Criminosos estão a distribuir um instalador falsificado do AnyDesk que, em vez da aplicação legítima de acesso remoto, instala o malware MetaStealer e recolhe dados sensíveis, entre eles palavras-passe, documentos pessoais e chaves de carteiras de criptomoedas.
Site falso reproduz CAPTCHA da Cloudflare
O esquema começa quando a vítima pesquisa pelo AnyDesk e é redireccionada para um domínio que copia o visual do endereço oficial. A página exibe um suposto CAPTCHA da Cloudflare e solicita um clique para “verificação humana”. No momento em que o utilizador confirma, o site executa um script oculto que abre o Windows File Explorer e descarrega um ficheiro denominado Readme AnyDesk.pdf.
O documento PDF é, na realidade, um executável que conduz duas operações paralelas: faz o download do instalador legítimo do AnyDesk para manter a aparência de normalidade e, em segundo plano, instala silenciosamente o MetaStealer. Depois de activo, o malware procura credenciais guardadas nos navegadores, ficheiros com informação pessoal e detalhes de carteiras de criptomoedas, enviando tudo para um servidor remoto controlado pelos atacantes.
ClickFix impulsiona crescimento do ataque
A técnica utilizada, baptizada ClickFix, foi documentada pela primeira vez no início de 2024. Consiste em criar pop-ups que simulam falhas técnicas – desde pedidos de actualização do navegador a mensagens de erro na abertura de documentos – obrigando o utilizador a “corrigir” um problema inexistente. Ao atender ao pedido, a vítima acaba por executar código malicioso.
De acordo com dados da ESET, o uso de ClickFix aumentou mais de 500 % no primeiro semestre de 2025 face aos seis meses anteriores e representou perto de 8 % dos ciberataques bloqueados pela empresa, ficando atrás apenas de campanhas de phishing. O êxito do método deve-se, em grande parte, à forma como contorna antivírus: o malware é injectado directamente na memória, reduzindo ficheiros visíveis no disco e dificultando a detecção.
Como os atacantes comprometem páginas legítimas
Para disseminar o golpe, os cibercriminosos acedem a contas de manutenção de sites legítimos e inserem plugins adulterados com JavaScript malicioso. Quando o visitante carrega a página comprometida, o código verifica o sistema e decide se deve apresentar o falso CAPTCHA ou outro aviso de ClickFix. Caso o utilizador clique, ocorre o download furtivo do instalador falsificado.
Recomendações de segurança
Especialistas reforçam a importância de analisar cuidadosamente endereços Web antes de efectuar downloads. Para minimizar riscos, são sugeridas as seguintes práticas:
• Utilizar apenas fontes oficiais: descarregar software directamente do sítio do fornecedor ou de lojas de aplicações reconhecidas.
• Desconfiar de verificações inesperadas: CAPTCHAs ou alertas de erro que impeçam o acesso normal a uma página podem ser indícios de ClickFix.
• Evitar clicar em ligações desconhecidas: sobretudo as que solicitem instalação de extensões ou executem comandos no computador.
• Manter sistema e antivírus actualizados: correcções recentes tapam vulnerabilidades exploradas por atacantes.
• Activar autenticação de dois factores: a dupla verificação dificulta o acesso indevido a contas, mesmo que credenciais sejam furtadas.
O caso do falso AnyDesk ilustra a evolução das fraudes digitais, que combinam engineering social, sites clonados e malware furtivo para contornar medidas de protecção. A vigilância constante e a adopção de boas práticas continuam a ser as defesas mais eficazes contra este tipo de ameaça.
