(Foto/Reprodução)
Em abril de 2026, mais de mil sistemas expostos na internet foram comprometidos e passaram a minerar criptomoedas sem que seus operadores percebessem. O número chama atenção, mas o foco na mineração ainda esconde o ponto principal.
O criptojacking, prática em que uma máquina é usada sem autorização para minerar criptomoedas, é apenas a primeira camada.
Para que um sistema seja usado dessa forma, o acesso já foi obtido, a execução remota, ou seja, a capacidade de rodar comandos à distância, já foi possível, e o controle do ambiente já não é mais exclusivo. A mineração entra depois, como forma de transformar esse acesso em receita contínua.
Esse detalhe muda a forma como o problema precisa ser entendido.
O ataque segue um padrão simples e recorrente. Sistemas expostos na internet, ou seja, acessíveis diretamente por qualquer pessoa ou ferramenta online, são identificados por varreduras automatizadas. Isso pode ser um servidor corporativo, que é um computador responsável por rodar aplicações e serviços, com uma API aberta, que é uma interface usada para comunicação entre sistemas e funciona como uma porta digital que recebe e responde a solicitações.
Em um cenário comum, uma empresa expõe um painel interno ou uma API sem proteção adequada. Essa “porta digital” é identificada em minutos, explorada automaticamente e passa a permitir execução remota. A partir daí, o sistema continua operando normalmente, mas já sob controle externo.
O invasor então instala um minerador. O sistema segue funcionando, mas parte da sua capacidade passa a ser desviada. Em servidores, isso significa menos desempenho para aplicações críticas. Em máquinas pessoais, aparece como lentidão, aquecimento constante e consumo elevado de energia.
Esse tipo de exploração utiliza o poder de processamento do dispositivo. A CPU pode ser entendida como o “cérebro” do computador, responsável pelas tarefas gerais, enquanto a GPU executa muitos cálculos ao mesmo tempo, o que a torna mais eficiente para operações como a mineração.
Na prática, isso significa que, enquanto o sistema executa suas funções normais, parte do seu processamento está sendo desviado para gerar criptomoedas para terceiros.
Criptomoedas como Monero são frequentemente utilizadas nesse contexto porqu dificultam o rastreamento dos valores gerados.
Mas a mineração não é o ponto principal.
Ela é apenas a forma mais simples de monetizar um acesso que já foi obtido.
Uma vez dentro, o invasor não precisa agir imediatamente. Ele pode permanecer. Pode transformar aquele acesso em um ativo contínuo. Em vez de roubar dados e sair, ele extrai valor ao longo do tempo.
Esse modelo permite algo diferente do que se via em ataques tradicionais. O mesmo acesso pode ser usado para capturar credenciais, como logins e senhas, explorar outros sistemas na rede ou até ser vendido em mercados clandestinos. Nesse contexto, o minerador funciona como uma renda passiva enquanto outras possibilidades são exploradas.
Casos desse tipo vêm sendo identificados com frequência. O ataque recente se soma a outras campanhas que utilizam desde servidores mal configurados até arquivos maliciosos e extensões comprometidas para atingir tanto empresas quanto usuários comuns.
O vetor muda. O padrão permanece.
Uma vez dentro, o atacante tende a manter o acesso. Isso é feito por mecanismos de persistência, que garantem que o malware continue ativo mesmo após reinicializações, mantendo o controle mesmo depois que o sistema é desligado e ligado novamente. Em muitos casos, o sistema passa a se comunicar com servidores externos, permitindo controle remoto contínuo.
É nesse ponto que o risco se amplia.
Em ambientes corporativos, um único servidor comprometido pode se tornar ponto de entrada para acesso mais profundo à infraestrutura. Isso permite movimentação lateral, ou seja, acessar outros sistemas dentro da mesma rede a partir de uma máquina já comprometida, além da captura de credenciais e acesso a sistemas internos. O valor não está na máquina em si, mas no que ela permite alcançar.
Para o usuário comum, o impacto é mais direto. Tudo o que passa pela máquina deixa de ser confiável. Isso inclui logins, dados pessoais e o uso de carteiras de criptomoedas.
Se uma carteira é acessada em um sistema comprometido, a segurança deixa de depender da blockchain e passa a depender da integridade do dispositivo. Se o ambiente já está comprometido, ou seja, já acessado e potencialmente controlado por terceiros, não há criptografia que compense isso.
A detecção é difícil justamente porque não há interrupção evidente. O sistema continua funcionando. O que muda é o comportamento. Uso elevado de CPU mesmo em repouso, ventoinha constantemente ativa, aumento no consumo de energia e queda de desempenho são sinais comuns, mas raramente associados a um ataque ativo.
A prevenção passa por reduzir essas superfícies de risco.
Para empresas, isso significa limitar a exposição de serviços, aplicar autenticação adequada, manter sistemas atualizados e monitorar continuamente o uso de recursos. Saber o que está acessível na internet e o que está sendo executado internamente deixa de ser uma escolha e passa a ser requisito básico.
Para usuários, o princípio é o mesmo. Evitar softwares desconhecidos, revisar extensões de navegador e manter o sistema atualizado reduz significativamente as chances de exploração. No caso de quem utiliza criptomoedas, a separação entre o ambiente de uso e o de custódia deixa de ser recomendação e passa a ser necessidade. Soluções como carteiras físicas evitam que chaves privadas fiquem expostas em sistemas conectados.
O caso recente não é isolado.
Ele evidencia um modelo que vem se consolidando.
O invasor não precisa mais interromper sistemas, nem gerar impacto imediato. Ele precisa de acesso estável e tempo suficiente para transformar esse acesso em retorno contínuo.
Nesse contexto, o criptojacking é apenas a forma mais visível de uma dinâmica maior.
Um sistema comprometido deixa de ser apenas um ativo sob risco e passa a ser um recurso explorado.
E é exatamente por isso que o problema não está no que a máquina está fazendo.
Está no fato de que ela já não está operando sob o controle de quem deveria controlá-la.