Sumário executivo

Imagine, você estava esperando por esta partida. CSK x RCB - a maior rivalidade do críquete indiano. Você pediu sua camisa e disse a todos no trabalho que não está disponível. Mas quando a venda de ingressos começou, eles se esgotaram em minutos.

Você cai no sofá, percorrendo os Instagram Reels com uma decepção silenciosa - quando, de repente, aparece uma bobina. Uma página que oferece ingressos com desconto, “vagas limitadas disponíveis”. A conta parece legítima. Milhares de seguidores. Um destaque de clientes satisfeitos. Você toca no link na biografia.

O site carrega de forma limpa. Tem os logotipos certos, as cores certas e um layout profissional. Você preenche seus dados, faz um pagamento rápido pela UPI e, em minutos, um tíquete em PDF chega à sua caixa de entrada. Você captura a tela, envia para o bate-papo em grupo e vai para o estádio cheio de emoção. A fila se move. Você alcança o portão. O scanner emite um sinal sonoro e o guarda balança a cabeça.

“Senhor, sim, bilhete, cabelo falso.”

Você foi enganado. O dinheiro acabou. A partida continua sem você.

Essa não é uma história única. Isso está acontecendo em grande escala a cada temporada de IPL - em setores de fraude que fraudam coletivamente dezenas de milhares de indianos a cada temporada.

Este blog é a tentativa da CloudSEK de abrir a cortina. Mostraremos as ameaças cibernéticas mais ativas que dominam esta temporada de IPL, desde sites de venda de ingressos convincentemente falsos que deixam os fãs presos no portão até armadilhas maliciosas de “streaming gratuito” que comprometem silenciosamente os dispositivos.

Principais descobertas

• Mais de 600 domínios fraudulentos foram identificados, enganando os fãs com tíquetes IPL convincentemente falsos.
• Mais de 400 sites falsos de “streaming gratuito” foram descobertos, muitos operando como canais ativos de distribuição de malware, distribuindo infostealers projetados para roubar senhas, drenar carteiras criptográficas, aplicativos secretos e implantar acesso remoto persistente nos dispositivos das vítimas.
• Os sites de streaming não oficiais agora alcançam as vítimas por meio de visões gerais de pesquisa geradas por IA, devido às recomendações da comunidade que estendem sua disseminação muito além dos resultados de pesquisa tradicionais.
• O acesso do painel de administração a sites que vendem ingressos falsos expôs um back-end estruturado com dados de reserva em tempo real, verificação manual de pagamentos, controles dinâmicos de preços e geração de ingressos falsos com um clique, além de coleta e armazenamento sistemáticos de dados das vítimas.

Visão geral do cenário de ameaças

A Premier League indiana não é apenas um torneio de críquete — é uma economia digital de alta velocidade. Com mais de 600 milhões de espectadores, estádios lotados e bilhões de rúpias se movimentando em uma janela comprimida de nove a dez semanas, isso cria uma rara convergência de escala, urgência e emoção. Essa combinação de atenção em massa, investimento emocional e atividade financeira o torna um dos eventos mais explorados no calendário de crimes cibernéticos da Índia.

O que torna o IPL especialmente atraente é o comportamento do usuário. Os torcedores são sensíveis ao tempo (os ingressos se esgotam em minutos), investem emocionalmente (lealdade às equipes e aos jogadores) e geralmente estão dispostos a correr riscos, seja procurando ingressos de última hora ou procurando transmissões gratuitas. Os atacantes projetam suas campanhas com precisão em torno desses gatilhos.

O ecossistema de fraudes não espera o início do torneio. Os domínios são registrados, as páginas de mídia social são divulgadas e os canais do Telegram começam a conquistar seu público antes mesmo da primeira bola ser lançada. No dia da abertura, a operação já está em grande escala.

Conforme o torneio avança, o mesmo acontece com a intensidade dessas operações. Grandes partidas, rivalidades, playoffs - os atacantes os espelham com campanhas direcionadas, fraudes instantâneas e maiores volumes de divulgação por meio de anúncios, SMS e plataformas sociais. A infraestrutura por trás desses golpes — canais de pagamento, contas de mulas, redes de SEO e distribuição de malware — opera continuamente em segundo plano, adaptando-se em tempo real.

Quando a final termina, o ecossistema não entra em colapso — ele simplesmente fica adormecido. Os canais ficam silenciosos, os domínios são abandonados ou reaproveitados e as operadoras sacam e se reagrupam. Então, à medida que a próxima temporada de IPL se aproxima, o ciclo começa novamente - mais rápido, mais refinado e mais difícil de detectar.

Ameaça #1 - Redes falsas de reserva de bilhetes IPL

Os pesquisadores da CloudSEK identificaram vários domínios falsos que alegam ativamente vender ingressos IPL nesta temporada. Esses sites não parecem fraudes à primeira vista. Eles se fazem passar por plataformas legítimas de venda de ingressos ao retirar logotipos, esquemas de cores e layouts de interface de usuário diretamente de marcas confiáveis, como BookMyShow e District, criando uma experiência familiar o suficiente para desarmar as suspeitas.

‍

Além disso, eles adicionam elementos projetados para fabricar urgência e FOMO - cronômetros de contagem regressiva chegando ao prazo de “fim da venda”, faixas com os dizeres “Restam apenas 3 vagas por esse preço”.

‍

‍

Esses domínios são então apresentados às vítimas em potencial por meio de vários canais. Bobinas e postagens no Instagram e no Facebook criam alcance orgânico, enquanto os Meta Ads permitem que os operadores paguem pela colocação direcionada na frente dos fãs de críquete.

Do lado dos mecanismos de busca, esses sites são otimizados para palavras-chave de alta intenção - termos como “Reserva de ingressos - IPL Match” e “Ingressos IPL 2026” - projetados para indexá-los no Google e aparecerem ao lado, ou até mesmo acima, de resultados legítimos.

O fluxo de lá é direto. Quando a vítima acessa o site e clica para reservar uma passagem, ela é solicitada a selecionar seu assento e inserir seus dados pessoais - nome, número de telefone e e-mail. Depois disso, vem a etapa de pagamento, em que as vítimas são solicitadas a pagar via UPI, cartão, código QR ou gateways de pagamento.

Assim que o pagamento for concluído, a vítima recebe um e-mail de confirmação com um tíquete em PDF anexado. O documento parece convincente: ele traz a marca correta, os detalhes do assento e o que parece ser um código de barras ou código QR válido. Mas os números da reserva são fabricados e os códigos QR não podem ser digitalizados em nenhum ponto de entrada legítimo do local. A primeira vez que a vítima descobre é no portão do estádio.

Exemplo de conjunto de domínios falsos

Listados abaixo estão alguns dos muitos domínios falsos identificados pela CloudSEK, que se fazem passar por marcas legítimas de venda de ingressos e promover a venda de ingressos falsos para jogos IPL, registrados entre março e abril de 2026.

Nos bastidores - Acesso ao painel de administração

Os pesquisadores do CloudSEK conseguiram acessar o painel de administração de um desses domínios falsos. Esse painel provavelmente está associado a vários outros domínios falsos de venda de ingressos IPL gerados a partir do mesmo kit de phishing — uma infraestrutura de fraude pronta que pode ser implantada repetidamente com o mínimo esforço.

Com o acesso de administrador, o processo de back-end ficou completamente exposto. O que descobrimos não foi uma configuração rudimentar — era um painel de operações totalmente funcional com gerenciamento de pedidos em tempo real, tabelas de dados das vítimas, um gerenciador de preços de ingressos, detalhes da UPI e da conta bancária do TA e um módulo dedicado de gerenciamento de partidas.

‍

O painel exibia reservas ao vivo em tempo real, com opções para confirmar, rejeitar, excluir ou enviar cada pedido pelo correio. A opção de e-mail, quando acionada, envia automaticamente o tíquete em PDF falso para o endereço de e-mail da vítima. Essa etapa é feita manualmente pelo operador, após a verificação do pagamento, para garantir que o dinheiro realmente chegou antes do envio da passagem.

Os dados de reserva coletados por meio desses sites também expõem dados de possíveis vítimas - nomes, números de telefone, endereços de e-mail - que geralmente são armazenados por esses agentes de ameaças e depois vendidos como leads para outras operações fraudulentas, tornando a vítima vulnerável a uma segunda onda de fraude.

Além disso, o módulo gerenciador de preços de ingressos permite que os operadores modifiquem os preços em tempo real. Isso lhes dá a flexibilidade de aumentar os preços durante jogos de alta demanda e reduzi-los para jogos menos procurados para manter os pedidos fluindo.

‍

Também identificamos a presença da integração do Meta Pixel dentro do painel. O Meta Pixel é uma ferramenta de rastreamento que monitora as ações dos visitantes em um site - cliques, preenchimentos de formulários, conclusão de pagamentos.

‍

As conversões são rastreadas por meio desse feed de pixels diretamente no Gerenciador de Anúncios do Facebook e no Gerenciador de Eventos do Facebook, dando aos operadores visibilidade sobre quais campanhas publicitárias estão gerando mais vítimas, quais criativos estão convertendo e qual é o retorno sobre os gastos com anúncios. Isso os ajuda a realizar campanhas de fraude otimizadas e orientadas por dados.

‍

Além de sites falsos, esses golpes também operam fortemente em plataformas como Facebook, Instagram e Telegram. Essas operações são executadas por meio de contas com números de seguidores artificialmente aumentados, grupos sem rosto do Telegram e grupos do Facebook que dão uma falsa sensação de escala e credibilidade.

As vítimas são atraídas por meio de postes e bobinas prometendo ingressos em preto - com um preço premium, mas garantido. O que se segue é um padrão familiar de falsas garantias, solicitações de pagamento e operadores desaparecidos. Na maioria das vezes, as vítimas não recebem nada além de falsas esperanças.

‍

‍

Ameaça #2 - Sites falsos de transmissão ao vivo de IPL e entrega de malware

Nem todo golpe de IPL pede dinheiro diretamente. Alguns só precisam que você clique.

A cada temporada, milhões de fãs de críquete que não podem pagar ou acessar assinaturas oficiais de streaming recorrem a sites de streaming gratuitos. Esse não é um comportamento de nicho — é generalizado e os agentes de ameaças criaram um pipeline completo de distribuição de malware em torno dele.

O CloudSEK identificou vários sites que alegam oferecer transmissões ao vivo IPL gratuitas, otimizados para palavras-chave de pesquisa de alta intenção e propagados pelo Reddit, Telegram e Facebook. O que esses sites realmente oferecem não é um stream de críquete. É uma cadeia de infecção por malware em vários estágios que pode drenar silenciosamente suas carteiras criptográficas, roubar suas senhas, ocultar seus aplicativos e instalar um implante persistente de acesso remoto, tudo isso enquanto você espera que a partida seja armazenada em buffer.

Como as vítimas encontram esses sites

Esses sites não esperam que as vítimas os encontrem. Eles são empurrados ativamente.

Na área de SEO, esses sites são otimizados para palavras-chave de alta intenção - termos como “transmissão ao vivo gratuita IPL 2026", “assista IPL online gratuitamente”, “transmissão ao vivo DC x RCB” - projetadas para se classificar no Google ao lado ou acima dos resultados legítimos. Os metadados de um site analisado pelo CloudSEK continham dezenas de entradas repletas de palavras-chave cobrindo cada jogo do IPL, cada torneio competitivo e todas as variações de pesquisa possíveis que um fã de críquete poderia digitar.

Além da pesquisa, esses sites são propagados por meio de tópicos do Reddit em subreddits de críquete, canais do Telegram e grupos do Facebook — publicados como links úteis de “transmissão gratuita” por contas que existem exclusivamente para essa finalidade.

O que torna essa propagação particularmente eficaz em 2026 é como ela agora se estende além dos resultados de pesquisa tradicionais. Quando os usuários pesquisam opções de streaming nos mecanismos de pesquisa, visões gerais geradas por IA e recomendações fornecidas pela comunidade mostram cada vez mais esses sites como opções viáveis.

Durante nossa pesquisa, uma simples pesquisa no Google por “sites de streaming IPL não oficiais gratuitos” retornou um resumo do Modo AI que citou diretamente go.webcric.com e plataformas semelhantes às opções frequentemente recomendadas em subreddits.

O que acontece quando você acessa o site

O site em si parece funcional. Ele tem listas de jogos, logotipos de equipes, opções de qualidade - Baixa, Média, Alta, HD - e uma barra de navegação com aparência legítima. Mas é altamente monetizado com várias camadas de pop-unders, redirecionamentos e scripts de rastreamento que sequestram intencionalmente a navegação do usuário.

No momento em que você clica em qualquer coisa — um botão “TRANSMISSÃO AO VIVO”, um link e até mesmo o logotipo — os ouvintes de eventos JavaScript dos scripts de anúncios interceptam o clique, evitam o comportamento normal do link e forçam redirecionamentos em novas guias. Isso inicia uma cadeia de redirecionamento por meio de vários domínios obscuros de corretores de anúncios, projetados para maximizar as impressões de anúncios e fornecer cargas úteis de alto valor.

‍

‍

Incorporado ao código-fonte do site está um script de detecção do agente de usuário que identifica seu sistema operacional, navegador e dispositivo. A rede de anúncios lê isso e encaminha você para um anúncio apropriado para o sistema operacional. Durante nossos testes, identificamos que os usuários de Mac são direcionados para o malware direcionado ao macOS. Os usuários do Windows podem receber uma cadeia totalmente diferente. É isso que a torna particularmente perigosa: ela não permanece apenas uma rede de anúncios, ela se torna uma rede de distribuição direcionada compatível com o sistema operacional.

A atração ClickFix

Ao analisar esses redirecionamentos, os pesquisadores do CloudSEK identificaram que os usuários do Mac OS estavam sendo redirecionados principalmente para páginas no estilo ClickFix. Uma dessas cadeias de redirecionamento terminou em uma página representando um instalador legítimo de aplicativos do GitHub ou uma página de atualização de segurança do Apple macOS, dependendo da variante da campanha. A página fornece instruções detalhadas para a vítima abrir o Terminal e colar o comando para concluir a instalação.

‍

‍

‍

O comando fornecido à vítima é:

A primeira linha do comando mostra um URL falso de suporte da Apple para o terminal — pura engenharia social para estabelecer confiança. A segunda linha é a carga útil real. Depois que o usuário executa o comando do Terminal fornecido, um script de carregamento é recuperado do C2 e enviado diretamente para o zsh para execução.

A carga recuperada não é o infostealer final, mas sim um carregador de segundo estágio compactado em GZIP e codificado em Base64. Seu único objetivo é verificar as condições necessárias no sistema, baixar a carga útil real do infostealer principal e executá-la.

A decodificação dessa carga útil ofuscada revela um script de shell projetado para execução silenciosa em segundo plano no sistema da vítima.

‍

A primeira coisa que o carregador faz é a impressão digital do sistema coletando o nome do host, a versão do macOS, o endereço IP externo e as informações do layout do teclado. Em seguida, ele verifica se o sistema infectado usa um layout de teclado russo (uma técnica comum de geofencing do CIS).

Se um teclado russo for detectado, o script enviará um evento de telemetria “cis_blocked” para o servidor de comando e controle e será encerrado imediatamente para evitar infectar usuários na Rússia ou nos países da CEI.

Se nenhum teclado russo estiver presente, o carregador envia um evento de telemetria “loader_requested” e prossegue com seu objetivo principal. Ele baixa silenciosamente a carga final - um grande AppleScript malicioso usando um navegador falsificado User-Agent.

O AppleScript baixado é executado diretamente na memória, em segundo plano, com todos os fluxos padrão de entrada, saída e erro redirecionados para /dev/null para garantir a discrição.

Os pesquisadores do CloudSEK conseguiram recuperar e analisar a carga útil do AppleScript. É um infostealer completo para macOS chamado sHub Stealer, com amplos recursos de roubo de dados, exfiltração, backdoor de carteiras e persistência.

Suas capacidades incluem:

Furtividade e anti-análise - O script começa eliminando o aplicativo Terminal para reduzir a suspeita do usuário. Ele cria um diretório temporário aleatório (/tmp/shub_/) para armazenar dados roubados e usa um extenso registro interno para suas próprias operações, mantendo a maioria das atividades ocultas do usuário.

Impressão digital e telemetria do sistema - O ladrão coleta informações detalhadas do sistema, incluindo nome de usuário, nome do host, versão do macOS, endereço IP externo e layout do teclado. Ele executa uma verificação CIS detectando layouts de teclado em russo. Se um teclado russo for encontrado, ele enviará um evento de telemetria e limitará outras atividades. Caso contrário, ele envia vários eventos de telemetria (payload_started, password_obtained, data_collected, zip_sent etc.) para o centro de comando e controle.

Roubo de credenciais - O malware tenta roubar a senha de login do macOS. Ele exibe uma caixa de diálogo falsa de “Preferências do Sistema” (com o LockedIcon oficial) até 10 vezes, solicitando que o usuário digite sua senha. Ele também tenta extrair a senha mestra do Chrome.

Roubo de dados do navegador - O ladrão tem como alvo vários navegadores baseados em Chromium (Chrome, Brave, Edge, Opera, Vivaldi, Arc, Sidekick, Orion etc.) e Firefox. Ele copia arquivos confidenciais, como dados de login, cookies, dados da Web, histórico e dados de extensão.

Roubo de carteira criptográfica - O SHub Stealer tem um forte foco no roubo de criptomoedas. Ele rouba dados de mais de 100 extensões de carteira do navegador, escaneando os IDs de extensão específicos correspondentes às carteiras criptográficas. Ele também tem como alvo carteiras de desktop, incluindo Exodus, Atomic, Electrum, Guarda, Coinomi, Sparrow, Wasabi, Bitcoin Core, Monero, Ledger Live e Trezor Suite.

Roubo de mensagens e nuvem - O script também rouba a sessão completa do Telegram Desktop. Ele também exfiltra todo o diretório do Keychain e as contas do iCloud.

Captador de arquivos e documentos - Um coletor de arquivos limitado coleta documentos (.docx, .doc, .wallet, .key, .json, .rdp etc.) e imagens PNG das pastas Desktop e Documentos, com um limite de tamanho total de aproximadamente 150 MB. Ele também rouba cookies, histórico, dados de preenchimento automático e banco de dados do Apple Notes do Safari.

Empacotamento e exfiltração de dados - Todos os dados roubados são salvos na pasta temporária aleatória. O script cria um arquivo zip. Para coleções grandes, ele implementa o upload em partes (dividido em partes de aproximadamente 70 MB). O arquivo é enviado para o C2 junto com os metadados, incluindo a senha roubada (se obtida).

Injeção de carteira - Se aplicativos de carteira populares (Ledger Live, Ledger Wallet, Atomic Wallet, Exodus, Trezor Suite) estiverem instalados, o malware substituirá o arquivo app.asar legítimo injetando código malicioso projetado para exfiltrar frases iniciais da carteira. Como as frases-semente servem como chave mestra para carteiras de criptomoedas, a posse delas permite que o invasor reconstrua totalmente a carteira e drene todos os fundos associados. Para manter a aparência de legitimidade, o atacante também modifica o arquivo Info.plist para preservar a integridade da soma de verificação.

Mecanismo de persistência - O malware estabelece persistência criando um aplicativo falso do Google Update e instalando um LaunchAgent (com.google.keystone.agent.plist). Esse serviço é executado a cada 60 segundos e coleta informações básicas do sistema, incluindo o UUID do dispositivo, nome do host, endereço IP e versão do macOS. Em seguida, ele envia uma solicitação de pulsação para o C2. Se o servidor C2 responder com um comando codificado em base64, o script o decodifica, salva como /tmp/.c.sh, o executa e limpa o arquivo.

Ações finais e limpeza - Depois de fazer o upload dos dados roubados, o script exibe uma caixa de diálogo de erro falsa informando “Seu Mac não suporta este aplicativo...” e executa a limpeza básica dos arquivos temporários, embora o mecanismo de persistência permaneça ativo.

Isso nos mostra como os sites de transmissão ao vivo IPL gratuitos não são apenas um problema de direitos autorais - eles podem se tornar um canal ativo de distribuição de malware. O que parece ser um atalho inofensivo para assistir à partida acaba sendo uma armadilha cuidadosamente projetada, em que um único clique desencadeia uma cadeia de redirecionamento que termina com suas senhas, carteiras, sessões do navegador e ativos criptográficos entregues silenciosamente a um invasor — com uma porta traseira aberta para o que vier a seguir.

Impacto

• Perdas financeiras diretas: As vítimas perdem dinheiro por meio de compras falsas de ingressos e pagamentos a golpistas - geralmente via UPI, sem como recuperar fundos.

• Roubo de dados pessoais confidenciais: As informações pessoais coletadas durante reservas falsas — nomes, números de telefone, IDs de e-mail — são armazenadas, reutilizadas ou vendidas para outras operações fraudulentas, expondo as vítimas a novos ataques.

• Comprometimento de dispositivos e infecções por malware: Clicar em links de streaming falsos pode resultar no comprometimento total do dispositivo, incluindo roubo silencioso de senhas, credenciais bancárias, sessões do navegador e carteiras criptográficas com um backdoor persistente em execução em segundo plano.

• Segmentação secundária e vitimização repetida: Uma vez identificados como vítimas pagantes, os indivíduos são adicionados às listas de golpes e atacados repetidamente em diferentes campanhas de fraude, incluindo chamadas de phishing

• Drenagem de ativos criptográficos: Vítimas com carteiras criptográficas baseadas em desktop ou navegador enfrentam perda total de fundos por meio de ataques de injeção de carteira que substituem aplicativos legítimos por versões secretas projetadas para extrair frases básicas.

• Sofrimento psicológico e emocional: Perder dinheiro em um momento de empolgação, chegar a um estádio e ser rejeitado, combinado com a violação do comprometimento de um dispositivo, causa ansiedade e angústia significativas.

• Erosão da confiança nas plataformas digitais: A exposição repetida a falsificações convincentes mina a confiança dos fãs em plataformas legítimas de venda de ingressos e sistemas de pagamento digital, impactando uma adoção digital mais ampla.

• Normalização dos ecossistemas do cibercrime: A escala, a sofisticação e as consequências quase nulas para as operadoras normalizam a infraestrutura de fraude, tornando cada temporada sucessiva de IPL um ambiente de ameaças mais refinado e difícil de detectar.

‍

‍

Salvaguardas

• Compre ingressos somente nas plataformas oficiais: Evite links de terceiros de mídias sociais, anúncios ou sites desconhecidos, mesmo que pareçam legítimos ou ofereçam descontos.

• Desconfie de ofertas “boas demais para ser verdade”: Ingressos com desconto, disponibilidade garantida de última hora ou preços muito reduzidos são iscas comuns usadas para atrair as vítimas para fluxos de reservas falsos.

• Evite sites de streaming gratuitos: Atenha-se às emissoras oficiais e aos aplicativos licenciados. Links de streaming gratuitos, especialmente aqueles compartilhados no Reddit, Telegram ou Facebook, frequentemente atuam como canais de entrega de malware que podem comprometer silenciosamente seu dispositivo.

• Não clique em links aleatórios de SMS ou mídias sociais: Mensagens em massa e DMs que promovem a venda de ingressos ou links de streaming geralmente fazem parte de campanhas fraudulentas coordenadas. Em caso de dúvida, acesse diretamente a plataforma oficial.

• Verifique os URLs do site com cuidado: Procure erros ortográficos, extensões de domínio incomuns (.online, .store, .live, .sbs), hífens extras ou caracteres adicionais inseridos em nomes de marcas conhecidas antes de inserir detalhes pessoais ou de pagamento.

• Limite as permissões do aplicativo: Tenha cuidado ao instalar aplicativos relacionados a críquete, streaming ou bilheteria. Nunca conceda acesso a contatos, galeria ou SMS, a menos que seja absolutamente necessário. Essas permissões são usadas rotineiramente por aplicativos maliciosos para coletar dados e permitir a extorsão.

• Mantenha os dispositivos e navegadores atualizados: Os patches de segurança eliminam as vulnerabilidades nas quais as cadeias de redirecionamento maliciosas e os downloads drive-by dependem. As atualizações regulares são uma das defesas mais simples e eficazes.

• Ative a autenticação de dois fatores: Ative a 2FA em e-mails, contas UPI, aplicativos bancários e carteiras criptográficas para limitar os danos em caso de roubo de credenciais.

Conclusão

O IPL pode durar apenas algumas semanas, mas os riscos que o cercam se estendem muito além da partida final. O que parece ser uma emoção inofensiva - reservar ingressos ou assistir a um stream - pode rapidamente se transformar em perda financeira, roubo de dados e exploração a longo prazo.

À medida que os cibercriminosos continuam refinando suas táticas a cada temporada, a conscientização continua sendo a linha de defesa mais forte. Manter-se cauteloso, verificar antes de confiar e entender como esses golpes funcionam podem fazer a diferença entre curtir o jogo e se tornar parte do ecossistema de fraudes que prospera em torno dele.