ClickFix: A Ameaça Silenciosa que Transforma Seu Clipboard em um Vetor de RCE

Hoje, vamos mergulhar em uma tática de ataque que, apesar de sua simplicidade e dependência de engenharia social, tem se mostrado incrivelmente eficaz em contornar defesas e obter execução remota de código (RCE): o ClickFix.

English Version

Popularizado por pesquisadores como John Hammond e documentado no projeto ClickGrab, o ClickFix é um lembrete contundente de que a “camada 8” (o usuário) continua sendo o ponto mais vulnerável em qualquer arquitetura de segurança.

Tabela de conteúdos

O Que É o ClickFix e Como Ele Funciona?
Por Que o ClickFix é Tão Perigoso para Cibersegurança e Redes?
Como Proteger Seus Usuários e Sua Rede contra o ClickFix?
Conclusão

O Que É o ClickFix e Como Ele Funciona?

Em sua essência, o ClickFix é uma técnica de engenharia social que explora a confiança e o desconhecimento do usuário sobre o funcionamento de atalhos de sistema e da área de transferência (clipboard).

O processo é dividido em etapas precisas:

1. Envenenamento do Clipboard (Client-Side):

Um atacante cria uma página web maliciosa.
Ao ser visitada, esta página executa um script JavaScript (geralmente navigator.clipboard.writeText()) que silenciosamente sobrescreve o conteúdo da área de transferência do usuário com um comando malicioso.

Isso acontece sem qualquer interação explícita do usuário na maioria dos navegadores modernos em contextos de “user-initiated event” ou mesmo em alguns casos sem um evento direto se a política de segurança permitir (o que está se tornando mais restrito, mas ainda possível em cenários específicos).

2. Engenharia Social e Indução à Execução:

A página exibe instruções enganosas ao usuário, com mensagens como “verifique sua sessão”, “corrija um erro no sistema”, “atualize um driver” ou “confirme sua identidade”.
As instruções solicitam ao usuário que realize uma sequência de teclas:
- Windows + R (no Windows) ou Alt + F2 (no GNOME/Linux): Este atalho abre a caixa de diálogo “Executar”, uma ferramenta poderosa que aceita e executa comandos diretamente no sistema operacional.
- Ctrl + V (Colar): O usuário, inocentemente, cola o “código de verificação” na caixa “Executar”. No entanto, o que é colado é o comando malicioso que foi inserido no clipboard.
- Enter: Ao pressionar Enter, o usuário AUTORIZA a execução do comando malicioso.

3. Execução do Payload:

O comando pode ser qualquer coisa que o atacante deseje: desde um comando simples como calc.exe (como usamos em nossos laboratórios para PoC inofensivas) até payloads complexos como scripts PowerShell , comandos curl | bash em sistemas Linux, ou até mesmo chamadas para LOLbins (Living Off the Land Binaries) para download e execução de binários.

Por Que o ClickFix é Tão Perigoso para Cibersegurança e Redes?

A simplicidade do ClickFix esconde sua letalidade, especialmente para equipes de segurança:

Bypass de Defesas Perimetrais: O ataque não depende de exploits de vulnerabilidade de software no navegador ou no sistema. Ele engana o usuário a executar o comando, bypassando WAFs, IDS/IPS e muitas proteções de e-mail.
Desafio de Detecção de Endpoint (EDR): O processo de execução é iniciado pelo próprio usuário através de um binário legítimo do sistema (como explorer.exe no Windows, que lança a caixa “Executar”). Isso pode dificultar a detecção baseada em padrões de processos ou anomalias, exigindo regras de EDR mais sofisticadas que analisem a linha de comando completa e o contexto.
Multiplataforma: Como demonstramos em laboratório, a técnica funciona igualmente bem em Windows e Linux (e teoricamente em macOS com o atalho equivalente para um prompt de execução). A natureza agnóstica de plataforma da engenharia social é um grande desafio.
Cadeia de Ataque Curta: A RCE é obtida com pouquíssima interação e em poucos segundos, deixando pouco tempo para o usuário ou para sistemas de segurança reagirem.

Como Proteger Seus Usuários e Sua Rede contra o ClickFix?

A defesa contra o ClickFix exige uma abordagem em camadas que combine educação, hardening de endpoints e monitoramento de rede:

Conscientização do Usuário (A Primeira Linha de Defesa):
- “A Regra do Bloco de Notas”: Ensine os usuários a SEMPRE colar conteúdos suspeitos em um editor de texto simples (como o Bloco de Notas) ANTES de executá-los ou colá-los em qualquer janela de comando. Isso revela o payload real.
- Educação sobre Atalhos: Treine os usuários para desconfiar de qualquer solicitação de um site para usar atalhos de sistema como Win+R ou Alt+F2. Sites legítimos raramente exigem isso.
- Princípio da Desconfiança: Reforce que se algo parece muito fácil ou muito urgente, é preciso desconfiar.
Hardening de Endpoints (Segurança de Posição):
- Princípio do Menor Privilégio: Garanta que os usuários operem com contas de privilégios mínimos. Isso limita significativamente o impacto de um payload mesmo que seja executado.
- GPO/MDM (Windows): Em ambientes corporativos, considere desabilitar o acesso à caixa “Executar” (Win+R) para usuários padrão via GPOs (Group Policy Objects) ou soluções de MDM.
- Controle de Aplicações (AppLocker, WDAC, AppArmor): Implemente políticas de controle de aplicações que restrinjam a execução de binários e scripts não autorizados. Isso pode bloquear a execução do payload mesmo que o usuário o cole.
- Restrição de PowerShell/Scripting: Configure políticas para o PowerShell ou outros interpretadores de script para desabilitar a execução de scripts não assinados ou restringir a funcionalidade.
Monitoramento e Detecção (Segurança de Detecção):
- EDR/XDR Avançado: Invista em soluções EDR/XDR que possuam capacidades avançadas de detecção de anomalias de linha de comando e telemetria de processos. Regras personalizadas podem ser criadas para alertar sobre execuções de PowerShell, curl, wget ou bash com parâmetros suspeitos quando originadas de processos como explorer.exe ou de contextos inesperados.
- Monitoramento de Rede: Embora o ataque inicial seja no endpoint, o payload frequentemente tentará se comunicar com um servidor C2 (Command and Control) via HTTP/HTTPS. Monitore o tráfego de rede para detectar essas conexões anômalas, especialmente para domínios recém-registrados ou IPs incomuns.
- SIEM e Correlação: Correlacione logs de EDR e de rede para identificar a cadeia completa do ataque, desde a navegação web até a atividade pós-exploração.

Conclusão

O ClickFix é um lembrete vívido de que a superfície de ataque se estende muito além do código-fonte e dos dispositivos. Ela abrange a cognição humana e a maneira como interagimos com a tecnologia.

Para os profissionais de cibersegurança e redes, isso significa que nossas estratégias devem ser holísticas, combinando a tecnologia mais recente com a educação fundamental do usuário.

A prevenção é sempre a melhor defesa, mas a capacidade de detectar e responder rapidamente é igualmente crucial.

Você já encontrou o ClickFix em suas varreduras ou auditorias? Quais estratégias sua equipe utiliza para mitigar esse tipo de ataque? Compartilhe suas experiências e insights nos comentários abaixo!

Veja mais:

Como Proteger seu Servidor Contra Ataques de Força Bruta com ufw limit

Como Procurar Rootkits e Malwares em Servidores Linux com chkrootkit

AIDE : IDS para Linux Ubuntu Instalação e Configuração

Por que usar o Kali Linux dentro do VirtualBox?

Instalando Kali Linux no VirtualBox: Guia Passo a Passo para Iniciantes

Juliana Mascarenhas

Data Scientist and Master in Computer Modeling by LNCC.
Computer Engineer

Ferramentas Kali Obsoletas: 5 Substituições Modernas para seu Testes

16 de novembro de 2025 Nenhum comentário

O Kali Linux é o canivete suíço padrão para qualquer profissional de cibersegurança. Seu repositório…

Ler mais

Malware Maverick: Por que o Golpe do WhatsApp (.ZIP) Só Funciona no PC?

3 de novembro de 2025 Nenhum comentário

Nas últimas semanas, este novo trojan bancário (malware focado em roubar dados de bancos) explodiu…

Ler mais

AÇÃO URGENTE: Falha Crítica (CVSS 9.8) no WSUS (CVE-2025-59287) Está Sendo Explorada. Atualize Já!

28 de outubro de 2025 Nenhum comentário

Se você é um administrador de sistemas Windows ou gerencia a infraestrutura de TI de…

Ler mais

Configurar NAT Network no VirtualBox: Comunicação Entre VMs e Acesso à Internet

28 de outubro de 2025 Nenhum comentário

Você precisa que suas máquinas virtuais (VMs) no VirtualBox se comuniquem entre si, mas também…

Ler mais

ClickFix: A Ameaça Silenciosa que Transforma Seu Clipboard em um Vetor de RCE

14 de outubro de 2025 Nenhum comentário

Hoje, vamos mergulhar em uma tática de ataque que, apesar de sua simplicidade e dependência…

Ler mais

Como Monitorar seu Roteador com Zabbix: Guia para Iniciantes

1 de outubro de 2025 Nenhum comentário

Sua internet caiu… de novo. Foi o provedor? O roteador travou? Ou alguém tropeçou no…

Ler mais

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . / Definido pelo plugin GDPR Cookie Consent, este cookie é usado para registrar o consentimento do usuário para os cookies na categoria Publicidade = "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". / O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria"Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". / Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Other.".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. / O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_tccl_visit	30 minutes	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.
_tccl_visitor	1 year	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.

Cookie	Duração	Descrição
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites. / O cookie __gads, definido pelo Google, é armazenado no domínio da DoubleClick e rastreia o número de vezes que os usuários veem um anúncio, mede o sucesso da campanha e calcula sua receita. Este cookie só pode ser lido no domínio em que está configurado e não rastreará nenhum dado durante a navegação em outros sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. / O cookie _ga, instalado pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também acompanha o uso do site para o relatório de análise do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_4S4FKY1F7W	2 years	This cookie is installed by Google Analytics.
_ga_8V3HHZY0KL	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_199766752_1	1 minute	Set by Google to distinguish users. / Definido pelo Google para distinguir os usuários.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. / Instalado pelo Google Analytics, o _gid cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que visitam anonimamente.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duração	Descrição
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies. / O test_cookie é definido por doubleclick.net e é usado para determinar se o navegador do usuário oferece suporte a cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duração	Descrição
_octo	1 year	No description available.
DEVICE_INFO	5 months 27 days	No description
FCCDCF	12 hours	No description available.
GoogleAdServingTest	session	No description / Sem descrição
logged_in	1 year	No description available.

O Que É o ClickFix e Como Ele Funciona?

1. Envenenamento do Clipboard (Client-Side):

2. Engenharia Social e Indução à Execução:

3. Execução do Payload:

Por Que o ClickFix é Tão Perigoso para Cibersegurança e Redes?

Como Proteger Seus Usuários e Sua Rede contra o ClickFix?

Conclusão

Posts relacionados