Imagine que você está navegando pelo Instagram ou TikTok e se depara com um tutorial extremamente bem editado. O conteúdo promete “ativar o Windows de graça” ou liberar assinaturas premium de serviços como Spotify, Netflix e até softwares como Adobe Acrobat e Microsoft Office. O processo parece simples: basta executar um comando no PowerShell como administrador.
Com milhares de curtidas e visualizações, o conteúdo passa uma imagem de credibilidade. No entanto, trata-se de um golpe perigoso. Este artigo explica como esses ataques funcionam e como você pode se proteger.
Como funciona o golpe do PowerShell
Esses tutoriais curtos, encontrados em redes sociais, são, na verdade, uma forma de propagar malware. O comando solicitado pelo vídeo não realiza nenhuma ativação oficial; ele baixa e executa um código malicioso diretamente no seu computador.
O ponto principal é o uso de comandos como IWR (Invoke-Web-Request) ou IRM (Invoke-Rest-Method). Quando você executa esse comando, o sistema busca um script em um endereço da web (muitas vezes escondido sob domínios de aparência técnica) e o executa instantaneamente. Como você está rodando o PowerShell como administrador, você está dando permissão total para esse script malicioso agir no sistema.
O perigo do “malware sem arquivo” (Fileless Malware)
Uma das características mais preocupantes deste tipo de ataque é ser uma técnica de malware sem arquivo. Como o código malicioso é carregado diretamente na memória RAM e executado a partir de lá, ele não deixa um arquivo físico no disco rígido para que a maioria dos antivírus comuns consiga escanear e detectar. O antivírus só conseguiria identificar a ameaça se estivesse monitorando o comportamento do shell em tempo real.
O que acontece se você executar o comando?
No caso específico deste golpe, o script instala uma praga chamada Vidar Stealer. Trata-se de um “info stealer” (roubador de informações), projetado para coletar tudo o que for possível, incluindo:
- Senhas salvas no navegador;
- Tokens de autenticação de dois fatores (2FA);
- Dados de cartão de crédito;
- Carteiras de criptomoedas.
O ataque pode ser tão silencioso que a vítima muitas vezes só percebe que foi hackeada quando começa a perder o acesso a suas contas ou notar movimentações financeiras indevidas. Em alguns casos mais sofisticados, os criminosos chegam a adicionar o comando malicioso ao Agendador de Tarefas do Windows, garantindo que o vírus persista na memória toda vez que o computador for ligado.
Como se proteger
A regra de ouro é simples: nunca execute comandos que você encontrar em redes sociais, a menos que entenda exatamente o que cada linha de código faz. O fato de um vídeo ser profissional, ter boa edição ou usar IA para narração não garante que ele seja seguro.
Se você tiver curiosidade ou suspeitar de um comando, peça para uma IA de confiança analisar o código. Ela poderá lhe dizer se o comando é arriscado ou malicioso antes que você cometa o erro de executá-lo no seu sistema.
Perguntas Frequentes
- O que é o PowerShell?
O PowerShell é uma ferramenta avançada de automação e configuração do Windows, que funciona como uma linguagem de programação completa, muito mais poderosa que o Prompt de Comando (CMD). - Por que o antivírus não detecta o golpe?
Como o ataque utiliza a técnica de “malware sem arquivo”, o código malicioso é executado diretamente na memória, sem baixar um arquivo executável (.exe) que pudesse ser escaneado. - É possível confiar em tutoriais de redes sociais para ativar softwares?
Não. Qualquer método que prometa “ativar” softwares pagos ou serviços de assinatura gratuitamente através de comandos ou links externos é, invariavelmente, uma tentativa de golpe ou distribuição de vírus. - O que devo fazer se já executei um desses comandos?
Se você executou, desconecte o computador da internet imediatamente, tente utilizar ferramentas de remoção de malware, troque todas as suas senhas importantes (de preferência de outro dispositivo) e monitore suas contas bancárias e de e-mail por atividades suspeitas.
