ClickFix: o golpe silencioso dos três cliques

Esta é a essência do ClickFix, um novo vetor de ataque que dispensa anexos maliciosos, macros ou vulnerabilidades técnicas. Em vez disso, transforma o próprio utilizador na porta de entrada. É uma armadilha elegante, minimalista e devastadora, que marca uma nova fase na evolução da engenharia social, onde a complexidade cede lugar, mais uma vez, à psicologia.

A sequência é deliberadamente banal: 1) Windows + R — abre a janela “Run” 2) Ctrl + V — cola um comando previamente copiado para a área de transferência 3) Enter — executa esse comando.

Sem se aperceber, o utilizador autoriza a execução de um script malicioso — frequentemente PowerShell ou VBScript — que utiliza o mshta.exe, uma ferramenta legítima do Windows, para carregar um ficheiro HTA remoto (uma aplicação HTML disfarçada de página web). Através dela, o malware é descarregado e executado com plenas permissões.

Uma ameaça que se espalhou rapidamente

As cargas maliciosas variam: desde infostealers como o Lumma e o Redline, capazes de exfiltrar credenciais, cartões de crédito e carteiras de criptomoedas; até RAT como o AsyncRAT ou o NetSupport (Remote Access Trojans), que permitem o controlo remoto completo da máquina.

O ClickFix tornou-se conhecido em campanhas direcionadas ao setor da hotelaria. Mensagens sofisticadas, simulando comunicações da Booking.com, alertavam para reservas urgentes ou críticas negativas. Funcionários desavisados, ao seguir o link, caíam na sequência dos três cliques. Mas rapidamente a técnica evoluiu.

Mais de uma centena de concessionárias automóveis nos EUA foram afetadas após um ataque à cadeia de fornecimento que comprometeu um serviço de partilha de vídeos. Mais de seis mil sites WordPress, explorando vulnerabilidades em plugins, foram transformados em vetores involuntários. Até plataformas legítimas usadas por profissionais de saúde foram instrumentalizadas para redirecionar tráfego para páginas de ataque.

A força do ClickFix reside na sua plausibilidade. Os atacantes não forçam a entrada: sugerem, instruem, imitam. A familiaridade com as interfaces é a principal arma. O que está em causa já não é a exploração técnica, mas o automatismo humano.

As consequências são graves: roubo de dados, acesso remoto, espionagem industrial, disrupção operacional. E, mesmo quando o ClickFix não entrega diretamente ransomware, abre a porta para ele. Trata-se de um loader disfarçado de gesto inocente.

E é possível mitigá-lo?

A resposta está tanto na tecnologia como na cultura organizacional. A nível técnico, pode (e deve) restringir-se a utilização do mshta.exe, limitar o acesso à janela “Run”, reforçar políticas de execução de scripts, e aplicar filtragem de conteúdos a nível de rede. Mas o verdadeiro escudo é comportamental.

A formação contínua dos colaboradores — com ênfase em simulações de phishing, análise crítica de mensagens e reconhecimento de instruções suspeitas — é indispensável. Os utilizadores devem ser treinados a reagir com cepticismo perante pop- -ups que solicitam interações com o sistema. Devem entender que, num ambiente digital moderno, até um simples atalho de teclado pode ser um gesto fatal.

O ClickFix não se impõe: convence. E é precisamente essa subtileza que o torna tão eficaz. Neste novo paradigma, a primeira linha de defesa é a lucidez do utilizador.