Downloads falsos do Google Antigravity estão roubando contas em questão de minutos

Alguém procurou a nova ferramenta de programação Antigravity do Google esta semana, clicou em “baixar”, executou o instalador e obteve exatamente o que esperava. O Antigravity foi instalado sem problemas. Um atalho apareceu na área de trabalho. O aplicativo abriu e funcionou. Nada parecia ou dava a impressão de estar errado.

Mas, nos bastidores, esse instalador pode entregar suas contas, seus dados e até mesmo seu computador a um invasor, sem causar nenhum dano visível para o usuário.

Neste artigo, vamos explicar os detalhes técnicos da campanha, como ela funciona nos bastidores e o que fazer se você achar que a instalou.

O download que realmente te deu o que você queria

O Google Antigravity foi lançado em novembro de 2025 e, desde então, tem sido uma das ferramentas para desenvolvedores mais pesquisadas na web. O produto em si está disponível em antigravity.google. Quase ninguém que não conheça o produto de cor a URL original, então, quando um usuário acessava um endereço semelhante com um hífen (o que chamamos de domínio “typosquat”) em google-antigravity[.]com à primeira vista, já parecia bastante convincente.

Página inicial do Windows falso do Google Antigravity para Windows

Então, eles baixaram o arquivo, chamado Antigravity_v1.22.2.0.exe.

O instalador não tem esse nome apenas para se parecer com o verdadeiro do Google. Ele tem 138 MB: tamanho suficiente para conter todo o aplicativo Antigravity, seu ambiente de execução Electron, suas bibliotecas gráficas Vulkan, seu programa de atualização, tudo isso. Porque é isso mesmo que está lá dentro.

O invasor não criou uma falsificação convincente; ele pegou o instalador original do Antigravity, acrescentou uma etapa adicional para executar seu script do PowerShell durante a instalação e reempacotou o resultado. A etapa maliciosa consiste em uma linha extra em uma sequência que executa dezenas de linhas legítimas. Veja como era o instalador:

O Assistente de Instalação do Antigravity infectado por um trojan (1)

O assistente de instalação do Antigravity infectado por um trojan (2)

Como sabemos que é uma linha? Porque dá para ver.

A tabela de ações personalizadas do MSI (a lista de todas as etapas executadas pelo instalador durante a instalação) contém 11 linhas que são entradas padrão e genéricas geradas automaticamente pela ferramenta de instalação: extrair arquivos, verificar a Windows , elevar privilégios para administrador, gravar um log e limpar os arquivos temporários após a instalação. Cada uma delas tem um nome que começa com AI_ seguido de uma descrição do que ele faz. E, em seguida, no final da mesma lista, há mais uma linha, chamada wefasgsdfg — uma sequência de teclas digitada pelo invasor quando a ferramenta de instalação solicitou um nome, e a que executa seu script do PowerShell.

O assistente de instalação do Antigravity infectado com um trojan (3)

O Antigravity é instalado corretamente no C:\Program Files (x86)\Google LLC\Antigravity\. Aparece uma entrada no Menu Iniciar, é criado um atalho na área de trabalho e tudo funciona. O usuário abre o aplicativo, experimenta-o, fecha-o e segue com o seu dia. Tudo parece estar bem, porque ele realmente instalou o que queria instalar. A parte maliciosa está ocorrendo discretamente, em uma pasta que ele nunca abrirá.

Dois pequenos roteiros e um telefonema

Em algum momento durante a instalação, o MSI executa um pequeno script auxiliar que salva dois arquivos do PowerShell na pasta temporária do usuário: scr5020.ps1 e pss5032.ps1. Os nomes dos arquivos parecem ser fixos, mas não são: os quatro caracteres após cada prefixo são gerados aleatoriamente sempre que o instalador é executado.

O que permanece constante é o prefixo: scr para o script do usuário, pss para o wrapper do PowerShell, pois esses nomes seguem o padrão de nomenclatura padrão da ferramenta de instalação para scripts de ações personalizadas.

Dos dois arquivos, o segundo é um utilitário Advanced que não sofreu alterações. Ele é totalmente inofensivo e está presente em muitos produtos legítimos. O primeiro foi adicionado pelo invasor e tem uma única função: abrir uma conexão HTTPS para https://opus-dsn[.]com/login/, baixa qualquer código que o servidor retorne e o executa. Para passar despercebido, ele falsifica um cabeçalho de referência da Microsoft e se conecta através do proxy web padrão do sistema, de modo que herda toda a configuração e autenticação do proxy corporativo definidas pela equipe de TI, sem que o usuário perceba. Ele também salva e restaura a configuração TLS do PowerShell pai, mantendo essa variável global inalterada após o encerramento. Esse é todo o script.

Os pesquisadores chamam esse padrão de “downloader cradle”, e sua vantagem para o invasor é a flexibilidade. A carga útil real fica no servidor deles, e não dentro do instalador que está em circulação; assim, eles podem substituí-la, alterar os alvos ou interromper a operação sem mexer no arquivo que os usuários estão baixando.

A chamada telefônica relacionada ao instalador do Antigravity infectado por um trojan

Nesse caso, o cradle fez exatamente o que foi projetado para fazer e nada mais: uma consulta DNS para opus-dsn[.]com, uma única conexão TCP na porta 443 para 89[.]124[.]96[.]27 com uma solicitação GET HTTPS discreta para /login/, e então o processo do PowerShell foi encerrado.

Não aconteceu mais nada. Nenhum script de segunda fase foi baixado. Nenhum arquivo foi solto. Nenhuma tarefa agendada foi criada. Nenhuma alteração foi feita no Windows . A maioria das ferramentas de segurança automatizadas simplesmente ignoraria o caso e seguiria em frente.

Mas o malware não havia falhado. Ele se apresentou ao servidor do invasor e solicitou o código a ser executado em seguida — e se a resposta será enviada é uma decisão que o operador tomará mais tarde, quando lhe for conveniente, uma vítima de cada vez. Do ponto de vista da vítima, não é possível saber qual foi a resposta enviada. Para fins de análise, recuperamos o que o servidor envia quando a resposta é afirmativa.

O que acontece quando a resposta é sim

Quando o servidor decide que vale a pena atacar um alvo, o script subsequente executa sua tarefa em três etapas.

Primeiro, faz com que o Defender ignore isso. Ele chama Add-MpPreference (com o cmdlet nome separado por um backtick, uma pequena ofuscação para contornar detecções ingênuas de correspondência de strings) para excluir %ProgramData% e %APPDATA% excluir da digitalização .exe, .msie .dll excluir arquivos da verificação e excluir o PowerShell, regasm.exe, rundll32.exe, msedge.exee chrome.exe sem ser detectado. Só depois disso é que ele se comunica com o servidor de origem — coletando um perfil do computador (Windows , domínio do Active Directory, produto antivírus instalado), criptografando-o com RSA usando uma chave pública incorporada ao script e enviando-o para opus-dsn[.]com dentro de um utm_content parâmetro de consulta que, em qualquer registro de acesso, se parece com um rastreamento de marketing comum. Esse é o perfil que o operador usa para decidir se vale a pena avançar essa máquina específica para a próxima etapa.

Em segundo lugar, isso aumenta a diferença. Um segundo Add-MpPreference O bloco amplia a lista de exclusão para incluir o .png extensão do arquivo e o conhost.exe processo — exatamente as duas adições de que a próxima etapa precisará. Em seguida, ele grava AmsiEnable=0 em HKLM\Software\Policies\Microsoft\Windows Script\Settings, desativando a Interface de Verificação Antimalware Windows— a camada que normalmente permite que o Defender analise scripts antes de sua execução. A partir desse momento, a atividade maliciosa passa a ocorrer em pastas, com tipos de arquivos e por meio de processos que o Defender foi instruído a ignorar.

Em terceiro lugar, ele garante a persistência. Ele baixa um arquivo chamado secret.png de https://captr.b-cdn[.]net/secret.png (uma URL do BunnyCDN que, à primeira vista, parece qualquer outro link de entrega de conteúdo) e a salva em C:\ProgramData\MicrosoftEdgeUpdate.png, um caminho escolhido para ficar ao lado das pastas reais de atualização do navegador da Microsoft. O arquivo não é uma imagem. Trata-se de um texto cifrado em AES-256-CBC (chave e IV derivadas via PBKDF2 com 10.000 iterações a partir de uma senha predefinida) que contém um assembly .NET. Em seguida, é registrada uma tarefa agendada com o nome MicrosoftEdgeUpdateTaskMachineCore{JBNEN-NQVNZJ-KJAN323-111}, que é praticamente indistinguível à primeira vista da verdadeira tarefa Edge do Microsoft Edge e está configurada para ser executada a cada logon, rodando sem privilégios para que nunca exiba uma solicitação do UAC. A ação que ela executa é conhost.exe --headless iniciando um PowerShell oculto, que descriptografa o arquivo PNG falso na memória e carrega de forma reflexiva o assembly .NET resultante em seu próprio espaço de endereços. Nada é gravado no disco como um executável comum. Tudo o que permanece é a imagem criptografada, em uma pasta que o Defender foi configurado para ignorar.

E, em seguida, uma segunda carga útil, que não fica armazenada no sistema. O script não para por aí. Depois de registrar e iniciar a tarefa agendada, ele envia um segundo sinal para confirmar a instalação e, em seguida, executa um bloco totalmente separado que baixa um segundo arquivo criptografado (GGn.xml) do mesmo servidor BunnyCDN, o descriptografa com uma chave AES diferente e pré-definida e carrega esse assembly de forma reflexiva também no processo do PowerShell em execução. A primeira carga útil sobrevive às reinicializações; esta é executada uma única vez, na memória, e desaparece. Dois assemblies .NET, uma campanha, na máquina da vítima.

Para que a carga útil foi projetada

O código-fonte descriptografado é um programa de roubo de dados .NET. Podemos identificá-lo pelos nomes de suas próprias classes e métodos, que descrevem sua função em linguagem simples: ele varre navegadores, aplicativos de mensagens, plataformas de jogos, clientes FTP e carteiras de criptomoedas, coletando dados rotulados como Logins, Cookies, Autofillse FtpConnections.

Na prática, isso significa que todos os navegadores baseados no Chromium e no Firefox instalados no computador (Chrome, Edge, Brave e outros) têm suas senhas salvas, dados de preenchimento automático (incluindo cartões de crédito salvos) e os cookies que mantêm os usuários conectados removidos. Tokens do Discord, sessões do Telegram, logins do Steam, credenciais de FTP e arquivos de carteiras de criptomoedas também são removidos.

(A maioria dos caminhos exatos dos alvos está ofuscada e só é descriptografada em tempo de execução; portanto, nem todos os aplicativos específicos são visíveis em uma análise estática, mas as categorias de roubo ficam claras a partir dos nomes das classes.)

As funções do instalador do Antigravity infectado por um trojan

Os cookies de sessão são o que mais deve preocupar as pessoas, pois agem mais rapidamente do que qualquer outra coisa. Um cookie de login roubado permite que um invasor acesse diretamente a caixa de entrada do Gmail ou um portal bancário sem precisar de senha ou ativar a autenticação de dois fatores. Do ponto de vista do site, o usuário já está conectado. O intervalo entre a infecção e a invasão da conta pode ser de apenas alguns minutos.

Além do roubo de dados, o malware também importa Windows usadas para o sequestro da área de transferência e o registro de teclas digitadas, ferramentas que podem capturar o que você digita ou alterar o endereço de uma carteira de criptomoedas no exato momento em que você envia fundos.

Também inclui os elementos básicos da técnica de “área de trabalho oculta”: a criação de uma segunda Windows , invisível, que o invasor pode capturar e, potencialmente, controlar. Em sua forma mais avançada, isso permite que um invasor atue dentro desse ambiente oculto — fazendo login em contas, aprovando transações ou enviando mensagens — enquanto a tela real da vítima não mostra nada de anormal. Durante o período da infecção, o invasor é, efetivamente, uma segunda presença no computador.

Uma nova ferramenta, um novo perfil semelhante, a mesma armadilha

A razão pela qual essa campanha é importante, para além desse instalador específico, é que seu formato não é novidade. Trata-se de uma versão aprimorada de um padrão que vemos há meses: novos produtos de IA são lançados com grande repercussão e, em poucas semanas, surgem domínios semelhantes e instaladores infectados com trojans. O Antigravity é o exemplo mais recente, mas não será o último.

O incentivo para os invasores é óbvio. Cada lançamento de IA de grande repercussão gera uma onda de usuários que querem experimentá-la imediatamente, antes mesmo de terem tempo de memorizar o URL correto ou de verificar se ele corresponde às fontes confiáveis.

Comprou algo que não devia?

EXECUTE UMA VERIFICAÇÃO ANTIVÍRUS GRATUITA

O que torna esse tipo de campanha difícil de detectar é que a maioria das vítimas nunca sabe que foi alvo do ataque. Aqueles que escaparam, porque o operador optou por não avançar no ataque em seus computadores, não têm motivos para suspeitar que algo tenha acontecido.

Quem não conseguiu escapar geralmente descobre mais tarde: uma redefinição de senha que não solicitou, um amigo perguntando sobre uma mensagem estranha ou um saldo bancário que, de repente, parece errado. Nessa altura, a decisão de atacá-los já havia sido tomada dias antes.

O que fazer se você tiver sido afetado

Se você ou alguém que compartilha seu computador instalou recentemente um programa chamado Google Antigravity a partir de qualquer outro site que não seja antigravity.google, comece verificando os indicadores de rede. Verifique os registros do firewall, os alertas do EDR ou os registros do roteador em busca de conexões com opus-dsn[.]com, captr.b-cdn[.]netou 89[.]124[.]96[.]27. Basta uma única conexão a partir de um processo do PowerShell para confirmar que o check-in foi realizado.

Em um dispositivo diferente e limpo, saia de todas as sessões ativas nas suas contas importantes: Google, Microsoft 365, qualquer portal bancário, GitHub, Discord, Telegram, Steam e sua corretora de criptomoedas. A maioria dos serviços oferece uma opção de “sair de todas as sessões” nas configurações de segurança.
Altere as senhas dessas contas, começando pelo seu e-mail. Se o seu e-mail for comprometido, um invasor poderá redefinir praticamente qualquer outra conta.
Atualize todas as chaves de API, chaves SSH ou credenciais de nuvem que estavam no computador afetado, e não apenas as senhas associadas a elas.
Se você tiver carteiras de criptomoedas nesse computador, transfira os fundos para um dispositivo não comprometido imediatamente. É isso que esses criminosos exploram primeiro.
Fique atento aos extratos bancários e de cartão de crédito para verificar se há cobranças desconhecidas e considere solicitar um alerta de fraude ao seu banco.
Limpe o sistema e reinstale Windows. Não se deve confiar em um computador que tenha sido infectado por esse tipo de malware.
Se o computador for um laptop de trabalho, informe sua equipe de TI ou de segurança ainda hoje. O beacon coleta o domínio do Active Directory do computador; portanto, no caso de um laptop corporativo conectado a um domínio, o invasor agora sabe a qual rede empresarial a vítima pertence, o que significa que não se trata apenas de um problema pessoal.