Você abre um site conhecido, aparece um “verifique se você é humano”, e em menos de dois minutos está colando comando no Windows Run. Parece improvável — até acontecer. Nos últimos meses, discussões no Reddit e alertas técnicos de Microsoft, CISA e Proofpoint mostraram que o golpe de fake CAPTCHA, também chamado de ClickFix, virou uma esteira eficiente para roubo de credenciais, cookies e carteiras cripto. Este guia é direto: como o ataque funciona, por que passa pelos controles tradicionais e o que fazer, na prática, para reduzir risco real.

Por que esse tema explodiu: o gatilho no Reddit e o que ele revela

O gatilho editorial deste artigo veio de threads recorrentes no Reddit, especialmente em comunidades como r/cybersecurity e r/antivirus, com relatos do tipo: “o site pediu Win+R, Ctrl+V e Enter para completar o CAPTCHA”. Em janeiro de 2026, uma discussão sobre variantes com tela falsa de erro e falsa tela azul do Windows voltou a ganhar força ao mostrar a mesma mecânica com roupas diferentes.

O que importa aqui não é o drama do post, e sim o padrão: a vítima não recebe um anexo clássico, não clica em “instalar.exe” e muitas vezes está em um domínio aparentemente legítimo ou comprometido. Ela executa voluntariamente uma sequência de ações guiadas por engenharia social. Esse detalhe desloca o problema: não é só bloqueio de arquivo malicioso; é controle de comportamento induzido.

Quando muitas pessoas, em fóruns distintos, descrevem a mesma sequência operacional — copiar e colar comando em terminal ou caixa Executar — estamos diante de um TTP consolidado, não de incidente isolado. E isso muda a prioridade de defesa.

O que é ClickFix sem romantização técnica

ClickFix é uma técnica de engenharia social que usa uma interface familiar — CAPTCHA, aviso de erro, atualização de navegador ou documento corrompido — para levar o usuário a executar um comando malicioso localmente. Em vez de depender de exploração sofisticada, o atacante usa urgência, rotina e confiança visual.

Na prática, o fluxo costuma ser assim:

  • Usuário chega em uma página maliciosa ou comprometida.
  • A página exibe um falso bloqueio: “confirme que é humano” ou “corrija erro de visualização”.
  • O site injeta texto no clipboard, ou instrui a copiar manualmente.
  • Usuário abre Win+R, Terminal ou PowerShell e cola o comando.
  • O comando baixa e executa o estágio seguinte, como loader, RAT ou infostealer.

Não há mágica. Há uma cadeia curta, barata para o criminoso e difícil para times que confiam apenas em assinaturas e bloqueios estáticos. É exatamente por isso que essa técnica escalou rápido.

Evidência concreta: o que Microsoft, CISA e Proofpoint observaram

A Microsoft relatou crescimento consistente da técnica desde 2024, com campanhas globais mirando usuários finais e ambiente corporativo, e citou payloads recorrentes como Lumma Stealer, AsyncRAT, NetSupport e loaders diversos. O ponto-chave do relatório: o fator humano de “executar você mesmo” ajuda a contornar parte das barreiras automáticas.

Já CISA e FBI, no advisory AA25-141B sobre LummaC2, descrevem explicitamente o uso de fake CAPTCHA para induzir execução de PowerShell codificado via Win+R. O documento não trata ClickFix como “moda”, mas como vetor operacional ativo em campanhas de exfiltração de dados sensíveis.

A Proofpoint complementa com escala de campo: múltiplas campanhas, idiomas e setores, incluindo cenários em que a isca simula GitHub, Microsoft Word, atualizações e marketplaces. Em um dos casos publicados, a cadeia atingiu centenas de organizações ao usar um fluxo que parece rotina e baixar infostealer logo após a etapa de verificação falsa.

Tradução para liderança: não é um golpe exótico. É um padrão de ataque com baixo custo de operação e alto retorno para roubo de sessão e credenciais.

Por que controles tradicionais falham nesse cenário

Muitas empresas ainda pensam em phishing como “link malicioso + anexo”. No ClickFix, a assinatura do crime é distribuída em etapas pequenas, com parte da lógica rodando no navegador e parte no comando colado pelo usuário. Isso fragmenta a detecção.

Quatro motivos práticos explicam a falha:

  • Execução legítima de ferramenta legítima: PowerShell, msbuild, rundll32 e similares continuam sendo binários válidos do sistema.
  • Temporalidade curta: o comando roda e some rápido; sem telemetria adequada, o SOC só vê ruído.
  • Dependência de contexto: o mesmo comando pode parecer manutenção ou ataque, dependendo do encadeamento.
  • Treinamento superficial: usuários foram treinados para não abrir anexo, não para desconfiar de instrução operacional em página web.

Se a defesa não correlaciona origem web, ação do usuário e execução de script, a organização continua enxugando gelo.

O prejuízo não começa em ransomware; começa em sessão sequestrada. Infostealers modernos coletam senha salva, token de sessão, extensão de navegador, carteira cripto e, em alguns casos, artefatos de MFA. Com isso, o atacante pode entrar em SaaS corporativo sem quebrar nada.

O efeito cascata é conhecido:

  • Tomada de conta de e-mail corporativo;
  • Reset de senha em serviços conectados;
  • Acesso a repositórios de código e painéis cloud;
  • Movimento lateral por credenciais reutilizadas;
  • Fraude financeira ou extorsão por vazamento seletivo.

Trade-off explícito: bloquear agressivamente PowerShell para toda a empresa pode atrapalhar TI e engenharia. Mas deixar totalmente aberto custa caro quando um único clique expõe sessão de administrador em ferramentas críticas. A solução madura é controle por perfil de risco, não “tudo liberado” nem “tudo proibido”.

Defesa em camadas: o que implementar nos próximos 30 dias

Sem plano tático, o tema vira só awareness. Abaixo está um pacote realista para quatro semanas:

  • Semana 1 — Política de execução: restringir Win+R e PowerShell para grupos que realmente precisam; aplicar Constrained Language Mode quando possível.
  • Semana 1 — Navegador: bloquear execução de scripts suspeitos e endurecer políticas contra downloads automáticos de conteúdo ativo.
  • Semana 2 — EDR/SIEM: criar regra de correlação para sequência “navegação + clipboard incomum + PowerShell/Run com base64 ou ofuscação”.
  • Semana 2 — Identidade: reduzir sessões longas em apps críticos, revisar dispositivos confiáveis e exigir step-up MFA para ações sensíveis.
  • Semana 3 — Email/Web gateway: aumentar bloqueio de TDS, domínios recém-criados e padrões de redirecionamento encadeado.
  • Semana 3 — Simulação: rodar campanha interna de phishing com fake CAPTCHA controlado para medir comportamento.
  • Semana 4 — Playbook: definir resposta rápida para suspeita de infostealer, com revogação de sessões, reset de senhas, isolamento e varredura forense.

Isso não elimina risco, mas reduz drasticamente a janela entre execução do comando e contenção do dano.

Checklist prático para SOC, TI e liderança

  • [ ] Inventariar onde PowerShell ou Terminal é essencial e onde pode ser bloqueado.
  • [ ] Ativar logs detalhados de linha de comando e script block onde houver suporte.
  • [ ] Criar alerta específico para comandos colados com padrão de ofuscação, como base64, IEX ou download remoto.
  • [ ] Forçar reautenticação em SaaS crítico após sinais de comprometimento.
  • [ ] Revisar políticas de extensão de navegador e remover extensões não aprovadas.
  • [ ] Treinar colaboradores com exemplos reais de tela falsa de CAPTCHA ou erro.
  • [ ] Definir SLA de resposta para suspeita de infostealer, com meta de contenção inicial em até 30 minutos.
  • [ ] Validar backup de credenciais administrativas e rotação emergencial de segredos.
  • [ ] Testar playbook com exercício de mesa envolvendo TI, segurança e jurídico.

Se a sua empresa cumprir esses nove itens, já sai da postura reativa para uma postura minimamente resiliente.

Como treinar usuários sem cair no curso chato anual

Treinamento genérico não muda hábito. O que funciona é fricção contextual: mostrar a tela falsa, a instrução de copiar e colar e o gancho emocional — urgência, erro técnico, medo de bloqueio. O usuário precisa reconhecer o padrão no momento, não lembrar de um slide antigo.

Modelo recomendado:

  • Microtreinos quinzenais de 8 a 12 minutos;
  • Uma simulação realista por mês;
  • Feedback individual imediato sobre onde acertou e errou;
  • Mensagem única de regra de ouro: site legítimo não pede comando em Run ou Terminal para validar CAPTCHA.

Inclua também canal fácil de reporte. Sem isso, a pessoa hesita e o SOC perde tempo crítico.

Plano de resposta quando alguém já colou o comando

Nessa hora, rapidez vence perfeccionismo. Um fluxo objetivo:

  1. Isolar o endpoint da rede corporativa imediatamente.
  2. Revogar sessões ativas de e-mail, SSO e aplicações críticas.
  3. Resetar credenciais priorizando contas administrativas e contas usadas no dispositivo.
  4. Coletar telemetria de process tree, command line, conexões e artefatos de persistência.
  5. Verificar exfiltração e uso indevido de tokens e cookies.
  6. Comunicar internamente com linguagem clara: o que ocorreu, o que foi contido e próximos passos.

Erro comum: esperar confirmar 100% antes de revogar sessão. Em infostealer, cada minuto aumenta a superfície de abuso. Contenção cedo, investigação aprofundada depois.

FAQ

1) Se eu uso MFA, estou protegido?
Parcialmente. Dependendo do roubo de sessão ou cookies e do fluxo do provedor, o atacante pode reutilizar sessão já autenticada. MFA continua essencial, mas não é blindagem total.

2) Basta bloquear PowerShell?
Não. Ajuda muito em perfis que não precisam da ferramenta, mas atacantes podem trocar de binário legítimo ou ajustar a cadeia. É defesa em camadas, não bala de prata.

3) Isso afeta só Windows?
Não. Embora muitos casos usem Win+R e PowerShell, a técnica de engenharia social pode ser adaptada para outros sistemas e ambientes.

4) Antivírus resolve?
Sozinho, não. Parte da execução ocorre com ferramentas legítimas e scripts ofuscados. Precisa de EDR, correlação, política de execução e resposta rápida.

5) Como saber se fui comprometido?
Sinais incluem execução anômala de comandos, logins suspeitos em SaaS, sessões estranhas, criação de tarefas e tráfego incomum para domínios recém-observados. Trate como incidente até prova em contrário.

6) Vale bloquear clipboard?
Bloqueio total costuma quebrar produtividade. Melhor monitorar padrões anômalos e restringir execução de comandos em perfis de baixo privilégio.

Conclusão editorial

ClickFix prospera porque converte o usuário em executor do ataque. Enquanto o mercado tratar isso como golpe bobo, os operadores de infostealer continuarão escalando com custo baixo e retorno alto. A resposta madura combina engenharia de segurança, identidade, telemetria e treinamento com cenário real.

Se você lidera segurança, a decisão prática é simples: priorize agora controles de execução e revogação de sessão. Se você opera SOC, ajuste detecção para cadeia curta de comando colado. E se você está em TI, transforme a regra em linguagem humana: nenhum site confiável pede Win+R para “provar que você é humano”.

Referências

  • Microsoft Security Blog — Think before you ClickFix: Analyzing the ClickFix social engineering technique (2025): https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/
  • CISA/FBI Advisory AA25-141B — Threat Actors Deploy LummaC2 Malware to Exfiltrate Sensitive Data from Organizations (2025): https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b
  • Proofpoint Threat Insight — Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape (2025): https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape
  • Reddit (gatilho editorial) — discussão sobre ClickFix e variantes com falsa tela azul em r/cybersecurity: https://www.reddit.com/r/cybersecurity/comments/1q5c8yw/clickfix_attack_uses_fake_windows_bsod_screens_to/