Engenharia social evolui e se torna vetor dominante de ataques com ClickFix e FileFix
O cenário atual da cibersegurança mostra que a manipulação psicológica de usuários está cada vez mais refinada. Uma nova análise aponta que os ataques com a técnica conhecida como ClickFix dispararam 517% entre o segundo semestre de 2024 e o primeiro semestre de 2025. Esse método, fundamentado em engenharia social, convence usuários a colarem comandos maliciosos em seus sistemas, geralmente após simulações de verificações CAPTCHA falsas. Com isso, são executados scripts que instalam desde infostealers e ransomware até trojans de acesso remoto, mineradores de criptomoedas e malwares personalizados.
O ataque se baseia em mensagens enganosas — como janelas de erro ou alertas de segurança — que sugerem que a vítima precisa realizar uma ação técnica, como colar um comando no “Executar” do Windows ou no Terminal do macOS. Países como Japão, Peru, Polônia, Espanha e Eslováquia lideram as detecções, e o sucesso dessa abordagem levou à criação de kits prontos com páginas falsas para ClickFix, vendidos entre cibercriminosos.
Recentemente, uma variação chamada FileFix tem ganhado força. Ela altera a dinâmica do ataque: em vez de induzir o usuário a colar diretamente um comando, a vítima é levada a colar um “caminho de arquivo” no Explorador de Arquivos do Windows. Porém, escondido nesse caminho há um comando PowerShell disfarçado — precedido de espaços e um caractere de comentário (“#”) —, o que camufla a carga maliciosa como se fosse um simples diretório.
Além disso, foi observado um crescimento em campanhas de phishing mais sofisticadas, que incluem: falsificação de domínios .gov simulando multas de pedágio, links falsos imitando o Microsoft Teams, arquivos ZIP com atalhos disfarçados que instalam malware, e alertas de “armazenamento cheio” que redirecionam a páginas IPFS para roubo de credenciais. Também foram relatados ataques usando arquivos PDF e plataformas legítimas, como Vercel e SharePoint, para enganar vítimas e capturar dados confidenciais.
CISA alerta para exploração ativa de falhas críticas em dispositivos populares
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) ampliou seu catálogo de vulnerabilidades ativamente exploradas com três novas falhas críticas. Os alvos agora incluem dispositivos de fabricantes conhecidos como AMI, D-Link e Fortinet, demonstrando que os criminosos continuam focando em vetores amplamente distribuídos e, muitas vezes, negligenciados por atualizações.
A mais grave dessas vulnerabilidades é a CVE-2024-54085, presente na interface Redfish do AMI MegaRAC SPx. Ela tem um escore CVSS de 10.0 e permite a um invasor remoto contornar a autenticação e assumir controle total do equipamento. Segundo a empresa responsável pela descoberta, o risco inclui instalação de malware e modificações no firmware, o que poderia causar comprometimentos persistentes.
A segunda vulnerabilidade, CVE-2024-0769, afeta o roteador D-Link DIR-859, que não recebe mais suporte desde dezembro de 2020. Essa falha de travessia de diretórios (directory traversal), com CVSS 5.3, possibilita que atacantes elevem privilégios e acessem informações sensíveis como credenciais e nomes de usuário. Como o produto não será corrigido, a única medida segura recomendada é substituí-lo.
Já a terceira falha, CVE-2019-6693, impacta versões do FortiOS, FortiManager e FortiAnalyzer da Fortinet. Com um CVSS de 4.2, a brecha envolve o uso de uma chave criptográfica fixa que permite a descriptografia de dados nos arquivos de configuração via linha de comando. Grupos associados ao ransomware Akira já têm explorado essa vulnerabilidade para conseguir acesso inicial a redes corporativas. A CISA determinou que todas as agências federais corrijam essas falhas até 16 de julho de 2025, dada a gravidade da exploração ativa.
Falha crítica no Open VSX expõe ecossistema de extensões a ataque massivo
Pesquisadores de segurança descobriram uma falha crítica no Open VSX Registry — o principal repositório utilizado por plataformas que integram extensões do Visual Studio Code. A vulnerabilidade afetava o repositório publish-extensions mantido no GitHub, e poderia permitir a qualquer atacante publicar ou sobrescrever extensões, injetando código malicioso diretamente em ambientes de desenvolvimento de milhares de desenvolvedores ao redor do mundo.
A falha estava ligada a um fluxo de automação por GitHub Actions, que executava scripts com permissões elevadas e incluía variáveis de ambiente sensíveis como o token OVSX_PAT. Durante o processo de publicação, esse ambiente instalava pacotes e extensões cujos scripts poderiam ser manipulados para interceptar o token e obter controle total sobre o repositório de extensões. O risco era exponencial, dado que o Open VSX é utilizado por editores e serviços como Gitpod, Cursor, Windsurf e o Google Cloud Shell.
A vulnerabilidade foi descoberta por Oren Yomtov, da Koi Security, em maio de 2025, e corrigida no final de junho após diversas etapas de mitigação. O incidente evidenciou como a confiança implícita em processos automatizados pode se tornar um elo fraco da cadeia de suprimentos. O risco foi tão significativo que o MITRE incorporou o uso de extensões IDE como uma nova técnica em sua matriz ATT&CK, reconhecendo seu potencial para ataques persistentes e altamente direcionados.
Conclusão
O panorama atual da cibersegurança reforça a urgência de uma postura proativa diante das ameaças emergentes. As táticas de engenharia social, como ClickFix e sua evolução FileFix, demonstram que a exploração da confiança humana continua sendo uma das armas mais eficazes dos cibercriminosos. Ao mesmo tempo, a exploração ativa de vulnerabilidades em dispositivos amplamente utilizados e a descoberta de falhas críticas em repositórios essenciais, como o Open VSX Registry, evidenciam que não basta proteger apenas o usuário final — é fundamental fortalecer cada elo da cadeia tecnológica.
Diante desse cenário, torna-se imprescindível investir continuamente em conscientização, atualizações regulares, revisão de processos automatizados e vigilância sobre ambientes de desenvolvimento. O comprometimento de plataformas confiáveis e o uso indevido de canais legítimos para disseminar ameaças exigem que organizações e profissionais da área mantenham uma postura de alerta constante. Em um ecossistema cada vez mais interconectado, a segurança depende não apenas de boas ferramentas, mas da capacidade de antecipar, reagir e adaptar-se frente a um inimigo que evolui todos os dias.
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
