A equipe de cibersegurança da Sekoia identificou uma nova e perigosa variante do golpe conhecido como ClearFake, que está sendo usada para roubar criptomoedas e credenciais de acesso de vítimas. O esquema, que já existe há pelo menos dois anos, ganhou uma versão mais sofisticada, utilizando uma falsa página de CAPTCHA para enganar os usuários. A nova modalidade, chamada de ClickFix, já comprometeu mais de 9,3 mil sites e expôs cerca de 200 mil pessoas a riscos de infecção por malwares, como o conhecido LummaStealer.
Como o golpe ClearFake funciona?
O golpe começa com cibercriminosos invadindo sites legítimos de diferentes tipos e regiões. Eles exploram vulnerabilidades no servidor ou roubam as credenciais de administradores para obter acesso às páginas. Uma vez dentro, os criminosos inserem um código HTML que sobrepõe o conteúdo original do site com uma falsa página de verificação de CAPTCHA.
Quando o usuário tenta acessar o site, ele se depara com a falsa verificação de segurança. Ao tentar resolver o CAPTCHA falso — que geralmente envolve clicar em uma caixa —, a vítima recebe uma mensagem de erro, alegando que há um problema no tráfego da conexão. Esse aviso é totalmente falso, mas serve para dar credibilidade ao golpe. Em seguida, o site sugere que o usuário corrija manualmente a “falha”.
O passo a passo da fraude
O golpe instrui a vítima a abrir a janela “Executar” do Windows e colar um código específico. Em alguns casos, o código já está copiado na Área de Transferência, exigindo apenas que o usuário pressione Ctrl+V. Em outros, é necessário copiar um suposto “código de verificação” e colá-lo em uma caixa de texto.
O que a vítima não sabe é que, ao seguir essas instruções, está executando um código em JavaScript que inclui um comando PowerShell. Esse comando infecta o sistema, permitindo o download de malwares e dando aos criminosos acesso a informações sigilosas, como carteiras de criptomoedas e credenciais de acesso.
O que é um CAPTCHA?
O CAPTCHA é um mecanismo de verificação de identidade amplamente utilizado para distinguir usuários humanos de bots. O nome é uma sigla para Teste de Turing Público Totalmente Automatizado para Diferenciar Computadores de Humanos. Normalmente, o CAPTCHA envolve tarefas simples, como digitar um código exibido na tela, resolver contas matemáticas ou selecionar imagens específicas.
Essas tarefas não apenas verificam a identidade do usuário, mas também podem ser usadas para treinar sistemas de reconhecimento visual, como os algoritmos da Google. No entanto, no caso do golpe ClearFake, o CAPTCHA é falso e serve apenas como isca para enganar as vítimas.
Como se proteger do ClearFake?
Para evitar cair nesse tipo de golpe, é essencial adotar práticas de segurança online, como:
- Desconfiar de mensagens de erro inesperadas ao acessar sites.
- Nunca copiar e colar códigos sugeridos por páginas suspeitas.
- Manter o sistema operacional e antivírus atualizados para detectar e bloquear malwares.
- Verificar a autenticidade dos sites antes de inserir qualquer informação sensível.
- Usar extensões de navegador que bloqueiam scripts maliciosos.
O golpe ClearFake, em sua nova variante ClickFix, representa uma ameaça significativa para usuários da internet, especialmente aqueles que lidam com criptomoedas ou informações sensíveis. Ao se aproveitar de mecanismos de segurança como o CAPTCHA, os criminosos conseguem enganar até mesmo usuários experientes. A melhor defesa é a prevenção: desconfie de páginas e mensagens suspeitas e sempre verifique a autenticidade dos sites que visita. A cibersegurança começa com a conscientização e a adoção de práticas seguras no dia a dia.
