São Paulo — InkDesign News — Uma recente vulnerabilidade na plataforma de engajamento estudantil iClicker comprometeu seu site entre 12 e 16 de abril de 2025, quando um ataque ClickFix enganou usuários, levando-os a instalar malware ao interagir com uma CAPTCHA falsa.
Incidente e vulnerabilidade
O iClicker, ferramenta amplamente utilizada em universidades dos Estados Unidos, como a Universidade de Michigan e a Universidade da Flórida, foi alvo de um ataque cibernético que utilizou uma CAPTCHA falsa para enganar os visitantes. Durante o período mencionado, o site exibia uma solicitação de verificação, incitando os usuários a clicarem em “I’m not a robot” (“Eu não sou um robô”). Isso desencadeou um comando PowerShell oculto em dispositivos Windows. Caso o usuário pressionasse o Windows e ‘R’, e colasse o comando utilizando Ctrl e ‘V’, o ataque seria executado, permitindo que o malware fosse baixado em seus dispositivos.
Impacto e resposta
O ataque visava coletar informações pessoais como nomes de usuário, senhas, dados de cartões de crédito e informações de carteiras de criptomoedas armazenadas no dispositivo. No entanto, se um visitante fosse um sistema de segurança investigativo, o comando poderia baixar um programa inofensivo da Microsoft, permitindo que os atacantes evitassem ser detectados. A iClicker confirmou em um boletim de segurança que as informações de seus usuários estavam seguras, indicando que a verificação falsa foi introduzida por terceiros antes do login dos usuários.
“Este incidente revela a facilidade com que atacantes podem transformar uma simples interação do usuário, como clicar em uma CAPTCHA, em uma completa comprometimento.”
(“This incident shows how easily attackers can turn a simple user interaction, like clicking a CAPTCHA, into a full compromise.”)— Debbie Gordon, CEO e Fundadora da Cloud Range
Mitigações recomendadas
A iClicker aconselha todos que visitaram seu site durante o ataque a alterarem imediatamente todas as senhas armazenadas em seus computadores, incluindo a senha do iClicker, sugerindo o uso de um gerenciador de senhas para aprimorar a segurança das contas. Aqueles que utilizaram apenas o aplicativo móvel do iClicker ou não foram expostos à verificação falsa estão protegidos contra esse ataque. A comunidade de segurança destaca a importância de treinos baseados em simulações para preparar equipes para responder rapidamente a tais incidentes.
“A verdadeira questão é: quão rapidamente sua equipe pode detectar e conter isso?”
(“The real question is: how quickly can your team detect and contain it?”)— Debbie Gordon, CEO e Fundadora da Cloud Range
A crescente adoção de ataques ClickFix por grupos cibernéticos tem gerado preocupação. Este caso ilustra os riscos contínuos que ameaçam a segurança dos dados pessoais em plataformas digitais, enfatizando a necessidade de vigilância constante e a aplicação de medidas de segurança robustas.
Fonte: (Hack Read – Segurança Cibernética)
