou “limpar” o Mac.
– Anúncios patrocinados em mecanismos de busca, levando o usuário a baixar ferramentas maliciosas disfarçadas de utilitários de segurança ou atualizadores.
– Links compartilhados via serviços legítimos de produtividade, que direcionam para downloads de instaladores falsos.
– Scripts AppleScript que pedem permissões amplas do sistema (via TCC – Transparency, Consent and Control), explorando a confiança do usuário em diálogos de permissão.
Entre as principais ameaças para macOS, ganham destaque stealers como o Odyssey Stealer, derivado do Atomic macOS Stealer, além de outras variantes com foco quase exclusivo em roubo de criptoativos. Esses malwares têm capacidade de atacar centenas de extensões de carteiras em navegadores, capturar frases-semente, chaves privadas e dados de login de exchanges.
Especialistas chamam atenção para um ponto cultural importante: a persistência da crença de que “Mac não pega vírus” continua sendo um fator decisivo para o sucesso dessas campanhas. Usuários menos desconfiados tendem a conceder permissões amplas, instalar softwares fora das lojas oficiais e seguir tutoriais aleatórios sem a devida verificação.
Por que o DNS virou alvo tão atrativo
A adoção do DNS como canal de preparação de ataques, como visto na nova variante do ClickFix, não é por acaso. Para quase todas as aplicações e serviços, consultas DNS são parte natural do funcionamento da rede. Bloqueá-las de forma ampla é impraticável, e um volume moderado de requisições dificilmente levanta suspeitas em ambientes menos monitorados.
Além disso, muitos ambientes corporativos têm inspeção mais rigorosa para tráfego HTTP/HTTPS do que para DNS. Firewalls, proxies e gateways já estão bem ajustados para filtrar URLs maliciosas, verificar certificados e aplicar políticas de acesso web. O DNS, por outro lado, frequentemente fica com controles mais genéricos, o que abre espaço para abusos, inclusive para comunicação com servidores de comando e controle.
Para o atacante, usar DNS como canal de “staging” traz ainda outra vantagem: flexibilidade. Ao responder com diferentes registros para diferentes vítimas ou em diferentes momentos, é possível alterar rapidamente o fluxo do ataque, trocar endereços de download, mudar o RAT a ser implantado ou adaptar-se à reação das defesas, tudo com baixo esforço.
Como reconhecer e evitar golpes do tipo ClickFix
A proteção contra ClickFix e variações não depende apenas de antivírus ou firewalls. Ela começa pela mudança de comportamento do usuário e pela criação de políticas claras de TI. Alguns sinais de alerta e boas práticas:
– Desconfie de qualquer página que peça para rodar comandos manualmente em Win+R, Prompt, PowerShell ou Terminal, especialmente se forem comandos longos, incompreensíveis ou que envolvam ferramentas de rede como nslookup, curl, powershell, bash ou scripts ofuscados.
– Evite seguir instruções técnicas complexas vindas de pop-ups, páginas aleatórias ou anúncios, mesmo que pareçam “profissionais” ou tenham logos de empresas conhecidas.
– Não instale programas de suporte remoto, limpeza, atualização ou otimização que não tenham sido recomendados diretamente pelo time oficial de TI ou obtidos pela loja oficial (Microsoft Store, App Store, etc.).
– Valide sempre com a área de TI, no ambiente corporativo, antes de rodar qualquer comando que altere configurações, mexa em DNS, proxy, certificados ou políticas de segurança.
Em empresas, é fundamental definir que o suporte legítimo jamais pedirá para o usuário copiar e colar comandos complexos a partir de sites ou mensagens suspeitas. Sempre que possível, as ações de suporte devem ser realizadas por ferramentas gerenciadas ou por sessões remotas autorizadas e auditadas.
Medidas técnicas para Windows e macOS
Do ponto de vista técnico, algumas ações ajudam a reduzir significativamente o impacto dessas novas campanhas:
– Monitoramento de comandos e scripts
Implementar auditoria de uso de cmd.exe, PowerShell e AppleScript, com alertas para execuções fora do padrão, especialmente em estações de trabalho de usuários comuns.
– Regras de detecção focadas em DNS
Configurar sistemas de detecção e resposta para identificar padrões incomuns de consultas DNS, como domínios com baixa reputação, uso intensivo de subdomínios randômicos ou respostas DNS atípicas que carregam dados codificados.
– Whitelist de ferramentas administrativas
Restringir o uso de ferramentas administrativas (como nslookup, curl ou utilitários de rede avançados) apenas para usuários e máquinas que realmente precisam delas, utilizando controles de aplicação e políticas de grupo.
– Hardening de PowerShell
No Windows, ativar modos restritivos, logging avançado de scripts e bloquear execução de scripts não assinados em ambientes sensíveis, reduzindo a superfície de ataque.
– Políticas de TCC no macOS
No Mac, revisar e minimizar permissões concedidas a aplicativos, desativar o uso de AppleScript onde não for necessário e acompanhar logs de solicitações de acesso a dados sensíveis.
O papel do treinamento em engenharia social
Nenhuma tecnologia substitui o senso crítico bem treinado. Campanhas como ClickFix se apoiam em urgência, medo e falsa autoridade: o site ou a mensagem afirma que algo está “quebrado”, que “sua conta será bloqueada” ou que “é obrigatório executar o passo abaixo para continuar”. O objetivo é impedir que a vítima reflita antes de agir.
Programas de conscientização devem ir além de alertas genéricos sobre “não clicar em links suspeitos”. É importante simular cenários realistas, demonstrar exemplos de páginas falsas que pedem comandos, mostrar como scripts podem parecer inofensivos e debater abertamente casos recentes, inclusive em plataformas e sistemas que os colaboradores usam no dia a dia.
Treinamentos contínuos, com reciclagens periódicas, ajudam a criar uma cultura em que é aceitável dizer “não vou executar esse comando até confirmar com a TI”, em vez de sentir que é obrigação “resolver rápido” qualquer suposto problema apresentado na tela.
Perspectivas: uma tendência que deve se intensificar
A combinação de técnicas como ClickFix, uso criativo do DNS, loaders sofisticados (CastleLoader, RenEngine, Hijack Loader) e stealers especializados (Lumma, Odyssey e outros) aponta para uma tendência clara: os criminosos estão investindo cada vez mais em engenharia social e em canais de comunicação difíceis de filtrar.
Com o avanço de ferramentas defensivas baseadas em assinatura e comportamento para arquivos tradicionais, o foco dos atacantes migra para cadeias de ataque que parecem, à primeira vista, apenas “uso normal do sistema pelo usuário”. Enquanto essa linha entre atividade legítima e maliciosa continuar turva, detecções automatizadas terão desafios adicionais.
Por isso, a defesa eficaz passa por três pilares:
1. Tecnologia bem configurada, com visibilidade sobre DNS, scripts e processos sensíveis.
2. Processos claros de suporte e resposta a incidentes, reduzindo a chance de usuários recorrerem a sites duvidosos em busca de ajuda.
3. Educação contínua de usuários, tanto em ambientes corporativos quanto domésticos, para que instruções “mágicas” de correção não sejam seguidas cegamente.
Enquanto essas medidas não se tornam padrão, ataques como o novo ClickFix continuarão explorando a principal vulnerabilidade de qualquer ambiente digital: o fator humano.