Campanha ativa desde 2025 utiliza cliques em verificações falsas para instalar um RAT com Node.js embutido, comunicação via Tor e módulos carregados diretamente na memória.
Uma campanha de malware, em operação desde o início de 2025, está explorando páginas CAPTCHA fraudulentas para infectar máquinas Windows com um trojan de acesso remoto, visando o roubo de criptomoedas. A técnica empregada é uma “imitação” do método de segurança que autentica usuários humanos contra robôs, projetada para proteger sites e serviços contra invasões.
Documentada pelo Netskope Threat Labs, essa operação se utiliza de uma estratégia chamada ClickFix. Esse ataque tira proveito do reflexo automático de clicar em caixas de verificação para executar comandos prejudiciais sem a percepção da vítima.
Nossos vídeos em destaque
Quando a vítima clica no falso CAPTCHA, um comando PowerShell codificado em base64 é executado em segundo plano. Rapidamente, a máquina se conecta ao domínio cloud-verificate.com, baixa um arquivo chamado NodeServer-Setup-Full.msi e o instala discretamente na pasta %LOCALAPPDATA%\LogicOptimizer\. Todo o processo ocorre sem janelas ou avisos visíveis para o usuário.
Malware conta com runtime Node.js para operação em qualquer PC
Este instalador não é um simples vírus. Trata-se de um RAT (Remote Access Trojan), que basicamente permite ao atacante obter controle remoto da máquina infectada, desenvolvido sobre Node.js.
Vazamento do Claude Code é usado para espalhar versão modificada com vírus
O pacote MSI inclui um runtime Node.js completamente funcional, bem como todas as dependências na pasta node_modules/, o que torna o malware autossuficiente, funcionando em qualquer sistema Windows sem precisar de software pré-instalado.
Depois de instalado, o malware registra a chave LogicOptimizer no Registro do Windows (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para garantir sua execução automática a cada login. Um supervisor interno monitora o processo principal e o reinicia em caso de falhas, caracterizando uma arquitetura de autocura.
Configuração criptografada em várias camadas oculta servidor de comando
Antes de se conectar ao servidor de controle, o malware deve descriptografar sua própria configuração. O módulo polymorph.js aplica três níveis de ofuscação, começando com um nome de campo gerado aleatoriamente para cada execução, seguido por criptografia dupla com suporte a AES-256-CBC ou XOR, e embaralhamento das chaves do arquivo de configuração a cada reinicialização.
A configuração decriptografada revela o endereço do servidor de comando, que é um domínio .onion, acessível somente pela rede Tor, além de um identificador de campanha que permite ao operador rastrear suas vítimas.
Hackers norte-coreanos atacaram apenas uma pessoa para comprometer Axios e NPM
Módulos carregados sob demanda dificultam detecção
A estrutura do malware é modular. Os componentes mais prejudiciais não são armazenados no disco, mas são entregues pelo servidor de controle como strings de código JavaScript e executados diretamente na memória em uma sandbox Node.js.
O servidor envia comandos do tipo ModuleExec contendo o código a ser executado, que opera com acesso ao sistema de arquivos e à rede, tornando a operação praticamente invisível para varreduras convencionais.
Antes de agir, o malware realiza uma varredura completa do sistema, coletando informações do Windows, arquitetura, nome do computador, modelo de CPU, quantidade de RAM, espaço disponível no disco, informações da GPU e IP externo.
Ele também procura mais de 30 produtos de segurança, como Windows Defender, CrowdStrike, SentinelOne, Kaspersky, Norton e McAfee. Se o sistema parecer bem protegido, os operadores podem optar por não enviar os módulos de roubo, mantendo o malware inativo.
Anthropic confirma vazamento do código-fonte do Claude Code
Comunicação de comando é roteada pelo Tor via protocolo gRPC
A comunicação com o servidor de controle usa gRPC, um protocolo que possibilita a troca de dados bidirecional em tempo real, todo o tráfego passando pela rede Tor. O malware baixa e instala o Tor Expert Bundle no diretório %LOCALAPPDATA%\LogicOptimizer\tor\ e cria um proxy SOCKS5 local para encaminhar o tráfego. Caso o download falhe, ele tenta novamente a cada 60 segundos até ser bem-sucedido.
Esse canal permite que os operadores enviem comandos e recebam respostas instantaneamente, incluindo a execução de shell, transferência de arquivos e atualizações remotas do próprio malware.
Painel administrativo exposto revela operação de malware como serviço
Os pesquisadores do Netskope conseguiram acessar a estrutura interna da operação após uma falha de OPSEC dos atacantes, que deixaram o painel administrativo descoberto. Os documentos recuperados — support.proto e admin.proto — mostram claramente que a operação opera como um serviço comercial (MaaS, Malware-as-a-Service), com diversos operadores afiliados.
O admin.proto apresenta um painel que rastreia carteiras de criptomoedas por vítima, gerencia múltiplos operadores com permissões por módulo, log de execução, filtros por país e status de conexão, e integração com bots do Telegram para notificações em tempo real sobre novas infecções.
Após vazamento, Claude Code pode ser usado de graça
“Essa arquitetura confirma que o malware é tanto um infostealer quanto um RAT — as capacidades de C2 documentadas no support.proto permitem execução de código arbitrário, manipulação de arquivos e execução de comandos do sistema”, afirma o relatório.
A infraestrutura profissional, com controle de acesso por função e automações configuráveis, indica uma operação criminosa madura, não sendo a ferramenta de um único atacante.
Fique por dentro das novidades seguindo a TecMania nas redes sociais. Para mais informações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
