Recentemente, pesquisadores de segurança da Microsoft deram a voz de alarme sobre uma campanha de engenharia social que aproveita uma peça legítima do ecossistema Windows para induzir vítimas a executar código malicioso. Em vez de pedir às pessoas que abram o quadro Executar e pegue um comando - uma tática já conhecida e monitorizada por muitas soluções de detecção - os atacantes estão guiando os usuários para que lancem diretamente a aplicação Windows Terminal, o que torna a operação parecer mais técnica e, aos olhos do usuário, mais legítima. Você pode ler a explicação original da equipe Microsoft em seu fio público em X aqui, e uma descrição geral da própria aplicação na sua entrada de referência Wikipédia.
A armadilha começa em páginas web que simulam processos de verificação —CAPTCHA falsos, instruções de solução de problemas ou formulários de verificação — e pedem ao visitante que copie um bloco de texto em aparência inofensivo. Esse texto não é um comando direto, mas uma cadeia codificada: hex que também foi comprimida e submetida a uma operação de XOR para esconder seu propósito. Se o usuário pega essa cadeia em uma sessão do Windows Terminal e a executa, o fluxo abre novos intérpretes de comando e sessões do PowerShell até que finalmente se invoca um processo que descodificar e descomprime o programa original.
O resultado dessa decodificação é a descarga de artefatos que incluem um arquivo ZIP com múltiplas etapas do ataque e uma cópia legítima de 7-Zip renombrada e gravada em disco com um nome aleatório. Ao executar, essa utilidade extrai o ZIP e desencadeia uma cadeia de ações que persistem na máquina, desativam controles e exfiltran dados. Os adversários chegam a programar tarefas para garantir sua presença, acrescentam exclusões na Microsoft Defender e, finalmente, exibem um extrator de credenciais conhecido como Lumma Stealer.
Uma das técnicas mais relevantes do ponto de vista técnico é o uso de QueueUserAPC, uma API do Windows que permite injetar código em processos já em execução. Neste caso, o stealer acaba por injetar- se em processos de navegador como chrome.exe e msedge.exe para ler as bases de dados locais onde muitas vezes guardar senhas e outros artefatos valiosos. Se quiser rever a explicação técnica dessa chamada de API, a documentação oficial da Microsoft detalha a função QueueUserAPC().
Os pesquisadores também observaram uma via alternativa: em vez de uma cadeia descodificada que desencadeia o PowerShell, o comando comprimido pode provocar a descarga de um script por lote com nome aleatório que se situa na AppData e gera, por sua vez, um arquivo VBScript na pasta Temp. Esse lote é executado com parâmetros especiais e relançado através de MSBuild.exe, um binário legítimo que muitos administradores utilizam para compilar projetos .NET. Abusar de ferramentas do sistema – chamadas LOLBins ou “living-off-the-land binaries” – facilita contornar controles porque o software malicioso é camufla após executáveis confiáveis; MITRE recolhe este tipo de técnicas no seu quadro ATT&CK, por exemplo em rotas relacionadas com MSBuild aqui.
Outro detalhe interessante que a Microsoft relata é a aparente conexão com serviços de blockchain: parte do programa comunica-se com endpoints da RPC de cadeias de blocos, sugerindo uma técnica de “etherhiding” para misturar tráfego ou camuflar suas comunicações de exfiltração. Enquanto tudo isso acontece, o malware segue com a tarefa principal: coletar dados de navegadores –ficheros Web Data e Login Data – e enviá-los para servidores controlados pelos atacantes.
Além da técnica concreta, o inquietante desta campanha é a combinação de engenharia social e abuso de software legítimo. Os atacantes apoiam-se na percepção de confiabilidade que tem uma ferramenta moderna como Windows Terminal e no conforto do atalho de teclado sugerido (Windows + X → I) para convencer a vítima de que o que está fazendo é algo rotineiro e seguro.
Para usuários e responsáveis pela segurança, há várias implicações práticas. A primeira é lembrar que nenhum site confiável pedirá nunca que execute comandos arbitrários em sua máquina como método de verificação. Se uma web pedir colar instruções em um terminal, trata-se de um forte indicador de risco. Convém fechar a página e verificar por vias oficiais com o serviço que supostamente solicita a ação. Além disso, as organizações devem rever as suas políticas de exclusões e execução para garantir que não estão a ser criados atalhos que os atacantes possam aproveitar. A Microsoft publica guias sobre como gerenciar exclusões em Defender que podem ser úteis para administradores: Guia de exclusões de Defender.
Também é recomendável aplicar controles técnicos complementares: filtrar ou bloquear downloads a partir de páginas suspeitas, restringir a execução de binários renomeados em locais temporários, monitorar a criação de tarefas programadas incomuns e monitorar processos que injetam código em navegadores. As detecções baseadas em comportamento, juntamente com a segmentação de permissões (evitar o uso de contas com privilégios desnecessários), reduzem a superfície de ataque. Para conselhos gerais sobre como reconhecer e evitar phishing e outras fraudes semelhantes, a iniciativa americana Stop.Think.Connect. A CISA oferece recursos úteis: recomendações para detectar phishing.
Se suspeitar que uma máquina tenha sido comprometida por esta campanha, convém isolá-la da rede, coletar informações para a análise forense (registos da PowerShell, eventos de criação/execução e cadeias de processos), e implantar uma digitalização com ferramentas atualizadas. A presença de executáveis legítimos renomados, tarefas programadas novas ou exclusões recentes em soluções antivírus são sinais que merecem pesquisa imediata.
Em suma, a campanha conhecida como “ClickFix” mostra uma lição clássica que continua em vigor: a tecnologia legítima pode tornar-se perigosa quando os humanos são manipulados para usá-la em prejuízo próprio. A vigilância do usuário, a configuração prudente de segurança e as políticas de uso de ferramentas administrativas são a primeira linha de defesa Contra ameaças que combinam engenharia social e técnicas avançadas de infecção.
Para aprofundar os detalhes técnicos e recomendações específicas de resposta, você pode consultar o comunicado da equipe de inteligência Microsoft em X aqui, documentação sobre a API usada para injeção QueueUserAPC(), e a página oficial de 7-Zip se você precisa verificar a integridade de cópias legítimas desse descompressor em seu site.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...