{"id":16122,"date":"2026-03-09T17:01:01","date_gmt":"2026-03-09T20:01:01","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16122"},"modified":"2026-03-09T18:09:35","modified_gmt":"2026-03-09T21:09:35","slug":"ataque-usa-falsa-verificacao-contra-robos","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/ataque-usa-falsa-verificacao-contra-robos\/","title":{"rendered":"Ataque usa falsa verifica\u00e7\u00e3o contra rob\u00f4s para instalar malware"},"content":{"rendered":"<p><strong>Falsa verifica\u00e7\u00e3o contra rob\u00f4s &#8211;<\/strong> Pesquisadores da Microsoft identificaram uma nova onda de ataques virtuais que come\u00e7a de forma aparentemente inofensiva: uma p\u00e1gina que pede ao usu\u00e1rio para provar que n\u00e3o \u00e9 um rob\u00f4. A partir dessa etapa comum da navega\u00e7\u00e3o na internet, criminosos conseguem ativar um processo que instala um <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Malware\" target=\"_blank\" rel=\"noopener nofollow\">malware<\/a> capaz de roubar dados armazenados em navegadores.<\/p>\n<p>A campanha utiliza uma t\u00e9cnica conhecida como ClickFix, baseada em engenharia social. O golpe incentiva o usu\u00e1rio a executar comandos no pr\u00f3prio sistema, utilizando ferramentas leg\u00edtimas do Windows para iniciar uma s\u00e9rie de a\u00e7\u00f5es que termina na instala\u00e7\u00e3o do malware Lumma Stealer.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/empresa-cidada-71-cadastros-licenca-maternidade\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Auditoria no Empresa Cidad\u00e3 corta 71% dos cadastros e afeta licen\u00e7a-maternidade ampliada<\/strong><\/a><\/p>\n<p>O ataque come\u00e7a quando a v\u00edtima acessa uma p\u00e1gina que exibe um CAPTCHA, sistema normalmente usado para verificar se quem est\u00e1 navegando \u00e9 um humano. A p\u00e1gina apresenta um layout aparentemente profissional e pede ao usu\u00e1rio que abra o terminal do Windows e \u201ccole\u201d um comando para finalizar a verifica\u00e7\u00e3o.<\/p>\n<p>\u00c9 nesse momento que o ataque \u00e9 ativado. Ao seguir as instru\u00e7\u00f5es, a v\u00edtima executa um comando que d\u00e1 in\u00edcio a um processo de instala\u00e7\u00e3o de softwares maliciosos, sem perceber que o procedimento faz parte de uma fraude.<\/p>\n<p><strong>Mudan\u00e7a na estrat\u00e9gia dos criminosos<\/strong><\/p>\n<p>Campanhas anteriores desse tipo costumavam orientar o usu\u00e1rio a pressionar o atalho Win + R, que abre a janela \u201cExecutar\u201d do Windows. Como essa a\u00e7\u00e3o passou a ser monitorada por ferramentas de seguran\u00e7a, os criminosos mudaram a estrat\u00e9gia.<\/p>\n<p>Na campanha identificada em fevereiro de 2026, as instru\u00e7\u00f5es pedem que o usu\u00e1rio pressione Windows + X e depois a tecla I, combina\u00e7\u00e3o que abre diretamente o Windows Terminal. A ferramenta \u00e9 amplamente usada por desenvolvedores e administradores de sistemas, o que ajuda a tornar a a\u00e7\u00e3o aparentemente confi\u00e1vel.<\/p>\n<p><strong>Comando escondido<\/strong><\/p>\n<p>O texto que a v\u00edtima precisa colar no terminal n\u00e3o parece um comando comum. Trata-se de uma sequ\u00eancia longa de letras e n\u00fameros que, \u00e0 primeira vista, n\u00e3o deixa evidente sua fun\u00e7\u00e3o.Para esconder as instru\u00e7\u00f5es reais, os criminosos utilizaram duas t\u00e9cnicas. A primeira \u00e9 a codifica\u00e7\u00e3o hexadecimal, que transforma qualquer texto em uma sequ\u00eancia num\u00e9rica complexa. A segunda envolve um m\u00e9todo de embaralhamento matem\u00e1tico conhecido como XOR.<\/p>\n<p>Quando o comando \u00e9 executado, o PowerShell, ferramenta de automa\u00e7\u00e3o do pr\u00f3prio Windows, reconstr\u00f3i o conte\u00fado original e inicia silenciosamente as a\u00e7\u00f5es golpistas.<\/p>\n<p><strong>Caminhos para o roubo de dados<\/strong><\/p>\n<p>De acordo com a an\u00e1lise da Microsoft, a campanha possui dois caminhos diferentes de execu\u00e7\u00e3o, mas ambos levam ao mesmo objetivo: obter as senhas salvas nos navegadores da v\u00edtima.<\/p>\n<p>No primeiro caso, os comandos autom\u00e1ticos baixam da internet o programa 7-Zip, uma ferramenta leg\u00edtima de compress\u00e3o de arquivos, e salvam o arquivo com um nome aleat\u00f3rio para evitar que seja detectado por sistemas de seguran\u00e7a. Em seguida, um pacote comprimido contendo outros componentes do ataque \u00e9 instalado no computador.<\/p>\n<p>Depois de instalado, o malware cria uma tarefa agendada que reinicia automaticamente o computador sempre que for ligado. Tamb\u00e9m coloca sua pr\u00f3pria pasta ao lixo do antiv\u00edrus Microsoft Defender, fazendo com que o sistema de prote\u00e7\u00e3o ignore sua presen\u00e7a.<\/p>\n<p><strong>Malware mira navegadores<\/strong><\/p>\n<p>A etapa final da opera\u00e7\u00e3o \u00e9 o Lumma Stealer, um malware especializado em roubo de informa\u00e7\u00f5es sens\u00edveis. Ele se infiltra nos processos dos navegadores enquanto est\u00e3o em execu\u00e7\u00e3o e tem acesso a arquivos internos onde ficam armazenadas os dados salvos.<\/p>\n<p>Entre esses arquivos est\u00e3o os chamados Web Data e Login Data, que guardam logins e senhas utilizados em diversos servi\u00e7os online. Depois de coletadas, as informa\u00e7\u00f5es s\u00e3o enviadas para servidores controlados pelos criminosos.<\/p>\n<p>No segundo caminho identificado pelos pesquisadores, o ataque baixa um arquivo de comandos com extens\u00e3o .bat em uma pasta que normalmente cont\u00e9m aplicativos leg\u00edtimos. Esse script cria outro arquivo em VBScript e o executa utilizando o MSBuild.exe.<\/p>\n<p><strong>Uso de ferramentas do pr\u00f3prio sistema<\/strong><\/p>\n<p>O MSBuild.exe \u00e9 um programa oficial da Microsoft utilizado por desenvolvedores para compilar softwares. Por ser um arquivo leg\u00edtimo e assinado digitalmente, muitas ferramentas de seguran\u00e7a n\u00e3o bloqueiam sua execu\u00e7\u00e3o.<\/p>\n<p>Essa t\u00e9cnica \u00e9 conhecida na \u00e1rea de seguran\u00e7a como Living Off the Land Binary, ou LOLBin. A estrat\u00e9gia consiste em utilizar programas j\u00e1 presentes no sistema operacional para executar atividades maliciosas, evitando a instala\u00e7\u00e3o de ferramentas externas suspeitas.<\/p>\n<p><strong>Instru\u00e7\u00f5es escondidas na blockchain<\/strong><\/p>\n<p>Uma das caracter\u00edsticas mais incomuns da campanha envolve o uso da blockchain do Ethereum. O malware consulta os meios de comunica\u00e7\u00e3o da rede de criptomoedas para obter instru\u00e7\u00f5es adicionais.<\/p>\n<p>Essa t\u00e9cnica, conhecida como EtherHiding, permite que os criminosos armazenem comandos dentro de transa\u00e7\u00f5es ou contratos registrados na blockchain. Como essas informa\u00e7\u00f5es ficam em uma rede p\u00fablica, torna-se muito mais dif\u00edcil remover ou interromper a infraestrutura usada no ataque.<\/p>\n<p><strong>Cofre digital das v\u00edtimas<\/strong><\/p>\n<p>Os arquivos de credenciais armazenados pelos navegadores funcionam como um verdadeiro cofre digital para muitos usu\u00e1rios. Neles ficam guardadas senhas de e-mail, redes sociais, servi\u00e7os de streaming, contas banc\u00e1rias e plataformas de trabalho.<\/p>\n<p>Quando essas informa\u00e7\u00f5es s\u00e3o roubadas, os criminosos podem acessar diretamente os servi\u00e7os da v\u00edtima, utilizar contas comprometidas para novos ataques ou vender os dados em mercados clandestinos na internet.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Kerfin7)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Golpe usa ferramentas leg\u00edtimas do sistema para coletar senhas armazenadas em navegadores<\/p>","protected":false},"author":6,"featured_media":16133,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[13],"class_list":["post-16122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16122"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16122\/revisions"}],"predecessor-version":[{"id":16134,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16122\/revisions\/16134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16133"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}