ClickFix ganha força entre grupos apoiados por Estados-nação

A técnica de engenharia social conhecida como ClickFix está a ser utilizada por grupos de ameaças persistentes avançadas (APT) associados a estados como a Coreia do Norte, Irão e Rússia, segundo revela um novo relatório da Proofpoint. Esta abordagem tem vindo a ganhar força em campanhas recentes de espionagem dirigidas a alvos estratégicos.

O método baseia-se na criação de páginas falsas que se fazem passar por plataformas legítimas de partilha de documentos ou software. Através de campanhas de phising ou malvertising, os utilizadores são levados a acreditar que ocorreu uma falha ao tentar aceder a um documento, sendo depois incitados a clicar num botão de “corrigir”.

Ao clicar nessa opção, as vítimas são instruídas a executar manualmente comandos PowerShell ou de linha de comandos nos seus dispositivos. Essa ação conduz à instalação de malware e, por sua vez, abre caminho para operações de espionagem ou persistência prolongada nos sistemas comprometidos.

A Microsoft já tinha alertado, em fevereiro, para o uso do ClickFix pelo grupo norte-coreanos Kimsuky. A técnica foi usada numa página falsa de “registo de dispositivos” com o objetivo de comprometer vítimas ao nível governamental e académico.

Segundo o novo relatório da Proofpoint, o grupo Kimsuky esteve ativo entre janeiro e fevereiro de 2025 e, durante este período, concentrou os ataques em think tanks especializados em política relativa à Coreia do Norte. Os contactos iniciavam-se com emails aparentemente enviados por diplomatas japoneses, em coreanos, japonês ou inglês.

Após estabelecerem confiança, os cibercriminosos enviavam documentos PDF maliciosos que redirecionavam para uma plataforma falsa. Nessa página, solicitavam que a vítima copiasse e colasse manualmente um comando no terminal, o que levava à instalação de um RAT (Remote Access Trojan) enquanto era mostrado um PDF legítimo como distração.

Também o grupo iraniano MuddyWater recorreu ao ClickFix em novembro de 2024, com uma campanha dirigida a 39 organizações no Médio Oriente. Os emails, disfarçados de alerta da Microsoft, instruíram os utilizadores a aplicar uma suposta atualização crítica e a executar um comando PowerShell com privilégios de administrador. Comando esse que instalava uma ferramenta de monitorização e gestão remota – o ‘Level’ – que permitia aos atacantes espiar os sistemas infetados de forma persistente. A sofisticação da campanha mostra o investimento contínuo do Irão em capacidades de cibersegurança ofensivas.

Na Rússia, o grupo UNK_RemoteRogue visou, em dezembro do ano passado, duas organizações com ligações a um importante fabricante de armamento. Os atacantes exploraram servidores Zimbra comprometidos para enviar emails falsificados da Microsoft que levavam os alvos a uma página falsa no Word, com instruções em russo e um tutorial em vídeo. A execução das instruções ativava código JavaScript que iniciava sessões PowerShell e estabelecia ligação com uma infraestrutura de comando e controlo baseada no Empire, um framework popular entre agentes maliciosos por permitir o controlo remoto de sistemas.

Além disso, o grupo APT28 – ligado à unidade militar GRU russa – também utilizou a técnica em outubro de 2024, através de emails falsos que simulavam uma folha de cálculo da Google. As vítimas passavam por uma falsa etapa de reCAPTCHA e recebiam um pop-up com comandos a executar. Ao serem executados pelas vítimas sem o seu verdadeiro conhecimento abria, túneis SSH e ativavam o Metasploit, garantindo aos atacantes acesso total aos sistemas infetados, com possibilidades de exfiltração de dados e persistência.