O ClickFix, golpe de phishing que se popularizou em 2024, ganhou uma nova versão ainda mais sorrateira. Segundo a Microsoft, criminosos digitais abandonaram o clássico atalho Win + R e agora instruem vítimas a usar Win + X → I — combinação que abre diretamente o Windows Terminal. O objetivo? Executar comandos PowerShell nocivos sem levantar suspeitas de soluções de segurança ou do próprio usuário.
Como funciona o novo truque com Win+X
Em vez de solicitar a abertura da caixa “Executar”, os golpistas exibem páginas falsas de CAPTCHA, pop-ups de “suporte” ou avisos de verificação de download. Neles, o usuário é orientado a:
- Pressionar Win + X seguido da tecla I para abrir o Windows Terminal (
wt.exe); - Colar um comando PowerShell hex-ofuscado supostamente inofensivo;
- Pressionar Enter, disparando toda a cadeia de infecção.
Ao evitar o Win + R, os atacantes escapam de filtros corporativos que monitoram a execução de comandos suspeitos via “Executar” e driblam treinamentos que ensinam os funcionários a desconfiar desse atalho específico.
O que acontece depois da infecção
A Microsoft identificou dois fluxos principais:
- Descompactação furtiva com 7-Zip renomeado: o script baixa uma cópia legítima, porém rebatizada, do 7-Zip, extrai um executável malicioso e adiciona tasks agendadas que garantem persistência.
- Abuso de LOLBins e injeção de código: o comando cola um lote (.bat) em
%AppData%, que cria um VBScript acionado via MSBuild.exe. Depois, injeta código em chrome.exe e msedge.exe para roubo de senhas e cookies, além de se comunicar com a blockchain Ethereum (técnica “etherhiding”).
Por que isso preocupa administradores de TI
A substituição do atalho torna o golpe mais parecido com um fluxo de trabalho diário — abrir terminal, colar comando, pronto. Consequentemente, a taxa de cliques aumenta e as detecções baseadas em comportamento diminuem. Roger Grimes, da KnowBe4, lembra que variações com Win + X já circulam há pelo menos um semestre, mas a sofisticação atual eleva o risco de ataques prolongados e silenciosos.
Impacto prático: do home office ao data center
Para o profissional que trabalha de casa, basta um comando enganoso para transformar o PC em zumbi, expondo dados corporativos. Em ambientes empresariais, a persistência criada por scheduled tasks e exclusões no Microsoft Defender abre portas para segundas cargas — de stealers como Lumma a RATs como AsyncRAT e NetSupport.
Como mitigar o risco agora
A Microsoft sugere e especialistas reforçam:
Imagem: Howard Solom
- Bloquear execução de scripts não assinados:
Set-ExecutionPolicy Restricted -Forceem todas as máquinas. - Ativar script block logging no PowerShell para visibilidade de comandos ofuscados.
- Educar usuários com a regra simples: nunca colar comandos recebidos por e-mail ou pop-up, mesmo que “pareçam” de TI.
- Hardening de endpoints: mantenha antivírus atualizado, restrinja uso de utilitários portáveis (7-Zip, curl, bitsadmin).
Dica extra para entusiastas de hardware
Se você costuma automatizar tarefas, considere um teclado gamer com memória on-board e macros dedicadas, como o Corsair K55 RGB PRO. Além de melhorar a experiência nos jogos, esses periféricos permitem desabilitar ou remapear atalhos do Windows (incluindo a tecla Win), reduzindo a chance de acionar combinações perigosas por engano.
Para quem exige autenticação robusta, uma chave de segurança FIDO2 como a YubiKey pode acrescentar MFA por hardware e barrar acessos não autorizados, mesmo se credenciais forem furtadas.
O que esperar a seguir
Phishing evolui rápido, e o ClickFix mostra como pequenos ajustes em atalhos já rendem grandes ganhos para golpistas. Fique atento a qualquer instrução “copie e cole este comando” — ela pode ser a porta de entrada para um ataque longo, caro e discreto. Invista em boas práticas de segurança, periféricos que reforcem sua postura defensiva e, claro, em atualização constante dos seus conhecimentos.
Com informações de Computerworld
