A campanha maliciosa ClearFake está utilizando falsos sistemas de verificação reCAPTCHA e Cloudflare Turnstile para enganar usuários e distribuir malwares como Lumma Stealer e Vidar Stealer. Identificada em julho de 2023, a ClearFake se aproveita de sites WordPress comprometidos para induzir vítimas a baixar falsas atualizações de navegador. Um dos principais métodos usados é o EtherHiding, que oculta cargas maliciosas em contratos da Binance Smart Chain (BSC), tornando os ataques mais difíceis de serem detectados. Além disso, desde maio de 2024, a campanha incorporou o ClickFix, uma tática de engenharia social que convence usuários a executar comandos maliciosos no PowerShell sob o pretexto de corrigir problemas inexistentes.

O novo modelo da ClearFake agora interage ainda mais com a Binance Smart Chain, carregando múltiplos códigos JavaScript para identificar o sistema da vítima e desencriptar o código malicioso ClickFix, hospedado no Cloudflare Pages. Quando o usuário executa o comando comprometido, ocorre o download do Emmenhtal Loader (PEAKLIGHT), que posteriormente instala o Lumma Stealer. Desde janeiro de 2025, pesquisadores da Sekoia também detectaram uma variante alternativa do ataque, na qual o PowerShell é usado para instalar o Vidar Stealer. Estima-se que 9.300 sites já tenham sido comprometidos pela campanha, afetando cerca de 200.000 usuários únicos até julho de 2024.

Além da ClearFake, outras ameaças foram identificadas, como ataques de phishing que exploram falhas de configuração no Microsoft 365 para roubo de credenciais e a disseminação de trojans como Venom RAT, AsyncRAT e Remcos RAT. A crescente sofisticação das campanhas de engenharia social reforça a necessidade de empresas adotarem autenticação robusta e mecanismos de proteção contra ataques “Adversary-in-the-Middle” (AitM) e “Browser-in-the-Middle” (BitM), que permitem aos invasores sequestrar sessões protegidas por autenticação multifator (MFA).