Enquanto muitas empresas concentram seus esforços em corrigir vulnerabilidades, atualizar servidores e aplicar patches, uma nova onda de ataques mostra que o caminho mais curto até os dados corporativos ainda pode passar pelo usuário.

Em vez de explorar uma falha inédita do Windows, o criminoso apresenta uma página convincente, simula um CAPTCHA ou problema técnico e orienta a vítima a copiar um comando. A própria pessoa abre a caixa Executar do Windows, cola o conteúdo e pressiona Enter.

A partir desse momento, uma instrução aparentemente inofensiva pode iniciar uma cadeia formada por ferramentas legítimas do sistema operacional, downloads remotos, scripts ofuscados e execução de malware diretamente na memória.

Foi esse padrão que a Microsoft encontrou ao investigar o aumento das campanhas do ACR Stealer ClickFix entre o fim de abril e meados de junho de 2026. Segundo o Microsoft Defender Experts, as operações analisadas conseguiram roubar credenciais armazenadas em navegadores, tokens de autenticação e documentos sensíveis de ambientes empresariais. A Microsoft destacou duas cadeias de ataque particularmente frequentes, embora tenha ressaltado que elas não representam todos os métodos de distribuição utilizados pelo malware.

O alerta merece atenção porque os ataques combinam quatro características que desafiam modelos tradicionais de proteção:

Não dependem necessariamente da exploração de uma vulnerabilidade do Windows.

Usam engenharia social para transformar o usuário no executor inicial do ataque.

Abusam de recursos legítimos, como cmd.exe, rundll32.exe, MSHTA, PowerShell e WebDAV.

Em uma das campanhas, escondem a carga maliciosa dentro de uma imagem JPEG antes de executá-la diretamente na memória.

Depois da infecção, o objetivo não se limita a copiar senhas. O ACR Stealer pode buscar cookies de sessão, tokens de autenticação, dados de preenchimento automático, documentos PDF e arquivos corporativos sincronizados por serviços como OneDrive e SharePoint.

O que é o ACR Stealer?

O ACR Stealer é um infostealer, categoria de malware desenvolvida para localizar, coletar e exfiltrar informações valiosas do dispositivo comprometido.

Ao contrário de um ransomware, que chama atenção ao criptografar arquivos e interromper operações, um infostealer procura agir silenciosamente. Seu valor para o criminoso está na capacidade de transformar um único computador infectado em uma fonte de credenciais, sessões autenticadas e documentos que podem ser usados em fraudes ou ataques posteriores.

A Microsoft descreve o ACR Stealer como uma família de malware oferecida no modelo Malware-as-a-Service, ou MaaS. Nesse modelo, desenvolvedores mantêm o código e a infraestrutura enquanto outros criminosos pagam pelo acesso à ferramenta, reduzindo a necessidade de conhecimento técnico para iniciar uma campanha.

Origem e evolução do malware

O histórico de nomes dessa família pode causar alguma confusão.

O ACR Stealer também aparece em pesquisas de segurança como AcridRain Stealer. Análises anteriores relacionam sua evolução ao Amatera Stealer, versão significativamente atualizada ou renomeada da mesma família.

A Microsoft afirma que o ACR Stealer está associado ao rebranding do Amatera Stealer. Outros pesquisadores descrevem a relação no sentido inverso, tratando o Amatera como uma versão renomeada e mais avançada do ACR/AcridRain. Essa diferença de nomenclatura não altera o risco técnico: trata-se de uma linhagem de infostealers comercializada em fóruns criminosos e continuamente aprimorada.

A eSentire, por exemplo, analisou em maio de 2026 uma versão identificada como Amatera Stealer 4.0.2 Beta. Segundo a empresa, a amostra apresentava novos mecanismos de evasão, criptografia mais avançada nas comunicações com servidores de comando e controle, suporte a mais navegadores e expansão dos tipos de dados procurados no computador.

O que o ACR Stealer tenta roubar

O interesse de um infostealer não está apenas na senha de acesso ao computador. O malware procura os dados que podem abrir portas para outros ambientes.

Entre os alvos estão as senhas salvas em navegadores, os dados de preenchimento automático e as informações armazenadas em bancos locais do Chrome, Edge e outros navegadores baseados em Chromium.

Também são especialmente valiosos os cookies e tokens de sessão. Eles ajudam a manter o usuário conectado a aplicações web e, dependendo das condições de segurança, podem permitir que um invasor reutilize uma sessão já autenticada.

A campanha analisada pela Microsoft também procurava documentos corporativos, incluindo arquivos PDF, documentos do Microsoft 365 e conteúdos sincronizados localmente por OneDrive e SharePoint. Isso significa que o impacto potencial vai além do dispositivo: o ataque pode alcançar informações originadas em serviços de nuvem por meio das cópias disponíveis na estação de trabalho.

Os principais dados visados podem ser agrupados em três categorias.

Credenciais armazenadas

O malware pode tentar acessar:

  • Senhas salvas no navegador;
  • Informações de login;
  • Dados de preenchimento automático;
  • Bancos de dados locais do Chrome e do Microsoft Edge.

Cookies e tokens

Entre os artefatos procurados estão:

  • Cookies de sessão;
  • Tokens de autenticação;
  • Sessões ativas de aplicações web;
  • Outros dados que ajudem a contornar uma nova solicitação de login.

Arquivos corporativos

A coleta pode incluir:

  • Documentos PDF;
  • Arquivos armazenados na área de trabalho ou na pasta Downloads;
  • Documentos do Word, Excel e PowerPoint;
  • Arquivos sincronizados pelo OneDrive;
  • Conteúdo disponibilizado ao computador por bibliotecas do SharePoint.

Por isso, a infecção de um único endpoint não deve ser tratada apenas como um incidente local de antivírus. Ela pode representar o início de um comprometimento de identidade, dados e serviços em nuvem.

Como funciona a técnica ClickFix

O ClickFix é uma técnica de engenharia social na qual a vítima recebe instruções para executar manualmente uma ação no sistema operacional.

Normalmente, a página exibe uma mensagem afirmando que existe um erro, uma verificação pendente ou algum problema que precisa ser corrigido. A interface tenta reproduzir elementos que o usuário já conhece, como CAPTCHA, teste de presença humana, alerta do navegador ou etapa de autenticação.

Em seguida, a pessoa é instruída a pressionar uma combinação como Windows + R, colar o conteúdo que já foi copiado para a área de transferência e pressionar Enter.

A mensagem pode parecer uma orientação de suporte. O comando colado, porém, inicia a cadeia maliciosa.

O novo golpe que substitui parte do phishing tradicional

No phishing convencional, o criminoso costuma tentar convencer a vítima a abrir um anexo, baixar um arquivo ou informar a senha em uma página falsa.

O ClickFix muda essa dinâmica.

Em vez de entregar um executável claramente suspeito, ele apresenta uma suposta solução. O usuário acredita que está corrigindo um problema técnico, concluindo um CAPTCHA ou confirmando que não é um robô.

A sequência típica funciona assim:

  1. O usuário acessa uma página comprometida, falsa ou promovida por publicidade maliciosa.
  2. A página exibe uma mensagem de erro, CAPTCHA ou validação humana.
  3. O site orienta a pessoa a abrir a caixa Executar, o PowerShell ou outro componente do sistema.
  4. Um comando malicioso é colocado na área de transferência.
  5. O usuário cola e executa o comando.
  6. Ferramentas legítimas do Windows iniciam o download ou a execução das próximas etapas.

Nas duas campanhas detalhadas pela Microsoft, o ClickFix foi o ponto inicial comum. Depois dessa primeira ação, as cadeias seguiram caminhos diferentes: uma utilizou WebDAV, DLLs e carregadores Python; a outra adotou MSHTA, PowerShell ofuscado, esteganografia e execução predominantemente em memória.

Por que o ClickFix é tão eficaz

O ClickFix é perigoso porque transforma uma ação suspeita em uma aparente instrução de suporte.

O comando é executado no contexto do usuário conectado, usando suas permissões. Para parte das ferramentas de segurança, a atividade inicial pode parecer uma sequência de operações legítimas: o usuário abriu a caixa Executar, iniciou um componente oficial do Windows e acessou um recurso remoto.

Isso produz algumas vantagens para o atacante.

Primeiro, o golpe pode começar fora do e-mail, por meio de sites comprometidos, anúncios maliciosos ou resultados de busca manipulados. Assim, filtros de mensagens e gateways de e-mail podem nem participar da cadeia.

Segundo, ferramentas como rundll32.exe, mshta.exe e PowerShell fazem parte do Windows. Bloqueá-las indiscriminadamente pode interromper atividades administrativas legítimas.

Terceiro, o usuário participa ativamente do processo. Para ele, a instrução parece ter sido fornecida pela própria página que estava tentando acessar.

Por fim, o ClickFix explora um comportamento comum: diante de uma mensagem técnica, muitas pessoas seguem as etapas sem compreender o comando executado.

A regra de conscientização deve ser inequívoca: um site legítimo não precisa que o usuário abra a caixa Executar, o Prompt de Comando ou o PowerShell para provar que é humano.

Campanha 1: WebDAV, PowerShell e carregadores Python

A primeira cadeia descrita pela Microsoft deixava mais rastros no dispositivo porque envolvia arquivos e mecanismos de persistência gravados no sistema.

Ainda assim, o fluxo combinava diferentes camadas de ofuscação e abuso de componentes legítimos.

Cadeia de ataque observada pela Microsoft

O ataque começava com uma isca ClickFix. A vítima era levada a executar um comando que iniciava o acesso a um recurso remoto.

Na sequência, a campanha utilizava componentes como:

  • cmd.exe;
  • rundll32.exe;
  • PowerShell;
  • WebDAV;
  • DLLs remotas;
  • Carregadores baseados em Python;
  • Tarefas agendadas.

O fluxo pode ser resumido da seguinte maneira.

Etapa 1: execução do comando apresentado pelo ClickFix

A vítima cola o comando na caixa Executar do Windows. Esse comando inicia uma ferramenta nativa e estabelece a primeira conexão com a infraestrutura controlada pelos criminosos.

Esse detalhe é importante: não se trata de um arquivo que o usuário baixou conscientemente. A instrução pode buscar diretamente um componente remoto.

Etapa 2: abuso de componentes legítimos do Windows

A cadeia observada envolvia processos como cmd.exe e rundll32.exe.

O rundll32.exe existe para carregar e executar funções exportadas por bibliotecas DLL. Atacantes podem abusar desse recurso para chamar uma DLL maliciosa, inclusive a partir de um compartilhamento remoto.

Uma investigação independente de um ataque ClickFix semelhante encontrou o registro RunMRU sendo alterado, confirmando que o usuário havia colado o comando na caixa Executar, seguido por tentativas de obtenção de DLL via WebDAV e criação do processo rundll32.exe.

Etapa 3: download por WebDAV

WebDAV é uma extensão do protocolo HTTP usada para manipular arquivos em servidores remotos.

Em um ambiente legítimo, pode apoiar colaboração e acesso a documentos. Na campanha maliciosa, era utilizado como mecanismo de entrega do payload.

Esse abuso é relevante porque o recurso remoto pode assumir a aparência de um caminho de arquivo. Em vez de um download convencional realizado pelo navegador, o Windows tenta acessar uma biblioteca hospedada fora da organização.

Etapa 4: PowerShell e carregadores Python

Depois da primeira execução, scripts PowerShell ofuscados preparavam etapas adicionais. A campanha empregava carregadores baseados em Python para continuar a cadeia e executar o infostealer.

PowerShell e Python não são maliciosos por natureza. Ambos são usados diariamente em administração, desenvolvimento e automação. O sinal de risco está no contexto: comandos codificados, download de conteúdo desconhecido, execução silenciosa e processos iniciados por uma sequência incomum.

Etapa 5: persistência por tarefas agendadas

A Microsoft identificou o uso de tarefas agendadas para manter componentes da campanha ativos.

Tarefas agendadas são outro recurso legítimo do Windows. Administradores as utilizam para backups, atualizações, scripts de manutenção e rotinas operacionais. Atacantes recorrem ao mesmo mecanismo para reiniciar um payload após o logon ou em intervalos definidos.

Etapa 6: coleta e exfiltração

Com a cadeia concluída, o ACR Stealer começa a localizar credenciais de navegador, artefatos de autenticação e arquivos corporativos.

Os dados são organizados e enviados para a infraestrutura de comando e controle. A partir daí, podem ser usados pelo próprio operador, vendidos a outros grupos ou empregados em novas fases do ataque.

A Microsoft resume essa primeira campanha como uma cadeia baseada em ClickFix, WebDAV, PowerShell em estágios, carregadores Python, persistência e, em algumas intrusões, resolução de C2 apoiada por blockchain.

Uso de blockchain como infraestrutura de comando e controle

Algumas intrusões analisadas usaram uma técnica conhecida como dead-drop resolver, apoiada por blockchain, para localizar dinamicamente a infraestrutura de comando e controle.

Isso não significa necessariamente que todo o malware esteja armazenado na blockchain. Em muitos casos, o atacante publica ali informações ou configurações que apontam para a infraestrutura ativa.

Uma análise de campo de campanha ClickFix com características semelhantes identificou a obtenção de configurações a partir de um contrato inteligente na Binance Smart Chain. O código recuperava dados codificados que ajudavam a construir a etapa seguinte do ataque.

Para os criminosos, a vantagem está na resiliência.

Um domínio convencional pode ser suspenso. Um servidor pode ser apreendido. Um provedor de hospedagem pode remover o conteúdo. Dados registrados em uma blockchain pública e descentralizada são muito mais difíceis de retirar do ar.

O endereço final do servidor ainda pode ser bloqueado, mas os atacantes conseguem atualizar referências e dificultar o desmantelamento completo da cadeia.

Campanha 2: malware escondido dentro de imagens JPEG

A segunda campanha detalhada pela Microsoft adotava uma abordagem mais orientada à execução em memória.

Depois da interação inicial com o ClickFix, a cadeia passava por MSHTA, VBScript e PowerShell até baixar uma imagem JPEG. Essa imagem não era apenas um elemento visual: continha dados usados para reconstruir o payload malicioso.

O uso de esteganografia em ataques modernos

Esteganografia é a técnica de esconder uma informação dentro de outro conteúdo de maneira que a própria existência da informação oculta seja difícil de perceber.

Uma imagem pode continuar sendo aberta e exibida normalmente, mesmo contendo dados adicionais incorporados em sua estrutura ou nos valores que formam seus pixels.

É importante diferenciar esteganografia de criptografia e ofuscação.

Criptografia transforma os dados para que não possam ser compreendidos sem a chave correta. É evidente que existe um conteúdo, mas ele está ilegível.

Ofuscação reorganiza ou disfarça código para dificultar sua análise. O conteúdo continua presente, porém fica menos compreensível.

Esteganografia procura esconder a existência do conteúdo dentro de outro arquivo aparentemente comum, como imagem, áudio ou vídeo.

Em campanhas reais, essas técnicas podem ser combinadas. O payload pode estar oculto em uma imagem e, ao mesmo tempo, criptografado e compactado.

Como o payload é ocultado e executado

Na cadeia descrita pela Microsoft, o fluxo começava novamente com uma instrução ClickFix.

O comando acionava o mshta.exe, componente do Windows capaz de executar aplicações HTML. O conteúdo remoto carregava um VBScript, que usava objetos COM para decodificar e iniciar comandos PowerShell.

O PowerShell então baixava uma imagem JPEG hospedada externamente.

Rotinas específicas extraíam os dados escondidos na imagem. Depois disso, o conteúdo era descriptografado, descompactado e carregado de forma reflexiva na memória, evitando a necessidade de salvar o executável final como um arquivo convencional no disco.

O fluxo simplificado era:

  1. A página falsa apresenta a instrução ClickFix.
  2. O usuário executa o comando.
  3. O comando inicia o MSHTA.
  4. Um VBScript ativa uma etapa PowerShell ofuscada.
  5. O PowerShell baixa uma imagem JPEG.
  6. O código oculto é extraído da imagem.
  7. O payload é descriptografado e descompactado.
  8. O malware é executado diretamente na memória.
  9. O ACR Stealer acessa dados de navegador e arquivos.
  10. As informações coletadas são enviadas ao servidor de comando e controle.

Um JPEG pode infectar o computador sozinho?

Na maioria dos casos, não é a simples visualização do JPEG que executa o malware.

A imagem funciona como contêiner do payload. Para transformar os dados ocultos em código executável, a cadeia precisa de um script ou carregador que saiba onde localizar o conteúdo, como extraí-lo e como executá-lo.

Essa distinção é importante para evitar conclusões erradas. O problema não é que qualquer fotografia recebida por e-mail passará automaticamente a executar um infostealer. O risco está na cadeia completa formada por engenharia social, execução de comandos, download do arquivo e decodificação do payload.

Por que isso preocupa as equipes de segurança

Imagens JPEG são arquivos comuns em praticamente qualquer organização. Circulam por navegadores, e-mail, Teams, sites, sistemas internos e plataformas de marketing.

Por isso, um download de imagem, isoladamente, não é um indicador suficiente de infecção.

A esteganografia oferece ao atacante algumas vantagens:

  • O arquivo parece benigno;
  • Serviços legítimos de hospedagem de imagens podem ser utilizados;
  • O payload final pode não aparecer claramente em uma análise superficial;
  • Menos componentes precisam ser gravados como executáveis no disco;
  • A execução em memória reduz os artefatos tradicionais;
  • Ferramentas baseadas apenas em assinaturas de arquivos podem ter menos elementos para analisar.

Isso não significa que o ataque seja invisível. A cadeia ainda produz comportamento observável: MSHTA buscando conteúdo remoto, PowerShell ofuscado, conexões incomuns, acesso a bancos de dados de navegadores e extração de credenciais.

A proteção eficaz depende de correlacionar esses eventos, e não apenas de examinar o arquivo JPEG isoladamente.

Impacto para empresas que utilizam Microsoft 365

Embora o ACR Stealer seja executado no endpoint, os efeitos podem alcançar todo o ambiente Microsoft 365.

Isso ocorre porque o dispositivo do usuário contém credenciais, sessões e cópias sincronizadas de dados que pertencem à nuvem corporativa.

Um notebook conectado ao Microsoft 365 pode reunir:

  • Sessões autenticadas no Exchange Online;
  • Acesso ao Microsoft Teams;
  • Arquivos sincronizados pelo OneDrive;
  • Bibliotecas do SharePoint sincronizadas localmente;
  • Documentos abertos recentemente;
  • Cookies e tokens usados para manter sessões ativas;
  • Credenciais salvas no Microsoft Edge ou Google Chrome.

Credenciais comprometidas

O primeiro impacto possível é a exposição das credenciais armazenadas no navegador.

Se uma senha corporativa for capturada, o atacante poderá tentar acessar o Microsoft 365, VPN, ERP, CRM, sistemas de fornecedores e outros serviços nos quais o usuário reutilize a mesma combinação.

Mesmo quando a senha não é suficiente por causa do MFA, ela continua sendo valiosa. Pode ser usada em tentativas de engenharia social, ataques contra sistemas legados, testes em serviços sem MFA ou preparação de campanhas direcionadas.

Roubo de sessões autenticadas

O risco mais grave pode surgir quando o infostealer obtém cookies e artefatos de sessão.

Em determinadas circunstâncias, um invasor não precisa repetir o processo completo de autenticação. Se conseguir reutilizar um token ou cookie ainda válido, poderá tentar assumir a sessão existente.

Por isso, trocar apenas a senha pode ser insuficiente após uma infecção desse tipo. A própria orientação de remediação associada à análise da Microsoft inclui a revogação de tokens e sessões ativas.

O tema é aprofundado no artigo da InfoB sobre ataques com contas legítimas do Microsoft 365, que explica por que credenciais e tokens válidos desafiam mecanismos de segurança focados apenas em malware ou senha.

Vazamento de arquivos do OneDrive e SharePoint

O usuário não precisa ter baixado manualmente todos os arquivos para que dados corporativos estejam disponíveis no dispositivo.

Pastas sincronizadas pelo OneDrive, atalhos para bibliotecas do SharePoint, documentos recentes e cópias temporárias podem ampliar o alcance da coleta.

A análise reportada pelo The Hacker News menciona o roubo de PDFs, documentos do Microsoft 365 e arquivos provenientes de pastas sincronizadas do OneDrive e SharePoint.

Isso cria riscos de exposição de contratos, propostas comerciais, relatórios financeiros, documentos de RH, dados de clientes e materiais internos.

Riscos para PMEs e empresas de médio porte

Pequenas e médias empresas são particularmente expostas porque, muitas vezes, possuem Microsoft 365, endpoints e dados valiosos, mas não mantêm monitoramento contínuo ou uma equipe dedicada de resposta.

Entre as consequências possíveis estão:

  • Sequestro de contas corporativas;
  • Leitura e envio de mensagens pelo Exchange Online;
  • Fraudes por alteração de dados bancários;
  • Uso da conta comprometida em campanhas de phishing;
  • Vazamento de arquivos;
  • Acesso a conversas e reuniões no Teams;
  • Reconhecimento do ambiente;
  • Movimentação lateral;
  • Instalação de ferramentas adicionais;
  • Ataques de ransomware posteriores.

Um infostealer também pode atuar como fornecedor de acesso inicial. As credenciais obtidas são comercializadas ou entregues a outros grupos, que realizam etapas mais destrutivas.

Como identificar sinais de comprometimento

Não existe um único evento que confirme toda a campanha.

A detecção depende da correlação entre ações do usuário, processos, comandos, conexões e acesso a dados sensíveis.

Indicadores técnicos no endpoint

As equipes devem investigar eventos como:

  • Execução de mshta.exe com endereço remoto;
  • MSHTA iniciado pela caixa Executar ou por processo incomum;
  • PowerShell com comandos codificados, ofuscados ou muito extensos;
  • PowerShell iniciado por MSHTA, VBScript, cmd.exe ou outro processo atípico;
  • Uso inesperado de WebDAV;
  • rundll32.exe carregando DLL de caminho remoto;
  • Criação de tarefas agendadas sem justificativa administrativa;
  • Instalação inesperada de componentes Python;
  • Download de JPEG seguido imediatamente por execução PowerShell;
  • Alterações no histórico da caixa Executar;
  • Processos acessando bancos de credenciais dos navegadores;
  • Conexões para domínios recém-criados ou sem reputação;
  • Atividade de navegador seguida por execução de comandos do sistema.

A Microsoft recomenda priorizar o monitoramento de iscas ClickFix, atividade WebDAV suspeita, execução ofuscada de PowerShell e tentativas de acessar repositórios de credenciais de navegadores.

Indicadores comportamentais para SOC e MDR

Para um SOC, MDR ou MXDR, o valor está na sequência, e não apenas no alerta individual.

Uma imagem JPEG baixada não é suspeita por si só. O contexto muda quando:

  1. O navegador acessa uma página recém-criada;
  2. O usuário abre a caixa Executar;
  3. explorer.exe registra um novo comando em RunMRU;
  4. mshta.exe busca conteúdo remoto;
  5. PowerShell executa código ofuscado;
  6. Uma imagem é baixada;
  7. O mesmo processo passa a acessar bancos de senhas e cookies;
  8. O dispositivo inicia comunicação com infraestrutura externa desconhecida.

Essa correlação é a principal diferença entre uma proteção baseada apenas em assinatura e uma estratégia de EDR/XDR.

O artigo MDR, XDR e MXDR: por que viraram prioridade em 2026 detalha como essas abordagens reúnem telemetria, investigação e resposta para identificar ataques que atravessam endpoint, identidade, nuvem e e-mail.

Como se proteger do ACR Stealer

Não existe um controle isolado capaz de neutralizar todas as etapas da campanha.

A defesa deve combinar conscientização, proteção de endpoint, identidade, redução de superfície de ataque e monitoramento.

Educação e conscientização

O primeiro controle é estabelecer uma regra simples e repetida com frequência:

CAPTCHAs e sites legítimos não pedem que o usuário pressione Windows + R, cole um comando e execute-o para concluir uma verificação.

Também devem ser considerados sinais claros de fraude:

  • Pedido para abrir PowerShell ou Prompt de Comando;
  • Orientação para desativar o antivírus;
  • Instrução para executar como administrador;
  • Comando que o usuário não consegue compreender;
  • Mensagem de urgência afirmando que o navegador precisa ser corrigido;
  • Verificação humana que exige copiar e colar código.

O treinamento precisa mostrar exemplos reais de ClickFix. Uma política escrita, sem demonstração visual, tende a ser esquecida no momento do ataque.

A empresa também deve orientar o colaborador a interromper a ação e acionar o suporte. Não basta dizer “não execute”; é necessário oferecer um canal rápido para verificar se a mensagem é legítima.

Microsoft Defender for Endpoint

O Microsoft Defender for Endpoint acrescenta detecção comportamental, telemetria e capacidade de resposta ao endpoint.

Em uma campanha como essa, o valor do EDR está na possibilidade de observar a cadeia: navegador, caixa Executar, rundll32.exe, WebDAV, PowerShell, tarefas agendadas e acesso a credenciais.

Também é recomendável avaliar regras de Attack Surface Reduction, ou ASR, compatíveis com o ambiente.

Em uma investigação independente de ClickFix, uma regra ASR bloqueou a execução antes que o infostealer fosse instalado. Isso não significa que uma configuração genérica funcionará em todos os cenários, mas demonstra como controles comportamentais podem interromper o abuso de ferramentas legítimas.

A implementação deve ser precedida por auditoria e testes, pois regras muito restritivas podem afetar aplicações e scripts administrativos.

Para conhecer a arquitetura completa, consulte o guia de Microsoft Security da InfoB.

EDR e XDR

Um antivírus tradicional tende a concentrar sua análise em arquivos conhecidos e assinaturas.

Nesta campanha, parte importante da atividade ocorre por meio de componentes legítimos ou execução em memória. Por isso, a empresa precisa de capacidade para:

  • Detectar comportamento anormal;
  • Construir a árvore de processos;
  • Isolar o dispositivo;
  • Coletar evidências;
  • Bloquear indicadores;
  • Investigar outros endpoints;
  • Correlacionar eventos de identidade e nuvem.

O Defender XDR amplia a visibilidade ao correlacionar sinais de endpoint, e-mail, identidade e aplicações Microsoft 365.

A comparação entre essas camadas está disponível no conteúdo da InfoB sobre tipos de antivírus: AV, NGAV, EDR, XDR e MDR.

Microsoft Entra ID e Conditional Access

Se o infostealer obtiver credenciais ou tokens, os controles de identidade se tornam a próxima barreira.

Entre as medidas recomendadas estão:

  • Exigir MFA para todos os usuários;
  • Priorizar métodos de MFA resistentes a phishing;
  • Desabilitar autenticação legada;
  • Aplicar políticas de Conditional Access;
  • Restringir acesso a partir de dispositivos não gerenciados;
  • Avaliar risco de usuário e risco de entrada;
  • Proteger contas administrativas;
  • Utilizar privilégios mínimos;
  • Monitorar logins incompatíveis com o comportamento do usuário.

O MFA continua essencial, mas não deve ser tratado como proteção absoluta. Tokens, cookies e sessões autenticadas exigem controles complementares.

A InfoB aborda esse tema em Por que MFA não é mais suficiente em 2026.

MFA resistente a phishing

Métodos resistentes a phishing, como FIDO2, passkeys e chaves de segurança, reduzem a dependência de códigos que podem ser capturados ou aprovados sob influência do atacante.

Eles não impedem diretamente a execução do ClickFix no endpoint, mas tornam mais difícil transformar uma senha roubada em novo acesso.

Ainda assim, se o dispositivo já estiver comprometido e o invasor obtiver uma sessão válida, a resposta precisa incluir revogação de tokens.

Microsoft Defender for Office 365

O Defender for Office 365 ajuda a bloquear mensagens, links e anexos maliciosos que possam iniciar campanhas de engenharia social.

Porém, o ClickFix também pode chegar por anúncios maliciosos, resultados de busca manipulados e sites legítimos comprometidos. Portanto, a camada de e-mail é necessária, mas não suficiente.

Uma arquitetura adequada combina Safe Links, Safe Attachments, proteção contra phishing, políticas de identidade e segurança de endpoint.

Veja também o guia Como proteger o Microsoft 365 contra phishing e malware.

Controle de aplicações e scripts

A organização deve revisar quais usuários e aplicações realmente precisam executar:

  • PowerShell;
  • MSHTA;
  • Windows Script Host;
  • rundll32.exe em cenários remotos;
  • Python;
  • Scripts não assinados.

Não é recomendável bloquear cegamente todos os componentes. O objetivo é definir políticas baseadas no contexto, assinatura, origem, perfil do usuário e necessidade operacional.

Controles como Windows Defender Application Control, AppLocker, ASR e políticas de execução do PowerShell podem reduzir a superfície de ataque quando configurados corretamente.

Segurança de navegador

Como o ACR Stealer procura dados armazenados em Chrome e Edge, as políticas de navegador também devem fazer parte da estratégia.

A empresa deve avaliar:

  • Restrição ao armazenamento de senhas corporativas no navegador;
  • Uso de gerenciador de senhas corporativo;
  • Gerenciamento centralizado de extensões;
  • Bloqueio de extensões não autorizadas;
  • Atualização automática dos navegadores;
  • Proteção de perfil;
  • Políticas de sessão;
  • Separação entre perfis pessoais e corporativos.

A decisão de desabilitar o salvamento de senhas precisa considerar a experiência do usuário. Sem uma alternativa adequada, colaboradores podem migrar para práticas ainda mais inseguras.

SIEM, SOC, MDR e MXDR

O ACR Stealer exemplifica por que a segurança não termina no bloqueio inicial.

Uma empresa precisa identificar rapidamente se:

  • O comando foi executado;
  • O payload conseguiu iniciar;
  • O dispositivo acessou credenciais;
  • Dados foram exfiltrados;
  • Tokens foram reutilizados;
  • Houve login anormal;
  • Outras máquinas receberam o mesmo comando;
  • A conta comprometida enviou mensagens internas.

Microsoft Sentinel, Defender XDR e serviços MDR podem apoiar a correlação e a resposta.

Empresas sem equipe de segurança disponível 24 horas devem considerar um modelo gerenciado. O objetivo não é apenas receber mais alertas, mas garantir que alguém investigue e interrompa a cadeia.

Como responder a uma possível infecção

A resposta deve tratar o caso como comprometimento simultâneo de endpoint, identidade e dados.

1. Isole o dispositivo

Retire o endpoint da rede por meio da plataforma EDR ou do procedimento interno de contenção.

Evite desligá-lo imediatamente sem orientação da equipe de resposta, pois informações importantes podem estar disponíveis apenas na memória.

2. Preserve as evidências

Registre:

  • Usuário afetado;
  • Horário aproximado;
  • Página acessada;
  • Comando executado;
  • Processos iniciados;
  • Arquivos baixados;
  • Endereços e domínios;
  • Alertas produzidos pelo EDR;
  • Contas usadas no dispositivo.

Essas informações ajudam a determinar se o incidente foi interrompido no início ou chegou à etapa de exfiltração.

3. Revogue sessões e tokens

A troca de senha não encerra necessariamente sessões já existentes.

Revogue os tokens de atualização, invalide sessões ativas e revise aplicações autorizadas. Contas críticas podem exigir bloqueio temporário até a conclusão da investigação.

4. Redefina as credenciais

Redefina as credenciais corporativas do usuário depois de conter ou substituir o dispositivo comprometido.

Trocar a senha enquanto o infostealer ainda está ativo pode apenas entregar a nova credencial ao atacante.

Também devem ser revisadas senhas de serviços salvas no navegador.

5. Verifique o Microsoft 365

Analise:

  • Entradas no Microsoft Entra ID;
  • Localizações e endereços IP;
  • Dispositivos utilizados;
  • Criação de regras de caixa de correio;
  • Encaminhamentos externos;
  • Consentimentos OAuth;
  • Downloads no OneDrive e SharePoint;
  • Alterações de MFA;
  • Envio anormal de mensagens;
  • Acesso a documentos sensíveis.

6. Procure movimentação lateral

O criminoso pode usar a conta para enviar mensagens internas, acessar compartilhamentos ou buscar privilégios adicionais.

Investigue os dispositivos e usuários que interagiram com a conta comprometida.

7. Faça hunting em todo o ambiente

Não trate o primeiro endpoint como caso isolado.

Procure pelos mesmos comandos, domínios, hashes, processos, tarefas agendadas e padrões de acesso em outros computadores.

8. Reinstale ou recupere o dispositivo com segurança

Dependendo do estágio da infecção e da qualidade das evidências, a opção mais segura pode ser reformatar o equipamento ou restaurá-lo a partir de uma imagem confiável.

A decisão deve seguir o plano de resposta a incidentes e a análise da equipe responsável.

O que essa campanha mostra sobre o futuro dos ataques

O ACR Stealer não representa o abandono das vulnerabilidades. Falhas de software continuarão sendo exploradas.

O que a campanha mostra é que os criminosos não precisam necessariamente encontrar uma vulnerabilidade quando conseguem convencer o usuário a executar a ação desejada.

Menos dependência de exploits

Explorar uma vulnerabilidade pode exigir pesquisa, desenvolvimento, adaptação ao ambiente e manutenção de código.

O ClickFix reduz parte dessa complexidade. Em muitos casos, o atacante apenas precisa criar uma página convincente e entregar um comando compatível com o sistema da vítima.

O “exploit” passa a ser o comportamento humano.

Mais engenharia social

Páginas falsas estão mais profissionais. Podem detectar sistema operacional, navegador, idioma e origem do visitante antes de apresentar instruções personalizadas.

O uso de IA generativa tende a melhorar textos, traduções, interfaces, variações de iscas e velocidade de produção. Entretanto, no caso específico das campanhas descritas pela Microsoft, o relatório não atribui formalmente a criação das páginas à IA generativa.

A relação deve ser entendida como uma tendência de capacidade, não como evidência comprovada dessa operação.

Mais living-off-the-land

Ataques living-off-the-land abusam de recursos já presentes no ambiente.

MSHTA, PowerShell, cmd.exe, rundll32.exe, tarefas agendadas e WebDAV têm usos legítimos. Essa dualidade dificulta políticas baseadas apenas em “permitir” ou “bloquear” uma ferramenta.

A detecção precisa considerar:

  • Qual processo iniciou a ação;
  • Qual usuário estava conectado;
  • Qual comando foi utilizado;
  • De onde veio o conteúdo;
  • O que aconteceu antes e depois;
  • Quais dados foram acessados.

Crescimento dos infostealers

Credenciais e tokens são matéria-prima para diversos crimes digitais.

Uma única infecção pode alimentar:

  • Fraudes financeiras;
  • Business Email Compromise;
  • Venda de acesso inicial;
  • Espionagem;
  • Roubo de dados;
  • Ataques de ransomware;
  • Campanhas de phishing internas;
  • Comprometimento de fornecedores.

Por isso, o infostealer deve ser tratado como ameaça estratégica, não como uma categoria menor de vírus.

Conclusão: o ataque começa no endpoint, mas pode terminar na nuvem

O ACR Stealer representa uma geração de ataques que combina engenharia social, abuso de ferramentas legítimas e técnicas avançadas de evasão.

O ClickFix elimina a necessidade de convencer o usuário a abrir um executável evidente. A vítima recebe uma suposta instrução de correção e inicia a infecção com as próprias mãos.

Depois disso, a cadeia pode usar WebDAV, PowerShell, Python, tarefas agendadas, infraestrutura apoiada por blockchain ou execução em memória de código escondido dentro de um JPEG.

O resultado potencial é o roubo de senhas, cookies, tokens e documentos corporativos.

Para empresas que utilizam Microsoft 365, o incidente não pode ser tratado apenas como uma ocorrência no computador. Um endpoint comprometido pode expor sessões do Exchange Online, Teams, OneDrive, SharePoint e outras aplicações acessadas pelo usuário.

A resposta exige uma combinação de medidas:

  • Conscientização específica sobre ClickFix;
  • EDR/XDR no endpoint;
  • Proteção de identidade no Microsoft Entra ID;
  • Conditional Access;
  • MFA resistente a phishing;
  • Revogação de tokens;
  • Monitoramento do Microsoft 365;
  • SOC, SIEM, MDR ou MXDR;
  • Plano estruturado de resposta a incidentes.

O principal aprendizado é simples: corrigir vulnerabilidades continua sendo indispensável, mas não basta. Quando o ataque transforma uma falsa instrução técnica em execução legítima, a segurança precisa compreender toda a cadeia — do navegador à identidade e do endpoint à nuvem.

Perguntas frequentes sobre ACR Stealer e ClickFix

O que é o ACR Stealer?

O ACR Stealer é um malware do tipo infostealer, desenvolvido para roubar credenciais armazenadas em navegadores, cookies, tokens de autenticação e arquivos sensíveis. A família é associada ao modelo Malware-as-a-Service e à evolução ou rebranding do Amatera Stealer.

Como funciona o ataque ClickFix?

O ClickFix apresenta uma falsa mensagem de erro, CAPTCHA ou verificação e orienta o usuário a abrir a caixa Executar, o terminal ou o PowerShell. A vítima copia e executa um comando malicioso acreditando que está corrigindo um problema. Esse comando inicia o download e a execução das etapas do malware.

Um arquivo JPEG pode conter malware?

Uma imagem JPEG pode armazenar dados maliciosos ocultos por esteganografia. Em geral, a simples visualização do arquivo não executa o malware. É necessário que outro script ou carregador extraia, decodifique e execute o payload escondido.

O ACR Stealer rouba credenciais do Microsoft 365?

O malware pode roubar senhas armazenadas, cookies, tokens de sessão e documentos do Microsoft 365 disponíveis no dispositivo. Também pode coletar arquivos sincronizados por OneDrive e SharePoint, ampliando o impacto para além do endpoint.

Como detectar malware baseado em esteganografia?

A detecção não deve se limitar à imagem. É necessário observar a cadeia comportamental: processo que baixou o arquivo, uso de MSHTA ou PowerShell, conexões remotas, extração de dados em memória e acesso posterior aos bancos de credenciais do navegador.

O Microsoft Defender detecta o ACR Stealer?

As soluções Microsoft Defender possuem detecções comportamentais e recursos para identificar diferentes etapas relacionadas a ClickFix, PowerShell ofuscado, acesso a credenciais e execução maliciosa. A eficácia depende do produto utilizado, do licenciamento, da configuração das políticas e da cobertura de monitoramento. Nenhuma solução deve ser tratada como garantia absoluta contra todas as variantes.

Como proteger usuários contra ataques ClickFix?

A empresa deve ensinar que sites legítimos não pedem a execução de comandos no Windows para concluir CAPTCHAs. Esse treinamento deve ser complementado por EDR/XDR, regras de redução da superfície de ataque, gerenciamento de navegador, controle de scripts, Conditional Access e monitoramento contínuo.

Trocar a senha é suficiente depois de uma infecção?

Não. Se o malware tiver roubado cookies ou tokens, sessões ainda poderão permanecer válidas mesmo após a troca da senha. A resposta deve incluir revogação de sessões e tokens, isolamento do dispositivo, análise do Microsoft 365 e investigação de possíveis acessos posteriores.

O ClickFix explora uma vulnerabilidade do Windows?

Não necessariamente. A técnica explora engenharia social e induz o próprio usuário a executar um comando. As etapas posteriores podem abusar de ferramentas legítimas do Windows, configurações permissivas ou outras falhas, mas o ClickFix em si não depende obrigatoriamente de uma vulnerabilidade de software.

Antivírus tradicional protege contra malware oculto em JPEG?

Pode detectar alguns componentes conhecidos, mas não deve ser a única camada. Campanhas com execução em memória, scripts ofuscados e ferramentas legítimas exigem proteção comportamental, EDR/XDR e correlação de eventos.

Fontes consultadas