Erros, Notícias

Mais de 700 sites de educação e tecnologia foram invadidos em uma grande campanha do malware ClickFix

por Pieter Arntz | 26 de maio de 2026
O ClickFix imita o Windows

Os invasores estão explorando uma vulnerabilidade crítica no Sistema de Gerenciamento de Conteúdo (CMS) Ghost para sequestrar mais de 700 sites legítimos e inserir uma etapa de verificação falsa da Cloudflare que induz os visitantes a executar um Windows que instala malware.

Essas campanhas de engenharia social — nas quais os visitantes de sites são levados a executar comandos maliciosos em seus sistemas — são comumente conhecidas como ataques “ClickFix”. Nesse caso, os cibercriminosos transformaram sites pertencentes a organizações confiáveis, incluindo universidades e empresas de tecnologia, em plataformas de disseminação para a campanha de malware.

Mais de 700 sites desenvolvidos com o Ghost foram comprometidos por meio de uma vulnerabilidade conhecida de injeção de SQL, identificada como CVE-2026-26980. Os invasores utilizaram essa falha para roubar chaves de API administrativas e injetar silenciosamente código JavaScript malicioso em publicações e páginas dos sites afetados.

Os pesquisadores descobriram que o script injetado carrega um fluxo ClickFix de segunda fase, exibindo aos visitantes uma janela de diálogo falsa de verificação do Cloudflare ou CAPTCHA.

Exemplo de verificação falsa do Cloudflare
Exemplo de verificação falsa do Cloudflare

Em vez de uma caixa de seleção comum, a página orienta os usuários a copiar e colar um comando na caixa de diálogo Windows ou no PowerShell, levando-os, na prática, a instalar malware em seus próprios sistemas.

Informações para administradores de sites

No centro desta campanha está uma vulnerabilidade crítica de injeção de SQL na API de Conteúdo do Ghost. Os pesquisadores observaram:

“Sem qualquer autenticação, um invasor pode acessar diretamente o conteúdo do banco de dados por meio dessa vulnerabilidade, incluindo a chave da API de administração usada para chamar a API de administração do Ghost.”

A vulnerabilidade afeta as versões 3.24.0 a 6.19.0 do Ghost e pode ser explorada sem a necessidade de fazer login.

está disponível uma versão corrigida, que deve ser instalada o mais rápido possível. Não apenas por causa da campanha ClickFix; uma vez que os invasores roubem uma chave da API de administrador, eles podem editar, excluir ou criar publicações, injetar scripts, sequestrar temas e adulterar o conteúdo exibido aos usuários de outras maneiras.

Como se manter seguro

É provável que essa campanha seja particularmente eficaz porque as instruções são apresentadas como passos técnicos inofensivos, como “confirme que você é humano”, “corrija sua conexão” ou “continue para o site”. Pior ainda, o conteúdo aparece em sites nos quais os usuários já confiam.

Com o ClickFix se espalhando rapidamente — e não parece que ele vai desaparecer tão cedo —, é importante estar atento, ser cuidadoso e se proteger.

  • Vá com calma. Nãosiga instruções em uma página da web sem antes refletir sobre elas, especialmente se a página pedir que você execute comandos no seu dispositivo ou copie e cole código. Os invasores aproveitam-se da sensação de urgência para contornar o pensamento crítico, e muitas páginas do ClickFix utilizam contagens regressivas, contadores de usuários falsos ou outras táticas de pressão para fazer com que você aja rapidamente.
  • Evite executar comandos ou scripts provenientes de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que você confie na fonte e compreenda o objetivo da ação. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
  • Tenha cuidado ao copiar e colar comandos. Os invasores costumam ocultar cargas maliciosas no texto da área de transferência. Digitar os comandos manualmente, em vez de copiá-los e colá-los, pode reduzir o risco de executar, sem saber, cargas maliciosas ocultas.
  • Proteja seus dispositivos. Useumasolução antimalwareatualizada e em tempo real com um componente de proteção da web.
  • Mantenha-se informado sobre as novas técnicas de ataque.Os cibercriminosos adaptam constantemente seus métodos, e a conscientização continua sendo uma das suas melhores defesas; por isso, continue acompanhando nosso blog!

Dica profissional:Você sabia que o Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?

Impedir que as ameaças causem qualquer dano.

Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
semana em segurança

Uma semana no setor de segurança (maio 18 – maio 24)

Maio 25, 2026

Uma lista dos assuntos que abordamos na semana de 18 a 24 de maio de 2026

Insetos
Logotipo Chrome

Atualize Chrome : falhas críticas podem permitir que invasores executem código

Maio 22, 2026

Esta Chrome corrige falhas críticas que os invasores poderiam explorar por meio de sites maliciosos, mas não a vulnerabilidade “Browser Fetch”.

Insetos
Logotipo da Defender

Vulnerabilidades do Microsoft Defender estão sendo exploradas em ataques reais

Maio 21, 2026

A CISA adicionou sete vulnerabilidades conhecidas e exploradas ao seu catálogo KEV, incluindo duas falhas do Microsoft Defender.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes