O uso de ferramentas de linha de comando está se tornando cada vez mais comum entre usuários do sistema Windows, especialmente com a popularização do Windows Terminal. No entanto, criminosos digitais começaram a explorar esse hábito para enganar vítimas e instalar programas maliciosos. Uma nova campanha identificada pela Microsoft mostra exatamente como isso pode acontecer.
Segundo pesquisadores de segurança da empresa, uma operação conhecida como ClickFix está manipulando usuários para executar comandos manualmente no Windows Terminal. O objetivo é instalar o perigoso Lumma Stealer, um malware especializado no roubo de credenciais, cookies de sessão e dados sensíveis armazenados no computador.
A descoberta foi divulgada em março de 2026 pela equipe de inteligência de ameaças da Microsoft e demonstra como ataques baseados em engenharia social continuam evoluindo. Neste artigo, você vai entender como esse golpe funciona, por que ele consegue escapar de muitas detecções de segurança e quais medidas podem ajudar a evitar esse tipo de ameaça.
O que é a campanha ClickFix e como ela abusa do Windows Terminal
A campanha ClickFix é uma técnica de engenharia social que não depende de uma vulnerabilidade direta no sistema operacional. Em vez disso, ela convence o próprio usuário a executar comandos maliciosos.
O golpe geralmente começa em páginas falsas ou anúncios maliciosos que simulam mensagens de erro, alertas de segurança ou verificações de CAPTCHA. O conteúdo afirma que existe um problema no navegador ou no sistema e que o usuário precisa realizar uma pequena ação técnica para corrigi-lo.
As instruções levam a vítima a abrir rapidamente o menu avançado do sistema usando o atalho Windows + X e pressionar a tecla I, o que abre o Windows Terminal.
Em seguida, o site fornece um comando pronto para ser copiado e colado.
Essa abordagem cria uma falsa sensação de legitimidade, já que muitos tutoriais técnicos legítimos utilizam comandos semelhantes. Ao executar o comando, o usuário acaba iniciando a cadeia de infecção sem perceber.
Outro ponto importante é que o uso do Windows Terminal pode ajudar o ataque a evitar algumas detecções automáticas, já que a ação parte diretamente do usuário.
Como o uso do terminal ajuda o ataque a evitar detecção
Uma das razões pelas quais esse tipo de golpe tem funcionado é que ele explora comportamentos legítimos do sistema.
Quando o usuário executa manualmente um comando no Windows Terminal, a atividade pode parecer normal para muitas soluções de segurança. Diferentemente de downloads automáticos ou scripts executados silenciosamente, a ação acontece de forma voluntária.
Além disso, os comandos utilizados pelos atacantes geralmente são ofuscados. Isso significa que o código real fica escondido dentro de sequências codificadas, dificultando a identificação imediata do que será executado.
Esse método torna a campanha ClickFix especialmente perigosa, pois mistura engenharia social com técnicas de evasão relativamente simples, mas eficazes.
A anatomia do ataque: do comando colado ao roubo de dados
Após a execução do comando no Windows Terminal, o processo de infecção acontece em várias etapas rápidas.
O objetivo final é instalar o Lumma Stealer, um malware conhecido por roubar dados sensíveis diretamente do sistema da vítima.
Scripts codificados e o uso do PowerShell
Na maioria dos casos analisados, o comando executado no terminal inicia um script ofuscado que utiliza o PowerShell.
Esse script contém instruções codificadas, frequentemente em Base64, que escondem o comportamento real do código. Após ser decodificado, o script pode:
baixar componentes adicionais do malware
executar cargas maliciosas diretamente na memória
estabelecer comunicação com servidores controlados pelos criminosos
A execução diretamente na memória é um detalhe importante, pois reduz a presença de arquivos suspeitos no disco e dificulta a análise por antivírus tradicionais.
Injeção nos navegadores Chrome e Edge
Depois de instalado, o Lumma Stealer tenta acessar dados armazenados em navegadores populares como Google Chrome e Microsoft Edge.
Para isso, o malware utiliza uma técnica chamada QueueUserAPC(), um mecanismo do próprio sistema Windows que permite inserir código dentro de processos que já estão em execução.
Em termos simples, o malware injeta seu código em aplicativos legítimos que já estão rodando no computador, como navegadores.
Com isso, ele consegue acessar:
cookies de sessão
credenciais salvas
tokens de autenticação
dados de carteiras de criptomoedas
Essas informações podem permitir que criminosos assumam contas online mesmo sem saber a senha original da vítima.
Como se proteger de ataques de engenharia social no terminal
Embora o ataque utilize técnicas sofisticadas, a principal defesa continua sendo a conscientização do usuário.
A maioria das infecções acontece porque alguém foi convencido a executar comandos desconhecidos.
Algumas medidas simples podem ajudar a evitar esse tipo de golpe.
Nunca copie e cole comandos em ferramentas como Windows Terminal ou PowerShell sem entender exatamente o que eles fazem.
Desconfie de páginas que pedem para executar comandos para resolver erros técnicos ou validar CAPTCHAs.
Sites legítimos raramente pedem que usuários executem scripts locais para acessar conteúdo.
Também é importante evitar seguir instruções técnicas presentes em anúncios, comentários de fóruns ou pop-ups suspeitos.
Manter o sistema Windows atualizado, utilizar antivírus confiáveis e ativar recursos de proteção do navegador também ajudam a reduzir o risco de infecção.
Em ambientes corporativos, administradores podem aplicar políticas de restrição para execução de scripts e monitorar o uso do PowerShell em máquinas da rede.
Conclusão e o futuro da segurança cibernética
A campanha ClickFix demonstra como ataques modernos estão cada vez mais focados em manipular o comportamento humano.
Em vez de depender apenas de falhas técnicas, criminosos digitais exploram a confiança do usuário e utilizam ferramentas legítimas do sistema, como o Windows Terminal, para executar suas ações.
O uso do Lumma Stealer nesse tipo de operação reforça o crescimento de malware especializado em roubo de informações e credenciais digitais.
À medida que esses ataques se tornam mais criativos, a educação em segurança digital se torna uma das principais linhas de defesa.
