ClickFix em sites invadidos: quando o visitante é induzido a instalar malware

ClickFix em sites invadidos: quando o visitante é induzido a instalar malware

ClickFix é uma técnica de engenharia social em que a vítima é convencida a copiar e executar um comando acreditando estar resolvendo um problema simples.

Em campanhas recentes, sites invadidos passaram a exibir mensagens como se fosse necessário corrigir um erro, validar um CAPTCHA ou liberar o acesso. O visitante segue as instruções e, sem perceber, instala malware no próprio computador.

Qual é o papel do WordPress nesse golpe?

O WordPress comprometido funciona como vitrine da fraude. O invasor injeta a página, modal ou script malicioso dentro de um site real, com domínio legítimo. Isso aumenta a confiança do visitante.

O dono do site também é vítima, porque seu domínio passa a ser usado para atacar terceiros.

Como identificar uma página ClickFix?

• ela pede para abrir o Executar do Windows;
• instrui copiar e colar um comando;
• simula atualização, erro ou verificação de segurança;
• aparece apenas para alguns visitantes;
• usa linguagem urgente;
• carrega scripts externos desconhecidos;
• some quando o usuário está logado como administrador.

Por que isso é ruim para a empresa?

Além do risco para visitantes, o site pode ser marcado como perigoso por navegadores, antivírus, mecanismos de busca ou hospedagem. Isso prejudica reputação, tráfego orgânico, anúncios e conversões.

O que fazer?

Se alguém relatou tela estranha, comando para copiar ou falso CAPTCHA, trate como possível infecção. Não se limite a limpar cache ou trocar a home. É necessário verificar arquivos, banco, plugins, tema e usuários.

Ajuda técnica

A PREMA WordPress Security verifica scripts maliciosos, redirecionamentos, backdoors e alterações suspeitas em WordPress. Solicite análise em prema-it.com.