ClickFix se torna segundo principal vetor de ataque no mundo

ClickFix se torna segundo principal vetor de ataque no mundo, aponta relatório da ESET

Relatório do primeiro semestre de 2025 também registra aumento em fraudes com NFC e adware para Android
 

A ESET, empresa líder em detecção proativa de ameaças, divulgou seu Relatório de Ameaças referente ao primeiro semestre de 2025. O levantamento aponta um aumento expressivo no uso de ClickFix, técnica que simula mensagens de erro para induzir usuários a executar comandos maliciosos. O vetor cresceu mais de 500% em relação ao segundo semestre de 2024 e respondeu por quase 8% de todos os ataques cibernéticos bloqueados pela empresa no período, atrás apenas do phishing.

O relatório, que cobre o período entre dezembro de 2024 e maio de 2025, também mostra alta significativa nas detecções de adware para Android, impulsionadas principalmente pelo malware Kaleidoscope. O crescimento foi de 160% em relação ao semestre anterior. Já os golpes envolvendo comunicação por aproximação (NFC) aumentaram mais de 35 vezes, com destaque para ferramentas como GhostTap e SuperCard X.

“O crescimento do ClickFix exemplifica bem a sofisticação crescente nas campanhas de engenharia social. Em vez de depender apenas de arquivos maliciosos, os atacantes manipulam diretamente o comportamento do usuário para executar comandos críticos, o que torna a detecção e a mitigação mais complexas”, explica Daniel Barbosa, pesquisador de segurança da ESET no Brasil.

O ClickFix afeta sistemas operacionais como Windows, Linux e macOS. A técnica utiliza janelas de erro falsas para levar a vítima a copiar e colar comandos em seus próprios dispositivos, possibilitando a execução de diferentes tipos de malware. “A lista de ameaças derivadas do ClickFix cresce a cada dia, incluindo infostealers, ransomware, trojans de acesso remoto, cryptominers, ferramentas de pós-exploração e até ataques coordenados por grupos ligados a interesses governamentais”, completa Barbosa.

Entre os infostealers, o SnakeStealer (ou Snake Keylogger) superou o Agent Tesla e passou a liderar em número de detecções. Suas funcionalidades incluem registro de teclas, roubo de credenciais, captura de tela e extração de dados da área de transferência.

O relatório também destaca a atuação da ESET na interrupção de duas operações de malware como serviço: Lumma Stealer e Danabot. Antes da interrupção ambos registraram aumento de atividade, 21% no caso do Lumma e 52% no Danabot, em comparação com o segundo semestre de 2024.

No segmento de ransomware, o documento aponta instabilidade provocada por conflitos entre grupos criminosos, como os associados ao RansomHub. Apesar do aumento no número de ataques e grupos ativos, os pagamentos de resgate diminuíram. A ESET atribui esse movimento à falta de confiança nas promessas de retorno dos dados após o pagamento, além de abandonos e fraudes entre os próprios agentes de ameaça.

Em dispositivos móveis, além do aumento do Kaleidoscope, o relatório chama atenção para a expansão de golpes com NFC. O GhostTap, por exemplo, permite clonar dados de cartões e usá-los em pagamentos por aproximação por meio de celulares. Já o SuperCard X é oferecido como malware como serviço e opera de forma silenciosa para capturar dados em tempo real.

O relatório completo pode ser acessado no site da ESET.

Veja também:

• Hackathon gratuito premia com mais de US$ 25 mil
• Como engajar colaboradores e evitar riscos?
• Mitos e verdades sobre o Código Aberto no Brasil
• Por que uma empresa de tecnologia escolhe Bruno & Marrone para seu principal evento do ano?
• Brasil segue na mira de botnets
• Quando a prevenção de fraudes atrapalha as vendas legítimas
• Crescem os golpes utilizando Inteligência Artificial
• Em Congresso de Cibersegurança, Ciesp assina acordo com a Polícia Federal
• LGPD completa sete anos e transforma cenário
• Phishing é o principal método de acesso inicial ao ambiente
• Ransomware ganha novas táticas de extorsão