pirataria

O que acontece se você baixar um programa crackeado?

Spoiler: nada de bom. Junto com o software pirata, será possível encontrar um vírus minerador, malware de roubo de dados ou um backdoor.

Kaspersky Team
14 abr 2025

O que fazer quando você precisa baixar um programa mas não tem condições de comprar uma licença oficial? Resposta correta: “Use a versão de teste” ou “Encontre uma alternativa.” Resposta incorreta: “Pesquise por uma versão crackeada na internet.”

Fontes alternativas duvidosas são conhecidas por oferecer versões crackeadas de softwares, além de outros recursos. Após navegar por sites cheios de anúncios, você poderá obter o programa que deseja (geralmente sem atualizações futuras e funcionalidades de rede), mas ele pode conter um vírus minerador, malware de roubo de dados ou qualquer outra coisa indesejada.

Usando exemplos reais, vamos explicar por que você deve evitar sites que oferecem downloads instantâneos de programas muito procurados.

Minerador e malware de roubo de dados no SourceForge

O SourceForge já foi o maior site para todos os programas de código aberto, podendo ser considerado, de certa forma, o precursor do GitHub. Mas não pense que o SourceForge está inativo: hoje ele fornece serviços de hospedagem e distribuição de softwares. Há vários projetos no portal de softwares do site que podem ser criados por qualquer pessoa.

E, assim como no GitHub, é essa diversidade global que impõe desafios à segurança de alto nível. Apenas um exemplo para ilustrar: nossos especialistas encontraram um projeto chamado officepackage no SourceForge. À primeira vista, ele parece inofensivo: há uma descrição clara, um nome prático e até uma avaliação positiva.

Página do “Officepackage” no SourceForge

Mas e se dissermos que a descrição e os arquivos são uma cópia idêntica de um outro projeto no GitHub? Os alarmes já começaram a soar. Dito isso, nenhum malware invade o seu computador quando você clica no botão Download. O projeto aparenta estar livre de vírus. Mas só aparenta, pois a carga maliciosa não foi distribuída diretamente pelo projeto officepackage, mas sim pela página da web associada a ele. Como isso é possível?

O fato é que cada projeto criado no SourceForge obtém o próprio nome de domínio e hospedagem em sourceforge.io. Sendo assim, um projeto chamado officepackage ganha uma página da web em officepackage.sourceforge[.]io. É fácil para os mecanismos de busca indexarem essas páginas, fazendo com que elas apareçam no topo dos resultados de pesquisa. É assim que os criminosos atraem as vítimas.

Ao visitar officepackage.sourceforge[.]io usando um mecanismo de busca, os usuários eram levados a uma página que oferecia downloads de quase todas as versões do pacote Microsoft Office. Mas, como sempre, ao observar com atenção: se você passasse o mouse sobre o botão Download, a barra de status do navegador mostrava um link para https[:] //loading.sourceforge[.]io/download. Percebeu a armadilha? O novo link não tinha nada a ver com o officepackage. O projeto carregado era totalmente diferente.

O botão “Download” da página “officepackage” no portal de softwares SourceForge levava o usuário a um projeto completamente diferente

E após clicar nele, os usuários não eram redirecionados para a página do projeto que estava sendo carregado, mas sim para um outro site intermediário com outro botão Download. Somente após clicar naquele botão é que o usuário, já cansado de navegar, finalmente recebia um arquivo comprimido chamado vinstaller.zip. Dentro dele havia outro arquivo comprimido, e dentro deste, havia um instalador do Windows com um vírus malicioso.

Ao invés de produtos da Microsoft, havia duas coisas desagradáveis no centro dessa boneca russa malvada: um vírus minerador e o ClipBanker, um malware utilizado para substituir endereços de carteiras de criptomoedas na área de transferência. Eles eram liberados no dispositivo da vítima após a execução do instalador. Para maiores detalhes desse esquema de infecção, veja a versão completa do estudo em nosso blog Securelist.

Instalador malicioso do TookPS disfarçado de software legítimo

Os cibercriminosos não atuam somente no SourceForge e no GitHub. Em outro caso recente descoberto por nossos especialistas, descobriu-se que invasores estavam distribuindo o instalador malicioso TookPS, que já é conhecido por nós por causa dos programas falsos associados ao DeepSeek e ao Grok. A distribuição se acontecia em sites falsos que ofereciam downloads gratuitos de softwares especializados. Descobrimos vários sites desse tipo que ofereciam aos usuários versões crackeadas do UltraViewer, AutoCAD, SketchUp e de outros softwares profissionais populares, o que significa que o ataque não era apenas direcionado a usuários domésticos, mas também a profissionais autônomos e organizações. Entre os outros arquivos maliciosos detectados estavam os nomes Ableton.exe e QuickenApp.exe, que eram supostas versões dos renomados aplicativos de criação de música e gerenciamento de dinheiro.

Páginas falsas que distribuíam o TookPS

Por meios indiretos, o instalador baixou dois b ackdoors no dispositivo da vítima: o Backdoor.Win32.TeviRat e o Backdoor.Win32.Lapmon. Veja outra postagem do Securelist para descobrir exatamente como o malware chegou até o dispositivo da vítima. Por meio do malware, os invasores obtiveram acesso total ao computador da vítima.

Como se proteger

Primeiro, não baixe softwares piratas. Em nenhuma circunstância. Jamais. O fato do programa crackeado ser gratuito e ter disponibilidade instantânea pode ser tentador, mas o preço que você pagará não será medido em dinheiro, mas em dados, os seus dados. E não, isso não significa fotos de família e bate-papos com amigos. Os cibercriminosos estão atrás de carteiras de criptomoedas, informações de cartões de pagamento, senhas de contas, e até mesmo dos recursos do seu computador para fazerem mineração de criptomoedas.

Aqui está uma lista de regras que recomendamos para qualquer pessoa que use o SourceForge, o GitHub e outros portais de softwares.

Se você não puder comprar a versão completa de um aplicativo, opte por outro parecido ou por versões de teste ao invés de um software crackeado. Você pode não obter todas as funcionalidades, mas pelo menos é certo que o seu dispositivo estará seguro.
Baixe programas somente de fontes confiáveis. Como visto no SourceForge e no GitHub, você deve proceder com cautela até mesmo nesse sites e utilizar um antivírus para analisar todos os arquivos baixados.
Utilize ferramentas confiáveis para proteger as suas criptomoedas e dados bancários. Proteja as carteiras virtuais com o mesmo cuidado dedicado a uma carteira física.

Leitura adicional sobre a importância de não baixar softwares piratas:

Os perigos dos jogos piratas

NullMixer: o malware mil em um

Minerador XMRig como presente de Ano Novo

Malware camuflado nos links “oficiais” do GitHub e do GitLab

Como e por que o Android SafetyCore verifica imagens, e como removê-lo.

Google força usuários a usar o Android System SafetyCore para verificar nudes

Mergulhamos no mecanismo do controverso app de verificação de nudes que misteriosamente se materializou em um bilhão de telefones.

FERRAMENTAS GRATUITAS

O que acontece se você baixar um programa crackeado?

Minerador e malware de roubo de dados no SourceForge

Instalador malicioso do TookPS disfarçado de software legítimo

Como se proteger

Novo golpe no YouTube usa vídeos de cheats para espalhar vírus que rouba dados

Trojans disfarçados de clientes DeepSeek e Grok

Google força usuários a usar o Android System SafetyCore para verificar nudes

Dicas

Lições do hack da Bybit: como armazenar criptomoedas com segurança

Fraudadores de cartões com NFC se escondem atrás do Apple Pay e Google Wallet

Privacidade sob ataque: surpresas desagradáveis no Chrome, Edge e Firefox

Você encontrou uma frase-semente da carteira de criptomoedas de outra pessoa: o que poderia dar errado?

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog