{"id":23582,"date":"2025-04-14T09:33:00","date_gmt":"2025-04-14T12:33:00","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23582"},"modified":"2025-04-14T09:33:00","modified_gmt":"2025-04-14T12:33:00","slug":"what-happens-if-you-download-cracked-program","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/what-happens-if-you-download-cracked-program\/23582\/","title":{"rendered":"O que acontece se voc\u00ea baixar um programa crackeado?"},"content":{"rendered":"

O que fazer quando voc\u00ea precisa baixar um programa mas n\u00e3o tem condi\u00e7\u00f5es de comprar uma licen\u00e7a oficial? Resposta correta: \u201cUse a vers\u00e3o de teste\u201d<\/em> ou \u201cEncontre uma alternativa.\u201d<\/em> Resposta incorreta: \u201cPesquise por uma vers\u00e3o crackeada na internet.\u201d<\/em><\/p>\n

Fontes alternativas duvidosas s\u00e3o conhecidas por oferecer vers\u00f5es crackeadas de softwares, al\u00e9m de outros recursos<\/em>. Ap\u00f3s navegar por sites cheios de an\u00fancios, voc\u00ea poder\u00e1 obter o programa que deseja (geralmente sem atualiza\u00e7\u00f5es futuras e funcionalidades de rede), mas ele pode conter um v\u00edrus minerador, malware de roubo de dados ou qualquer outra coisa indesejada.<\/p>\n

Usando exemplos reais, vamos explicar por que voc\u00ea deve evitar sites que oferecem downloads instant\u00e2neos de programas muito procurados.<\/p>\n

Minerador e malware de roubo de dados no SourceForge<\/h2>\n

O SourceForge j\u00e1 foi o maior site para todos os programas de c\u00f3digo aberto, podendo ser considerado, de certa forma, o precursor do GitHub. Mas n\u00e3o pense que o SourceForge est\u00e1 inativo: hoje ele fornece servi\u00e7os de hospedagem e distribui\u00e7\u00e3o de softwares. H\u00e1 v\u00e1rios projetos no portal de softwares do site que podem ser criados por qualquer pessoa.<\/p>\n

E, assim como no GitHub<\/a>, \u00e9 essa diversidade global que imp\u00f5e desafios \u00e0 seguran\u00e7a de alto n\u00edvel. Apenas um exemplo para ilustrar: nossos especialistas encontraram um projeto chamado officepackage<\/em> no SourceForge. \u00c0 primeira vista, ele parece inofensivo: h\u00e1 uma descri\u00e7\u00e3o clara, um nome pr\u00e1tico e at\u00e9 uma avalia\u00e7\u00e3o positiva.<\/p>\n

<\/a>

P\u00e1gina do \u201cOfficepackage\u201d no SourceForge<\/p><\/div>\n

Mas e se dissermos que a descri\u00e7\u00e3o e os arquivos s\u00e3o uma c\u00f3pia id\u00eantica de um outro projeto no GitHub? Os alarmes j\u00e1 come\u00e7aram a soar. Dito isso, nenhum malware invade o seu computador quando voc\u00ea clica no bot\u00e3o Download<\/strong>. O projeto aparenta estar livre de v\u00edrus. Mas s\u00f3 aparenta, pois a carga maliciosa n\u00e3o foi distribu\u00edda diretamente pelo projeto officepackage<\/em>, mas sim pela p\u00e1gina da web associada a ele. Como isso \u00e9 poss\u00edvel?<\/p>\n

O fato \u00e9 que cada projeto criado no SourceForge obt\u00e9m o pr\u00f3prio nome de dom\u00ednio e hospedagem em sourceforge.io<\/em>. Sendo assim, um projeto chamado officepackage<\/em> ganha uma p\u00e1gina da web em officepackage.sourceforge[.]io. <\/em>\u00c9 f\u00e1cil para os mecanismos de busca indexarem essas p\u00e1ginas, fazendo com que elas apare\u00e7am no topo dos resultados de pesquisa. \u00c9 assim que os criminosos atraem as v\u00edtimas.<\/p>\n

Ao visitar officepackage.sourceforge[.]io<\/em> usando um mecanismo de busca, os usu\u00e1rios eram levados a uma p\u00e1gina que oferecia downloads de quase todas as vers\u00f5es do pacote Microsoft Office. Mas, como sempre, ao observar com aten\u00e7\u00e3o: se voc\u00ea passasse o mouse sobre o bot\u00e3o Download<\/strong>, a barra de status do navegador mostrava um link para https[:]<\/em> \/\/loading.sourceforge[.]io\/download<\/em>. Percebeu a armadilha? O novo link n\u00e3o tinha nada a ver com o officepackage<\/em>. O projeto carregado <\/em>era totalmente diferente.<\/p>\n

<\/a>

O bot\u00e3o \u201cDownload\u201d da p\u00e1gina \u201cofficepackage\u201d no portal de softwares SourceForge levava o usu\u00e1rio a um projeto completamente diferente<\/p><\/div>\n

E ap\u00f3s clicar nele, os usu\u00e1rios n\u00e3o eram redirecionados para a p\u00e1gina do projeto que estava sendo carregado<\/em>, mas sim para um outro site intermedi\u00e1rio com outro bot\u00e3o Download<\/strong>. Somente ap\u00f3s clicar naquele bot\u00e3o \u00e9 que o usu\u00e1rio, j\u00e1 cansado de navegar, finalmente recebia um arquivo comprimido chamado vinstaller.zip<\/em>. Dentro dele havia outro arquivo comprimido, e dentro deste, havia um instalador do Windows com um v\u00edrus malicioso.<\/p>\n

Ao inv\u00e9s de produtos da Microsoft, havia duas coisas desagrad\u00e1veis no centro dessa boneca russa malvada: um v\u00edrus minerador e o ClipBanker, um malware utilizado para substituir endere\u00e7os de carteiras de criptomoedas na \u00e1rea de transfer\u00eancia. Eles eram liberados no dispositivo da v\u00edtima ap\u00f3s a execu\u00e7\u00e3o do instalador. Para maiores detalhes desse esquema de infec\u00e7\u00e3o, veja a vers\u00e3o completa do estudo em nosso blog Securelist<\/a>.<\/p>\n

Instalador malicioso do TookPS disfar\u00e7ado de software leg\u00edtimo<\/h2>\n

Os cibercriminosos n\u00e3o atuam somente no SourceForge e no GitHub<\/a>. Em outro caso recente descoberto por nossos especialistas, descobriu-se que invasores estavam distribuindo o instalador malicioso TookPS, que j\u00e1 \u00e9 conhecido por n\u00f3s por causa dos programas falsos associados ao DeepSeek e ao Grok<\/a>. A distribui\u00e7\u00e3o se acontecia em sites falsos que ofereciam downloads gratuitos de softwares especializados. Descobrimos v\u00e1rios sites desse tipo que ofereciam aos usu\u00e1rios vers\u00f5es crackeadas<\/a> do UltraViewer, AutoCAD, SketchUp e de outros softwares profissionais populares, o que significa que o ataque n\u00e3o era apenas direcionado a usu\u00e1rios dom\u00e9sticos, mas tamb\u00e9m a profissionais aut\u00f4nomos e organiza\u00e7\u00f5es. Entre os outros arquivos maliciosos detectados estavam os nomes Ableton.exe<\/em> e QuickenApp.exe<\/em>, que eram supostas vers\u00f5es dos renomados aplicativos de cria\u00e7\u00e3o de m\u00fasica e gerenciamento de dinheiro.<\/p>\n

\"P\u00e1ginas<\/a>

P\u00e1ginas falsas que distribu\u00edam o TookPS<\/p><\/div>\n

Por meios indiretos, o instalador baixou <\/a>dois b<\/a>ackdoors<\/a> no dispositivo da v\u00edtima: o Backdoor.Win32.TeviRat<\/strong> e o Backdoor.Win32.Lapmon<\/strong>. Veja outra postagem do Securelist<\/a> para descobrir exatamente como o malware chegou at\u00e9 o dispositivo da v\u00edtima. Por meio do malware, os invasores obtiveram acesso total ao computador da v\u00edtima.<\/p>\n

Como se proteger<\/h2>\n

Primeiro, n\u00e3o baixe softwares piratas. Em nenhuma circunst\u00e2ncia. Jamais. O fato do programa crackeado ser gratuito e ter disponibilidade instant\u00e2nea pode ser tentador, mas o pre\u00e7o que voc\u00ea pagar\u00e1 n\u00e3o ser\u00e1 medido em dinheiro, mas em dados, os seus dados. E n\u00e3o, isso n\u00e3o significa fotos de fam\u00edlia e bate-papos com amigos. Os cibercriminosos est\u00e3o atr\u00e1s de carteiras de criptomoedas, informa\u00e7\u00f5es de cart\u00f5es de pagamento, senhas de contas, e at\u00e9 mesmo dos recursos do seu computador para fazerem minera\u00e7\u00e3o de criptomoedas.<\/p>\n

Aqui est\u00e1 uma lista de regras que recomendamos para qualquer pessoa que use o SourceForge, o GitHub<\/a> e outros portais de softwares.<\/p>\n