Falso AnyDesk Instala MetaStealer em PCs

Falso AnyDesk
Falso AnyDesk Instala MetaStealer em PCs

Uma nova campanha de ciberataques utilizando um instalador falso do AnyDesk, um popular software de acesso remoto, está disseminando o malware MetaStealer, projetado para roubar credenciais de login, arquivos pessoais e dados de carteiras de criptomoedas. Identificado pela empresa de cibersegurança Huntress em agosto de 2025, o golpe utiliza a técnica ClickFix, que engana usuários ao convencê-los a corrigir erros inexistentes, levando à instalação de arquivos maliciosos. Este artigo detalha como o golpe funciona, os perigos do MetaStealer, e oferece medidas práticas de proteção, com base em informações de TecMundo (3 de setembro de 2025) e outras fontes confiáveis.

Como Funciona o Golpe do Falso AnyDesk?

O ataque começa quando usuários buscam o AnyDesk na internet, geralmente para baixar o software de acesso remoto. Criminosos exploram essa busca direcionando as vítimas para um site falso, como anydeesk[.]ink, que imita o site oficial (anydesk.com). O golpe se desenrola em etapas sofisticadas:

  1. Redirecionamento para um Site Falso: A vítima é levada a uma página que imita a interface de verificação do Cloudflare Turnstile, solicitando um clique em um botão de “verificação humana”. Essa página contém JavaScript ofuscado, que oculta seu código malicioso (Huntress, 2025).
  2. Ativação do Windows Search Protocol: Ao clicar no botão, o site ativa o protocolo search-ms do Windows, que abre o Windows File Explorer e conecta o computador a um servidor remoto controlado por hackers (um compartilhamento SMB). Isso exibe um arquivo chamado “Readme Anydesk.pdf.lnk”, disfarçado como um PDF (Hackread, 2025).
  3. Execução de Ações Simultâneas: Ao abrir o arquivo, duas ações ocorrem:
  • O instalador legítimo do AnyDesk é baixado via Microsoft Edge, criando uma falsa sensação de normalidade.
  • Um pacote MSI malicioso é baixado de um domínio como chat1[.]store e instalado silenciosamente no diretório temporário do usuário, usando a variável %COMPUTERNAME% para personalizar o ataque (Cyberpress, 2025).
  1. Instalação do MetaStealer: O pacote MSI contém dois componentes principais:
  • CustomActionDLL: Uma DLL que executa operações de configuração.
  • Binary.bz.WrappedSetupProgram: Um arquivo CAB com dois arquivos maliciosos: 1.js (limpa rastros da infecção) e ls26.exe, o dropper do MetaStealer, protegido pelo Private EXE Protector (Huntress, 2025).

O MetaStealer, ativo desde 2022, é um infostealer que coleta credenciais de navegadores, arquivos pessoais e dados de carteiras de criptomoedas, enviando-os a servidores de comando e controle (C2) dos atacantes (Cyble, 2024).

A Técnica ClickFix: Um Golpe em Ascensão

Documentada inicialmente em 2024, a técnica ClickFix é uma forma de engenharia social que explora a confiança dos usuários em mensagens de erro ou verificações aparentemente legítimas. Segundo a ESET, o uso do ClickFix cresceu 500% no primeiro semestre de 2025, representando 8% dos ataques cibernéticos bloqueados no período, ficando atrás apenas do phishing (TecMundo, 2025). O golpe funciona assim:

  • Pop-ups Falsos: Mensagens alertam sobre erros falsos, como problemas no navegador, documentos corrompidos ou necessidade de verificação CAPTCHA.
  • Códigos Maliciosos: Ao clicar em botões como “Fix It” ou “Comprovar que não é um robô”, o usuário executa códigos JavaScript que instalam malware diretamente na memória, dificultando a detecção por antivírus.
  • Exploração de Confiança: Os atacantes usam sites comprometidos ou contas roubadas para hospedar esses códigos, tornando as páginas aparentemente confiáveis (CISO Advisor, 2025).

Impactos do MetaStealer

O MetaStealer é uma ameaça significativa devido à sua capacidade de:

  • Roubar Credenciais: Acessa senhas salvas em navegadores, como Chrome e Firefox.
  • Exfiltrar Arquivos: Coleta documentos pessoais e profissionais do dispositivo infectado.
  • Comprometer Carteiras de Criptomoedas: Extrai chaves privadas e informações de carteiras, permitindo roubo de ativos digitais.
  • Evadir Detecção: O uso de arquivos protegidos e execução na memória dificulta a identificação por soluções de segurança tradicionais (SecurityWeek, 2023).

Como se Proteger do Golpe

Para evitar cair nesse tipo de ataque, siga estas recomendações práticas:

  1. Baixe Apenas de Fontes Oficiais: Acesse o site oficial do AnyDesk (anydesk.com) ou lojas confiáveis, como a Google Play Store ou Microsoft Store. Verifique o URL antes de baixar qualquer software (TecMundo, 2025).
  2. Desconfie de Verificações Suspeitas: Páginas que exigem “verificação humana” ou CAPTCHAs para downloads são um sinal de alerta. Feche a página e busque fontes alternativas confiáveis (NordVPN, 2025).
  3. Evite Links Desconhecidos: Não clique em links de e-mails, mensagens ou sites não confiáveis, especialmente se pedirem para executar comandos no Windows (AirDroid, 2025).
  4. Mantenha o Sistema Atualizado: Atualize regularmente o sistema operacional e o antivírus para corrigir vulnerabilidades conhecidas. Ferramentas como o Google Play Protect podem ajudar a detectar ameaças (TecMundo, 2025).
  5. Ative a Autenticação de Dois Fatores (2FA): Use 2FA em contas sensíveis, como e-mails, bancos e carteiras de criptomoedas, para adicionar uma camada extra de proteção (Cybereason, 2024).
  6. Monitore Atividades Suspeitas: Use ferramentas de monitoramento de endpoint para detectar execuções de arquivos MSI desconhecidos ou atividades de rede anômalas (Cyberpress, 2025).
  7. Eduque-se Sobre Golpes: Acompanhe canais confiáveis, como o TecMundo, para aprender sobre novas ameaças e técnicas de proteção (TecMundo, 2025).

Contexto e Tendências

O aumento do uso do ClickFix reflete uma tendência mais ampla de ataques baseados em engenharia social, que exploram a confiança dos usuários em vez de vulnerabilidades técnicas. A ESET relatou que o Brasil está entre os países mais visados por esse tipo de golpe, devido à popularidade de aplicativos como o AnyDesk e à alta taxa de buscas por softwares gratuitos (CISO Advisor, 2025). Além disso, a campanha do falso AnyDesk se alinha com outros ataques recentes, como os que exploram Microsoft Teams para disseminar o DarkGate malware (Cyberpeace, 2024).

A AnyDesk enfrentou desafios de segurança no passado, incluindo um ataque em 2024 que comprometeu certificados de assinatura de código e credenciais de clientes (The Hacker News, 2024). Embora a empresa tenha reforçado suas medidas de segurança, sua popularidade a torna um alvo constante para golpes (RealVNC, 2025).

Conclusão

O golpe do falso AnyDesk, que dissemina o malware MetaStealer por meio da técnica ClickFix, destaca a sofisticação dos ciberataques modernos e a importância de práticas seguras na internet. Criminosos exploram a confiança em ferramentas legítimas, como o AnyDesk, para roubar dados pessoais e criptomoedas, usando táticas que evadem detecção tradicional. Proteger-se exige vigilância: baixe apenas de fontes oficiais, desconfie de verificações suspeitas, mantenha sistemas atualizados e use 2FA. À medida que os ataques de engenharia social crescem, a educação digital e a transparência das plataformas são essenciais para um ecossistema online mais seguro.

Com informações de TecMundo.

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *