Widget Malicioso, CAPTCHA Falsa e Comando 'Executar': Como Hackers Infectaram Milhares de Lojas Online Via Serviço de Avaliações
Um único script malicioso injetado no popular widget de avaliações Okendo Reviews comprometeu mais de 18 mil lojas online. A tática, ligada ao grupo SmartApeSG, enganava usuários com CAPTCHAs falsas para executar comandos perigosos.
MundiX News·24 de junho de 2026·4 min de leitura·👁 1 views
Um único script malicioso e 18 mil marcas afetadas. Essa é a magnitude do ataque que explorou o serviço de avaliações Okendo Reviews, utilizado por mais de 18 mil marcas em suas lojas virtuais. Os criminosos inseriram um JavaScript malicioso no widget, que, ao ser carregado nas páginas dos e-commerces, após algumas verificações, exibia aos visitantes uma CAPTCHA falsa ou uma janela de verificação. Essa tática, pertencente à família ClickFix, solicitava que o usuário abrisse a janela 'Executar' do Windows e inserisse um comando copiado, conforme detalhado por pesquisadores da Zscaler.
Ataque à Cadeia de Suprimentos e Táticas de Evasão
A campanha foi atribuída ao grupo SmartApeSG, também conhecido como ZPHP e HANEYMANEY. O widget Okendo Reviews é comumente adicionado pelos proprietários de lojas nas páginas iniciais, nas descrições de produtos e nos formulários de envio de avaliações. A exploração de um único serviço de terceiros permitiu que os atacantes distribuíssem código malicioso para os visitantes de inúmeros sites. A Zscaler detectou a atividade suspeita em 14 de maio. O script malicioso não executava todas as suas ações imediatamente. Em sua primeira execução, o JavaScript registrava um timestamp no localStorage e, em visitas subsequentes à página, cessava sua atividade. O código também verificava o User-Agent, evitando a execução em smartphones e tablets, focando assim em usuários de desktops. Após essas verificações, o loader buscava o endereço do próximo servidor a partir de fragmentos XOR criptografados, criava um token aleatório de oito caracteres e adicionava uma nova tag script à página. A próxima fase do ataque poderia apresentar uma CAPTCHA falsa, solicitar a abertura da janela 'Executar' e a inserção de um comando. Esse comando, por sua vez, baixava um arquivo PowerShell ou HTA, através do qual um programa de acesso remoto (RAT) ou um stealer poderia ser instalado no computador do usuário.
Payloads e Impacto em Lojas de Grande Porte
Em campanhas anteriores, o SmartApeSG já foi associado à instalação de programas de acesso remoto como NetSupport RAT, Remcos RAT e Sectop RAT, além do stealer StealC, projetado para roubar senhas, arquivos e dados de navegadores. A Zscaler não confirmou se todos esses programas foram utilizados especificamente no ataque via Okendo Reviews. Entre os sites afetados, os especialistas identificaram lojas com tráfego variando de 150 mil a vários milhões de visitas mensais. O site de um grande varejista americano, que utilizava o widget Okendo Reviews, recebe aproximadamente sete milhões de visitas por mês. É importante notar que a estimativa de tráfego não indica quantos usuários visualizaram o código malicioso ou tiveram seus dispositivos infectados. Os sistemas de defesa da Zscaler bloquearam quase 15 mil ações relacionadas ao SmartApeSG em 14 de maio. A Okendo confirmou estar ciente do incidente e declarou ter retornado uma versão limpa do script. A Zscaler indicou como indicadores de comprometimento o endereço do widget infectado cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js, bem como os servidores api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3 e api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA, de onde a próxima etapa do ataque era baixada.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um único script malicioso e 18 mil marcas afetadas. Essa é a magnitude do ataque que explorou o serviço de avaliações Okendo Reviews, utilizado por mais de 18 mil marcas em suas lojas virtuais. Os criminosos inseriram um JavaScript malicioso no widget, que, ao ser carregado nas páginas dos e-commerces, após algumas verificações, exibia aos visitantes uma CAPTCHA falsa ou uma janela de verificação. Essa tática, pertencente à família ClickFix, solicitava que o usuário abrisse a janela 'Executar' do Windows e inserisse um comando copiado, conforme detalhado por pesquisadores da Zscaler.
Ataque à Cadeia de Suprimentos e Táticas de Evasão
A campanha foi atribuída ao grupo SmartApeSG, também conhecido como ZPHP e HANEYMANEY. O widget Okendo Reviews é comumente adicionado pelos proprietários de lojas nas páginas iniciais, nas descrições de produtos e nos formulários de envio de avaliações. A exploração de um único serviço de terceiros permitiu que os atacantes distribuíssem código malicioso para os visitantes de inúmeros sites. A Zscaler detectou a atividade suspeita em 14 de maio. O script malicioso não executava todas as suas ações imediatamente. Em sua primeira execução, o JavaScript registrava um timestamp no localStorage e, em visitas subsequentes à página, cessava sua atividade. O código também verificava o User-Agent, evitando a execução em smartphones e tablets, focando assim em usuários de desktops. Após essas verificações, o loader buscava o endereço do próximo servidor a partir de fragmentos XOR criptografados, criava um token aleatório de oito caracteres e adicionava uma nova tag script à página. A próxima fase do ataque poderia apresentar uma CAPTCHA falsa, solicitar a abertura da janela 'Executar' e a inserção de um comando. Esse comando, por sua vez, baixava um arquivo PowerShell ou HTA, através do qual um programa de acesso remoto (RAT) ou um stealer poderia ser instalado no computador do usuário.
Payloads e Impacto em Lojas de Grande Porte
Em campanhas anteriores, o SmartApeSG já foi associado à instalação de programas de acesso remoto como NetSupport RAT, Remcos RAT e Sectop RAT, além do stealer StealC, projetado para roubar senhas, arquivos e dados de navegadores. A Zscaler não confirmou se todos esses programas foram utilizados especificamente no ataque via Okendo Reviews. Entre os sites afetados, os especialistas identificaram lojas com tráfego variando de 150 mil a vários milhões de visitas mensais. O site de um grande varejista americano, que utilizava o widget Okendo Reviews, recebe aproximadamente sete milhões de visitas por mês. É importante notar que a estimativa de tráfego não indica quantos usuários visualizaram o código malicioso ou tiveram seus dispositivos infectados. Os sistemas de defesa da Zscaler bloquearam quase 15 mil ações relacionadas ao SmartApeSG em 14 de maio. A Okendo confirmou estar ciente do incidente e declarou ter retornado uma versão limpa do script. A Zscaler indicou como indicadores de comprometimento o endereço do widget infectado cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js, bem como os servidores api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3 e api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA, de onde a próxima etapa do ataque era baixada.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
