Relatório revela que mais de 100 sites de ferramentas gratuitas estão disfarçados de vírus silencioso

Uma campanha de cibercrime está explorando a confiança de milhões de usuários em ferramentas gratuitas para distribuir malwares de forma silenciosa.

O esquema foi revelado pela Check Point Research, que identificou mais de 100 sites falsos imitando páginas oficiais de programas populares usados por desenvolvedores, profissionais de segurança digital e entusiastas da tecnologia.

O mais preocupante é que o nível de sofisticação das páginas é suficiente para enganar até pessoas acostumadas a lidar diariamente com esse tipo de software.

Ferramentas conhecidas estão sendo usadas como isca

Os criminosos reproduziram com precisão os sites de programas amplamente utilizados no mercado, incluindo ferramentas reconhecidas pela comunidade de tecnologia.

Entre os softwares imitados estão:

• Ghidra;
• dnSpy;
• CrystalDiskMark;
• MQTTExplorer;
• GRPCurl;
• Outros utilitários gratuitos de código aberto.

As páginas apresentam design profissional, descrições semelhantes às originais e até links aparentemente legítimos, dificultando a identificação da fraude.

O golpe acontece no momento do clique

Segundo os pesquisadores, a armadilha não está no visual do site, mas em um script oculto carregado automaticamente quando a página é aberta.

Ao clicar no botão de download, o usuário acredita estar acessando o arquivo oficial. No entanto, antes que o navegador conclua a ação, o clique é interceptado silenciosamente e redirecionado para uma infraestrutura controlada pelos criminosos.

Todo o processo ocorre sem qualquer aviso visível.

Sistema escolhe quais vítimas receberão malware

A campanha utiliza um Sistema de Distribuição de Tráfego (TDS), responsável por analisar o perfil de cada visitante antes de decidir qual conteúdo será entregue.

O mecanismo avalia fatores como:

• País de origem do acesso;
• Navegador utilizado;
• Uso de VPN;
• Histórico de visitas anteriores;
• Presença de características típicas de pesquisadores de segurança.

Dependendo do resultado dessa análise, alguns usuários recebem programas legítimos, enquanto outros são direcionados para arquivos maliciosos.

Essa estratégia torna a detecção muito mais difícil.

SessionGate: malware criado para evitar investigações

Entre as ameaças identificadas pela Check Point está o SessionGate, um loader inédito projetado para escapar de análises automatizadas.

Antes de executar suas funções, o malware verifica diversos elementos do sistema, incluindo:

• Ferramentas de segurança instaladas;
• Configurações do Windows Defender;
• Nome do computador;
• Nome do usuário;
• Indícios de execução em ambientes de teste.

Caso detecte sinais de monitoramento, ele interrompe suas atividades para evitar ser descoberto.

RemusStealer rouba informações pessoais

Outra ameaça encontrada na campanha foi o RemusStealer, um infostealer especializado no roubo de dados armazenados no computador.

O malware é capaz de capturar:

• Senhas salvas em navegadores;
• Cookies de autenticação;
• Histórico de navegação;
• Dados de gerenciadores de senhas;
• Informações de aplicativos autenticadores;
• Dados de extensões de criptomoedas.

A ferramenta criminosa já é comercializada em fóruns clandestinos e representa um alto risco para usuários e empresas.

Malware desvia criptomoedas sem levantar suspeitas

Os pesquisadores também identificaram o AnimateClipper, uma ameaça voltada ao roubo de ativos digitais.

O programa monitora continuamente a área de transferência do sistema. Quando o usuário copia o endereço de uma carteira de criptomoedas, o malware substitui o conteúdo por outro endereço controlado pelos criminosos.

Sem perceber a alteração, a vítima realiza a transferência acreditando que os dados permanecem corretos.

Mais de 100 domínios continuam ativos

A investigação revelou que mais de uma centena de sites utiliza a mesma estrutura operacional.

A atividade criminosa remonta a dezembro de 2025, enquanto os registros de distribuição de malware foram identificados desde janeiro de 2026.

Segundo a Check Point, a estrutura funciona como um intermediário que pode vender o tráfego filtrado para diferentes grupos criminosos, dificultando a identificação dos responsáveis.

Como evitar cair nesse tipo de armadilha

Especialistas reforçam que algumas medidas simples podem reduzir significativamente os riscos. Entre as principais recomendações estão:

• Baixar programas apenas nos sites oficiais dos projetos;
• Priorizar repositórios verificados no GitHub;
• Evitar confiar automaticamente nos primeiros resultados dos buscadores;
• Conferir cuidadosamente o endereço completo do site;
• Manter antivírus e sistemas de segurança atualizados.

Alerta reforça necessidade de atenção redobrada

O caso demonstra como os golpes digitais estão se tornando cada vez mais sofisticados.

As antigas páginas malfeitas deram lugar a sites visualmente impecáveis, desenvolvidos para transmitir credibilidade e driblar até verificações básicas feitas pelos usuários.

Em um cenário em que ferramentas gratuitas fazem parte da rotina de milhões de pessoas, a principal defesa continua sendo a cautela.

Verificar a origem dos downloads e desconfiar de qualquer comportamento inesperado pode fazer a diferença entre uma instalação segura e o comprometimento completo dos dados pessoais.