Uma campanha de malware ativa desde o início de 2025 está usando páginas CAPTCHA falsas para instalar um trojan de acesso remoto em máquinas Windows, com foco no roubo de criptomoedas. Trata-se de uma “imitação” do método de segurança que diferencia usuários humanos de robôs, utilizado para evitar ataques e acessos indevidos a sites ou serviços.A operação, documentada pelo Netskope Threat Labs, utiliza uma técnica chamada ClickFix. Esse tipo de ataque explora o reflexo automático de clicar em caixas de verificação para disparar comandos maliciosos sem o conhecimento da vítima.Ao clicar no falso CAPTCHA, um comando PowerShell codificado em base64 é executado em segundo plano. Em instantes, a máquina se conecta ao domínio cloud-verificate.com, baixa um arquivo chamado NodeServer-Setup-Full.msi e o instala silenciosamente na pasta %LOCALAPPDATA%\LogicOptimizer\. Tudo isso sem janelas, sem prompts, sem nenhum sinal visível para o usuário.Depois que os arquivos são preparados, uma CustomAction dentro do MSI invoca o conhost.exe para iniciar o node.exe, que executa o script de inicialização malicioso. Imagem: Netskope.Malware vem com runtime Node.js embutido para rodar em qualquer PCO instalador não é um vírus simples. Trata-se de um RAT (Remote Access Trojan), basicamente um software que concede controle remoto da máquina ao atacante. Esse malware é construído sobre Node.js.O pacote MSI inclui um runtime Node.js completo e todas as dependências necessárias na pasta node_modules/, o que torna o malware autossuficiente. Basicamente, ele funciona em qualquer Windows sem depender de software pré-instalado.Após a instalação, o malware registra a chave LogicOptimizer no Windows Registry (HKCU\Software\Microsoft\Windows\CurrentVersion\Run) para garantir que seja executado automaticamente a cada login. Um supervisor interno monitora o processo principal e o reinicia automaticamente em caso de falha, implementando o que os pesquisadores descrevem como uma arquitetura de autocura.A armadilha começa aqui: ao clicar para "verificar", o usuário dispara um comando PowerShell em segundo plano sem perceber — o CAPTCHA é falso e nenhuma verificação real acontece.Configuração criptografada em 3 camadas esconde o servidor de comandoAntes de se conectar ao servidor de controle, o malware precisa descriptografar sua própria configuração. O módulo polymorph.js aplica três camadas de ofuscação. Primeiro, um nome de campo gerado aleatoriamente a cada execução, depois criptografia dupla com suporte a AES-256-CBC ou XOR. Seguido do embaralhamento das chaves do arquivo de configuração a cada reinicialização.O resultado decriptografado revela o endereço do servidor de comando, um domínio .onion, acessível apenas via rede Tor. Além de um identificador de campanha que permite ao operador rastrear quais vítimas pertencem a qual afiliado.Módulos carregados só na hora do ataque dificultam detecçãoA arquitetura do malware é modular. Os componentes mais perigosos nunca são gravados no disco: são entregues pelo servidor de controle como strings de código JavaScript e executados diretamente na memória, dentro de um sandbox Node.js VM.Os módulos de roubo nunca são gravados no disco, o que torna a infecção praticamente invisível para ferramentas de detecção baseadas em assinatura estática.Isso porque o servidor envia comandos do tipo ModuleExec contendo o código a ser executado, que roda com acesso ao sistema de arquivos e à rede. Isso torna a operação praticamente invisível para varreduras estáticas convencionais.Antes de agir, o malware faz uma varredura completa do sistema. Ele coleta versão do Windows, arquitetura, nome do computador, modelo de CPU, RAM total, espaço em disco, informações de GPU e IP externo.Ele também verifica a presença de mais de 30 produtos de segurança, entre eles Windows Defender, CrowdStrike, SentinelOne, Kaspersky, Norton e McAfee. Se o ambiente parecer bem protegido, os operadores podem optar por não enviar os módulos de roubo, mantendo o malware inativo.Mesmo com produtos de segurança instalados, a máquina pode estar vulnerável — o malware verifica a presença de mais de 30 antivírus antes de agir e permanece inativo se o ambiente parecer protegido.Tráfego de comando é roteado pelo Tor via protocolo gRPCA comunicação com o servidor de controle usa gRPC. Um protocolo que permite troca de dados bidirecional em tempo real, roteado inteiramente pela rede Tor. O próprio malware baixa e instala o Tor Expert Bundle no diretório %LOCALAPPDATA%\LogicOptimizer\tor\ e cria um proxy SOCKS5 local para encaminhar o tráfego. Se o download falhar, ele tenta novamente a cada 60 segundos até conseguir.Esse canal permite que os operadores enviem comandos e recebam resultados instantaneamente, incluindo execução de shell, transferência de arquivos e atualização remota do próprio malware.Painel administrativo exposto revelou operação de malware como serviçoOs pesquisadores do Netskope tiveram acesso à estrutura interna da operação após uma falha de OPSEC dos atacantes, que deixaram o painel administrativo exposto. Os arquivos recuperados — support.proto e admin.proto — forneceram um mapa completo do backend. Isso revela que a operação funciona como um serviço comercial (MaaS, Malware-as-a-Service) com múltiplos operadores afiliados.Carteiras de criptomoedas e aplicativos de gestão de ativos são o principal alvo da campanha; o malware rastreia automaticamente carteiras detectadas na máquina infectada.O admin.proto expõe um painel com rastreamento de carteiras de criptomoedas por vítima, gerenciamento de múltiplos operadores com permissões por módulo, log de execução, filtros por país e status de conexão, e integração com bots do Telegram para notificações em tempo real a cada nova infecção."Essa arquitetura confirma que o malware é tanto um infostealer quanto um RAT — as capacidades de C2 documentadas no support.proto permitem execução de código arbitrário, manipulação de arquivos e execução de comandos do sistema", diz o relatório.A infraestrutura profissional, com controle de acesso por função, regras de automação e log de execução, indica uma operação criminosa madura, não a ferramenta de um atacante isolado.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.