Uma campanha de malware ativa desde o início de 2025 está usando páginas CAPTCHA falsas para instalar um trojan de acesso remoto em máquinas Windows, com foco no roubo de criptomoedas. Trata-se de uma “imitação” do método de segurança que diferencia usuários humanos de robôs, utilizado para evitar ataques e acessos indevidos a sites ou serviços.

A operação, documentada pelo Netskope Threat Labs, utiliza uma técnica chamada ClickFix. Esse tipo de ataque explora o reflexo automático de clicar em caixas de verificação para disparar comandos maliciosos sem o conhecimento da vítima.

Ao clicar no falso CAPTCHA, um comando PowerShell codificado em base64 é executado em segundo plano. Em instantes, a máquina se conecta ao domínio cloud-verificate.com, baixa um arquivo chamado NodeServer-Setup-Full.msi e o instala silenciosamente na pasta %LOCALAPPDATA%\LogicOptimizer\. Tudo isso sem janelas, sem prompts, sem nenhum sinal visível para o usuário.

Depois que os arquivos são preparados, uma CustomAction dentro do MSI invoca o conhost.exe para iniciar o node.exe, que executa o script de inicialização malicioso. Imagem: Netskope.

Malware vem com runtime Node.js embutido para rodar em qualquer PC

O instalador não é um vírus simples. Trata-se de um RAT (Remote Access Trojan), basicamente um software que concede controle remoto da máquina ao atacante. Esse malware é construído sobre Node.js.

O pacote MSI inclui um runtime Node.js completo e todas as dependências necessárias na pasta node_modules/, o que torna o malware autossuficiente. Basicamente, ele funciona em qualquer Windows sem depender de software pré-instalado.

Após a instalação, o malware registra a chave LogicOptimizer no Windows Registry (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para garantir que seja executado automaticamente a cada login. Um supervisor interno monitora o processo principal e o reinicia automaticamente em caso de falha, implementando o que os pesquisadores descrevem como uma arquitetura de autocura.

Configuração criptografada em 3 camadas esconde o servidor de comando

Antes de se conectar ao servidor de controle, o malware precisa descriptografar sua própria configuração. O módulo polymorph.js aplica três camadas de ofuscação. Primeiro, um nome de campo gerado aleatoriamente a cada execução, depois criptografia dupla com suporte a AES-256-CBC ou XOR. Seguido do embaralhamento das chaves do arquivo de configuração a cada reinicialização.

O resultado decriptografado revela o endereço do servidor de comando, um domínio .onion, acessível apenas via rede Tor. Além de um identificador de campanha que permite ao operador rastrear quais vítimas pertencem a qual afiliado.

Módulos carregados só na hora do ataque dificultam detecção

A arquitetura do malware é modular. Os componentes mais perigosos nunca são gravados no disco: são entregues pelo servidor de controle como strings de código JavaScript e executados diretamente na memória, dentro de um sandbox Node.js VM.

Isso porque o servidor envia comandos do tipo ModuleExec contendo o código a ser executado, que roda com acesso ao sistema de arquivos e à rede. Isso torna a operação praticamente invisível para varreduras estáticas convencionais.

Antes de agir, o malware faz uma varredura completa do sistema. Ele coleta versão do Windows, arquitetura, nome do computador, modelo de CPU, RAM total, espaço em disco, informações de GPU e IP externo.

Ele também verifica a presença de mais de 30 produtos de segurança, entre eles Windows Defender, CrowdStrike, SentinelOne, Kaspersky, Norton e McAfee. Se o ambiente parecer bem protegido, os operadores podem optar por não enviar os módulos de roubo, mantendo o malware inativo.

Tráfego de comando é roteado pelo Tor via protocolo gRPC

A comunicação com o servidor de controle usa gRPC. Um protocolo que permite troca de dados bidirecional em tempo real, roteado inteiramente pela rede Tor. O próprio malware baixa e instala o Tor Expert Bundle no diretório %LOCALAPPDATA%\LogicOptimizer\tor\ e cria um proxy SOCKS5 local para encaminhar o tráfego. Se o download falhar, ele tenta novamente a cada 60 segundos até conseguir.

Esse canal permite que os operadores enviem comandos e recebam resultados instantaneamente, incluindo execução de shell, transferência de arquivos e atualização remota do próprio malware.

Painel administrativo exposto revelou operação de malware como serviço

Os pesquisadores do Netskope tiveram acesso à estrutura interna da operação após uma falha de OPSEC dos atacantes, que deixaram o painel administrativo exposto. Os arquivos recuperados — support.proto e admin.proto — forneceram um mapa completo do backend. Isso revela que a operação funciona como um serviço comercial (MaaS, Malware-as-a-Service) com múltiplos operadores afiliados.

O admin.proto expõe um painel com rastreamento de carteiras de criptomoedas por vítima, gerenciamento de múltiplos operadores com permissões por módulo, log de execução, filtros por país e status de conexão, e integração com bots do Telegram para notificações em tempo real a cada nova infecção.

"Essa arquitetura confirma que o malware é tanto um infostealer quanto um RAT — as capacidades de C2 documentadas no support.proto permitem execução de código arbitrário, manipulação de arquivos e execução de comandos do sistema", diz o relatório.

A infraestrutura profissional, com controle de acesso por função, regras de automação e log de execução, indica uma operação criminosa madura, não a ferramenta de um atacante isolado.

Fonte:tecmundo