Você abre um site conhecido, aparece um “verifique se você é humano”, e em menos de dois minutos está colando comando no Windows Run. Parece improvável — até acontecer. Nos últimos meses, discussões no Reddit e alertas técnicos de Microsoft, CISA e Proofpoint mostraram que o golpe de fake CAPTCHA (também chamado de ClickFix) virou uma esteira eficiente para roubo de credenciais, cookies e carteiras cripto. Este guia é direto: como o ataque funciona, por que passa pelos controles tradicionais e o que fazer, na prática, para reduzir risco real.

Por que esse tema explodiu: o gatilho no Reddit e o que ele revela

O gatilho editorial deste artigo veio de threads recorrentes no Reddit, especialmente em comunidades como r/cybersecurity e r/antivirus, com relatos do tipo: “o site pediu Win+R, Ctrl+V e Enter para completar o CAPTCHA”. Em janeiro de 2026, uma discussão sobre variantes com tela falsa de erro/BSOD voltou a ganhar força ao mostrar a mesma mecânica com “roupas” diferentes.

O que importa aqui não é o drama do post, e sim o padrão: a vítima não recebe um anexo clássico, não clica em “instalar.exe”, e muitas vezes está em um domínio aparentemente legítimo (ou comprometido). Ela executa voluntariamente uma sequência de ações guiadas por engenharia social. Esse detalhe desloca o problema: não é só bloqueio de arquivo malicioso; é controle de comportamento induzido.

Quando muitas pessoas, em fóruns distintos, descrevem a mesma sequência operacional (copiar/colar comando em terminal ou caixa Executar), estamos diante de um TTP consolidado, não de incidente isolado. E isso muda a prioridade de defesa.

O que é ClickFix (fake CAPTCHA) sem romantização técnica

ClickFix é uma técnica de engenharia social que usa uma interface “familiar” (CAPTCHA, aviso de erro, atualização de navegador, documento corrompido) para levar o usuário a executar um comando malicioso localmente. Em vez de depender de exploração sofisticada, o atacante usa urgência, rotina e confiança visual.

Na prática, o fluxo costuma ser assim:

  • Usuário chega em uma página maliciosa ou comprometida.
  • A página exibe um falso bloqueio: “confirme que é humano” ou “corrija erro de visualização”.
  • O site injeta texto no clipboard (ou instrui a copiar manualmente).
  • Usuário abre Win+R, Terminal ou PowerShell e cola o comando.
  • O comando baixa/execura estágio seguinte (loader, RAT ou infostealer).

Não há “mágica”. Há uma cadeia curta, barata para o criminoso e difícil para times que confiam apenas em assinaturas e bloqueios estáticos. É exatamente por isso que essa técnica escalou rápido.

Evidência concreta: o que Microsoft, CISA e Proofpoint observaram

A Microsoft relatou crescimento consistente da técnica desde 2024, com campanhas globais mirando usuários finais e ambiente corporativo, e citou payloads recorrentes como Lumma Stealer, AsyncRAT, NetSupport e loaders diversos. O ponto-chave do relatório: o fator humano de “executar você mesmo” ajuda a contornar parte das barreiras automáticas.

Já CISA e FBI, no advisory AA25-141B sobre LummaC2, descrevem explicitamente o uso de fake CAPTCHA para induzir execução de PowerShell codificado via Win+R. O documento não trata ClickFix como “moda”, mas como vetor operacional ativo em campanhas de exfiltração de dados sensíveis.

A Proofpoint complementa com escala de campo: múltiplas campanhas, idiomas e setores, incluindo cenários em que a isca simula GitHub, Microsoft Word, atualizações e marketplaces. Em um dos casos publicados, a cadeia atingiu centenas de organizações ao usar fluxo “parece rotina” e baixar infostealer após a etapa de verificação falsa.

Tradução para liderança: não é um golpe exótico. É um padrão de ataque com baixo custo de operação e alto retorno para roubo de sessão e credenciais.

Por que controles tradicionais falham nesse cenário

Muitas empresas ainda pensam em phishing como “link malicioso + anexo”. No ClickFix, a assinatura do crime é distribuída em etapas pequenas, com parte da lógica rodando no navegador e parte no comando colado pelo usuário. Isso fragmenta a detecção.

Quatro motivos práticos explicam a falha:

  • Execução legítima de ferramenta legítima: PowerShell, msbuild, rundll32 e similares continuam sendo binários válidos do sistema.
  • Temporalidade curta: o comando roda e some rápido; sem telemetria adequada, o SOC só vê “ruído”.
  • Dependência de contexto: o mesmo comando pode parecer manutenção ou ataque, dependendo do encadeamento.
  • Treinamento superficial: usuários foram treinados para “não abrir anexo”, não para desconfiar de instrução operacional em página web.

Se a defesa não correlaciona origem web + ação do usuário + execução de script, a organização continua enxugando gelo.

O prejuízo não começa em ransomware; começa em sessão sequestrada. Infostealers modernos coletam senha salva, token de sessão, extensão de navegador, carteira cripto e, em alguns casos, artefatos de MFA. Com isso, o atacante pode entrar em SaaS corporativo sem “quebrar” nada.

O efeito cascata é conhecido:

  • Tomada de conta de e-mail corporativo;
  • Reset de senha em serviços conectados;
  • Acesso a repositórios de código e painéis cloud;
  • Movimento lateral por credenciais reutilizadas;
  • Fraude financeira ou extorsão por vazamento seletivo.

Trade-off explícito: bloquear agressivamente PowerShell para toda a empresa pode atrapalhar TI e engenharia. Mas deixar totalmente aberto custa caro quando um único clique expõe sessão de administrador em ferramentas críticas. A solução madura é controle por perfil de risco, não “tudo liberado” nem “tudo proibido”.

Defesa em camadas: o que implementar nos próximos 30 dias

Sem plano tático, o tema vira só awareness. Abaixo está um pacote realista para quatro semanas:

  • Semana 1 — Política de execução: restringir Win+R e PowerShell para grupos que realmente precisam; aplicar Constrained Language Mode quando possível.
  • Semana 1 — Navegador: bloquear execução de scripts suspeitos e endurecer políticas contra downloads automáticos de conteúdo ativo.
  • Semana 2 — EDR/SIEM: criar regra de correlação para sequência “navegação + clipboard incomum + PowerShell/Run com base64/obfuscação”.
  • Semana 2 — Identidade: reduzir sessões longas em apps críticos, revisar dispositivos confiáveis e exigir step-up MFA para ações sensíveis.
  • Semana 3 — Email/Web gateway: aumentar bloqueio de TDS, domínios recém-criados e padrões de redirecionamento encadeado.
  • Semana 3 — Simulação: rodar campanha interna de phishing com fake CAPTCHA controlado para medir comportamento.
  • Semana 4 — Playbook: definir resposta rápida para suspeita de infostealer (revogar sessões, reset de senhas, isolamento, varredura forense).

Isso não elimina risco, mas reduz drasticamente a janela entre execução do comando e contenção do dano.

Checklist prático para SOC, TI e liderança

  • [ ] Inventariar onde PowerShell/Terminal é essencial e onde pode ser bloqueado.
  • [ ] Ativar logs detalhados de linha de comando e script block onde houver suporte.
  • [ ] Criar alerta específico para comandos colados com padrão de obfuscação (base64, IEX, download remoto).
  • [ ] Forçar reautenticação em SaaS crítico após sinais de comprometimento.
  • [ ] Revisar políticas de extensão de navegador e remover extensões não aprovadas.
  • [ ] Treinar colaboradores com exemplos reais de tela falsa de CAPTCHA/erro.
  • [ ] Definir SLA de resposta para suspeita de infostealer (meta: contenção inicial em até 30 minutos).
  • [ ] Validar backup de credenciais administrativas e rotação emergencial de segredos.
  • [ ] Testar playbook com exercício de mesa envolvendo TI, segurança e jurídico.

Se a sua empresa cumprir esses nove itens, já sai da postura reativa para uma postura minimamente resiliente.

Como treinar usuários sem cair no “curso chato anual”

Treinamento genérico não muda hábito. O que funciona é fricção contextual: mostrar a tela falsa, a instrução de copiar/colar e o “gancho emocional” (urgência, erro técnico, medo de bloqueio). O usuário precisa reconhecer o padrão no momento, não lembrar de um slide antigo.

Modelo recomendado:

  • Microtreinos quinzenais de 8 a 12 minutos;
  • Uma simulação realista por mês;
  • Feedback individual imediato (“onde você acertou/errou”);
  • Mensagem única de regra de ouro: site legítimo não pede comando em Run/Terminal para validar CAPTCHA.

Inclua também canal fácil de reporte (“suspeitei disso, e agora?”). Sem canal simples, a pessoa hesita e o SOC perde tempo crítico.

Plano de resposta quando alguém “já colou o comando”

Nessa hora, rapidez vence perfeccionismo. Um fluxo objetivo:

  1. Isolar endpoint da rede corporativa imediatamente.
  2. Revogar sessões ativas de e-mail, SSO e aplicações críticas.
  3. Resetar credenciais priorizando contas administrativas e contas usadas no dispositivo.
  4. Coletar telemetria (process tree, command line, conexões, artefatos de persistência).
  5. Verificar exfiltração e uso indevido de tokens/cookies.
  6. Comunicar internamente com linguagem clara: o que ocorreu, o que foi contido, próximos passos.

Erro comum: esperar “confirmar 100%” antes de revogar sessão. Em infostealer, cada minuto aumenta superfície de abuso. Contenção cedo, investigação aprofundada depois.

Erros comuns que mantêm a porta aberta

Mesmo empresas com stack “de ponta” tropeçam em decisões simples. O primeiro erro é tratar ClickFix como problema exclusivamente de usuário desatento. Sem ajuste técnico, o treinamento vira sermão. O segundo erro é medir sucesso por quantidade de alertas, não por tempo de contenção: muitos alertas e pouca resposta ainda é risco alto. O terceiro é ignorar conta de terceiros e prestadores, que frequentemente têm menos controle de endpoint e acesso suficiente para causar estrago.

Outro ponto negligenciado é governança de sessão em SaaS. Se sessão dura demais e revogação é lenta, qualquer roubo de cookie vira oportunidade longa para abuso. Por fim, há a armadilha do “depois a gente melhora”: ataques de infostealer não esperam roadmap trimestral. O mínimo viável de proteção precisa entrar na operação agora, mesmo que com escopo reduzido e melhoria incremental nas semanas seguintes.

FAQ — dúvidas que aparecem toda semana

1) “Se eu uso MFA, estou protegido?”
Parcialmente. Dependendo do roubo de sessão/cookies e do fluxo do provedor, o atacante pode reutilizar sessão já autenticada. MFA continua essencial, mas não é blindagem total.

2) “Basta bloquear PowerShell?”
Não. Ajuda muito em perfis que não precisam da ferramenta, mas atacantes podem trocar de binário legítimo ou ajustar cadeia. É defesa em camadas, não bala de prata.

3) “Isso afeta só Windows?”
Não. Embora muitos casos usem Win+R/PowerShell, a técnica de engenharia social pode ser adaptada para outros sistemas e ambientes.

4) “Antivírus resolve?”
Sozinho, não. Parte da execução ocorre com ferramentas legítimas e scripts ofuscados. Precisa de EDR + correlação + política de execução + resposta rápida.

5) “Como saber se fui comprometido?”
Sinais incluem execução anômala de comandos, logins suspeitos em SaaS, sessões estranhas, criação de tarefas e tráfego incomum para domínios recém-observados. Trate como incidente até prova em contrário.

6) “Vale bloquear clipboard?”
Bloqueio total costuma quebrar produtividade. Melhor monitorar padrões anômalos e restringir execução de comandos em perfis de baixo privilégio.

Conclusão editorial: o problema não é o CAPTCHA, é a terceirização da decisão

ClickFix prospera porque converte usuário em executor do ataque. Enquanto o mercado tratar isso como “golpe bobo”, os operadores de infostealer continuarão escalando com custo baixo e retorno alto. A resposta madura combina engenharia de segurança, identidade, telemetria e treinamento com cenário real.

Se você lidera segurança, a decisão prática é simples: priorize agora controles de execução e revogação de sessão. Se você opera SOC, ajuste detecção para cadeia curta de comando colado. E se você está em TI, transforme a regra em linguagem humana: nenhum site confiável pede Win+R para “provar que você é humano”.

Referências

  • Microsoft Security Blog — Think before you Click(Fix): Analyzing the ClickFix social engineering technique (2025): https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/
  • CISA/FBI Advisory AA25-141B — Threat Actors Deploy LummaC2 Malware to Exfiltrate Sensitive Data from Organizations (2025): https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b
  • Proofpoint Threat Insight — Security Brief: ClickFix Social Engineering Technique Floods Threat Landscape (2025): https://www.proofpoint.com/us/blog/threat-insight/security-brief-clickfix-social-engineering-technique-floods-threat-landscape
  • Reddit (gatilho editorial) — Discussões sobre fake CAPTCHA/ClickFix em r/cybersecurity e comunidades relacionadas, incluindo thread de jan/2026 sobre variantes com tela falsa: https://www.reddit.com/r/cybersecurity/comments/1q5c8yw/clickfix_attack_uses_fake_windows_bsod_screens_to/

Leia também