Notícias

A ClickFix adicionou comandos nslookup ao seu arsenal para baixar RATs.

por Pieter Arntz | 16 de fevereiro de 2026
O ClickFix imita o Windows

As campanhas de malware ClickFix têm como objetivo enganar a vítima para que ela infete o seu próprio computador.

Aparentemente, os criminosos por trás dessas campanhas descobriram que os comandos mshta e Powershell estão cada vez mais a ser bloqueados por softwares de segurança, então desenvolveram um novo método usando o nslookup.

As etapas iniciais são praticamente as mesmas que vimos antes: instruções falsas de CAPTCHA para provar que você não é um robô, resolver problemas ou atualizações inexistentes do computador, causar falhas no navegador e até vídeos com instruções.

A ideia é fazer com que as vítimas executem comandos maliciosos para infetar os seus próprios computadores. O comando malicioso é frequentemente copiado para a área de transferência da vítima com instruções para copiá-lo na caixa de diálogo Windows ou no Mac .

O Nslookup é uma ferramenta integrada para usar a «lista telefónica» da Internet, e os criminosos estão basicamente a abusar dessa lista para contrabandear instruções e malware, em vez de apenas obter um endereço.

Ele existe para resolver problemas de rede, verificar se o DNS está configurado corretamente e investigar domínios estranhos, não para baixar ou executar programas. Mas os criminosos configuraram um servidor para responder com dados criados de forma que parte da «resposta» seja, na verdade, outro comando ou um ponteiro para malware, não apenas um endereço IP normal.

A Microsoft forneceu estes exemplos de comandos maliciosos:

Exemplos de comandos nslookup

Esses comandos iniciam uma cadeia de infecção que descarrega um arquivo ZIP de um servidor externo. A partir desse arquivo, ele extrai um script Python malicioso que executa rotinas para realizar reconhecimento, executar comandos de descoberta e, eventualmente, soltar um Visual Basic que solta e executa o ModeloRAT.

O ModeloRAT é um trojan de acesso remoto (RAT) baseado em Python que dá aos invasores controle prático sobre uma Windows infectada.

Resumindo, os cibercriminosos encontraram mais uma maneira de usar uma ferramenta técnica confiável e fazer com que ela execute secretamente a próxima etapa do ataque, tudo isso desencadeado pela vítima ao seguir o que parecem ser instruções inofensivas de suporte para copiar e colar. Nesse momento, eles podem entregar o controlo sobre o seu sistema.

Como se manter seguro

Com o ClickFix a espalhar-se rapidamente — e não parece que vá desaparecer tão cedo —, é importante estar atento, ser cuidadoso e proteger-se.

  • Vá com calma. Não seapresse em seguir as instruções de uma página da Web ou prompt, especialmente se elas solicitarem que execute comandos no seu dispositivo ou copie e cole códigos. Os invasores contam com a urgência para contornar o seu pensamento crítico, portanto, tenha cuidado com páginas que exigem ação imediata. Páginas sofisticadas do ClickFix adicionam contagens regressivas, contadores de utilizadores ou outras táticas de pressão para fazer com que você aja rapidamente.
  • Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contacto com o suporte antes de prosseguir.
  • Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
  • Proteja os seus dispositivos. Utilizeumasolução antimalwareatualizada e em tempo real com um componente de proteção da Web.
  • Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue a ler o nosso blog!

Dica profissional:sabia que o programa gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?

Não nos limitamos a relatar ameaças — ajudamos a proteger toda a sua identidade digital.

Os riscos de cibersegurança nunca devem ir além das manchetes. Proteja as suas informações pessoais e as da sua família usando proteção de identidade.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes