A Microsoft revelou uma nova campanha maliciosa que utiliza o ambiente Node.js como vetor para ataques direcionados a investidores de criptomoedas. O esquema envolve anúncios fraudulentos (malvertising) que redirecionam usuários a páginas falsas de serviços populares como Binance e TradingView, com o objetivo de instalar malware especializado em roubo de informações.
Segundo os especialistas da Microsoft, desde outubro de 2024 tem sido crescente o uso do Node.js por cibercriminosos como alternativa a linguagens tradicionais como Python ou PHP. Essa plataforma JavaScript de código aberto permite a execução de códigos fora do navegador, sendo explorada por sua flexibilidade e capacidade de mesclar códigos maliciosos com programas legítimos — o que facilita a evasão de soluções de segurança.
Como o golpe funciona
A campanha ativa em abril de 2025 atrai vítimas por meio de publicidade enganosa. Os usuários são induzidos a baixar instaladores aparentemente legítimos, que na verdade contêm uma biblioteca maliciosa (CustomActions.dll). Ao ser executada, essa DLL coleta informações do sistema utilizando WMI, cria tarefas agendadas para manter a persistência e executa comandos via PowerShell para evitar detecção por ferramentas de segurança, como o Microsoft Defender for Endpoint.
Enquanto isso, uma janela do navegador é aberta com uma interface real de uma plataforma de criptoativos, funcionando como chamariz para enganar a vítima.
Notícias Relacionadas
Ameaça cibernética
Ataques avançados usam engenharia social para instalar malware com tática ClickFix
Grupos de hackers ligados a governos da Coreia do Norte, Irã e Rússia adotam o ClickFix, uma técnica de engenharia social, para comprometer alvos estratégicos com malware.
Ameaça persistente
Backdoor silencioso afeta mais de 16 mil firewalls Fortinet expostos
Mais de 16 mil firewalls Fortinet com acesso à Internet foram comprometidos com um backdoor que oferece leitura de arquivos sensíveis, mesmo após correções aplicadas.
Um detalhe importante destacado pela Microsoft é que os scripts PowerShell usados excluem processos e diretórios do escopo do Defender, impedindo que novas execuções do script sejam identificadas como maliciosas — garantindo a continuidade da infecção.
Carga útil com Node.js
Durante a fase avançada do ataque, o script PowerShell se conecta a um servidor de comando e controle (C2) e baixa dois arquivos: o runtime do Node.js e um JavaScript já compilado. Esse código, ao ser executado, estabelece conexões com a internet e é suspeito de capturar dados sensíveis diretamente do navegador da vítima.
Uma técnica paralela observada pelos analistas envolve o uso de JavaScript em linha executado diretamente no Node.js. Nesse caso, os criminosos utilizam engenharia social, como o truque do ClickFix, para convencer o usuário a rodar um comando PowerShell que instala o Node.js e executa código malicioso. Essa abordagem disfarça a comunicação com o C2 como se fosse tráfego legítimo da Cloudflare, além de garantir a permanência no sistema por meio da alteração de chaves no Registro do Windows.
Como se proteger
A Microsoft também publicou uma série de orientações para minimizar os riscos desse tipo de ameaça. Entre elas, estão o bloqueio de domínios suspeitos, a desativação do PowerShell não autorizado e o monitoramento de atividades inusitadas associadas ao Node.js em ambientes corporativos e pessoais.
