O Centro Australiano de Cibersegurança (ACSC) acaba de alertar sobre uma campanha ativa que utiliza a técnica de engenharia social conhecida como ClickFix para induzir vítimas a executar comandos maliciosos e assim implantar o info-stealer Vidar. Neste esquema, os atacantes comprometem sites WordPress – com temas ou plugins vulneráveis – para redireccionar usuários a páginas que fingem uma verificação do Cloudflare ou um CAPTCHA e pedem-lhes copiar e colar uma linha de PowerShell em sua equipe. Essa simples ação, por muito incomum que pareça, é suficiente para que o malware seja executado, remova seu binário e opere desde memória, dificultando a pesquisa forense e a detecção tradicional.
ClickFix explora a confiança e a pressa do usuário: o aparatado visual de “verificação” e o pretexto de uma suposta correção de segurança convertem uma ordem de PowerShell em um vetor eficaz. Vidar, além de ser oferecido como malware‐as‐a-service, é projetado para roubar senhas de navegadores, cookies, carteiras de criptomoedas, dados de autocompletado e detalhes do sistema, e para resolver seus servidores de comando e controle (C2) através de “dead‐drop” em serviços públicos como bots do Telegram ou perfis do Steam, uma técnica que complica o bloqueio simples por domínio.
O envolvimento prático é claro: qualquer organização com usuários que naveguem sites públicos (clientes, trabalhadores remotos, parceiros) está em risco se não limitar as ações que uma página do navegador pode induzir no sistema. Além disso, os administradores do WordPress devem entender que uma instalação desatualizada ou com plugins desnecessários é uma plataforma eficaz para redireccionar tráfego malicioso a milhares de visitantes.
Em termos de detecção e resposta, há traços técnicos utilizáveis: a execução de PowerShell com parâmetros codificados ou longos comandos “one‐liner”, tráfego para serviços de mensagens ou perfis públicos que atuam como dead‐drops, e a ausência de um executável persistente porque Vidar é executado em memória. Para melhorar a visibilidade é recomendável habilitar o registro avançado de PowerShell (ScriptBlockLogging, ModuleLogging e Transcription) e centralizar esses eventos em um SIEM ou plataforma EDR capaz de analisar comportamentos em memória e cadeias de comandos antes que o binário se borre.
Como medidas concretas de mitigação, o ACSC recomenda restrições sobre o PowerShell e a implementação de listas brancas de aplicações; adicione medidas práticas que já devem ser aplicadas: aplicar políticas de execução que impeçam programas não assinados, usar Constrained Language Mode quando aplicável, implementar AppLocker ou Windows Defender Application Control (WDAC) para bloquear execuções não autorizadas, e reforçar AMSI e capacidades EDR que inspeccionem a memória. A Microsoft mantém documentação técnica útil para configurar essas defesas e políticas de controle de aplicativos em ambientes Windows: https://learn.microsoft.com/windows/security/threat-protection/windows-defender-application-control/windows- defender-application-control--wdac--overview.
Para os administradores do WordPress a prioridade é imediata: atualizar o núcleo, temas e plugins, remover componentes inativos, aplicar hardening básico (permissões de arquivos, desativar edição de temas/plugins a partir do painel, restringir acessos administrativos por IP ou VPN) e implantar um WAF que bloquee redireções e pedidos suspeitos. Também é conveniente instalar soluções de monitoramento de integridade de arquivos e alertas de mudanças em .htaccess ou em modelos que são normalmente modificados após uma intrusão. O próprio boletim do ACSC inclui indicadores de compromisso (IoC) que podem integrar em regras de detecção e bloqueio: http://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/clickfix-distributing-vidar-stealer-via-wordpress-targeting-australian-infrastructure.
Não menos importante é a defesa humana: formar funcionários e clientes para que nunca colem comandos em um terminal ou PowerShell a partir de uma instrução de uma web, e promover o uso de administradores de senhas e autenticação multifator para limitar o impacto do roubo de credenciais. Finalmente, estabelecer um playbook de resposta (aislar o host, volcar memória, rotar credenciais expostas, restaurar de cópias confiáveis) e realizar exercícios de phishing e simulação de incidentes reduzirá a janela de exposição frente a campanhas que dependem da impulsividade do usuário.
A combinação de técnicas relativamente simples por parte do atacante (compromissão do WordPress + engano visual + um único comando PowerShell) e ferramentas modernas de ocultação em memória torna claro que a segurança efetiva exige controles em múltiplas camadas: adesivo e hardening de aplicativos web, restrições rigorosas de execução em endpoints, visibilidade da telemetria de comandos e campanhas contínuas de consciência. Se gerir infra-estruturas ou gerir locais, agir agora: atualizar, restringir e monitorar pode ser a diferença entre um incidente menor e uma filtragem de credenciais em massa.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...