Novo Ataque ClickFix Visa Carteiras de Criptomoedas e Mais de 25 Navegadores com Infostealer

Uma campanha ClickFix evoluída utiliza páginas CAPTCHA falsas para enganar usuários, levando-os a executar comandos PowerShell que baixam um infostealer. O malware é carregado via Donut shellcode loader, que opera inteiramente em memória usando VirtualAlloc e CreateThread, evadindo detecções baseadas em arquivo. Este ataque visa carteiras de criptomoedas como MetaMask e Exodus. Além disso, ele coleta credenciais de mais de 25 navegadores, exfiltra configurações de VPN, contas Steam e credenciais FTP. A persistência é garantida por modificações na chave de registro RunMRU. Organizações devem monitorar cadeias de execução suspeitas de PowerShell, bloquear IPs de C2 conhecidos, e estar cientes de que o Microsoft Defender detecta o payload como Behavior:Win32/SuspClickFix.C.