Novo Ataque ClickFix Emprega Malware Node.js via Tor para Roubar Criptomoedas

A Netskope Threat Labs identificou uma campanha ClickFix com suporte MaaS (Malware-as-a-Service) ativa desde o início de 2025. Ela visa usuários Windows com um CAPTCHA falso, induzindo-os a executar um comando PowerShell que baixa silenciosamente o arquivo NodeServerSetup-Full.msi. Este RAT (Remote Access Trojan) inclui seu próprio runtime Node.js, instala-se em uma pasta "LogicOptimizer", mantém persistência no Registro e redireciona todas as comunicações C2 (Command and Control) via Tor. O malware verifica o host contra mais de 30 soluções de segurança antes de carregar dinamicamente módulos de infostealer na memória em tempo de execução, evitando detecção baseada em disco. Uma falha de OPSEC (Operational Security) que expôs seu painel de administração revelou uma infraestrutura C2 baseada em gRPC, com grupos afiliados recebendo alertas Telegram em tempo real sobre furtos bem-sucedidos de carteiras de criptomoedas. Recomenda-se que os defensores bloqueiem o tráfego Tor de saída, monitorem processos msiexec iniciados por PowerShell e tratem qualquer prompt de navegador que instrua a "corrigir" via área de transferência como um IOC (Indicador de Compromisso) imediato.