Uma nova campanha de malware, batizada de ClickFix, está utilizando uma técnica de evasão sofisticada que emprega o Windows Terminal legítimo para executar cargas maliciosas, contornando detecções baseadas em assinatura. Ataques direcionados contra a infraestrutura de internet também estão em ascensão, com o abuso do TLD .arpa em campanhas de phishing e a exploração generalizada de uma vulnerabilidade crítica no Cisco Catalyst SD-WAN. Paralelamente, o cenário de ameaças da Inteligência Artificial se expande, com sites clonados de ferramentas de IA distribuindo malware e especialistas alertando para os riscos de dívida técnica em desenvolvimento assistido por IA.
ClickFix: Abusando do Windows Terminal para Evasão de Detecção
A campanha ClickFix representa uma evolução tática no delivery de malware. Em vez de depender de executáveis maliciosos tradicionais, os atacantes estão utilizando scripts que lançam o Windows Terminal (wt.exe) — um aplicativo legítimo e assinado do sistema — com parâmetros específicos para buscar e executar um payload remoto. Esta técnica, conhecida como “living-off-the-land” (LOLBin), é altamente eficaz para evitar soluções de segurança que monitoram apenas a assinatura de arquivos ou processos incomuns. O payload final é tipicamente um infostealer ou um backdoor, entregue a partir de um servidor de comando e controle (C2) sob o controle dos atacantes.
Ameaças à Infraestrutura de Rede e Exploração de Vulnerabilidades Críticas
Dois vetores de ataque estão pressionando a infraestrutura de rede central. Primeiro, atores de ameaças estão abusando do domínio de topo (TLD) .arpa — originalmente destinado à infraestrutura de internet — para hospedar páginas de phishing. O uso de um TLD técnico e menos comum busca enganar filtros de e-mail e usuários desatentos. Em segundo lugar, uma vulnerabilidade crítica (CVE-2025-XXXX) no Cisco Catalyst SD-WAN Manager está agora sob exploração ativa e generalizada. A falha, que permite execução remota de código, está sendo usada para comprometer dispositivos de borda de rede, potencialmente dando aos atacantes um ponto de entrada persistente em redes corporativas.
O Vetor de Ataque da IA: Ferramentas Clonadas e Dívida Técnica Insegura
A popularidade das ferramentas de IA está sendo explorada por grupos de cibercrime. A campanha ‘InstallFix’ envolve a criação de sites que clonam a aparência e o conteúdo de plataformas legítimas de IA. Visitantes que baixam o “software” desses sites recebem, na verdade, um instalador malicioso que implanta malware. Além dessa ameaça direta, especialistas alertam para um risco sistêmico: a dívida técnica de segurança gerada pelo desenvolvimento assistido por IA. Quando os desenvolvedores tratam os copilotos de IA como entidades autônomas e não como colaboradores rigorosamente monitorados, eles podem introduzir inadvertidamente vulnerabilidades e lógicas inseguras no código, criando uma base frágil para aplicações futuras.
“Developers must view AI as a collaborator to be closely monitored, rather than an autonomous entity to be unleashed. Without such a mindset, crippling tech debt is inevitable.” — Matias Madou, SecurityWeek Expert Insights
Outras Ameaças em Destaque: GitHub, Zero-Days e Atividade Suspeita
O cenário de ameaças continua diversificado. Mais de 100 repositórios no GitHub foram identificados distribuindo uma variante do stealer BoryptGrab, disfarçada em ferramentas de cracking ou software gratuito. Dados do Google indicam que metade dos 90 zero-days explorados em 2025 tinham como alvo ambientes corporativos, e não consumidores, destacando o valor do ativo empresarial para os atacantes. Em um desenvolvimento de alto nível, o FBI está investigando atividade cibernética “suspeita” em um sistema que contém informações sensíveis de vigilância, enquanto hackers associados ao Irã foram creditados por ataques recentes a um aeroporto, um banco e uma empresa de software.
Recomendações de Mitigação
- Contra Técnicas LOLBin (ClickFix): Implementar detecção baseada em comportamento que monitore a sequência de processos, especialmente o uso do Windows Terminal com parâmetros de rede suspeitos. Políticas de restrição de software podem limitar a execução do wt.exe a cenários necessários.
- Para Infraestrutura de Rede: Aplicar imediatamente o patch para a vulnerabilidade do Cisco Catalyst SD-WAN Manager (CVE-2025-XXXX). Treinar usuários para desconfiar de e-mails que usam domínios incomuns como .arpa e implementar soluções de DNS filtering.
- Segurança em Desenvolvimento com IA: Estabelecer revisões de código rigorosas para todo o código gerado por assistentes de IA. Baixar ferramentas de desenvolvimento apenas de fontes oficiais e verificar assinaturas digitais.
- Gestão de Terceiros (GitHub): Auditar o uso de bibliotecas e ferramentas de repositórios públicos. Implementar ferramentas de Software Composition Analysis (SCA) para detectar dependências maliciosas.
Análise baseada no boletim diário da SecurityWeek (09/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário