Golpe gamer: criminosos usam falsos jogos indie para espalhar malware; Brasil é um dos países mais afetados

Um novo tipo de golpe digital está mirando diretamente os gamers: cibercriminosos estão criando falsos jogos indie com aparência legítima para espalhar malwares altamente avançados, capazes de contornar até mesmo defesas antivírus e ambientes de sandbox. A ameaça foi identificada pela Acronis e envolve nomes como Leet Stealer, RMC Stealer e Sniffer Stealer.

Como funciona o golpe: tudo começa com um “jogo indie promissor”

A campanha é engenhosa: os criminosos desenvolvem páginas oficiais falsas, trailers de gameplay no YouTube e até versões de testes de jogos fictícios como Baruda Quest, Warstorm Fire e Dire Talon. O conteúdo visual, geralmente copiado de jogos reais, é usado para dar aparência profissional às fraudes.

Assim que o usuário baixa o instalador do suposto game, ele está, na verdade, executando um infostealer — um tipo de malware focado em roubar informações sensíveis como:

• Senhas salvas no navegador

• Cookies de sessão

• Tokens de acesso ao Discord

• Informações sobre criptomoedas

• Mensagens privadas

• Arquivos locais do usuário

Técnicas avançadas para enganar até usuários experientes

window.alpineGalleryData = () => {
return {
images: [],
currentIndex: 0,
moveCount: 0,
movesToShowAd: 5,
startX: 0,
endX: 0,
currentImage() {
return this.images[this.currentIndex];
},
prevImage() {
this.setCurrentImage((this.currentIndex > 0) ? this.currentIndex – 1 : this.images.length – 1);
},
nextImage() {
this.setCurrentImage((this.currentIndex 0) {
return;
}

this.currentIndex = index;
this.updateUrl();
},
updateUrl() {
const url = new URL(window.location);
url.searchParams.set(‘image’, this.currentIndex);
window.history.pushState({}, ”, url);
},
handleTouchStart(event) {
this.startX = event.touches[0].clientX;
},
handleTouchEnd(event) {
this.endX = event.changedTouches[0].clientX;
if (this.startX – this.endX > 50) {
this.nextImage();
} else if (this.endX – this.startX > 50) {
this.prevImage();
}
},
init() {
this.images = window[this.$el.id];
const urlParams = new URLSearchParams(window.location.search);
const imageIndex = parseInt(urlParams.get(‘image’));
if (!isNaN(imageIndex) && imageIndex >= 0 && imageIndex < this.images.length) {
this.currentIndex = imageIndex;
this.$el.scrollIntoView({ behavior: 'smooth' });
}
}
}
}

window.GALLERY_68838f69dfe31 = [{“id”:”316789″,”url”:”https://www.hardware.com.br/wp-content/uploads/2025/07/1276151.jpg”,”caption”:””},{“id”:”316788″,”url”:”https://www.hardware.com.br/wp-content/uploads/2025/07/1276147.jpg”,”caption”:””},{“id”:”316787″,”url”:”https://www.hardware.com.br/wp-content/uploads/2025/07/1276148.jpg”,”caption”:””}];

Os instaladores maliciosos são distribuídos em formato NSIS e escondem código JavaScript compilado com Electron — o mesmo framework usado em aplicativos como Discord e Slack. Isso permite que o malware se disfarce com uma interface “normal”, driblando suspeitas.

O RMC Stealer, um dos principais malwares envolvidos, ainda emprega técnicas de evasão para dificultar sua detecção em ambientes de teste. Ele verifica se está sendo executado em uma máquina virtual (VM), checando RAM, BIOS e GPU. Se detectar que está num ambiente seguro, simula mensagens de erro falsas, como se houvesse um problema no jogo. A ideia é simples: forçar o usuário a executar o arquivo diretamente no PC real.

Alvo principal: comunidades de games e Discord

Uma vez ativo, o malware vasculha navegadores como Chrome, Edge, Brave e Opera para extrair dados e envia tudo para serviços como gofile.io ou file.io. Mas o foco mais sensível está no Discord: os criminosos roubam os tokens de autenticação para assumir a identidade da vítima, acessar servidores e espalhar mais infecções entre contatos.

Outros alvos frequentes incluem:

• Steam

• Telegram

• WhatsApp

• Growtopia

• Minecraft

• Epic Games

• BetterDiscord

Origem, países afetados e o risco global

A análise do código revelou o uso de termos em português e turco, sugerindo que os desenvolvedores podem ter origem no Brasil ou na Turquia — dois dos países mais afetados. Mas a ameaça é global: dados da plataforma VirusTotal apontam infecções em países como Estados Unidos e Alemanha, o que reforça a escala internacional da campanha.

A situação acende um alerta para o público gamer, que geralmente tem boa familiaridade com segurança digital, mas pode baixar arquivos maliciosos acreditando estar testando novos títulos promissores.