Os bots desempenham um papel significativo no cenário atual da internet. Hoje, eles já são responsáveis por mais da metade de todo o tráfego on-line. Embora alguns, como os rastreadores e buscadores do Google, tenham finalidades legítimas, quase dois quintos são classificados como maliciosos. Esses bots podem ser usados em diversas atividades nocivas, desde a disseminação de conteúdos inflamáveis nas redes sociais até ataques de negação de serviço distribuídos (DDoS) e o sequestro de contas on-line, explorando, por exemplo, senhas obtidas em vazamentos de dados anteriores.
Por isso, quando nos deparamos com um desafio CAPTCHA ferramenta comumente usada por sites para impedir a ação de bots, normalmente seguimos as instruções e clicamos sem pensar muito. Afinal, é para manter os bots afastados, certo? Nem sempre. Em alguns casos, a própria página é falsa e pode te colocar em uma grande enrascada.
Esse é justamente o caso do ClickFix, uma técnica de engenharia social que tem ganhado destaque no cenário das ameaças cibernéticas recentemente. Utilizando imagens falsas de CAPTCHA, o ClickFix é capaz de disseminar diversos tipos de ameaças, incluindo infostealers (ladrões de informações), ransomware, trojans de acesso remoto, mineradores de criptomoedas e até malwares vinculados a grupos de cibercriminosos apoiados por alguns países.
Por que a ameaça do CAPTCHA funciona
As ameaças envolvendo CAPTCHAs funcionam por diversos motivos:
Exploram nossa familiaridade com o processo e a confiança que temos no CAPTCHA como uma forma legítima de manter a internet segura.
Aproveitam nossa impaciência ao navegar, já que muitas vezes só queremos acessar o conteúdo desejado e vemos o CAPTCHA como um obstáculo, o que nos leva a seguir as instruções sem questionar.
Se aproveitam do fato de que já estamos acostumados a realizar múltiplas etapas de verificação on-line, como acontece, por exemplo, ao realizar pagamentos pela internet.
Ocultam suas ações maliciosas, tanto dos usuários quanto dos softwares de segurança, utilizando ferramentas legítimas do próprio Windows para se manterem fora do radar.
Como são as ameaças com CAPTCHAs?
Existem diversas formas pelas quais você pode ser exposto a um CAPTCHA malicioso:
Você pode ser enganado a clicar em um link malicioso recebido por e-mail de phishing, SMS ou mensagem em redes sociais. Com o avanço da inteligência artificial (IA), esse tipo de ameaça está crescendo rapidamente. Ferramentas de IA generativa têm ajudado cibercriminosos a escalar ataques de engenharia social, produzindo mensagens com linguagem quase perfeita e em vários idiomas ao mesmo tempo.
Outra possibilidade é acessar um site legítimo comprometido por cibercriminosos, que inseriram anúncios maliciosos ou conteúdos falsos na página. Esses casos são especialmente perigosos porque não exigem nenhuma interação do usuário para que o download do malware aconteça. E, muitas vezes, a vítima só percebe que algo deu errado quando já é tarde demais.
Quando a caixa de CAPTCHA aparece, ela pode parecer perfeitamente legítima. No entanto, o que ela solicita deve ligar um alerta. Em vez de apresentar as tarefas típicas de um CAPTCHA e como identificar imagens semelhantes ou digitar um texto distorcido, ela pode pedir que você execute comandos específicos, como:
- Clicar para "verificar que você é humano";
- Pressionar a tecla Windows + R para abrir o comando "Executar";
- Pressionar CTRL + V para colar um comando que foi secretamente copiado para a área de transferência pelo malware;
- Pressionar ENTER para executar o comando acima.
Esse comando geralmente aciona ferramentas legítimas do Windows, como PowerShell ou mshta.exe, para baixar cargas maliciosas adicionais a partir de um servidor externo. O objetivo final costuma ser a instalação de um infostealer um tipo de malware projetado para roubar informações sensíveis do seu dispositivo.
Infostealers: um dos principais riscos por trás dos CAPTCHAs falsos
Os infostealers são malwares projetados para vasculhar computadores e celulares em busca de logins, fotos, contatos e outros dados sensíveis e que podem ser vendidos na dark web ou usados para fraudes de identidade. Para isso, eles atacam navegadores, clientes de e-mail, carteiras de criptomoedas, aplicativos e até o próprio sistema operacional. Suas técnicas incluem captura de tela, keylogging (registro das teclas digitadas) e diversas formas de coleta de dados.
Segundo um estudo, houve pelo menos 23 milhões de vítimas de infostealers em 2024, sendo a maioria em sistemas Windows. Ao todo, os criminosos conseguiram roubar mais de dois bilhões de credenciais. Um dos malwares mais populares dessa categoria, o Lumma Stealer, comprometeu cerca de 10 milhões de dispositivos antes de ser interrompido por uma operação internacional e da qual a ESET também participou, que desarticulou essa ameaça baseada no modelo de malware-as-a-service (MaaS).
Uma ameaça envolvendo CAPTCHA também pode instalar um trojan de acesso remoto (RAT), outro tipo de malware projetado para fornecer acesso remoto ao seu computador. De acordo com um estudo, o AsyncRAT foi observado em 4% dos incidentes durante 2024. Esse RAT está ativo desde 2019 e realiza atividades como roubo de dados e registro de teclas digitadas (keylogging).
Outras ameaças possíveis com CAPTCHAs falsos
Além dos infostealers, um CAPTCHA falso também pode instalar um remote access trojan (RAT), um tipo de malware que dá ao invasor acesso remoto ao seu dispositivo. De acordo com outro estudo, o AsyncRAT esteve presente em 4% dos incidentes registrados em 2024. Em atividade desde 2019, esse trojan permite roubo de dados, espionagem por meio de keylogging e outras atividades maliciosas realizadas remotamente.
Como se proteger das ameaças com CAPTCHAs falsos
Para evitar infostealers, trojans de acesso remoto (RATs) e outras ameaças associadas a CAPTCHAs maliciosos, siga estas recomendações:
- Fique atento a solicitações de CAPTCHA incomuns, como as que pedem para executar comandos no seu computador;
- Desconfie de desafios CAPTCHA que aparecem do nada, especialmente em sites que normalmente não exigem esse tipo de verificação;
- Mantenha seu sistema operacional e navegador sempre atualizados, reduzindo o risco de que falhas antigas sejam exploradas por malwares;
- Instale um software de segurança de um fornecedor confiável e mantenha-o sempre atualizado e essa é uma das formas mais eficazes de bloquear atividades maliciosas;
- Evite baixar softwares piratas, pois eles costumam ser usados como vetor para distribuir malwares, incluindo aqueles que utilizam CAPTCHAs falsos;
- Considere o uso de um bloqueador de anúncios (ad blocker) para impedir o carregamento de conteúdos potencialmente maliciosos veiculados por meio de propagandas on-line.
Adotar esses cuidados ajuda a garantir uma navegação mais segura e reduz significativamente os riscos de ser enganado por verificações falsas disfarçadas de CAPTCHAs legítimos.
O que fazer se você cair em um CAPTCHA falso
Se o pior acontecer e você, sem querer, executar os comandos ocultos mencionados anteriormente, siga estes passos imediatamente:
- Execute uma varredura completa com um software de segurança confiável para identificar e, com sorte, remover qualquer malware que tenha sido instalado silenciosamente;
- Desconecte seu dispositivo da internet e faça backup dos arquivos e fotos importantes;
- Restaure o computador ou celular para as configurações de fábrica, eliminando qualquer possível ameaça persistente;
- Altere todas as suas senhas, criando credenciais fortes e exclusivas para cada conta de preferência armazenadas em um gerenciador de senhas;
- Ative a autenticação em dois fatores (MFA) em todos os serviços possíveis, garantindo uma camada extra de segurança caso suas senhas tenham sido comprometidas.
Cair em um golpe de CAPTCHA falso não é o fim do mundo. Mas, se isso acontecer, é fundamental agir rapidamente para minimizar os prejuízos e problemas. Fique atento e navegue com segurança.
