{"id":482,"date":"2026-04-10T20:31:33","date_gmt":"2026-04-10T23:31:33","guid":{"rendered":"https:\/\/tecmania.com.br\/alerta-golpe-de-pop-up-falso-no-windows-roubando-dinheiro-com-virus\/"},"modified":"2026-04-10T20:31:33","modified_gmt":"2026-04-10T23:31:33","slug":"alerta-golpe-de-pop-up-falso-no-windows-roubando-dinheiro-com-virus","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/alerta-golpe-de-pop-up-falso-no-windows-roubando-dinheiro-com-virus\/","title":{"rendered":"Alerta: Golpe de Pop-up Falso no Windows Roubando Dinheiro com V\u00edrus!"},"content":{"rendered":"

Campanha ativa desde 2025 utiliza cliques em verifica\u00e7\u00f5es falsas para instalar um RAT com Node.js embutido, comunica\u00e7\u00e3o via Tor e m\u00f3dulos carregados diretamente na mem\u00f3ria.<\/p>\n

<\/p>\n

\n

Uma campanha de malware, em opera\u00e7\u00e3o desde o in\u00edcio de 2025, est\u00e1 explorando p\u00e1ginas CAPTCHA fraudulentas para infectar m\u00e1quinas Windows com um trojan de acesso remoto, visando o roubo de criptomoedas. A t\u00e9cnica empregada \u00e9 uma \u201cimita\u00e7\u00e3o\u201d do m\u00e9todo de seguran\u00e7a que autentica usu\u00e1rios humanos contra rob\u00f4s, projetada para proteger sites e servi\u00e7os contra invas\u00f5es.<\/p>\n

Documentada pelo Netskope Threat Labs, essa opera\u00e7\u00e3o se utiliza de uma estrat\u00e9gia chamada ClickFix. Esse ataque tira proveito do reflexo autom\u00e1tico de clicar em caixas de verifica\u00e7\u00e3o para executar comandos prejudiciais sem a percep\u00e7\u00e3o da v\u00edtima.<\/p>\n

\n
\n

Nossos v\u00eddeos em destaque<\/h2>\n<\/div>\n
<\/div>\n<\/div>\n

Quando a v\u00edtima clica no falso CAPTCHA, um comando PowerShell codificado em base64 \u00e9 executado em segundo plano. Rapidamente, a m\u00e1quina se conecta ao dom\u00ednio cloud-verificate.com, baixa um arquivo chamado NodeServer-Setup-Full.msi e o instala discretamente na pasta %LOCALAPPDATA%\\LogicOptimizer\\. Todo o processo ocorre sem janelas ou avisos vis\u00edveis para o usu\u00e1rio.<\/p>\n

Ap\u00f3s a prepara\u00e7\u00e3o dos arquivos, uma a\u00e7\u00e3o personalizada dentro do MSI inicia o conhost.exe para rodar o node.exe, que aciona o script malicioso. Imagem: Netskope.<\/figcaption><\/figure>\n

Malware conta com runtime Node.js para opera\u00e7\u00e3o em qualquer PC<\/h2>\n

Este instalador n\u00e3o \u00e9 um simples v\u00edrus. Trata-se de um RAT (Remote Access Trojan), que basicamente permite ao atacante obter controle remoto da m\u00e1quina infectada, desenvolvido sobre Node.js.<\/p>\n

\n
Leia Mais<\/div>\n

Vazamento do Claude Code \u00e9 usado para espalhar vers\u00e3o modificada com v\u00edrus<\/p><\/div>\n

O pacote MSI inclui um runtime Node.js completamente funcional, bem como todas as depend\u00eancias na pasta node_modules\/, o que torna o malware autossuficiente, funcionando em qualquer sistema Windows sem precisar de software pr\u00e9-instalado.<\/p>\n

Depois de instalado, o malware registra a chave LogicOptimizer no Registro do Windows (HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run) para garantir sua execu\u00e7\u00e3o autom\u00e1tica a cada login. Um supervisor interno monitora o processo principal e o reinicia em caso de falhas, caracterizando uma arquitetura de autocura.<\/p>\n

\n
<\/div>\n<\/div>\n
A armadilha se inicia aqui: ao clicar para “verificar”, o usu\u00e1rio ativa um comando PowerShell em segundo plano sem perceber, j\u00e1 que o CAPTCHA \u00e9 falso e nenhuma verifica\u00e7\u00e3o real \u00e9 realizada.<\/figcaption><\/figure>\n

Configura\u00e7\u00e3o criptografada em v\u00e1rias camadas oculta servidor de comando<\/h2>\n

Antes de se conectar ao servidor de controle, o malware deve descriptografar sua pr\u00f3pria configura\u00e7\u00e3o. O m\u00f3dulo polymorph.js aplica tr\u00eas n\u00edveis de ofusca\u00e7\u00e3o, come\u00e7ando com um nome de campo gerado aleatoriamente para cada execu\u00e7\u00e3o, seguido por criptografia dupla com suporte a AES-256-CBC ou XOR, e embaralhamento das chaves do arquivo de configura\u00e7\u00e3o a cada reinicializa\u00e7\u00e3o.<\/p>\n

A configura\u00e7\u00e3o decriptografada revela o endere\u00e7o do servidor de comando, que \u00e9 um dom\u00ednio .onion, acess\u00edvel somente pela rede Tor, al\u00e9m de um identificador de campanha que permite ao operador rastrear suas v\u00edtimas.<\/p>\n

\n
Leia Mais<\/div>\n

Hackers norte-coreanos atacaram apenas uma pessoa para comprometer Axios e NPM<\/p><\/div>\n

M\u00f3dulos carregados sob demanda dificultam detec\u00e7\u00e3o<\/h2>\n

A estrutura do malware \u00e9 modular. Os componentes mais prejudiciais n\u00e3o s\u00e3o armazenados no disco, mas s\u00e3o entregues pelo servidor de controle como strings de c\u00f3digo JavaScript e executados diretamente na mem\u00f3ria em uma sandbox Node.js.<\/p>\n

Os m\u00f3dulos de roubo nunca s\u00e3o gravados no disco, tornando a infec\u00e7\u00e3o quase invis\u00edvel para ferramentas de detec\u00e7\u00e3o baseadas em assinatura est\u00e1tica.<\/figcaption><\/figure>\n

O servidor envia comandos do tipo ModuleExec contendo o c\u00f3digo a ser executado, que opera com acesso ao sistema de arquivos e \u00e0 rede, tornando a opera\u00e7\u00e3o praticamente invis\u00edvel para varreduras convencionais.<\/p>\n

\n
<\/div>\n<\/div>\n

Antes de agir, o malware realiza uma varredura completa do sistema, coletando informa\u00e7\u00f5es do Windows, arquitetura, nome do computador, modelo de CPU, quantidade de RAM, espa\u00e7o dispon\u00edvel no disco, informa\u00e7\u00f5es da GPU e IP externo.<\/p>\n

Ele tamb\u00e9m procura mais de 30 produtos de seguran\u00e7a, como Windows Defender, CrowdStrike, SentinelOne, Kaspersky, Norton e McAfee. Se o sistema parecer bem protegido, os operadores podem optar por n\u00e3o enviar os m\u00f3dulos de roubo, mantendo o malware inativo.<\/p>\n

\n
Leia Mais<\/div>\n

Anthropic confirma vazamento do c\u00f3digo-fonte do Claude Code<\/p><\/div>\n

Mesmo com produtos de seguran\u00e7a instalados, a m\u00e1quina pode estar vulner\u00e1vel; o malware verifica a presen\u00e7a de mais de 30 antiv\u00edrus antes de agir e permanece inativo se o ambiente parecer protegido.<\/figcaption><\/figure>\n

Comunica\u00e7\u00e3o de comando \u00e9 roteada pelo Tor via protocolo gRPC<\/h2>\n

A comunica\u00e7\u00e3o com o servidor de controle usa gRPC, um protocolo que possibilita a troca de dados bidirecional em tempo real, todo o tr\u00e1fego passando pela rede Tor. O malware baixa e instala o Tor Expert Bundle no diret\u00f3rio %LOCALAPPDATA%\\LogicOptimizer\\tor\\ e cria um proxy SOCKS5 local para encaminhar o tr\u00e1fego. Caso o download falhe, ele tenta novamente a cada 60 segundos at\u00e9 ser bem-sucedido.<\/p>\n

Esse canal permite que os operadores enviem comandos e recebam respostas instantaneamente, incluindo a execu\u00e7\u00e3o de shell, transfer\u00eancia de arquivos e atualiza\u00e7\u00f5es remotas do pr\u00f3prio malware.<\/p>\n

\n
<\/div>\n<\/div>\n

Painel administrativo exposto revela opera\u00e7\u00e3o de malware como servi\u00e7o<\/h2>\n

Os pesquisadores do Netskope conseguiram acessar a estrutura interna da opera\u00e7\u00e3o ap\u00f3s uma falha de OPSEC dos atacantes, que deixaram o painel administrativo descoberto. Os documentos recuperados \u2014 support.proto e admin.proto \u2014 mostram claramente que a opera\u00e7\u00e3o opera como um servi\u00e7o comercial (MaaS, Malware-as-a-Service), com diversos operadores afiliados.<\/p>\n

Carteiras de criptomoedas e aplicativos de gest\u00e3o de ativos s\u00e3o os principais alvos da campanha; o malware monitora carteiras detectadas na m\u00e1quina infectada.<\/figcaption><\/figure>\n

O admin.proto apresenta um painel que rastreia carteiras de criptomoedas por v\u00edtima, gerencia m\u00faltiplos operadores com permiss\u00f5es por m\u00f3dulo, log de execu\u00e7\u00e3o, filtros por pa\u00eds e status de conex\u00e3o, e integra\u00e7\u00e3o com bots do Telegram para notifica\u00e7\u00f5es em tempo real sobre novas infec\u00e7\u00f5es.<\/p>\n

\n
Leia Mais<\/div>\n

Ap\u00f3s vazamento, Claude Code pode ser usado de gra\u00e7a<\/p><\/div>\n

“Essa arquitetura confirma que o malware \u00e9 tanto um infostealer quanto um RAT \u2014 as capacidades de C2 documentadas no support.proto permitem execu\u00e7\u00e3o de c\u00f3digo arbitr\u00e1rio, manipula\u00e7\u00e3o de arquivos e execu\u00e7\u00e3o de comandos do sistema”, afirma o relat\u00f3rio.<\/p>\n

A infraestrutura profissional, com controle de acesso por fun\u00e7\u00e3o e automa\u00e7\u00f5es configur\u00e1veis, indica uma opera\u00e7\u00e3o criminosa madura, n\u00e3o sendo a ferramenta de um \u00fanico atacante.<\/p>\n

\n
<\/div>\n<\/div>\n

Fique por dentro das novidades seguindo a TecMania nas redes sociais. Para mais informa\u00e7\u00f5es sobre seguran\u00e7a e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.<\/p>\n

\n
<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Campanha ativa desde 2025 utiliza cliques em verifica\u00e7\u00f5es falsas para instalar um RAT com Node.js embutido, comunica\u00e7\u00e3o via Tor e […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-482","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/482","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=482"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/482\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}