Os pesquisadores em cibersegurança tiraram à luz uma cadeia de ataque que combina um velho conhecido do engano web - as CAPTCHAs falsas do tipo ClickFix - com uma manobra menos esperada: o abuso de um script assinado pela Microsoft pertencente ao App-V para ocultar a execução maliciosa. O resultado é uma sequência milimétricamente pensada que termina descarregando um stealer de informação Chamado Amatera, e levanta sérios desafios para as defesas tradicionais.
A peça-chave que faz de alavanca nesta campanha não é um executável suspeito, mas um componente legítimo do sistema. Em vez de invocar o PowerShell diretamente, os atacantes induzem a vítima a executar um comando que lança SyncAppvPublishingServer.vbs, um programa assinado associado à virtualização de aplicativos Microsoft (App‐V). Ao apoiar-se numa ferramenta de confiança, a ameaça se camufla sob o guarda-chuva do legítimo e complica a detecção por soluções que priorizam a reputação de processos. Para entender o que é App-V e por que importa, a Microsoft mantém a documentação oficial em que explica esta tecnologia: App‐V na documentação da Microsoft.
O vetor inicial é o já conhecido truque da CAPTCHA falsa: o usuário ateru numa página que aparenta pedir uma verificação e recebe instruções, geralmente em um vídeo ou diálogo, para copiar e colar um comando na caixa Executar do Windows. A novidade desta campanha é que o comando não chama PowerShell diretamente, mas aproveita SyncAppvPublishingServer.vbs Para lançar um carregador em memória através do wscript.exe, o que serve como um proxy assinado que “volve confiável” a execução posterior. Esta técnica de usar binários legítimos do sistema para executar código malicioso é o que a comunidade denomina living‐off‐the‐land; o quadro ATT&CK do MITRE documenta este tipo de abuso, incluindo a variante que utiliza o SyncAppvPublishingServer.vbs: MITRE ATT&CK — abuso de SyncAppvPublishingServer.vbs.
O vetor baseia-se no App-V não é um detalhe menor: esta tecnologia está presente apenas nas edições Enterprise e Education do Windows 10/11 e em versões modernas do Windows Server. Em sistemas Home ou Pro onde o App-V não existe ou não está ativado, a cadeia se quebra, sugerindo que os atacantes têm orientado seus esforços para ambientes corporativos e administrados.
Uma vez executado o carregador ofuscado, os autores realizam verificações para evitar sandboxes e ambientes de análise automática, e depois descarregam sua configuração a partir de um recurso inesperado: um arquivo de calendário público hospedado no Google Calendar. Ao terceirizar parâmetros de controle em um serviço legítimo e público, o atacante pode rodar infra-estruturas e mudar coordenadas sem reescrever as etapas anteriores do ataque. Este uso de calendários como repositórios de configuração é um exemplo do que a indústria denomina um dead‐drop resolver, um método que também figura nas técnicas catalogadas pelo MITRE: Dead Drop Resolver (T1102.001).
O calendário aponta então a cargas adicionais: um script intermediário em PowerShell que, executado em memória, recupera uma imagem PNG desde serviços de CDN como jsDelivr ou domínios que atuam como fachada. Dentro dessa imagem é escondida, cifrada e comprimido, o próximo payload em PowerShell. Em memória é realizada a descompressão e a decifração, e é finalmente invocado o código que carrega um shellcode projetado para implantar Amatera. Este modo de operação, onde tudo acontece em memória e sem deixar binários suspeitos em disco, complica enormemente a capacidade de análise e captura de evidência por detecção tradicional.
Longe de ser um truque isolado, esta cadeia encaixa em uma evolução mais ampla das campanhas ClickFix. Nos últimos meses proliferaram variantes com nomes como JackFix ou CrashFix, e surgiram painéis e serviços que comercializam a técnica como um produto: os operadores vendem kits do ClickFix em fóruns por quantidades consideráveis, o que facilita que atores com menos habilidade técnica implementam campanhas bem sucedidas. Em paralelo, surgiram plataformas de distribuição especificamente concebidas para este tipo de engano, como ErrTraffic, que introduz uma abordagem chamada GlitchFix para corromper visualmente páginas e convencer o usuário de que “arreglar” o problema requer executar um comando.
Pesquisadores de assinaturas de segurança têm estado documentando esses desenvolvimentos. Blackpoint descreveu a cadeia que culmina em Amatera e destacou a orquestração precisa entre etapas; a entrada técnica está disponível em seu blog: Blackpoint — cadeia de CAPTCHA falsa que entrega Amatera. Outras análises que rastrearam campanhas ClickFix direcionadas a criadores de conteúdo em redes sociais, com falsos processos de verificação e roubo de tokens de sessão, foram publicados por Hunt.io e por equipas de resposta em empresas como Palo Alto (Unit42): Unit42 — ameaças contra criadores.
Uma característica recorrente nestas campanhas é sua preferência por serviços e plataformas com reputação: CDNs, calendários públicos e contratos inteligentes em blockchains foram empregados como tubos de distribuição ou armazenamento de código. Esta abordagem permite aos atacantes “heredar” a confiança de serviços legítimos, uma tendência que Censys chamou “Living Off the Web” e descreve como a infraestrutura confiável se torna em superfície de entrega de malware: Censys — Living Off the Web.
Casos como ClearFake exemplificam o uso combinado do ClickFix com outras técnicas criativas: a campanha infectou sites WordPress, injetou cebos de atualização de navegador e usou contratos inteligentes em Binance Smart Chain para esconder o próximo fragmento de JavaScript a recuperar — uma técnica batizada pelos analistas como EtherHiding. O relato de Expel sobre ClearFake oferece um diagnóstico da sofisticação e do alcance dessas operações: Expel — ClearFake e técnicas LotL.
Que conclusões práticas extraemos de tudo isso? Em primeiro lugar, a defesa tradicional baseada apenas em bloquear executáveis suspeitos em disco não é suficiente: os atacantes estão aproveitando processos assinados e realizando execução em memória, o que obriga a sistemas de detecção a avaliar comportamento e contexto com maior profundidade. Em segundo lugar, o fator humano continua sendo o elo mais explorado: qualquer diálogo que peça copiar/pegar comandos ou transferir tokens deve ser ativado como suspeito e revisto fora do fluxo normal do navegador.
Para organizações, as recomendações passam por endurecer controles de privilégios, limitar e monitorar o uso de componentes opcionais como App-V onde não sejam necessários, e ajustar as regras de EDR para monitorar invocações incomuns a scripts legítimos. Além disso, é conveniente educar usuários especialmente sensíveis — fornecedores de conteúdo, equipamentos de marketing e administradores de sites — sobre irrigação de aceitar "verificações" que solicitem executar comandos locais. Bitdefender e outros fornecedores publicaram análises e guias sobre como entender e mitigar ClickFix; um resumo divulgado está disponível no portal Bitdefender Business Insights: Bitdefender — como funciona ClickFix.
Em suma, a campanha que desemboca em Amatera não traz uma invenção técnica revolucionária, mas uma combinação muito cuidada de técnicas conhecidas: engano dirigido a usuários, exploração de ferramentas assinadas do sistema, configuração dinâmica em serviços públicos e execução em memória. Essa orquestração faz com que o ataque avance apenas quando tudo encaixa, dificultando tanto a detonação automatizada em ambientes de análise como a resposta rápida em detecção real. Manter-se atento e ajustar defesas para detectar padrões de abuso de confiança será fundamental para reduzir o impacto deste tipo de ameaças.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...