RECOMENDAÇÃO 03/2026

1. O CTIR Gov informa sobre a disseminação da técnica de engenharia social denominada "ClickFix". Esta técnica, observada em campanhas recentes, explora a confiança do usuário ao simular alertas legítimos do sistema operacional ou de serviços conhecidos (como CAPTCHAs, atualizações de navegador ou mensagens de erro de impressão) para induzir a execução direta de comandos maliciosos, concedendo acesso remoto não autorizado ao ambiente corporativo.

2. O ataque ocorre quando o usuário acessa um site legítimo comprometido ou uma página de phishing. A página exibe uma mensagem de erro falsa (ex.: "Clique em 'Verificar' para acessar o conteúdo" ou "Erro ao carregar a página") ou um CAPTCHA falso. Ao seguir as instruções visuais, a vítima é induzida a abrir a caixa de diálogo "Executar" do Windows (atalho Windows + R) e a colar um comando pré-formatado fornecido pelo site. Este comando, geralmente copiado automaticamente ao clicar no botão falso, é executado diretamente pela vítima, que acredita estar solucionando um problema trivial. O comando colado costuma invocar o PowerShell ou MSHTA para baixar e executar um script malicioso silenciosamente, contornando as políticas de restrição de execução de arquivos e alertas de segurança tradicionais, já que a ação é iniciada manualmente pelo usuário.

3. Como identificar o comprometimento?

- Análise de Estações de Trabalho: Verifique a ocorrência de execuções inesperadas do powershell.exe, cmd.exe ou mshta.exe originadas de processos pai não usuais (como explorer.exe ou browser.exe), especialmente se executaram comandos com sintaxe complexa ou de download via WebClient.

- Logs de Segurança: Monitore os logs do Windows Event Viewer (ID 4688) para identificar processos filhos incomuns, especialmente aqueles iniciados a partir de navegadores web ou com argumentos contendo strings de download, codificação Base64 ou padrões de ofuscação.

- Histórico de Clipboard e Comandos: Investigue estações de trabalho suspeitas para verificar se há registros de comandos colados no "Executar" (Win+R) ou histórico do PowerShell (Get-History) que contenham chamadas para URLs suspeitas ou rotinas de download.

- Tráfego de Rede: Inspecione proxies e firewalls em busca de conexões saindo de estações de trabalho para domínios recém-registrados ou com baixa reputação, imediatamente após a execução de processos como PowerShell. Analise a presença de beacons (comunicações periódicas) para servidores externos (C2) que possam ter sido estabelecidos pelo malware resultante.

4. Recomendações:

- Bloqueio do Atalho Windows + R: Utilize Política de Grupo (GPO) para restringir o uso da caixa de diálogo "Executar" nos ambientes onde não for estritamente necessária. Configure o caminho: User Configuration > Administrative Templates > Start Menu and Taskbar > Remove Run menu from Start Menu. Esta medida dificulta a execução manual de comandos via atalho de teclado.

- Políticas de Execução (App Control): Implemente políticas de Controle de Aplicativos (WDAC ou AppLocker) que impeçam a execução de binários nativos do Windows (como PowerShell, MSHTA, Regsvr32) a partir de diretórios graváveis por usuários (ex.: AppData, Temp) ou que restrinjam a execução baseada no processo pai (navegadores).

- Configuração do Windows Terminal (Opcional): Caso o Terminal seja utilizado, configure-o para exibir avisos quando o texto colado contiver múltiplas linhas, alertando o usuário sobre possíveis comandos concatenados.

- Campanha Educativa: Oriente os usuários a desconfiar de páginas web que solicitem a abertura do "Executar" (Win+R) ou a colagem de comandos para "provar que são humanos" ou "corrigir erros de visualização". Reforce que nenhum serviço legítimo (como CAPTCHA ou atualizações) exige a execução manual de comandos no sistema operacional para validação.

- Bloqueio Preventivo: Caso haja identificação de URLs maliciosas utilizadas como fonte de scripts, realize o bloqueio imediato nos filtros web e proxies.

Em caso de suspeita ou confirmação de incidente relacionado à técnica ClickFix, o órgão deve reportar a ocorrência de imediato ao CTIR Gov (ctir@ctir.gov.br).

[TLP:CLEAR]