17/3/26
A operação LeakNet passou a usar a tática de ClickFix em sites comprometidos para induzir usuários a executar comandos no Windows. Segundo a notícia publicada pela The Hacker News em 17/03/2026, essa mudança torna a operação mais escalável e ajuda a esconder parte da cadeia de ataque. O caso reforça um ponto importante para empresas: quando a invasão parece uma tarefa normal, a defesa precisa enxergar comportamento, não só assinatura.
A The Hacker News informou que a operação de ransomware LeakNet passou a adotar a tática de ClickFix como método de acesso inicial. Em vez de depender apenas de credenciais roubadas obtidas por terceiros, o grupo passou a usar sites legítimos comprometidos para exibir verificações falsas de CAPTCHA.
Na prática, o usuário é induzido a copiar e colar um comando no Windows para “resolver” um suposto erro. Esse detalhe é importante porque muda a percepção do risco. Em vez de um ataque com cara óbvia de fraude, a ação se disfarça de procedimento banal. É o velho truque da porta aberta: ninguém precisou derrubar a fechadura se alguém foi convencido a girar a maçaneta.
A matéria destaca que essa mudança reduz a dependência de initial access brokers, os chamados corretores de acesso inicial. Isso significa mais autonomia operacional para o grupo e menos gargalos para iniciar ataques em maior volume.
O texto não limita a campanha a um setor específico. Pelo contrário: a reportagem diz que os ataques buscam atingir o maior número possível de vítimas. Isso é relevante porque tira a falsa sensação de “isso não é comigo”.
Empresas com usuários expostos à navegação web, rotinas de suporte e ambiente Windows entram naturalmente na zona de risco. Não porque a notícia aponte uma indústria única, mas porque a própria técnica depende de enganar o usuário dentro de um fluxo que parece confiável.
Esse tipo de cenário também pressiona operações de TI e segurança por outro motivo: quando o passo inicial parece uma atividade legítima, a triagem demora mais. E em incidentes de ransomware, demora é um luxo caro.
A notícia afirma que, além do ClickFix, os operadores usam um loader baseado em Deno para executar JavaScript codificado em Base64 diretamente em memória. O objetivo descrito é reduzir evidência em disco e dificultar a detecção.
O texto também descreve uma sequência observada após o comprometimento: fingerprint do sistema, contato com servidor externo para baixar o próximo estágio, loop de polling para buscar e executar mais código, DLL side-loading, movimentação lateral com PsExec, exfiltração de dados e criptografia.
Outro ponto citado é o uso do comando klist para visualizar credenciais ativas no sistema comprometido. Segundo a explicação presente na matéria, isso ajuda o atacante a entender quais contas e serviços já estão acessíveis, acelerando a movimentação sem depender de solicitar novas credenciais.
A reportagem ainda menciona uso de buckets S3 para staging e exfiltração. Aqui o problema é clássico: tráfego de cloud pode parecer legítimo à primeira vista, o que reduz o contraste entre operação normal e atividade maliciosa.
O mais importante é evitar extrapolação. O que dá para dizer com segurança é o que a notícia sustenta: ClickFix em site comprometido, execução em memória via Deno, repetição de comportamentos pós-compromisso e foco em escalar a operação.
Neologik Safe é o encaixe mais direto para esse cenário porque o problema não é só “ter antivírus” ou “fazer backup”. O ponto central aqui é prevenir o erro induzido, detectar a cadeia cedo e responder antes da criptografia.
Na prática, isso ajuda a empresa a ganhar visibilidade sobre comportamento suspeito, reduzir ponto cego operacional e reagir com mais disciplina quando um evento aparentemente banal começa a virar incidente real.
Produto Neologik Safe:
https://neologik.com.br/solucoes#safe
The Hacker News (17/03/2026) — https://thehackernews.com/2026/03/leaknet-ransomware-uses-clickfix-via.html
