Leitores do Gizmodo são atingidos por prompts ClickFix após invasão de conta

O ataque ao Gizmodo usou uma técnica já vista em outros sites de mídia: injetar código malicioso por meio de uma conta WordPress comprometida. O script disparava pop-ups falsos de CAPTCHA, disfarçados como verificação humana, mas que na verdade executavam comandos no terminal do usuário. No Windows, o payload instalava o NetSupport RAT, uma ferramenta legítima de suporte remoto usada por criminosos para assumir controle total da máquina, roubar arquivos, instalar ransomware ou espionar teclas. No macOS, o ataque falhou na prática: o arquivo ZIP criptografado exigia senha, mas nenhuma foi fornecida, travando o processo. Isso mostra que o atacante não testou o payload para Mac, talvez por subestimar o público ou por falta de recursos.

A rapidez com que o Gizmodo reagiu, tirar o site do ar, remover o script e bloquear a conta, foi essencial. Ataques como esse dependem de minutos para infectar centenas. A ausência de relatos massivos de infecção sugere que a resposta foi eficaz. Mas o incidente expõe uma falha comum: sites de conteúdo gerado por usuários, mesmo os grandes, muitas vezes não monitoram permissões de conta com rigor. Um único login roubado basta para transformar um portal de notícias em vetor de malware.

Esse tipo de ataque não visa grandes corporações, atinge leitores comuns. O ClickFix é um serviço de baixo custo, acessível até a grupos de criminosos amadores. O fato de ele ser usado em um site como o Gizmodo, com tráfego global e audiência técnica, mostra que ninguém está imune. Empresas de mídia e plataformas de conteúdo precisam adotar autenticação de dois fatores obrigatória para todos os editores, além de monitoramento em tempo real de alterações em templates ou scripts. A segurança não é só de firewall: é de conta, de permissão, de revisão. Um erro de configuração em um painel WordPress pode expor milhões a um trojan.