Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreidjbyft23rcli5uzigcce7fr5bwqg6mn4eklwskrdko6hmnmkg7xa",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mhc4moka2cx2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiboplwjjszyu44bn7zjbuzmo6vimbegyohbskqm4qm4gvn2dkkf6m"
    },
    "mimeType": "image/png",
    "size": 777374
  },
  "path": "/seguranca/411670-vidar-20-virus-usa-trapacas-falsas-para-roubar-dados.htm",
  "publishedAt": "2026-03-17T22:10:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Pesquisadores de segurança da Acronis Threat Research Unit identificaram uma campanha global de roubo de dados que mira jogadores de videogame. O ataque **usa cheats falsos como isca** , e o malware se chama Vidar Stealer 2.0.\n\nA ameaça já circula em plataformas como GitHub e Reddit. Pesquisadores acreditam que **milhares de usuários já foram afetados** , com centenas de repositórios maliciosos encontrados.\n\n## O que é o Vidar Stealer 2.0\n\nO Vidar é um infostealer, **um malware que entra no computador da vítima e copia tudo que tem valor**. Ele existe desde 2018, mas era ofuscado por tecnologias concorrentes, como Lumma e Rhadamanthys.\n\nNo entanto, com **ações policiais que derrubaram as operações de ambas campanhas, o Vidar ganhou força**. Em outubro de 2025, o infostealer ganhou uma atualização, com a versão 2.0.\n\nO programa funciona **no modelo chamado Malware-as-a-Service.** Em outras palavras, isso significa que qualquer criminoso pode alugar o vírus mediante pagamento – os planos variam entre 130 e 750 dólares. Quem paga recebe o vírus pronto para usar, além de suporte técnico dos desenvolvedores.\n\n## Quem são os alvos\n\nA escolha dos gamers como alvo não é por acaso. Quem busca um cheat gratuito já está disposto a baixar arquivos de fontes não oficiais. Contudo, **esses arquivos costumam acionar alertas do antivírus – o jogador, porém, ignora os avisos**. Ele acredita que o alerta é falso, porque cheats precisam burlar sistemas de proteção dos próprios jogos.\n\nEssa lógica é exatamente a armadilha. **O criminoso não precisa convencer a vítima de nada** , ela já chegou predisposta a desativar as proteções sozinha.\n\nAlém disso,**quem foi infectado enquanto tentava trapacear raramente reporta o crime**. O constrangimento de admitir que tentava usar cheat funciona como proteção extra para os atacantes. A Acronis TRU, empresa responsável pela descoberta, aponta que**jovens e adolescentes estão desproporcionalmente entre as vítimas**.\n\n## Como o ataque acontece\n\nA campanha começa com**uma publicação em um subreddit ou servidor do Discord voltado para cheats de jogos**. A publicação parece normal. Ela promove um cheat gratuito para jogos como _Counter-Strike 2_ ou _Fortnite_ e direciona a vítima para uma página no GitHub.\n\nO GitHub é uma plataforma legítima, usada por desenvolvedores. Os criminosos exploram essa reputação para parecer confiáveis. Os links maliciosos ficam escondidos dentro de imagens, o que dificulta a detecção automática pela própria plataforma.\n\nA vítima clica, baixa um arquivo e o executa. O arquivo tem nomes que soam como ferramentas de jogos, como TempSpoofer.exe ou EzFrags_Private.zip. A partir desse momento, uma sequência de ações começa a acontecer de forma invisível.\n\n## O que acontece depois do clique\n\nO arquivo baixado não é o vírus principal. Ele é um loader, um programa intermediário cuja função é preparar o terreno. Esse loader é um script PowerShell disfarçado de executável comum.\n\nA primeira coisa que o loader faz é criar uma exceção no Windows Defender, o antivírus nativo do sistema. A exceção instrui o Defender a ignorar completamente uma pasta específica. Qualquer arquivo colocado nessa pasta passa a ser invisível para o antivírus.\n\nEm seguida, o loader acessa o Pastebin, um site legítimo de compartilhamento de textos. Dentro de uma página pública no Pastebin está o endereço do próximo arquivo a ser baixado. Usar serviços legítimos assim é uma técnica deliberada. O tráfego se mistura com o uso normal da internet e não levanta suspeitas.\n\nO loader então cria uma pasta oculta dentro do sistema da vítima e baixa o arquivo final – esse arquivo é o Vidar 2.0. Antes de encerrá-lo, o loader ainda cria uma tarefa agendada chamada SystemBackgroundUpdate. Essa tarefa instrui o **Windows a executar o vírus automaticamente toda vez que a vítima fizer login**. O computador reiniciado não resolve o problema.\n\n## O que o Vidar rouba\n\nAssim que entra em execução, o Vidar 2.0 vasculha o computador da vítima em múltiplas frentes ao mesmo tempo. Nos navegadores, ele extrai senhas, cookies e dados de preenchimento automático. Os cookies são especialmente valiosos porque permitem acessar contas sem precisar da senha.\n\n**Discord, Telegram e Steam também são alvos, com o roubo de tokens de login que funcionam como chaves de acesso permanentes**. Carteiras de criptomoeda, credenciais de ferramentas de acesso a servidores e tokens do Microsoft Azure completam a lista.\n\nUma única infecção em um funcionário de TI pode comprometer a infraestrutura de uma empresa inteira. Por fim, o vírus tira uma captura de tela da área de trabalho e a envia aos criminosos para identificar alvos de maior valor.\n\n## Por que é tão difícil detectar\n\n**O Vidar 2.0 foi reescrito para escapar dos antivírus**. Cada cópia gerada é estruturalmente diferente da anterior, o que impede a detecção por comparação com ameaças conhecidas.\n\nO vírus também verifica a quantidade de memória RAM disponível. **Se o valor for inferior a 2 GB, ele interpreta isso como ambiente de análise e se encerra sem fazer nada**. A comunicação com os criminosos acontece disfarçada dentro do tráfego normal do Telegram e da Steam, sem levantar suspeitas na rede.\n\n## Quem está em risco\n\nO alvo mais visível são os jogadores jovens. Mas qualquer pessoa que use o mesmo computador para jogar e para trabalhar está potencialmente exposta a uma brecha corporativa.\n\nInfraestruturas empresariais, ambientes de computação em nuvem e redes internas de empresas estão todos na linha de risco. A Acronis TRU ressalta que a escala da campanha é provavelmente maior do que o observado até agora.\n\n## O que fazer\n\nPesquisadores ressaltam que nenhuma vantagem em um jogo vale o risco de expor contas bancárias, carteiras de criptomoeda e redes corporativas. Para se prevenir, é possível seguir algumas recomendações.\n\n  * Baixar programas apenas de fontes oficiais e verificadas;\n  * Manter o sistema operacional e o antivírus atualizados;\n  * Usar senhas diferentes para cada serviço;\n  * Ativar a verificação em duas etapas em todas as contas.\n\n\n\n",
  "title": "Vidar 2.0: vírus usa trapaças 'falsas' para roubar dados"
}