- Golpistas usam páginas falsas de CAPTCHA para induzir vítimas a executar comandos maliciosos.
- Malware mira carteiras de Bitcoin, navegadores, e-mails e apps de mensagens.
- Ataques conseguem driblar antivírus e só instalam RATs em computadores com dados valiosos.
Um ataque crescente preocupa usuários de criptomoedas: um novo malware, baseado no antigo ACR Stealer, está usando a tática “ClickFix” para enganar vítimas e roubar carteiras de Bitcoin.
A campanha mistura engenharia social, páginas falsas e técnicas avançadas de entrega de malware que dificultam a detecção.
Como funciona o golpe “ClickFix”
Criminosos criam páginas falsas que imitam CAPTCHAs, alertas de sistema e notificações de serviços como Booking.com. Além disso, induzem usuários a executar um comando no Windows sob a promessa de “corrigir um erro” ou “liberar o acesso”. Esse comando instala o malware.
O ataque evoluiu do ACR Stealer, antes vendido como serviço. Agora, opera por assinatura. Por isso, os criminosos ampliaram o alcance e diversificaram campanhas com:
- Páginas falsas ClickFix usadas na campanha SmartApeSG.
- Arquivos VBS com notas fiscais falsas.
- E-mails com alertas internos falsificados.
Essas páginas também distribuem o NetSupport RAT, ferramenta usada para controle remoto secreto. Entretanto, os criminosos só ativam o acesso remoto em máquinas que mostram sinais de uso de criptomoedas, evitando desperdiçar recursos.
Segundo o analista de segurança John Hammond (Huntress Labs):
“Esses ataques se tornam mais perigosos porque combinam manipulação psicológica com métodos capazes de driblar soluções de segurança.”
Por que carteiras de Bitcoin são alvos tão valiosos
Criptomoedas podem ser transferidas em minutos e sem intermediários. Portanto, uma carteira comprometida pode render valores altos rapidamente — muitas vezes, irreversíveis.
Além disso, malwares como Amatera Stealer foram projetados para:
- identificar carteiras instaladas no computador;
- vasculhar navegadores em busca de extensões cripto;
- extrair private keys e seed phrases;
- capturar cookies de login e sessões em plataformas cripto.
Portanto, esse tipo de ataque cresce porque um único golpe pode render centenas de milhares ou até milhões de dólares.
Especialistas alertam que antivírus e EDR não são suficientes. O malware consegue evitar sandboxes e usar técnicas que mascaram sua execução.
O impacto no ecossistema cripto
Esse tipo de campanha afeta diretamente traders, holders e empresas que lidam com ativos digitais. Além disso, aumenta custos com segurança, reduz confiança e pressiona plataformas a reforçar autenticação e monitoramento.
Como as transações são irreversíveis, vítimas raramente recuperam fundos. Por isso, cresce a necessidade de boas práticas, como:
- uso de hardware wallets;
- senhas fortes e 2FA em todas as plataformas;
- evitar executar qualquer comando solicitado por sites desconhecidos;
- desconfiar de CAPTCHAs incomuns ou alertas do sistema fora do padrão.
Conclusão
A campanha ClickFix mostra que golpes com engenharia social continuam sendo o elo mais fraco da segurança digital.
Além disso, revela que criminosos estão combinando técnicas antigas com novos métodos difíceis de detectar. Portanto, usuários de criptomoedas devem reforçar seus cuidados e tratar qualquer pedido de interação suspeita como potencial ameaça.
