Atacantes Cibernéticos Exploram Registros DNS TXT em Scripts 'Click Fix' para Executar Comandos Maliciosos em PowerShell
Uma nova variante da campanha de engenharia social 'ClickFix', chamada KongTuke, está utilizando registros DNS TXT para armazenar e obter payloads maliciosos. Essa técnica inovadora permite que os atacantes evitem detecção e executem comandos PowerShell maliciosos.
MundiX News·13 de abril de 2026·7 min de leitura·👁 1 views
A campanha de ataque de engenharia social "ClickFix" evoluiu para uma nova variante, denominada KongTuke. Desde o final de dezembro de 2025, essa variante tem sido ativamente disseminada, caracterizada pelo uso de registros DNS TXT para armazenar e obter payloads maliciosos, representando uma mudança significativa na forma como esses ataques contornam as medidas de detecção.
O método de ataque típico do "ClickFix" consiste em comprometer sites legítimos ou criar páginas de phishing falsas, exibindo pop-ups enganosos de "verificação humana" ou "atualização do navegador Chrome". Ao contrário dos ataques de phishing tradicionais que solicitam credenciais de contas, o ClickFix induz os usuários a executar manualmente programas maliciosos.
O processo de ataque envolve orientar os usuários a realizar uma série de ações específicas para "corrigir problemas" ou "provar que não são robôs":
Pressionar a tecla Windows + R para abrir a caixa de diálogo Executar.
Pressionar Ctrl+V para colar o comando na caixa de entrada.
Pressionar Enter para executar o comando.
Quando um usuário interage com um pop-up falso em uma página da web, um script JavaScript injeta automaticamente um comando malicioso na área de transferência do usuário.
A Nova Abordagem DNS da KongTuke
Na campanha de ataque KongTuke, o conteúdo da área de transferência é um comando PowerShell projetado para obter código malicioso de registros DNS, em vez de carregá-lo de um servidor web tradicional.
Análises recentes revelaram que o comando injetado segue a seguinte estrutura:
Este comando inclui várias funções de execução cruciais:
-w h: Oculta a janela do PowerShell para evitar alertar o usuário.
-ep bypass: Ignora a política de execução local, permitindo que o script malicioso seja executado.
Resolve-DnsName: Este é o ponto de inovação central do ataque. Em vez de baixar arquivos de um URL via Invoke-WebRequest (wget/curl), o script consulta o registro TXT de um domínio controlado pelo atacante (como payload.bruemald.top).
-Server 8.8.8.8: Força a consulta através do DNS público do Google, contornando os mecanismos de filtragem DNS locais da empresa ou as políticas de bloqueio de domínio, evitando que o domínio malicioso seja bloqueado no nível da rede.
iex: Executa imediatamente (Invoke-Expression) a string de texto obtida do registro DNS TXT.
O pop-up falso de verificação humana orienta o usuário a colar este comando PowerShell malicioso na caixa de diálogo Executar do Windows e executá-lo.
Métodos de Evasão de Detecção e Impacto do Ataque
Ao armazenar o payload malicioso em registros DNS TXT, os atacantes evitam implantar arquivos maliciosos em servidores web, escapando assim da detecção por filtros de URL ou firewalls. Para sistemas de monitoramento de segurança de rede, esse tipo de operação gera tráfego que aparece como consultas DNS padrão para resolvedores DNS públicos (8.8.8.8), que geralmente são permitidas em ambientes de rede corporativa.
A análise do código-fonte revelou o conteúdo específico do script PowerShell malicioso injetado na área de transferência do usuário. Após a execução, o script obtém um payload malicioso de segundo estágio, que geralmente é um programa de roubo de informações ou um downloader usado para baixar outras famílias de malware.
Domínios comprometidos que hospedam essas páginas de phishing ClickFix (como o emierich.com, que já foi descoberto) geralmente permanecem ativos por vários dias antes de serem detectados, porque seu conteúdo malicioso é injetado dinamicamente apenas para visitantes específicos.
As organizações de segurança recomendam que as empresas monitorem de perto cadeias de execução PowerShell anormais, especialmente aquelas que invocam simultaneamente Resolve-DnsName e iex. Além disso, é crucial realizar treinamento de conscientização de segurança para os usuários, informando claramente que os processos de verificação legítimos nunca exigirão a execução de comandos por meio da caixa de diálogo Executar do Windows.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A campanha de ataque de engenharia social "ClickFix" evoluiu para uma nova variante, denominada KongTuke. Desde o final de dezembro de 2025, essa variante tem sido ativamente disseminada, caracterizada pelo uso de registros DNS TXT para armazenar e obter payloads maliciosos, representando uma mudança significativa na forma como esses ataques contornam as medidas de detecção.
O método de ataque típico do "ClickFix" consiste em comprometer sites legítimos ou criar páginas de phishing falsas, exibindo pop-ups enganosos de "verificação humana" ou "atualização do navegador Chrome". Ao contrário dos ataques de phishing tradicionais que solicitam credenciais de contas, o ClickFix induz os usuários a executar manualmente programas maliciosos.
O processo de ataque envolve orientar os usuários a realizar uma série de ações específicas para "corrigir problemas" ou "provar que não são robôs":
Pressionar a tecla Windows + R para abrir a caixa de diálogo Executar.
Pressionar Ctrl+V para colar o comando na caixa de entrada.
Pressionar Enter para executar o comando.
Quando um usuário interage com um pop-up falso em uma página da web, um script JavaScript injeta automaticamente um comando malicioso na área de transferência do usuário.
A Nova Abordagem DNS da KongTuke
Na campanha de ataque KongTuke, o conteúdo da área de transferência é um comando PowerShell projetado para obter código malicioso de registros DNS, em vez de carregá-lo de um servidor web tradicional.
Análises recentes revelaram que o comando injetado segue a seguinte estrutura:
Este comando inclui várias funções de execução cruciais:
-w h: Oculta a janela do PowerShell para evitar alertar o usuário.
-ep bypass: Ignora a política de execução local, permitindo que o script malicioso seja executado.
Resolve-DnsName: Este é o ponto de inovação central do ataque. Em vez de baixar arquivos de um URL via Invoke-WebRequest (wget/curl), o script consulta o registro TXT de um domínio controlado pelo atacante (como payload.bruemald.top).
-Server 8.8.8.8: Força a consulta através do DNS público do Google, contornando os mecanismos de filtragem DNS locais da empresa ou as políticas de bloqueio de domínio, evitando que o domínio malicioso seja bloqueado no nível da rede.
iex: Executa imediatamente (Invoke-Expression) a string de texto obtida do registro DNS TXT.
O pop-up falso de verificação humana orienta o usuário a colar este comando PowerShell malicioso na caixa de diálogo Executar do Windows e executá-lo.
Métodos de Evasão de Detecção e Impacto do Ataque
Ao armazenar o payload malicioso em registros DNS TXT, os atacantes evitam implantar arquivos maliciosos em servidores web, escapando assim da detecção por filtros de URL ou firewalls. Para sistemas de monitoramento de segurança de rede, esse tipo de operação gera tráfego que aparece como consultas DNS padrão para resolvedores DNS públicos (8.8.8.8), que geralmente são permitidas em ambientes de rede corporativa.
A análise do código-fonte revelou o conteúdo específico do script PowerShell malicioso injetado na área de transferência do usuário. Após a execução, o script obtém um payload malicioso de segundo estágio, que geralmente é um programa de roubo de informações ou um downloader usado para baixar outras famílias de malware.
Domínios comprometidos que hospedam essas páginas de phishing ClickFix (como o emierich.com, que já foi descoberto) geralmente permanecem ativos por vários dias antes de serem detectados, porque seu conteúdo malicioso é injetado dinamicamente apenas para visitantes específicos.
As organizações de segurança recomendam que as empresas monitorem de perto cadeias de execução PowerShell anormais, especialmente aquelas que invocam simultaneamente Resolve-DnsName e iex. Além disso, é crucial realizar treinamento de conscientização de segurança para os usuários, informando claramente que os processos de verificação legítimos nunca exigirão a execução de comandos por meio da caixa de diálogo Executar do Windows.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
