Falsa instalação do AnyDesk serve para roubo de dados e criptomoedas
Criminosos estão utilizando um instalador falso do AnyDesk — ferramenta legítima de acesso remoto — para disseminar o malware MetaStealer, que tem o objetivo de roubar credenciais, arquivos pessoais e dados de carteiras de criptomoedas. Para isso, recorrem ao golpe conhecido como ClickFix, que engana o usuário com supostos erros técnicos que exigem correções inexistentes.
O ataque opera assim: a vítima busca o site da AnyDesk, mais é direcionada a um domínio falso que simula um CAPTCHA ou um aviso de segurança. Ao clicar, uma função oculta ativa o explorador de arquivos do Windows e inicia o download de um arquivo malicioso nomeado "Readme AnyDesk.pdf", enquanto baixa silenciosamente o instalador legítimo do AnyDesk. Esse arquivo, ao ser aberto, implanta simultaneamente o malware sem que o usuário perceba.
Novos dados e contexto da verificação:
A técnica ClickFix realmente teve um aumento superior a 500% no primeiro semestre de 2025, em comparação ao segundo semestre de 2024, tornando-se o segundo vetor de ataque mais comum após o phishing, e responsável por cerca de 8% de todos os bloqueios de ataques nesse período (ESET, TecheNet, Help Net Security).
Esses ataques são utilizados para instalar uma variedade de ameaças, como infostealers, trojans de acesso remoto, ransomware, criptominers, até malwares personalizados ligados a grupos com apoio estatal (ESET, Help Net Security, web-assets.eset.com).
Histórico de golpes envolvendo o AnyDesk
Embora não haja uma menção direta ao malware MetaStealer nas fontes recentes, golpes envolvendo downloads falsos do AnyDesk são bem documentados:
- Em 2023, uma campanha utilizou mais de 1.300 domínios falsos para distribuir o malware Vidar via páginas disfarçadas do AnyDesk, redirecionando para arquivos hospedados no Dropbox (cisoadvisor.com.br).
- Em outros casos, grupos como o "Mad Liberator" exploraram o AnyDesk para roubar dados ao exibir uma falsa atualização do Windows, enquanto desativavam o teclado da vítima e exfiltravam arquivos com chantagem posterior (caveiratech.com).
Além disso, vale destacar que a AnyDesk sofreu um ataque cibernético em 2024 que comprometeu seus sistemas de produção, expondo código-fonte, chaves de assinatura e credenciais de usuários — um incidente grave que reforça a atenção à segurança em torno da marca (It Show, CyberNews - Next4Sec).
Como se proteger
Confira abaixo algumas medidas essenciais para evitar cair em golpes envolvendo software falso, incluindo ataques com técnica ClickFix e iscas usando o AnyDesk:
| Dica de segurança | Explicação |
|---|---|
| Baixe de fontes oficiais. | Sempre acesse sites reconhecidos, como o domínio oficial da AnyDesk. Evite clicar em anúncios patrocinados ou links desconhecidos. |
| Desconfie de verificações humanas suspeitas. | Solicitações para "comprovar que você não é um robô" ou "corrigir erros" ao baixar um software são sinais típicos de ClickFix. |
| Não execute comandos ou cole códigos em seu sistema. | Jamais copie e cole comandos que você não entenda, mesmo se parecerem inofensivos. |
| Use antivírus e mantenha o sistema atualizado. | Eles ajudam a detectar e bloquear malwares que atuam em memória ou via falsos instaladores. |
| Não forneça acesso remoto ou senhas via AnyDesk a desconhecidos. | Apenas conceda acesso remoto a quem você realmente conhece e confia (AnyDesk, HelpWire). |
| Verifique autenticidade de solicitações de suporte. | Bancos, operadoras ou empresas legítimas não exigem acesso remoto ou instalação de software para suporte sem aviso prévio. |
Conclusão
O golpe envolvendo o AnyDesk e o malware MetaStealer, embora exija uma confirmação específica quanto ao nome do malware, encaixa-se em um padrão crescente de ataques por falsificação de software via ClickFix. Esses golpes estão em evidência, com forte crescimento no primeiro semestre de 2025.
A recomendação é reforçar práticas de segurança digital, especialmente no uso de softwares de acesso remoto, para evitar prejuízos e comprometimento de dados sensíveis.
