(Um caso real — compartilhado para que outros não se tornem vítimas)
Um novo golpe direcionado a traders tem se espalhado recentemente, especialmente aqueles que usam TradingView ou plataformas de criptomoedas. O golpe promete “TradingView Premium por 1 ano — GRÁTIS” se você instalar um aplicativo de desktop.
Na realidade, o instalador planta um trojan PowerShell sem arquivo (JSCEAL) que executa silenciosamente scripts maliciosos em segundo plano.
Este artigo é baseado em um incidente real vivido por um trader — compartilhado para ajudar outros a ficarem seguros.
🎯 Como o golpe funciona
A vítima vê uma oferta falsa:
“TradingView Premium grátis por 1 ano”
“Atualização gratuita — nenhum pagamento necessário”
“Instale o TradingView Desktop para ativar o Premium”
O link de download parece com isto:
hxxps://jimmywarting.github.io/StreamSaver.js/app-download-users.com/775981/installer.exe
Isto NÃO é o TradingView.
Isto NÃO é um software oficial.
Isto NÃO é da Microsoft ou do GitHub.Golpistas usam GitHub Pages para fazer a URL parecer confiável.
A vítima baixa e executa installer.exe.
O “instalador” secretamente cria uma Tarefa Agendada do Windows:
MicrosoftResourcesInstallerV1-vzp7j
Dentro da tarefa estão múltiplos comandos:
powershell -NoProfile -EncodedCommand ...
Estes são scripts maliciosos codificados em base64 conhecidos como cargas úteis de trojan sem arquivo JSCEAL.
🧨 Por que o JSCEAL é perigoso
JSCEAL é um malware PowerShell sem arquivo, o que significa:
Nenhum arquivo de vírus é deixado no disco
O código é executado inteiramente na memória
Persistente via Tarefa Agendada
Difícil para o antivirus tradicional detectar
Pode roubar dados e sessões do navegador
Executa silenciosamente com privilégios de SISTEMA
Neste caso real, o ESET Antivirus detectou:
PowerShell/JSCeal.B trojan
via AMSI (interface de script malicioso)
🔍 Como a Vítima Notou que Algo Estava Errado
Sempre que o TradingView era aberto no navegador, o ESET mostrava repetidamente avisos:
PowerShell lançando scripts codificados suspeitos
Execução bloqueada pelo AMSI
Atividade ligada a módulos do PowerShell
Mas:
Nenhum programa TradingView existia no Painel de Controle
Nenhum arquivo do TradingView Desktop instalado
Nenhum serviço ou entrada de registro malicioso
Nada suspeito no AppData
Ainda assim, o PowerShell continuou a disparar
Após uma investigação profunda, a causa raiz foi encontrada:
👉 Uma Tarefa Agendada oculta criada pelo falso “instalador do TradingView.”
🛠 Como Remover o Malware (Solução Completa)
Se você clicou em um link semelhante, siga estas etapas imediatamente:
✔ ETAPA 1 — Excluir a Tarefa Agendada maliciosa
Execute o PowerShell como Administrador:
schtasks /delete /tn MicrosoftResourcesInstallerV1-vzp7j /f
Isto remove a persistência do malware.
✔ ETAPA 2 — Limpar Cache do Navegador & Worker de Serviço
Feche completamente o Microsoft Edge, depois delete:
%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker
%LocalAppData%\Microsoft\Edge\User Data\Default\Code Cache
%LocalAppData%\Microsoft\Edge\User Data\Default\Cache
Isto limpa scripts maliciosos deixados pelo site de golpe.
✔ ETAPA 3 — Redefinir o Microsoft Edge
Configurações → Redefinir → Restaurar configurações para seus valores padrão.
✔ ETAPA 4 — Verificação Completa de Antivirus
Execute uma verificação profunda usando ESET, Malwarebytes ou Windows Defender.
✔ ETAPA 5 — Mude senhas importantes
Especialmente:
Email
TradingView
Binance
Bancos online / carteiras
Use um dispositivo seguro para mudá-las.
🟩 Lições Aprendidas
O TradingView nunca oferece planos Premium grátis de 1 ano.
Baixe o TradingView apenas do site oficial:
https://www.tradingview.com/desktop/
Links do GitHub Pages podem ser abusados por golpistas.
Comandos codificados do PowerShell em Tarefas Agendadas = quase sempre malware.
Malware sem arquivo é mais difícil de detectar e remover do que vírus normais .exe.
🟧 Aviso Final
Golpistas adoram se passar por plataformas populares como:
TradingView
Binance
BTC70,250.73+11.62%MetaTrader
Trocas de criptomoedas
Eles atacam traders em busca de ferramentas, descontos ou atualizações.
Se algo afirma ser “premium grátis,” “acesso vitalício,” ou “atualização de 1 ano,” sempre assuma que é um golpe, a menos que confirmado pelo site oficial.
Fique cauteloso e mantenha seu sistema limpo. Boas negociações!