Novo ataque ClickFix explora WorkFlowy para entrega furtiva de malware
Aprofundamento CEVIU
Aprofundamento
O ataque ClickFix não é mais só um truque de engenharia social, virou uma plataforma modular de invasão. A variante identificada pela Atos em março de 2026 mostra como o vetor evoluiu do comando colado na caixa 'Executar' para um estágio sofisticado dentro de aplicações Electron legítimas. Ao trojanizar o arquivo .asar do WorkFlowy, os atacantes injetam código malicioso diretamente no ciclo de inicialização da aplicação, antes mesmo que a interface apareça. Isso não só evita detecção por heurística baseada em scripts (PowerShell, WScript), como também contorna políticas de execução restritivas e assinatura de binários, porque o que roda é, tecnicamente, o WorkFlowy mesmo.
A injeção via net use + WebDAV seguida de um script .cmd é uma mudança estratégica: reduz a dependência de ferramentas nativas com alto perfil de detecção (como wt.exe ou finger.exe, usados em variantes anteriores) e explora uma cadeia de confiança menos monitorada. O beacon C2 embarcado no main.js ofuscado comunica-se silenciosamente, exfiltrando dados enquanto o usuário acredita estar usando um aplicativo de produtividade. Não há download visível, não há processo suspeito no Gerenciador de Tarefas, apenas um ícone familiar na barra de tarefas.
Por que isso importa
Empresas que adotam ferramentas como WorkFlowy, Notion ou Obsidian sem validação de integridade de pacotes estão expostas a uma falha estrutural: o modelo Electron permite que código malicioso se disfarce de funcionalidade legítima. Esse ataque não explora uma vulnerabilidade do sistema operacional, mas uma fraqueza de implantação, arquivos .asar são empacotados, mas raramente verificados quanto à assinatura digital ou hash. Quando o malware se esconde dentro de um app já autorizado pelo usuário e pela política de segurança, ele ignora camadas inteiras de defesa perimetral. Para equipes de segurança, isso significa que a detecção precisa migrar de 'o que foi executado?' para 'o que foi carregado antes da execução?'. O uso de chaves de registro como RunMRU como indicador comportamental mostra que a resposta eficaz agora depende de observabilidade profunda no tempo de inicialização, não só em tempo de execução.
Perguntas frequentes
Por que o Microsoft Defender for Endpoint não detectou esse ataque?
Porque ele não executa scripts tradicionais nem binários suspeitos. O malware roda dentro do processo legítimo do WorkFlowy, aproveitando a confiança no aplicativo Electron. O Defender foca em comportamentos anômalos de processos novos ou scripts, não em alterações sutis em arquivos empacotados de apps já instalados.
O que torna o arquivo .asar tão vulnerável a esse tipo de ataque?
É um arquivo ZIP renomeado que contém o código-fonte JavaScript do app Electron. Ele não é assinado por padrão, nem verificado em tempo de execução. Qualquer pessoa com acesso ao disco pode substituir o main.js interno por uma versão ofuscada que executa código malicioso antes da interface carregar.
Como posso saber se meu WorkFlowy está comprometido?
Não há sintoma visível. A detecção exige análise forense: verificar o hash do arquivo app.asar contra a versão oficial publicada no GitHub do WorkFlowy, ou monitorar chamadas inesperadas de rede feitas logo após o início do processo. Ferramentas como Sysmon com regra de monitoramento em ImageLoaded podem ajudar.
Esse ataque afeta só o WorkFlowy?
Não. É um padrão replicável em qualquer app Electron que permita atualização local ou instalação manual. Já houve casos similares com Ledger Live e outros softwares de criptomoedas. A ameaça é sistêmica para aplicações que empacotam código em .asar sem mecanismos de verificação de integridade.
Fontes
- scworld.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 18 de março de 2026
- Editoria
- CEVIU Segurança da Informação
