Novo tipo de ataque cibernético mira usuários de Linux. Até agora, o método de engenharia social conhecido como ClickFix era conhecido por enganar usuários do Windows, mas agora, segundo a empresa de segurança Hunt.io, essa técnica de ataque agora também está mirando usuários do sistema operacional Linux.

Os ataques ClickFix são conhecidos por enganar usuários através de falsos alertas de segurança ou verificações CAPTCHA, induzindo as pessoas a copiar e colar comandos maliciosos em seus terminais. Essa técnica já fez inúmeras vítimas no Windows e, mais recentemente, no macOS, criando uma porta de entrada para malwares, roubo de dados e até mesmo ransomware.

A expansão para o Linux é uma evolução preocupante da tática, uma vez que o sistema operacional de código aberto é amplamente utilizado em ambientes corporativos, servidores e por usuários técnicos que costumam ser mais conscientes sobre segurança.

Segundo pesquisadores, a campanha atual está em fase experimental, mas demonstra a determinação dos cibercriminosos em ampliar seu arsenal.

O ClickFix surgiu como uma técnica de engenharia social focada principalmente em usuários do Windows. Seu funcionamento é engenhosamente simples: os atacantes criam sites falsos ou comprometem sites legítimos para exibir mensagens de erro ou páginas de verificação que parecem autênticas.

O elemento central do ataque é fazer com que o usuário execute comandos maliciosos sem perceber. Para isso, quando a vítima clica em botões como “Verificar”, “Atualizar” ou “Continuar”, um comando é silenciosamente copiado para a área de transferência. Em seguida, surgem instruções orientando o usuário a pressionar combinações de teclas como Win+R (no Windows) para abrir Executar, colar o comando e pressionar Enter.

No Windows, esses comandos geralmente utilizam PowerShell ou MSHTA para baixar e executar malwares, enquanto aparentemente resolvem o problema fictício apresentado. Para manter a ilusão de legitimidade, após a execução do comando malicioso, o site frequentemente exibe um documento ou imagem que parecem ser o conteúdo que o usuário estava tentando acessar originalmente.

Enquanto isso, em segundo plano, o malware é instalado e pode roubar informações, instalar ransomware ou estabelecer acesso permanente ao dispositivo comprometido.

A evolução do ClickFix para atacar sistemas Linux foi identificada pela Hunt.io em uma campanha atribuída ao grupo APT36 (também conhecido como “Transparent Tribe”), que tradicionalmente tem ligações com o Paquistão e costuma mirar alvos indianos.

O real perigo reside na infraestrutura já estabelecida. O script atual poderia facilmente ser substituído por uma versão maliciosa que instala backdoors, rouba credenciais ou compromete o sistema de outras formas.

A simplicidade do ataque é parte do que o torna tão perigoso. Com uma única linha de comando, os atacantes podem estabelecer persistência no sistema, desativar recursos de segurança ou iniciar comunicação com servidores de comando e controle.

No Linux, onde muitos usuários executam rotineiramente comandos de terminal, essa abordagem pode ser particularmente eficaz, especialmente se o comando parecer inofensivo à primeira vista.

A principal recomendação para todos os usuários é nunca copiar e colar comandos desconhecidos em terminais ou prompts de execução, mesmo que pareçam vir de fontes confiáveis. Se um site solicita a execução de comandos para “verificar” seu dispositivo ou “corrigir” um problema, isso deve ser tratado como um sinal de alerta imediato.

Especialistas em segurança também recomendam:

• Manter sistemas e aplicativos sempre atualizados com os últimos patches de segurança.
• Utilizar soluções de segurança capazes de identificar comportamentos suspeitos.
• Desconfiar de solicitações para executar comandos, especialmente em situações incomuns.
• Verificar a autenticidade de sites antes de interagir com eles, observando cuidadosamente a URL.
• Adotar autenticação de múltiplos fatores sempre que possível para proteger contas importantes.

Com o avanço das técnicas de engenharia social como o ClickFix, a consciência e a educação dos usuários são tão importantes quanto as ferramentas de proteção. A melhor defesa continua sendo o conhecimento e a cautela, independentemente da plataforma utilizada.