De acordo com a equipa de Threat Intelligence da Microsoft, milhares de dispositivos são afetados mensalmente, mesmo em ambientes com soluções avançadas de deteção e resposta (EDR). Os ataques têm como alvo utilizadores de Windows e macOS e resultam frequentemente na instalação de infostealers, RATs e malware loaders, sendo o LummaStealer e o AsyncRAT alguns dos exemplos mais comuns.

Os criminosos utilizam diversos vetores de distribuição, como publicidade maliciosa, spam, spearphishing e websites comprometidos, explorando muitas vezes plataformas de streaming ilegais ou páginas falsas que imitam serviços como o Google ou o Discord. O objetivo é sempre o mesmo: convencer a vítima a executar comandos maliciosos no próprio sistema.

Para mitigar a ameaça, a Microsoft sugere medidas drásticas como bloquear o acesso ao Run, aplicar políticas de execução em PowerShell que permitam apenas scripts assinados e criar regras de controlo de aplicações que impeçam a execução de binários nativos a partir do Run. A empresa reforça ainda a importância da educação dos utilizadores, da filtragem de emails e do uso de proteção contra phishing nos navegadores.

Os investigadores alertam que a técnica ClickFix está em constante evolução, com criminosos a venderem builders especializados em fóruns clandestinos, prometendo contornar antivírus e garantir persistência nos sistemas infetados. Os preços variam entre 200 e 1.500 dólares mensais, revelando o grau de sofisticação e procura desta prática.

Especialistas em cibersegurança defendem que, além dos administradores, também os utilizadores domésticos devem desativar ferramentas de linha de comando não utilizadas, embora este processo possa não ser trivial. A recomendação final é clara: os utilizadores devem estar atentos a tudo o que copiam e colam nos seus dispositivos, já que essa ação pode ser suficiente para abrir a porta a ataques graves.