Uma técnica de engenharia social chamada ClickFix vem se espalhando rapidamente pela internet, causando prejuízos milionários em escala global. O golpe, que já atingiu hospitais e universidades nos Estados Unidos, engana as vítimas para que elas mesmas executem comandos maliciosos em seus computadores — instalando malwares que roubam senhas, dados bancários e até carteiras de criptomoedas.
O ClickFix (também conhecido como FileFix ou fake CAPTCHA) é amplamente usado por grupos de ransomware, como o Interlock, e até por APTs patrocinados por Estados. Entre as vítimas já confirmadas estão a Kettering Health, DaVita, a City of St. Paul (Minnesota) e o Texas Tech University Health Sciences Center.
Como o ClickFix funciona
Diferente do phishing tradicional, o ClickFix explora a confiança do usuário em instruções aparentemente legítimas. A técnica é disseminada por anúncios no Google e vídeos no TikTok, atingindo desde usuários comuns até desenvolvedores experientes.
O ataque ocorre em quatro etapas:
- A vítima acessa um site falso, encontrado via anúncio ou busca, que imita plataformas populares ou promete “ativadores gratuitos” de software.
- O site exibe um falso CAPTCHA ou mensagem de erro com botões como “Corrigir” ou “Verificar”.
- Ao clicar, um código malicioso é copiado automaticamente para a área de transferência, normalmente em formato Base64.
- O site então instrui o usuário a abrir o Terminal ou PowerShell e colar o comando — que, ao ser executado, baixa e instala o malware.
Um exemplo real usado em ataques no macOS é:
Esse comando decodifica e executa scripts que desativam proteções do sistema e instalam ladrões de informações.
Por que é tão eficaz
Por anos, o foco da segurança digital foi ensinar usuários a não clicar em links suspeitos ou baixar anexos perigosos. Mas o ClickFix contorna essa barreira — porque a vítima executa voluntariamente o comando, acreditando estar resolvendo um problema.
Além disso, a ação de copiar o comando ocorre dentro do navegador, onde ferramentas de segurança não conseguem detectar o comportamento malicioso. Isso torna o ClickFix especialmente difícil de rastrear e conter.
Anúncios falsos e o alvo nos desenvolvedores Mac
Campanhas recentes exploram anúncios pagos no Google para distribuir o golpe, imitando sites como Homebrew, LogMeIn e TradingView. Foram identificados mais de 85 domínios falsos usados para espalhar malwares, com foco em desenvolvedores de Mac.
Os criminosos usam esses sites para distribuir ladrões de informações como o AMOS (Atomic macOS Stealer) e o Odyssey Stealer, que coletam:
- Senhas e cookies de navegadores
- Dados de carteiras de criptomoedas
- Informações bancárias e pessoais
O único site legítimo do Homebrew é https://brew.sh. Qualquer variação — como “homebrew-install.com” — é fraudulenta.
Vídeos no TikTok espalham o golpe
Outra vertente do ClickFix usa vídeos tutoriais falsos no TikTok prometendo ativações gratuitas para Windows, Adobe, CapCut, Discord Nitro, Netflix Premium e Spotify Premium.
Os vídeos são bem produzidos, com narração em português e aparência profissional, mas direcionam para sites falsos que seguem o mesmo esquema: copiar e executar comandos maliciosos.
Não existe ativação gratuita legítima para esses serviços — qualquer promessa desse tipo é golpe.
Como se proteger do ClickFix
- Nunca execute comandos vindos de sites, vídeos ou tutoriais não verificados.
- Digite URLs manualmente no navegador; evite clicar em anúncios do Google.
- Desconfie de CAPTCHAs que pedem para abrir o terminal ou copiar comandos — isso é sempre falso.
- Verifique o domínio oficial antes de seguir instruções.
- Evite software pirata — cracks e ativadores são o vetor preferido desses ataques.
- Use ferramentas de segurança no endpoint (como EDR) para bloquear execuções suspeitas.
- Eduque-se sobre engenharia social — entender as táticas usadas é a melhor defesa.
O ClickFix representa uma mudança perigosa nas estratégias cibernéticas: em vez de enganar o sistema, ele engana o comportamento humano. E enquanto usuários continuarem a confiar em “tutoriais” e atalhos milagrosos, essa técnica continuará evoluindo e causando estragos.
