Nas últimas semanas, a comunidade de segurança voltou a alertar sobre uma tática de engenharia social que explora a confiança dos usuários para que eles mesmos executem código nocivo em suas equipes. A Microsoft foi um dos que deu a voz de alarme ao documentar uma variação do ClickFix que aproveita consultas DNS para “apontar” a próxima fase do ataque, uma técnica elegante porque utiliza uma ferramenta nativa do Windows como veículo de entrega: nslookup é convertido no motorista da cadeia maliciosa. A explicação técnica da Microsoft pode ser consultada na sua comunicação pública sobre a pesquisa: MsftSecIntel em X, e para quem quiser entender como o nslookup funciona há documentação oficial em Microsoft Docs e guias práticas como a de Linode.
O conto, contado de forma simples, é o seguinte: a vítima navega a uma página comprometida ou maliciosa que mostra uma mensagem convincente – por exemplo, um falso CAPTCHA ou instruções de “solução” – e pede-lhe executar um comando a partir do quadro Executar do Windows. Na nova variante, esse comando invoca cmd.exe e usa nslookup para um servidor DNS controlado pelo atacante em vez de usar o resolvedor do sistema. O resultado dessa consulta contém, entre outras coisas, um campo Name:, e o exploit filtra essa linha para tratá-la como o comando que executará a etapa seguinte. É uma forma de "sinalização leve" através de DNS: os atacantes podem assim validar que o objetivo está pronto e fazer com que o comportamento malicioso pareça tráfego DNS legítimo, que muitas vezes passa despercebido.
Essa abordagem apresenta duas vantagens para o agressor. Por um lado, reduz a dependência de pedidos HTTP clássicos, que são mais fáceis de inspeccionar e bloquear; por outro, aproveita a naturalidade do tráfego DNS para mimetizar-se na rede. A Microsoft assinala que esta tática permite também adicionar uma verificação prévia antes de entregar a carga útil final, uma camada extra de controle que complica a detecção. O leitor técnico pode aprofundar a ideia de usar DNS como canal na análise da Microsoft e nas discussões da comunidade.
O que acontece após essa consulta DNS inicial? Na campanha observada, a cadeia de ataque baixa um ficheiro comprimido a partir de um servidor externo (identificado como "azwsappdev[.]com" na análise), extrai um programa Python que realiza reconhecimento e informação do sistema, planta um VBScript que, por sua vez, lança um RAT chamado ModeloRAT e deixa um acesso persistente criando um acesso direto (arquivo LNK) na pasta inicial do Windows. Ou seja, o que começa como uma ordem que o usuário introduz manualmente pode terminar com controle remoto sobre a máquina e persistência após reinício.
Paralelamente a este tipo de abuso, assinaturas de cibersegurança detectaram um aumento na atividade de ladrões de informação (stealers) e em loaders que servem de ponte para eles. Bitdefender, por exemplo, documentou um renascimento de Lumma Stealer que está se propagando através de campanhas de CAPTCHA falsas que empregam um loader conhecido como CastleLoader. Este loader, hoje em versões AutoIt, inclui verificações que tentam detectar máquinas virtuais ou certos produtos de segurança antes de desencriptar e executar o stealer em memória, o que dificulta a análise e a resposta (relatório de Bitdefender: bitdefender.com).
A indústria tem visto várias variantes: CastleLoader distribui-se por supostos instaladores de programas pirateados ou arquivos que parecem vídeos MP4, mas que são executáveis maliciosos; outras campanhas usaram instaladores NSIS falsos que executam scripts VBA ofuscados antes de lançar o loader AutoIt; e ainda há famílias de loaders alternativas como RenEngine, que segundo Kaspersky serviu para propagar Lumma e outros stealers com técnicas de dupla loader (RenEngine → Hijack Loader → stealer). O registo geográfico destas infecções mostra que nenhuma região está completamente a salvo: os relatórios citam países como a Índia, a França, os EUA. EUA, Espanha, Alemanha, Brasil e México entre os mais afetados ( Kaspersky Securelist).
Não só o Windows está no mira. No macOS observaram-se campanhas sofisticadas que buscam especificamente dinheiro em criptodivisas e credenciais. Um exemplo é Odyssey Stealer, descrito por Censys, que não só rouba dados de extensões e aplicações de wallet, mas também instala um serviço persistente que consulta o servidor de comando e controle a cada minuto e pode abrir túneis SOCKS5 para enrutar tráfego. Os atacantes sabem que os usuários de Mac manejam ativos em criptomoedas e apontam para essa concentração de valor.
Há também táticas criativas e preocupantes de engenharia social que empregam serviços de inteligência artificial e publicidade. Pesquisas mostraram como atores maliciosos usam resultados patrocinados e páginas públicas em plataformas de modelos gerativos (por exemplo, links que ligam a instruções hospedados em serviços como Claude) para colocar instruções legítimas que induzem a execução de comandos no macOS ou Windows; AdGuard documentou casos em que um anúncio conduz a um domínio legítimo conhecido, mas a cadeia acaba distribuindo malware através de instruções aparentemente técnicas e de confiança ( AdGuard). Além disso, analistas como Moonlock Lab assinalaram que os atacantes revalorizam domínios antigos com história para evitar filtros e dar sensação de legitimidade, um truque que complica os bloqueios simples ( Moonlock Lab).
Diante deste panorama, a prevenção passa menos por adesivos mágicos e mais por hábitos e controles: não executar comandos que receba por um site ou por correio sem verificar, desconfiar de supostos CAPTCHAs que pedem ações atípicas, evitar baixar “cracks” ou software pirateado e manter ferramentas de segurança atualizadas. Para ambientes corporativos, é fundamental contar com detecção que entenda comportamentos específicos de macOS e Windows - por exemplo, a criação de LaunchDaemons, acessos a Keychain, uso incomum de Terminal ou execução de binários assinados pela Apple com ações não esperadas -, algo que analistas como Flare recomendam em sua revisão sobre a onda de stealers para macOS ( Flare).
Em suma, os atacantes já não dependem apenas de vulnerabilidades técnicas: estão explorando a confiança e o costume. Quando uma página lhe pede abrir Executar ou o Terminal para "arreglar" algo, isso é uma bandeira vermelha. A cibersegurança hoje exige uma combinação de educação de usuários, controles técnicos ajustados e monitoramento capaz de detectar canais discrecionais como o abuso de DNS ou cadeias de loaders encadeados. Para aqueles que gerem sistemas, a lição é clara: muito olho com os atalhos que parecem rápidos e confortáveis, porque às vezes são precisamente o mecanismo que permite que o atacante entre pela porta principal.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...