sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros
9 de julho de 2026
Vacinas contra covid-19 serão atualizadas contra novas variantes
9 de julho de 2026
GitLost: a falha do GitHub que expõe empresas sem uso de malware
9 de julho de 2026
sexta-feira, julho 10, 2026
Top Posts
Mulher é morta a facadas em apartamento no...
Incêndio atinge depósito de sucata em Bragança Paulista...
Vacinas contra covid-19 serão atualizadas contra novas variantes
GitLost: a falha do GitHub que expõe empresas...
Carga de R$ 4 milhões é roubada após...
Horizon Forbidden West e mais games de PS5...
Chances do El Niño ser “muito forte” no...
França é a primeira semifinalista da Copa após...
Placa de video RTX 3060: o que saber...
Justiça mantém intervenção judicial na SAF do Vasco
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros
9 de julho de 2026
Vacinas contra covid-19 serão atualizadas contra novas variantes
9 de julho de 2026
GitLost: a falha do GitHub que expõe empresas sem uso de malware
9 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
10 de julho de 2026
Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros
9 de julho de 2026
Vacinas contra covid-19 serão atualizadas contra novas variantes
9 de julho de 2026
GitLost: a falha do GitHub que expõe empresas sem uso de malware
9 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Pop-up falso instala vírus para roubar dinheiro de usuários no Windows

por SampaNews 9 de abril de 2026
9 de abril de 2026
30

Uma campanha de malware ativa desde o início de 2025 está usando páginas CAPTCHA falsas para instalar um trojan de acesso remoto em máquinas Windows, com foco no roubo de criptomoedas. Trata-se de uma “imitação” do método de segurança que diferencia usuários humanos de robôs, utilizado para evitar ataques e acessos indevidos a sites ou serviços.

A operação, documentada pelo Netskope Threat Labs, utiliza uma técnica chamada ClickFix. Esse tipo de ataque explora o reflexo automático de clicar em caixas de verificação para disparar comandos maliciosos sem o conhecimento da vítima.

smart_display

Nossos vídeos em destaque

Ao clicar no falso CAPTCHA, um comando PowerShell codificado em base64 é executado em segundo plano. Em instantes, a máquina se conecta ao domínio cloud-verificate.com, baixa um arquivo chamado NodeServer-Setup-Full.msi e o instala silenciosamente na pasta %LOCALAPPDATA%\LogicOptimizer\. Tudo isso sem janelas, sem prompts, sem nenhum sinal visível para o usuário.

Depois que os arquivos são preparados, uma CustomAction dentro do MSI invoca o conhost.exe para iniciar o node.exe, que executa o script de inicialização malicioso. Imagem: Netskope.

Malware vem com runtime Node.js embutido para rodar em qualquer PC

O instalador não é um vírus simples. Trata-se de um RAT (Remote Access Trojan), basicamente um software que concede controle remoto da máquina ao atacante. Esse malware é construído sobre Node.js.

O pacote MSI inclui um runtime Node.js completo e todas as dependências necessárias na pasta node_modules/, o que torna o malware autossuficiente. Basicamente, ele funciona em qualquer Windows sem depender de software pré-instalado.

Após a instalação, o malware registra a chave LogicOptimizer no Windows Registry (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para garantir que seja executado automaticamente a cada login. Um supervisor interno monitora o processo principal e o reinicia automaticamente em caso de falha, implementando o que os pesquisadores descrevem como uma arquitetura de autocura.

Uma janela em um site que exibe um código de CAPTCHA a ser digitado.
A armadilha começa aqui: ao clicar para “verificar”, o usuário dispara um comando PowerShell em segundo plano sem perceber — o CAPTCHA é falso e nenhuma verificação real acontece.

Configuração criptografada em 3 camadas esconde o servidor de comando

Antes de se conectar ao servidor de controle, o malware precisa descriptografar sua própria configuração. O módulo polymorph.js aplica três camadas de ofuscação. Primeiro, um nome de campo gerado aleatoriamente a cada execução, depois criptografia dupla com suporte a AES-256-CBC ou XOR. Seguido do embaralhamento das chaves do arquivo de configuração a cada reinicialização.

O resultado decriptografado revela o endereço do servidor de comando, um domínio .onion, acessível apenas via rede Tor. Além de um identificador de campanha que permite ao operador rastrear quais vítimas pertencem a qual afiliado.

Módulos carregados só na hora do ataque dificultam detecção

A arquitetura do malware é modular. Os componentes mais perigosos nunca são gravados no disco: são entregues pelo servidor de controle como strings de código JavaScript e executados diretamente na memória, dentro de um sandbox Node.js VM.

como-escolher-o-melhor-antivirus-para-2025-confira-o-guia-completo-banner.png
Os módulos de roubo nunca são gravados no disco, o que torna a infecção praticamente invisível para ferramentas de detecção baseadas em assinatura estática.

Isso porque o servidor envia comandos do tipo ModuleExec contendo o código a ser executado, que roda com acesso ao sistema de arquivos e à rede. Isso torna a operação praticamente invisível para varreduras estáticas convencionais.

Antes de agir, o malware faz uma varredura completa do sistema. Ele coleta versão do Windows, arquitetura, nome do computador, modelo de CPU, RAM total, espaço em disco, informações de GPU e IP externo.

Ele também verifica a presença de mais de 30 produtos de segurança, entre eles Windows Defender, CrowdStrike, SentinelOne, Kaspersky, Norton e McAfee. Se o ambiente parecer bem protegido, os operadores podem optar por não enviar os módulos de roubo, mantendo o malware inativo.

pessoa-usando-computador-com-icones-de-cadeado-representando-seguranca-digital-firewall-antivirus
Mesmo com produtos de segurança instalados, a máquina pode estar vulnerável — o malware verifica a presença de mais de 30 antivírus antes de agir e permanece inativo se o ambiente parecer protegido.

Tráfego de comando é roteado pelo Tor via protocolo gRPC

A comunicação com o servidor de controle usa gRPC. Um protocolo que permite troca de dados bidirecional em tempo real, roteado inteiramente pela rede Tor. O próprio malware baixa e instala o Tor Expert Bundle no diretório %LOCALAPPDATA%\LogicOptimizer\tor\ e cria um proxy SOCKS5 local para encaminhar o tráfego. Se o download falhar, ele tenta novamente a cada 60 segundos até conseguir.

Esse canal permite que os operadores enviem comandos e recebam resultados instantaneamente, incluindo execução de shell, transferência de arquivos e atualização remota do próprio malware.

Painel administrativo exposto revelou operação de malware como serviço

Os pesquisadores do Netskope tiveram acesso à estrutura interna da operação após uma falha de OPSEC dos atacantes, que deixaram o painel administrativo exposto. Os arquivos recuperados — support.proto e admin.proto — forneceram um mapa completo do backend. Isso revela que a operação funciona como um serviço comercial (MaaS, Malware-as-a-Service) com múltiplos operadores afiliados.

pessoa-segurando-celular-em-frente-a-um-notebook
Carteiras de criptomoedas e aplicativos de gestão de ativos são o principal alvo da campanha; o malware rastreia automaticamente carteiras detectadas na máquina infectada.

O admin.proto expõe um painel com rastreamento de carteiras de criptomoedas por vítima, gerenciamento de múltiplos operadores com permissões por módulo, log de execução, filtros por país e status de conexão, e integração com bots do Telegram para notificações em tempo real a cada nova infecção.

“Essa arquitetura confirma que o malware é tanto um infostealer quanto um RAT — as capacidades de C2 documentadas no support.proto permitem execução de código arbitrário, manipulação de arquivos e execução de comandos do sistema”, diz o relatório.

A infraestrutura profissional, com controle de acesso por função, regras de automação e log de execução, indica uma operação criminosa madura, não a ferramenta de um atacante isolado.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Engavetamento com capotamento deixa mulher ferida no cruzamento da John Boyd
próxima postagem
Alcolumbre quer pautar votação de veto ao PL da Dosimetria ‘o mais rápido possível’

Você também pode gostar

GitLost: a falha do GitHub que expõe empresas...

9 de julho de 2026

Horizon Forbidden West e mais games de PS5...

9 de julho de 2026

Placa de video RTX 3060: o que saber...

9 de julho de 2026

Moana, A Morte do Demônio e mais! Confira...

9 de julho de 2026

POSTS MAIS RECENTES

  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito
  • Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros
  • Vacinas contra covid-19 serão atualizadas contra novas variantes
  • GitLost: a falha do GitHub que expõe empresas sem uso de malware
  • Carga de R$ 4 milhões é roubada após motorista ser rendido por criminosos em rodovia da região

Siga-nos

  • Recente
  • Popular
  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito

    10 de julho de 2026
  • Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros

    9 de julho de 2026
  • Vacinas contra covid-19 serão atualizadas contra novas variantes

    9 de julho de 2026
  • GitLost: a falha do GitHub que expõe empresas sem uso de malware

    9 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Horizon Forbidden West e mais games de PS5...

9 de julho de 2026

Chances do El Niño ser “muito forte” no...

9 de julho de 2026

França é a primeira semifinalista da Copa após...

9 de julho de 2026

Placa de video RTX 3060: o que saber...

9 de julho de 2026

Justiça mantém intervenção judicial na SAF do Vasco

9 de julho de 2026

Leitura obrigatória

  • Mulher é morta a facadas em apartamento no Cambuí; amigo da família é suspeito

    10 de julho de 2026
  • Incêndio atinge depósito de sucata em Bragança Paulista e mobiliza equipes dos Bombeiros

    9 de julho de 2026
  • Vacinas contra covid-19 serão atualizadas contra novas variantes

    9 de julho de 2026
  • GitLost: a falha do GitHub que expõe empresas sem uso de malware

    9 de julho de 2026
  • Carga de R$ 4 milhões é roubada após motorista ser rendido por criminosos em rodovia da região

    9 de julho de 2026

Newsletter

Posts relacionados

  • GitLost: a falha do GitHub que expõe empresas sem uso de malware

    9 de julho de 2026
  • Horizon Forbidden West e mais games de PS5 e PS4 com até 90% OFF

    9 de julho de 2026
  • Placa de video RTX 3060: o que saber e quais as melhores opções

    9 de julho de 2026
  • Moana, A Morte do Demônio e mais! Confira as estreias do cinema da semana

    9 de julho de 2026
  • Prime Gaming: Amazon Luna recebe novos jogos grátis! Resgate agora (09)

    9 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Palpites para EUA X Bélgica: Análises e Onde Assistir (28/03/2026)
28 de março de 2026
CPMI pede ao STF revisão de decisão que barrou depoimento de Vorcaro
12 de março de 2026
Precisamos de mais capitalistas, não necessariamente de mais capitalismo
9 de fevereiro de 2026

Categorias Populares

  • Tecnologia (6.049)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.096)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.128)
  • Bragança Paulista (1.105)
  • Esporte (800)
  • Saúde (496)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home