A ESET divulgou seu Relatório de Ameaças referente ao primeiro semestre de 2025. O levantamento aponta um aumento expressivo no uso de ClickFix, técnica que simula mensagens de erro para induzir usuários a executar comandos maliciosos. O vetor cresceu mais de 500% em relação ao segundo semestre de 2024 e respondeu por quase 8% de todos os ataques cibernéticos bloqueados pela empresa no período, atrás apenas do phishing.

O relatório, que cobre o período entre dezembro de 2024 e maio de 2025, também mostra alta significativa nas detecções de adware para Android, impulsionadas principalmente pelo malware Kaleidoscope. O crescimento foi de 160% em relação ao semestre anterior. Já os golpes envolvendo comunicação por aproximação (NFC) aumentaram mais de 35 vezes, com destaque para ferramentas como GhostTap e SuperCard X.

“O crescimento do ClickFix exemplifica bem a sofisticação crescente nas campanhas de engenharia social. Em vez de depender apenas de arquivos maliciosos, os atacantes manipulam diretamente o comportamento do usuário para executar comandos críticos, o que torna a detecção e a mitigação mais complexas”, explica Daniel Barbosa, pesquisador de segurança da ESET no Brasil.  

O ClickFix afeta sistemas operacionais como Windows, Linux e macOS. A técnica utiliza janelas de erro falsas para levar a vítima a copiar e colar comandos em seus próprios dispositivos, possibilitando a execução de diferentes tipos de malware. “A lista de ameaças derivadas do ClickFix cresce a cada dia, incluindo infostealers, ransomware, trojans de acesso remoto, cryptominers, ferramentas de pós-exploração e até ataques coordenados por grupos ligados a interesses governamentais”, completa Barbosa.

Entre os infostealers, o SnakeStealer (ou Snake Keylogger) superou o Agent Tesla e passou a liderar em número de detecções. Suas funcionalidades incluem registro de teclas, roubo de credenciais, captura de tela e extração de dados da área de transferência.

O relatório também destaca a atuação da ESET na interrupção de duas operações de malware como serviço: Lumma Stealer e Danabot. Antes da interrupção ambos registraram aumento de atividade, 21% no caso do Lumma e 52% no Danabot, em comparação com o segundo semestre de 2024.

No segmento de ransomware, o documento aponta instabilidade provocada por conflitos entre grupos criminosos, como os associados ao RansomHub. Apesar do aumento no número de ataques e grupos ativos, os pagamentos de resgate diminuíram. A ESET atribui esse movimento à falta de confiança nas promessas de retorno dos dados após o pagamento, além de abandonos e fraudes entre os próprios agentes de ameaça.

Em dispositivos móveis, além do aumento do Kaleidoscope, o relatório chama atenção para a expansão de golpes com NFC. O GhostTap, por exemplo, permite clonar dados de cartões e usá-los em pagamentos por aproximação por meio de celulares. Já o SuperCard X é oferecido como malware como serviço e opera de forma silenciosa para capturar dados em tempo real.