Criminosos estão usando um instalador falso do aplicativo de controle remoto, AnyDesk, para instalar o malware MetaStealer em computadores afetados. Este vírus é projetado para roubar informações sensíveis como credenciais de login, arquivos pessoais e informações de carteiras de criptomoedas. O ataque funciona por meio de um site falso, que imita o endereço oficial do AnyDesk, ferramenta de acesso remoto, e usa um método conhecido como ClickFix, que convence usuários a corrigir problemas falsos em sites.
Imagine que você quer instalar um aplicativo confiável, como o AnyDesk. Você busca na internet e cai em um site que parece legítimo. Ele pede que você clique em um botão para ‘verificação humana‘. Mal sabe você que, nesse clique, o site ativa uma função escondida no seu computador que abre uma pasta e baixa um arquivo disfarçado. É assim que os criminosos estão agindo nessa campanha.
Quando a vítima pesquisa o site da AnyDesk, ela é redirecionada para um site falso que imita o CAPTCHA da Cloudfare, página de verificação humana. A partir daí, ao clicar no botão, o site ativa uma função oculta do Windows que abre o Windows File Explorer, responsável por armazenar os arquivos em computadores.
Esta ação conecta o computador da vítima a um servidor remoto controlado por hackers e deixa um arquivo malicioso na tela da vítima, nomeado “Readme AnyDesk.pdf”. Ao ser aberto, ele executa duas ações simultaneamente: baixa o verdadeiro instalador do AnyDesk em segundo plano e instala silenciosamente o malware MetaStealer.
Como funciona o golpe ClickFix?
Documentada pela primeira vez no início de 2024, a técnica conhecida como ClickFix usa janelas pop-up que simulam falhas técnicas para enganar usuários e faz com que eles executem códigos maliciosos. As mensagens de alerta podem assumir diferentes formas, desde pedidos para atualizar o navegador, corrigir erros ao abrir documentos, resolver problemas com microfone em plataformas como Google Meet ou Zoom, ou preencher CAPTCHAs falsos para continuar navegando.
Na verdade, tudo isso é uma armadilha. Os criminosos conseguem colocar códigos maliciosos nos sites usando contas roubadas. Quando você clica nos avisos falsos, o malware é instalado no seu computador sem você perceber, por meio de plugins falsos, que inserem códigos JavaScript maliciosos nas páginas. Na prática, o vírus nem precisa ser baixado de forma tradicional, porque ele é capaz de rodar diretamente na memória, o que ajuda a enganar o antivírus e mecanismos de segurança do navegador.
Com o malware instalado, os sites comprometidos passam a mostrar alertas falsos, que não deixam o usuário acessar a página ou o documento até que ele clique em “Fix It” e siga os passos sugeridos. Ao fazer isso, a vítima acaba instalando o malware sem perceber. As chamadas à ação podem variar, incluindo mensagens como “Corrigir o problema” ou “Comprove que você não é um robô”, imitando páginas legítimas de CAPTCHA.
Segundo a ESET, empresa de detecção ativa de ameaças, o uso do ClickFix cresceu mais de 500% no primeiro semestre de 2025 em comparação com o segundo semestre de 2024. O relatório da empresa mostra que essa técnica foi responsável por quase 8% de todos os ataques cibernéticos bloqueados no período, ficando atrás apenas do phishing.
Como se proteger?
Esse tipo de ataque reforça a importância de prestar atenção em links de sites, principalmente quando há intenção de baixar um aplicativo ou software. Para evitar ser vítima, algumas ações são recomendadas.
- Baixe softwares apenas de fontes oficiais: sempre acesse os sites oficiais para baixar programas;
- Desconfie de páginas de verificação suspeitas: se encontrar uma página solicitando verificação humana para baixar um software, desconfie;
- Evite clicar em links desconhecidos: não clique em links de fontes não confiáveis ou desconhecidas, especialmente se pedirem para executar comandos no seu computador;
- Mantenha seu sistema e antivírus atualizados: atualizações frequentes ajudam a proteger seu dispositivo contra vulnerabilidades conhecidas;
- Use autenticação de dois fatores (2FA): sempre que possível, ative a 2FA para adicionar uma camada extra de segurança às suas contas.
Para conhecer mais modalidades de golpes e formas de se proteger, acompanhe o TecMundo nas redes sociais e no YouTube. Se quer receber notícias de tecnologia e segurança, assine nossa newsletter.