Erros, Notícias

Mais de 700 sites de educação e tecnologia foram alvo de um ataque na âmbito de uma vasta campanha do malware ClickFix

por Pieter Arntz | 26 de maio de 2026
O ClickFix imita o Windows

Os atacantes estão a explorar uma vulnerabilidade crítica do Sistema de Gestão de Conteúdos (CMS) Ghost para sequestrar mais de 700 sites legítimos e inserir uma etapa de verificação falsa da Cloudflare que induz os visitantes a executarem um Windows que instala malware.

Estas campanhas de engenharia social — nas quais os visitantes de sites são levados a executar comandos maliciosos nos seus sistemas — são geralmente conhecidas como ataques «ClickFix». Neste caso, os cibercriminosos transformaram sites pertencentes a organizações de confiança, incluindo universidades e empresas tecnológicas, em plataformas de distribuição para a campanha de malware.

Mais de 700 sites desenvolvidos com o Ghost foram comprometidos através de uma vulnerabilidade conhecida de injeção SQL, identificada como CVE-2026-26980. Os atacantes utilizaram esta falha para roubar chaves de API administrativas e injetar silenciosamente código JavaScript malicioso em publicações e páginas dos sites afetados.

Os investigadores descobriram que o script injetado carrega um fluxo ClickFix de segunda fase, apresentando aos visitantes uma caixa de diálogo falsa de verificação da Cloudflare ou CAPTCHA.

Exemplo de verificação falsa da Cloudflare
Exemplo de verificação falsa da Cloudflare

Em vez de uma caixa de seleção normal, a página instrui os utilizadores a copiar e colar um comando na caixa de diálogo Windows ou no PowerShell, levando-os, na prática, a instalar malware nos seus próprios sistemas.

Informações para administradores de sites

No centro desta campanha está uma falha crítica de injeção de SQL na API de Conteúdo do Ghost. Os investigadores observaram:

«Sem qualquer autenticação, um invasor pode aceder diretamente ao conteúdo da base de dados através desta vulnerabilidade, incluindo a chave da API de administração utilizada para aceder à API de administração do Ghost.»

A vulnerabilidade afeta as versões 3.24.0 a 6.19.0 do Ghost e pode ser explorada sem necessidade de iniciar sessão.

está disponível uma versão corrigida, que deve ser instalada o mais rapidamente possível. Não apenas devido à campanha ClickFix; uma vez que os atacantes roubem uma chave da API de administrador, podem editar, eliminar ou criar publicações, injetar scripts, sequestrar temas e alterar o conteúdo visível para os utilizadores de outras formas.

Como se manter seguro

É provável que esta campanha seja particularmente eficaz, uma vez que as instruções são apresentadas como passos técnicos inofensivos, tais como «verifique se é humano», «corrija a sua ligação» ou «continue para o site». Pior ainda, o conteúdo aparece em sites em que os utilizadores já confiam.

Com o ClickFix a espalhar-se rapidamente — e não parece que vá desaparecer tão cedo —, é importante estar atento, ser cuidadoso e proteger-se.

  • Vá com calma. Nãosiga instruções numa página da Web sem as analisar cuidadosamente, especialmente se a página lhe pedir para executar comandos no seu dispositivo ou copiar e colar código. Os atacantes aproveitam-se da sensação de urgência para contornar o pensamento crítico, e muitas páginas do ClickFix utilizam contagens decrescentes, contadores de utilizadores falsos ou outras táticas de pressão para o levar a agir rapidamente.
  • Evite executar comandos ou scripts provenientes de fontes não confiáveis. Nuncaexecute código ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Se um site lhe pedir para executar um comando ou realizar uma ação técnica, consulte a documentação oficial ou contacte o apoio técnico antes de prosseguir.
  • Tenha cuidado ao copiar e colar comandos. Os atacantes costumam disfarçar cargas maliciosas no texto da área de transferência. Digitar os comandos manualmente, em vez de os copiar e colar, pode reduzir o risco de executar, sem saber, cargas maliciosas ocultas.
  • Proteja os seus dispositivos. Utilizeumasolução antimalwareatualizada e em tempo real com um componente de proteção da Web.
  • Mantenha-se informado sobre a evolução das técnicas de ataque.Os cibercriminosos adaptam constantemente os seus métodos, e a sensibilização continua a ser uma das suas melhores defesas; por isso, continue a ler o nosso blogue!

Dica de profissional:Sabias que o Malwarebytes Browser Guard avisa-o quando um site tenta copiar algo para a sua área de transferência?

Impedir as ameaças antes que causem qualquer dano.

Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
semana da segurança

Uma semana no mundo da segurança (maio 18 – maio 24)

maio 25, 2026

Uma lista dos temas que abordámos na semana de 18 a 24 de maio de 2026

Insectos
Logótipo Chrome

Atualize Chrome : falhas críticas podem permitir que invasores executem código

maio 22, 2026

Esta Chrome corrige falhas críticas que os atacantes poderiam explorar através de sites maliciosos, mas não a vulnerabilidade «Browser Fetch».

Insectos
Logótipo da Defender

As vulnerabilidades do Microsoft Defender estão a ser exploradas em ambiente real

maio 21, 2026

A CISA adicionou sete vulnerabilidades conhecidas e já exploradas ao seu catálogo KEV, incluindo duas falhas do Microsoft Defender.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes