ClickFix é uma técnica de engenharia social em que páginas falsas do Google e da Cloudflare pedem que você copie e cole um comando no PowerShell “para provar que é humano”. O comando instala malware. Segundo a Microsoft, o ClickFix já responde por 47% dos casos de acesso inicial detectados pela sua equipa Defender Experts, e a ReliaQuest classificou a técnica como o principal método de distribuição de malware entre março e maio de 2026.
O detalhe mais cruel: não há exploração de vulnerabilidade técnica. A vítima executa o código com as próprias mãos, o que faz o antivírus classificar a ação como legítima. Já abordámos uma variante desse golpe em ConsentFix e ClickFix: roubam sua conta M365 em 3 segundos. Agora, em julho de 2026, pesquisadores da Malwarebytes revelaram uma campanha massiva que usa páginas de verificação falsas do Google e da Cloudflare para distribuir uma constelação de stealers, loaders e ferramentas de acesso remoto — tudo a partir de um único clique distraído.
Pontos-chave
- Método nº 1: ClickFix ultrapassou phishing tradicional e anexos maliciosos como principal vetor de infecção em 2026.
- Vítima como instrumento: o golpe faz você colar o comando malicioso no PowerShell, Terminal ou caixa “Executar” do Windows.
- Disfarces convincentes: páginas imitam o reCAPTCHA do Google, a verificação da Cloudflare e até correções de áudio do Google Meet.
- Ataque multiplataforma: a mesma infraestrutura serve comandos diferentes para Windows (PowerShell) e macOS (curl + zsh).
- Crescimento explosivo: a ESET registrou salto de 517% na técnica entre o final de 2024 e o primeiro semestre de 2025.
Como funciona o ClickFix
O ClickFix segue uma lógica desarmante. A vítima acessa um site comprometido ou clica num anúncio malicioso e se depara com uma página que imita um teste CAPTCHA, uma verificação de segurança ou uma mensagem de erro do navegador. A página exibe uma instrução: “Pressione Windows+R, cole o código e pressione Enter para verificar que você é humano”.
Por trás da interface limpa, um script JavaScript copia silenciosamente um comando malicioso para a área de transferência. Quando a vítima cola e executa, está a rodar um PowerShell que descarrega e instala o malware diretamente na memória — muitas vezes sem deixar ficheiro no disco para o antivírus inspecionar. A técnica é tão consolidada que recebeu entrada própria na matriz MITRE ATT&CK, sob o identificador T1204.004.
A HIPAA Journal descreve o processo com clareza: o utilizador cola os comandos do atacante em diálogos confiáveis do sistema, como a caixa “Executar” do Windows, o que contorna a maioria das defesas automatizadas que assumem tratar-se de uma ação legítima do próprio utilizador.
Os disfarces das páginas falsas
A campanha detalhada pela Malwarebytes em julho de 2026 revela um catálogo de iscas estudadas para parecerem autênticas. Os atacantes não se limitam a uma identidade visual — clonam várias marcas de confiança e adaptam o pretexto ao contexto de cada vítima.
| Disfarce | Pretexto | Ação pedida |
|---|---|---|
| Google reCAPTCHA | “Verificação manual necessária” | Colar comando no PowerShell |
| Cloudflare | “Verifique que você é humano” | Executar código via Terminal |
| Google Meet | “Corrigir problema de áudio” | Colar comando do driver |
| Conta Google | “Novo login com token confiável” | Definir dispositivo como primário |
O kit por trás das páginas da Cloudflare foi batizado pelos próprios atacantes de “SECURITY GATEWAY” e inclui módulos com nomes como GatewayRuntime, Clipboard e PanelController. Segundo a análise, o painel permite que o operador escolha manualmente qual comando a vítima deverá executar — um “portão de aprovação” que adiciona uma camada de controle humano à fraude automatizada.
As páginas circulam por domínios antigos reaproveitados, subdomínios do Cloudflare Pages (.pages.dev) e sites legítimos comprometidos. O endereço de um desses sites falsos pode parecer perfeitamente normal até a instrução de “verificação” aparecer no ecrã.
O que o malware rouba
A campanha entrega uma carga pesada de malware numa única execução. A Malwarebytes identificou sete famílias distintas partilhando a mesma infraestrutura: HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport RAT e um stealer baseado em Rust. Cada uma cumpre um papel na cadeia de infecção.
Em um dos cenários analisados, uma versão trojanizada do Franz — um aplicativo legítimo de mensagens — instala um loader inédito, batizado de ResiLoader, que desativa o software de segurança antes de implantar o StealC. Este último é um dos infostealers mais vendidos no underground: rouba senhas gravadas nos navegadores, cookies de sessão, carteiras de criptomoedas e dados bancários armazenados localmente. O mesmo ecossistema de stealers alimenta campanhas de espionagem governamental, como mostrámos na análise do BusySnake Stealer usado pelo grupo Armored Likho.
O NetSupport RAT é ainda mais grave: transforma o computador num fantoche remoto, permitindo que o atacante mova o rato, digite, transfira ficheiros e instale programas adicionais sem que a vítima perceba. O Adware Guru resume o risco: uma página de verificação que pede um comando colado não é uma página de verificação — é uma porta de entrada.
Por que o ClickFix domina
O crescimento do ClickFix não é acidente. A técnica resolve o maior problema dos criminosos: contornar defesas modernas sem precisar de uma falha de zero-day cara ou rara. Como a vítima executa o comando voluntariamente, o antivírus interpreta a ação como legítima, e o código corre na memória, escapando à verificação de ficheiros.
A ReliaQuest examinou ataques entre 1 de março e 31 de maio de 2026 e concluiu que o ClickFix dominou a distribuição de malware nesse período. Pela primeira vez, a técnica foi usada para entregar o Atomic Stealer (AMOS) a utilizadores de macOS — tradicionalmente considerados menos visados. Para driblar uma atualização da Apple que passou a avisar sobre comandos perigosos no Terminal, os atacantes passaram a apontar as vítimas para o Script Editor, que não tinha a mesma proteção.
Os números falam por si. A ESET registrou um aumento de 517% na técnica entre o final de 2024 e a primeira metade de 2025. A Microsoft, no seu Digital Defense Report 2025, atribuiu 47% dos casos de acesso inicial observados pela equipa Defender Experts ao ClickFix. O Cybersecurity News descreve a tática como “uma aula magna de manipulação psicológica”, por explorar o desejo natural das pessoas de resolver problemas sozinhas em vez de alertar a equipe de TI.
A nova geração: API e evasão
O ClickFix amadureceu. Em junho de 2026, o pesquisador Bert-Jan Pals apresentou no OrangeCon uma análise de cerca de 3.000 payloads extraídos de campanhas ao vivo. A descoberta central: as páginas falsas já não guardam o comando malicioso no próprio HTML. Em vez disso, consultam servidores de backend que funcionam como um serviço sob demanda — recebem a requisição, verificam um token de acesso, registram o visitante e devolvem um comando recém-embaralhado a cada chamada.
Pals pediu 100 payloads ao mesmo servidor e recebeu 100 versões diferentes, envoltas numa mistura rotativa de Base64, AES, TripleDES, Rijndael e Deflate. A plataforma serve iscas em 25 idiomas e adapta o comando ao sistema operativo do visitante. A detalhe que preocupa defensores: uma variante recente copia apenas uma linha “orquestradora” inofensiva para a área de transferência, enquanto descarrega silenciosamente um ficheiro para a pasta Downloads. Essa linha curta foi projetada para passar pelo AMSI — o mecanismo do Windows que permite ao antivírus inspecionar scripts antes da execução.
Como se proteger agora
A boa notícia sobre o ClickFix é que a defesa mais eficaz custa zero e depende apenas de comportamento. Nenhuma empresa séria — Google, Cloudflare, Microsoft ou qualquer outra — vai pedir que você cole comandos no PowerShell ou no Terminal para “provar que é humano”. Se uma página faz isso, feche-a imediatamente.
- Nunca cole comandos de sites desconhecidos. Se uma página de verificação pede para abrir o PowerShell, a caixa “Executar” ou o Terminal, é fraude. Verifique sempre por canais oficiais de suporte.
- Desconfie da urgência. Páginas falsas usam temporizadores regressivos, contadores de visitantes e avisos vermelhos para pressão. A pressa é a arma do golpe.
- Ative proteção de área de transferência. A Opera anunciou o Paste Protect, que bloqueia comandos suspeitos antes de chegarem à área de transferência. A Malwarebytes Browser Guard também alerta quando um site tenta copiar conteúdo para a área de transferência.
- Mantenha o antivírus atualizado. Embora o ClickFix contorne parte da verificação, a proteção em tempo real e a proteção web conseguem bloquear muitos domínios maliciosos antes que você os alcance.
- Se já executou o comando: desconecte o equipamento da rede imediatamente, faça uma análise completa antes de voltar a iniciar sessão nas contas, verifique a pasta
C:\ProgramData\Zoomsem busca de ficheiros estranhos e troque as senhas a partir de um dispositivo limpo.
Para empresas, a ReliaQuest recomenda restringir o acesso à caixa “Executar” e à área de transferência, treinar colaboradores contra iscas ClickFix em Windows e macOS, e simular esses golpes durante exercícios de conscientização. O macOS deixou de ser um reduto seguro — agora exige o mesmo nível de monitoramento que o Windows.
Leia também
- ConsentFix e ClickFix: roubam sua conta M365 em 3 segundos
- BlueHammer: o antivírus do Windows vira arma de ransomware
- Armored Likho: APT usa BusySnake em espionagem de governo
Referências
- Malwarebytes — Fake Google and Cloudflare verification pages spread multiple malware families (2 jul. 2026)
- Infosecurity Magazine — ClickFix Now Cybercriminals’ Favorite Malware Delivery Technique (30 jun. 2026)
- The Hacker News — Researcher Analyzes 3,000 Live ClickFix Payloads (1 jul. 2026)
- Adware Guru — Fake Google and Cloudflare Checks Push ResiLoader and Stealers (jul. 2026)
- HIPAA Journal — ClickFix Social Engineering Technique is the Leading Method for Malware Delivery
- Microsoft Security Blog — Think before you ClickFix (ago. 2025)
- Cybersecurity News — What is ClickFix Attack
- Wikipedia — ClickFix