O cryptojacking, ou mineração não autorizada de criptomoedas, foi uma ameaça contínua ao longo de 2025. Como exemplo de seu alcance, em julho uma campanha comprometeu mais de 3.500 sites para mineração ilícita. Dados obtidos por meio da telemetria da ESET confirmam essa prevalência e identificam os principais tipos de sites onde mineradores maliciosos são detectados com mais frequência na América Latina, inclusive no Brasil.

O que é o cryptojacking (e por que ele é uma ameaça)

De forma objetiva, o cryptojacking é uma técnica utilizada por cibercriminosos para realizar mineração não autorizada de criptomoedas, explorando o poder de processamento do dispositivo da vítima, esteja ele ativo ou inativo, por meio da execução de código malicioso.

As vítimas podem não perceber que essa atividade ocorre em segundo plano, mas costumam enfrentar redução de desempenho, superaquecimento e aumento da atividade do ventilador, com ruído audível. Em dispositivos Android, a carga excessiva pode até provocar inchaço da bateria e causar danos físicos ou a inutilização do aparelho.

Domínios associados à detecção de mineradores

A partir da análise dos 10 principais domínios, é possível observar padrões consistentes em 80% dos sites. Com base nos dados de telemetria da ESET referentes ao segundo semestre de 2025 na América Latina, destacam-se dois perfis de domínio associados às detecções de scripts de mineração:

Sites de risco "esperado"

Incluem, por exemplo, sites de pirataria, download de arquivos não oficiais e plataformas de streaming. As características comuns desses ambientes, frequentemente monetizados por cibercriminosos, são longos tempos de permanência, presença de publicidade agressiva (malvertising) e a execução constante de scripts de terceiros.

Sites legítimos comprometidos

Envolvem, por exemplo, sites de escolas, PMEs, veículos de imprensa local ou qualquer outro domínio que, a princípio, não represente um risco específico. Nesses casos, o benefício para os invasores não está no tempo de permanência do visitante, mas no volume de sites comprometidos.

Os 5 tipos de sites com mais detecções

De acordo com a telemetria da ESET, este é o top 5 de sites na América Latina em 2025.

1. Sites de download pirata via torrents ou repacks (downloads não oficiais)

Embora esses sites possam realizar mineração direta, na maioria dos casos exibem anúncios fraudulentos que incorporam scripts de mineração. Esses anúncios costumam ser altamente agressivos, com pop-ups constantes, além de executar scripts de terceiros.

Exemplos:

  • piratebays.to (34,8%)
  • thepiratebay3.to
  • thepiratebay2.to
  • switchtorrent.org
  • fitgirl-repacks.site

2. Sites de anime e mangá

São ambientes de consumo prolongado: os visitantes leem ou assistem a capítulos por longos períodos, navegam entre páginas e estão acostumados ao bombardeio constante de pop-ups. Esse comportamento torna esses sites um cenário ideal para o cryptojacking baseado em navegador.

Exemplos:

Domínio principal:

  • mangany---.com

Subdomínios com séries e animes:

  • onepiece.manga----.com
  • chainsawman.manga-----.com
  • spyfamily.manga---.com
  • tokyorevengers.manga----.com
  • onepunchman.manga-----.com
  • sololeveling.manga---.com
  • boruto.manga----.com
  • snk.manga----.com
  • tensura.manga----.com
  • nagatoro.manga----.com
  • tonikawa.manga----.com
  • shikimori.manga----.com
  • mashle.manga-----.com

3. Sites de educação

Entre os sites com maior número de detecções estão muitos que se apresentam como instituições educacionais, públicas ou privadas, em países como Brasil, Colômbia, México, Argentina, entre outros países. De acordo com o histórico de detecções, alguns desses domínios vêm sendo explorados para cryptojacking há pelo menos dois anos.

Uma característica comum desse perfil é o comprometimento por meio do CMS, como WordPress e plugins vulneráveis, uso de credenciais fracas ou hospedagem compartilhada, o que resulta na injeção de código JavaScript malicioso. Em outras palavras, não se trata de uma ação intencional da instituição, mas de uma consequência da falta de segurança, de sites sem supervisão adequada ou de recursos limitados.

Esses sites tornam-se interessantes para os cibercriminosos principalmente pelo volume: comprometer muitos domínios pequenos, ainda que com poucos visitantes, pode tornar a operação lucrativa.

Exemplos:

  • colsan_.com.br
  • educacao.palo---.pr.gov.br
  • colfre----.edu.co
  • gymnasiosa----.edu.co
  • centroeducativo----.edu.co
  • liceolos-----.edu.co
  • colgarcia----.com
  • colmer----.com
  • colsanluis----.com
  • colmetropo----.com
  • liceodomingo-----.com
  • col-----bogota.com
  • college----bga.com
  • colsan-----.com
  • oev.unm---.edu.pe
  • gd---.gob---.ve

4. Sites de PMEs e empresas locais

Muitos domínios pertencem a pequenas empresas legítimas de diversos setores, como serviços, autopeças, metalurgia, logística e contabilidade, entre outros.

Assim como no ponto anterior, é mais provável que o site tenha sido comprometido por terceiros e que o proprietário não esteja ciente de que ele está sendo usado para cryptojacking.

Exemplos:

  • nettocont----.com.br
  • tetrac----.com.br
  • metal----.ind.br
  • shie---.com.br
  • tiagoram----.com.br
  • mar-pla---.com
  • ceola---.com.mx
  • rvmmo----.com.ar
  • dietrich-log----.com.co
  • deauto----.com
  • octop---.com

5. Sites de notícias

Nossas detecções de telemetria mostram diversos sites de notícias de diversos países, com foco no Brasil e no México. Esses sites tendem a atrair muitas visitas, utilizam anúncios para monetização e também CMS, widgets, plug-ins e outras ferramentas de terceiros.

Em outras palavras, eles apresentam uma combinação dos fatores analisados nos pontos anteriores. E, embora tenham mais visitas, não permanecem abertas por períodos tão longos quanto as páginas de streaming. Da mesma forma, apesar de utilizarem anúncios, eles não são tão agressivos.

Exemplos:

  • tribuna----.com.br
  • jornalab----.com.br
  • hidalgo.quad----.com.mx
  • met----cmx.com
  • elacarig----.com

Dicas para evitar a mineração de criptomoedas

Diante desse cenário, é fundamental saber quais ações concretas podem ser adotadas para evitar ser vítima da mineração de criptomoedas. 

Para usuários

  • Mantenha o sistema operacional e o navegador sempre atualizados, pois muitas campanhas exploram vulnerabilidades já conhecidas.
  • Use uma solução de segurança confiável, capaz de detectar scripts de mineração em tempo real, tanto em desktops quanto em dispositivos móveis.
  • Desconfie de sites com excesso de pop-ups ou publicidade invasiva, especialmente em plataformas de streaming não oficiais ou páginas de downloads piratas.
  • Feche imediatamente abas que provoquem superaquecimento, lentidão extrema ou uso incomum da CPU, mesmo que o site pareça legítimo.

Para PMEs, instituições educacionais e sites de notícias

  • Mantenha o CMS, os plugins e os temas sempre atualizados e remova extensões não utilizadas.
  • Revise periodicamente o código do site em busca de injeções suspeitas de JavaScript.
  • Implemente senhas fortes e autenticação multifator para acessos administrativos.
  • Escolha provedores de hospedagem que ofereçam monitoramento de segurança digital e suporte a incidentes.
  • Audite scripts de terceiros e redes de anúncios, já que muitas infecções ocorrem por meio de serviços externos legítimos comprometidos.
  • Estabeleça revisões de segurança digital regulares.
  • Limite os privilégios dos usuários e o acesso ao painel administrativo.
  • Realize backups frequentes para que o site possa ser restaurado rapidamente em caso de comprometimento.

A mineração de criptomoedas deixou de ser uma ameaça marginal e não se limita mais a sites ilegais. Hoje, ela afeta organizações legítimas em toda a América Latina, inclusive no Brasil, e é sustentada por campanhas persistentes e silenciosas.