Baixar um programa para conferir a temperatura do computador parece uma tarefa simples. Você pesquisa o nome da ferramenta, abre um dos primeiros resultados e instala o arquivo. Pronto. Ou pelo menos deveria ser assim.

Uma campanha descoberta por pesquisadores da Microsoft mostrou que criminosos estão criando cópias de sites de utilitários conhecidos para instalar malware em computadores potentes. O objetivo é usar a placa de vídeo da vítima para minerar criptomoedas, deixando para ela a conta de energia, a lentidão e o desgaste do equipamento.

O golpe chama atenção porque não tenta atingir qualquer computador. Os criminosos procuram justamente usuários com máquinas gamer ou estações de trabalho, que costumam ter GPUs mais valiosas. O texto concorrente também destacou essa seleção cuidadosa das vítimas e a presença dos sites falsos em pesquisas e recomendações digitais.

O golpe começa com um download que parece normal

A armadilha costuma aparecer quando alguém pesquisa por ferramentas legítimas de manutenção, diagnóstico ou monitoramento do computador. Entre os programas imitados estão CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack e PDFgear.

Não é uma escolha aleatória. Quem procura esses utilitários provavelmente gosta de montar, melhorar ou acompanhar o desempenho do próprio PC. Em outras palavras, há uma boa chance de essa pessoa ter uma placa de vídeo potente, exatamente o tipo de equipamento que interessa aos criminosos.

Os sites falsos podem aparecer em posições de destaque nos mecanismos de busca por meio de uma técnica conhecida como envenenamento de SEO. Nela, os responsáveis manipulam páginas e termos de pesquisa para fazer um domínio perigoso parecer relevante e confiável.

A campanha também ganhou uma camada ainda mais preocupante: segundo a Microsoft, alguns desses links chegaram a aparecer em respostas fornecidas por assistentes de inteligência artificial. A empresa ressaltou, porém, que isso não significa uma falha sistêmica de uma plataforma específica.

O programa verdadeiro ajuda a esconder o malware

Ao clicar no botão de download, a vítima recebe um arquivo compactado. Dentro dele pode estar o programa legítimo que ela realmente queria instalar. É justamente esse detalhe que torna o golpe tão convincente.

O pacote também carrega uma biblioteca maliciosa. Quando o utilitário verdadeiro é aberto, essa biblioteca pode ser executada junto por meio de uma técnica chamada DLL sideloading. Para quem está diante da tela, nada parece muito estranho: o programa abre, mostra suas funções e passa a impressão de que a instalação ocorreu normalmente.

Nos bastidores, a situação é bem diferente. O malware instala o ScreenConnect, uma ferramenta legítima de acesso remoto usada por equipes de tecnologia. Nas mãos dos criminosos, porém, ela funciona como uma porta de entrada para controlar o computador comprometido.

Depois disso, os invasores conseguem baixar outros componentes, executar comandos e preparar a máquina para a mineração. A campanha utiliza ainda técnicas para colocar o código malicioso dentro de processos confiáveis do Windows, dificultando a identificação da atividade.

A placa de vídeo trabalha e a vítima paga a conta

Com o acesso estabelecido, o malware instala programas de mineração capazes de explorar a GPU. A Microsoft identificou ferramentas como GMiner, lolMiner e SRBMiner-MULTI na operação.

Na prática, o computador passa a produzir criptomoedas para os criminosos. A vítima, por outro lado, pode perceber aumento no consumo de energia, aquecimento excessivo, ventoinhas aceleradas e perda de desempenho.

O detalhe mais esperto, e um tanto irritante, é que o minerador pode diminuir ou interromper sua atividade quando percebe que a placa de vídeo está sendo usada em jogos ou tarefas pesadas. Assim, o usuário pode não notar uma queda brusca de desempenho justamente nos momentos em que mais presta atenção no PC.

Entre os possíveis sinais de alerta estão:

Um desses sinais isoladamente não confirma uma infecção. Vários deles aparecendo ao mesmo tempo, porém, merecem uma boa investigação.

Como baixar utilitários de PC com mais segurança

A primeira regra é simples: não confie automaticamente no primeiro resultado da busca. Um site estar no topo da página não significa que ele pertence ao desenvolvedor oficial.

Antes de baixar, confira o endereço com calma. Domínios com letras trocadas, palavras adicionais ou extensões pouco conhecidas podem indicar uma imitação. Também vale procurar o site oficial do fabricante por meio de páginas confiáveis, fóruns reconhecidos ou repositórios indicados pelo próprio desenvolvedor.

Outros cuidados ajudam bastante:

A Microsoft recomenda manter os recursos de proteção em nuvem do Defender ativados e utilizar mecanismos de redução da superfície de ataque em ambientes compatíveis. Para empresas, a orientação inclui recursos mais avançados de detecção e bloqueio.

Caso você suspeite que instalou um desses arquivos, desconecte o computador da internet, faça uma verificação completa com uma solução de segurança atualizada e revise programas de inicialização, tarefas agendadas e ferramentas de acesso remoto instaladas. Em situações mais graves, pode ser necessário procurar suporte técnico especializado.

Um clique comum pode esconder um problema enorme

Esse golpe funciona porque explora um hábito banal: pesquisar um programa conhecido e baixar rapidamente. O arquivo abre, o utilitário funciona e tudo parece estar em ordem. Enquanto isso, a GPU pode estar trabalhando para outra pessoa.

A melhor defesa continua sendo aquela pausa de alguns segundos antes do clique. Conferir o domínio, procurar a página oficial e desconfiar de downloads estranhos dá um pouco mais de trabalho, claro. Ainda assim, é bem menos trabalhoso do que tentar remover um malware persistente depois.