A ESET, empresa referência em segurança cibernética e detecção proativa de ameaças, divulgou seu Relatório de Ameaças referente ao primeiro semestre de 2025. Um dos principais destaques é a ascensão vertiginosa do ClickFix, que se consolidou como o segundo vetor de ataque mais utilizado no mundo, atrás apenas do phishing.
A técnica, que simula mensagens de erro para induzir usuários a executar comandos maliciosos, cresceu mais de 500% em relação ao segundo semestre de 2024 e foi responsável por quase 8% dos ataques cibernéticos bloqueados pela ESET entre dezembro de 2024 e maio de 2025.
“O crescimento do ClickFix exemplifica bem a sofisticação crescente nas campanhas de engenharia social. Em vez de depender apenas de arquivos maliciosos, os atacantes manipulam diretamente o comportamento do usuário para executar comandos críticos, o que torna a detecção e a mitigação mais complexas”, explica Daniel Barbosa, pesquisador de segurança da ESET no Brasil.
ClickFix impacta múltiplos sistemas e amplia arsenal de ameaças
A técnica do ClickFix tem afetado diferentes sistemas operacionais, incluindo Windows, Linux e macOS. Os cibercriminosos utilizam janelas falsas de erro para convencer as vítimas a colar comandos diretamente em seus dispositivos, facilitando a execução de uma ampla gama de malwares.
“A lista de ameaças derivadas do ClickFix cresce a cada dia, incluindo infostealers, ransomware, trojans de acesso remoto, cryptominers, ferramentas de pós-exploração e até ataques coordenados por grupos ligados a interesses governamentais”, completa Barbosa.
Android sofre com adware e novas ameaças por aproximação
Outro alerta do relatório da ESET está no aumento de malwares para Android, com destaque para o adware Kaleidoscope, que impulsionou um crescimento de 160% nas detecções no período analisado.
No campo das fraudes com tecnologia NFC (Near Field Communication), as ameaças se multiplicaram: o número de incidentes cresceu mais de 35 vezes em relação ao semestre anterior. As ferramentas GhostTap e SuperCard X lideram esse tipo de golpe, permitindo clonar dados de cartões e realizar pagamentos não autorizados por aproximação.
O relatório revela ainda que o SnakeStealer (também conhecido como Snake Keylogger) superou o famoso Agent Tesla, tornando-se o infostealer mais detectado no semestre. Ele possui funcionalidades como registro de teclas digitadas, roubo de credenciais, captura de tela e extração de informações da área de transferência.
Malware como serviço e ransomware instável
A ESET também relata a interrupção de duas grandes operações de malware como serviço: Lumma Stealer e Danabot. Antes de sua neutralização, ambas apresentavam forte crescimento, com alta de 21% e 52%, respectivamente.
Já no segmento de ransomware, embora tenha havido aumento no número de ataques e de grupos criminosos ativos, os pagamentos de resgate caíram. O motivo, segundo o relatório, está na falta de confiança das vítimas, que temem não receber seus dados mesmo após o pagamento, além da ocorrência de fraudes e disputas entre os próprios agentes de ameaça.
O relatório completo sobre ameaças cibernéticas no primeiro semestre de 2025 está disponível para consulta no site oficial da ESET.
