Se você confia na janelinha de CAPTCHA para proteger o painel do seu WordPress ou a área de login do servidor que hospeda seus anúncios, prepare-se para uma surpresa nada agradável. Pesquisadores da Zscaler acabaram de revelar que o grupo russo COLDRIVER está usando justamente esse elemento familiar da web como isca para empurrar novos malwares “leves” — BAITSWITCH e SIMPLEFIX — em uma cadeia de infecção que começa com um truque simples na caixa “Executar” do Windows.
O timing não poderia ser pior para quem trabalha com marketing digital ou administração de sites: enquanto grande parte do setor discute SEO, Core Web Vitals e modelos de atribuição, uma frente silenciosa de ameaças evolui com foco em ONGs, ativistas e, cada vez mais, em infraestrutura de conteúdo. E COLDRIVER não está sozinho. Outros dois grupos — BO Team e Bearlyfy — ampliam a complexidade do cenário, lançando mão de backdoors em Golang e de ransomware baseado em LockBit 3.0. Entender esses movimentos é crucial para avaliar riscos a campanhas de Google AdSense, programas de afiliados e qualquer operação online que dependa da integridade dos dados.
COLDRIVER volta à carga com BAITSWITCH e SIMPLEFIX
• O que há de novo: Zscaler ThreatLabz detectou, em setembro de 2025, uma campanha multietapa do grupo COLDRIVER — também conhecido como Callisto, Star Blizzard ou UNC4057 — que distribui dois malwares inéditos. BAITSWITCH funciona como downloader e entrega o backdoor SIMPLEFIX, escrito em PowerShell.
• Vetor de ataque: a tática “ClickFix”, já observada em maio de 2025 pelo Google Threat Intelligence Group, reaparece com força. A vítima é levada a um site que exibe um falso CAPTCHA. Ao “resolver” o desafio, o usuário copia/cola um comando malicioso que carrega uma DLL (BAITSWITCH) a partir da caixa Executar do Windows.
• Fluxo técnico: BAITSWITCH contata o domínio captchanom[.]top para baixar SIMPLEFIX. Enquanto isso, exibe um documento de isca hospedado no Google Drive. No background, coleta informações do sistema, escreve cargas criptografadas no Registro, cria persistência e apaga vestígios do comando inicial.
• Ação do backdoor: o stager em PowerShell se conecta a southprovesolutions[.]com, baixa novamente SIMPLEFIX e estabelece canal C2 para executar scripts, comandos e binários remotos. Um dos scripts varre diretórios pré-configurados em busca de extensões de arquivos sensíveis, numa lógica similar ao malware LOSTKEYS, usado pela mesma APT.
• Alvo principal: membros de ONGs, defensores de direitos humanos, think tanks ocidentais e exilados russos continuam no radar do grupo, reforçando a dimensão política da operação.
ClickFix: por que o truque ainda funciona
Mesmo não sendo tecnicamente sofisticado, o método ClickFix continua eficiente porque explora dois pontos fracos humanos: o hábito de confiar em CAPTCHAs e a familiaridade com atalhos do Windows. Ao pedir que o usuário execute um comando manual, o atacante dribla muitas soluções de EDR (Endpoint Detection and Response) que monitoram apenas processos automatizados. Para quem administra sites ou campanhas, a lição é clara: fluxo de autenticação visual não significa segurança de pipeline de execução.
BO Team atualiza BrockenDoor e ZeronetKit em novas investidas
• Contexto: a Kaspersky identificou, no início de setembro de 2025, e-mails de phishing enviados a empresas russas contendo arquivos RAR protegidos por senha.
• Toolkit renovado: dentro do pacote, uma versão reescrita em C# do dropper BrockenDoor, encarregado de puxar o backdoor ZeronetKit — agora em Golang. O malware permite acesso remoto, exfiltra dados, cria túneis TCP/IPv4 e, em versões mais recentes, executa shellcode para manter comunicação flexível com múltiplos servidores C2.
• Persistência: ZeronetKit não se instala de forma autônoma, então o BrockenDoor copia o backdoor para a pasta de inicialização do Windows, garantindo execução a cada boot.
Imagem: Internet
Bearlyfy adota “ransomware low-cost” e já soma 30 vítimas
• Perfil do grupo: ativo desde janeiro de 2025, o Bearlyfy começou atacando pequenas empresas na Rússia com demandas modestas de resgate antes de subir na cadeia alimentar.
• Armamento: as variantes LockBit 3.0 e Babuk são usadas para criptografar dados. Em um caso, os atacantes exploraram uma versão vulnerável do Bitrix para ganhar acesso inicial e, depois, a falha Zerologon para escalar privilégios.
• Economia do crime: na ofensiva mais recente, o pedido chegou a US$ 80 mil em criptomoeda. Segundo a consultoria F6, 20% das vítimas pagam pelo decryptor — um índice alto para o volume relativamente baixo de resgate, o que mantém o negócio atraente.
• Ligações suspeitas: parte da infraestrutura do Bearlyfy se sobrepõe à de um provável grupo pró-Ucrânia, o PhantomCore, ativo desde 2022. Ainda assim, analistas consideram Bearlyfy uma célula autônoma, focada em resultados rápidos mais do que em operações de longo prazo típicas de APTs.
Do “resolver CAPTCHA” ao risco de receita: o que esses ataques ensinam sobre segurança e monetização online
A sensação de déjà-vu que o ClickFix provoca — um simples CAPTCHA criando um desastre — reforça um ponto fundamental para quem vive de conteúdo: cadeias de ataque não precisam de zero-days sofisticados para derrubar receita de anúncios ou manchar reputação de afiliados. Basta uma etapa que envolva a ação direta do usuário.
No plano macro, as três campanhas expõem tendências complementares. COLDRIVER refina ferramentas sob medida, mirando perfis políticos de alto valor. BO Team moderniza backdoors para manter presença furtiva. Bearlyfy, por sua vez, industrializa o ransomware de “baixo ticket”, priorizando volume sobre resgates milionários. O alvo comum? Ecossistemas russos ou relacionados à Rússia, em um momento de alta instabilidade geopolítica.
Para equipes de marketing, TI e criadores independentes, o recado é pragmático: revisar políticas de execução de scripts no Windows, endurecer MFA além de CAPTCHAs visuais e auditar extensões instaladas em CMSs como WordPress ou Bitrix. Afinal, cada etapa poupada pelo atacante é um vetor a menos para ser detectado — e cada segundo offline custa impressões, conversões e confiabilidade. Entender a anatomia dessas campanhas hoje significa economizar um orçamento valioso amanhã.
Compreender o “porquê” desses movimentos — a combinação de engenharia social básica com um arsenal técnico versátil — é o primeiro passo para não cair em armadilhas que começam inocentes e terminam afetando diretamente a continuidade dos negócios digitais.
