js embutido, comunicação via Tor e módulos carregados direto na memória.

Uma campanha de malware ativa desde o início de 2025 está usando páginas CAPTCHA falsas para instalar um trojan de acesso remoto em máquinas Windows, com foco no roubo de criptomoedas.

Trata-se de uma “imitação” do método de segurança que diferencia usuários humanos de robôs, utilizado para evitar ataques e acessos indevidos a sites ou serviços.

A operação, documentada pelo Netskope Threat Labs, utiliza uma técnica chamada Click Fix .

Esse tipo de ataque explora o reflexo automático de clicar em caixas de verificação para disparar comandos maliciosos sem o conhecimento da vítima.

Ao clicar no falso CAPTCHA, um comando Power Shell codificado em base64 é executado em segundo plano.

Em instantes, a máquina se conecta ao domínio cloud-verificate.

msi e o instala silenciosamente na pasta %LOCALAPPDATA%\Logic Optimizer\.

Tudo isso sem janelas, sem prompts, sem nenhum sinal visível para o usuário.

Trata-se de um RAT (Remote Access Trojan), basicamente um software que concede controle remoto da máquina ao atacante.

js completo e todas as dependências necessárias na pasta node_modules/, o que torna o malware autossuficiente.