{"id":16226,"date":"2026-03-11T12:38:52","date_gmt":"2026-03-11T15:38:52","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16226"},"modified":"2026-03-11T15:05:18","modified_gmt":"2026-03-11T18:05:18","slug":"malware-ferramentas-gratuitas-dados-navegadores","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/malware-ferramentas-gratuitas-dados-navegadores\/","title":{"rendered":"Malware distribu\u00eddo via ferramentas gratuitas falsas rouba dados de navegadores"},"content":{"rendered":"<p><strong>Malware &#8211;<\/strong> Uma campanha de distribui\u00e7\u00e3o de <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Malware\" target=\"_blank\" rel=\"noopener nofollow\">malware<\/a> tem utilizado reposit\u00f3rios falsos no GitHub para infectar computadores e roubar dados armazenados em extens\u00f5es do navegador Chrome. O ataque busca capturar informa\u00e7\u00f5es sens\u00edveis das v\u00edtimas, como senhas, cookies de sess\u00e3o e credenciais vinculadas a servi\u00e7os online.<\/p>\n<p>O alerta foi feito por pesquisadores de ciberseguran\u00e7a da Trend Micro, que identificaram o programa malicioso chamado BoryptGrab. Segundo os especialistas, o malware est\u00e1 ativo desde pelo menos o final de 2025 e j\u00e1 foi associado a mais de uma centena de reposit\u00f3rios fraudulentos ainda dispon\u00edveis na plataforma.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/ia-inspirada-cerebro-humano-aprende-pensar-vezes\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: IA inspirada no c\u00e9rebro humano aprende a \u2018pensar duas vezes\u2019 antes de errar<\/strong><\/a><\/p>\n<p><strong>Ferramentas gratuitas falsas servem como isca<\/strong><\/p>\n<p>Os criminosos iniciam o ataque criando reposit\u00f3rios p\u00fablicos no GitHub que aparentam oferecer ferramentas gratuitas. Como a plataforma \u00e9 amplamente usada por desenvolvedores para compartilhar c\u00f3digo, os links acabam transmitindo credibilidade \u00e0s v\u00edtimas.<\/p>\n<p>Entre as iscas mais frequentes est\u00e3o trapa\u00e7as para jogos como Valorant e CS2, al\u00e9m de programas populares como Voicemod Pro e editores de v\u00eddeo como Filmora.<\/p>\n<p>Para aumentar a visibilidade, os reposit\u00f3rios utilizam t\u00e9cnicas de SEO, estrat\u00e9gias de otimiza\u00e7\u00e3o que ajudam p\u00e1ginas a aparecer entre os primeiros resultados do Google. Em alguns casos, o link malicioso surgia logo abaixo do resultado leg\u00edtimo nas pesquisas.<\/p>\n<p>Ao clicar no bot\u00e3o de download, a v\u00edtima \u00e9 redirecionada por uma sequ\u00eancia de p\u00e1ginas intermedi\u00e1rias. Essas p\u00e1ginas usam URLs codificadas em Base64 e criptografia AES para dificultar o rastreamento. Base64 e AES s\u00e3o m\u00e9todos usados para codificar e embaralhar dados. No fim do processo, o usu\u00e1rio recebe um arquivo ZIP contendo o malware.<\/p>\n<p><strong>Execu\u00e7\u00e3o silenciosa ap\u00f3s abrir o arquivo<\/strong><\/p>\n<p>Dentro do arquivo compactado h\u00e1 um execut\u00e1vel que, ao ser aberto, carrega silenciosamente uma biblioteca maliciosa no sistema por meio de uma t\u00e9cnica conhecida como DLL side-loading.<\/p>\n<p>Uma DLL \u00e9 um arquivo de c\u00f3digo utilizado por programas do Windows para funcionar. No side-loading, um software leg\u00edtimo \u00e9 enganado para carregar uma vers\u00e3o adulterada desse arquivo, sem que o sistema identifique a troca.<\/p>\n<p>A biblioteca ent\u00e3o descriptografa e executa um launcher, programa respons\u00e1vel por baixar e rodar outros malwares. Uma das primeiras a\u00e7\u00f5es desse launcher \u00e9 adicionar o disco inteiro \u00e0s exce\u00e7\u00f5es do Windows Defender, antiv\u00edrus nativo do sistema, desativando a prote\u00e7\u00e3o antes de prosseguir com a infec\u00e7\u00e3o.<\/p>\n<p><strong>Malware contorna prote\u00e7\u00e3o do Chrome<\/strong><\/p>\n<p>O BoryptGrab concentra seus esfor\u00e7os nos dados armazenados no navegador, principalmente no Chrome. Para isso, precisa contornar um mecanismo de seguran\u00e7a chamado App-Bound Encryption, que criptografa informa\u00e7\u00f5es sens\u00edveis e as vincula ao pr\u00f3prio aplicativo, impedindo que outros programas as leiam diretamente.<\/p>\n<p>Para driblar essa prote\u00e7\u00e3o, o malware utiliza t\u00e9cnicas encontradas em reposit\u00f3rios p\u00fablicos do GitHub originalmente destinados \u00e0 pesquisa em seguran\u00e7a.<\/p>\n<p>Com isso, o programa consegue coletar senhas salvas, cookies de sess\u00e3o e dados de navega\u00e7\u00e3o de diversos navegadores, incluindo Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex Browser. Os cookies de sess\u00e3o s\u00e3o arquivos que mant\u00eam o usu\u00e1rio conectado em sites; ao roub\u00e1-los, o atacante pode acessar contas sem precisar da senha.<\/p>\n<p><strong>Carteiras de criptomoedas e contas do Discord s\u00e3o alvo<\/strong><\/p>\n<p>Al\u00e9m das informa\u00e7\u00f5es armazenadas diretamente nos navegadores, o malware tamb\u00e9m procura extens\u00f5es instaladas relacionadas a carteiras de criptomoedas.<\/p>\n<p>Essas carteiras guardam as chaves privadas, chamadas de frase-semente, que permitem ao propriet\u00e1rio movimentar seus fundos digitais. Caso essas chaves sejam roubadas, o acesso aos ativos pode ser perdido de forma permanente e irrevers\u00edvel.<\/p>\n<p>O BoryptGrab tamb\u00e9m coleta tokens do Discord, que funcionam como credenciais de autentica\u00e7\u00e3o capazes de permitir acesso \u00e0 conta sem necessidade de senha, al\u00e9m de arquivos do Telegram.<\/p>\n<p>Durante a infec\u00e7\u00e3o, o malware ainda realiza uma varredura em diret\u00f3rios comuns do sistema em busca de arquivos com extens\u00f5es espec\u00edficas, captura uma imagem da tela do computador e envia todos os dados aos servidores dos atacantes compactados em um \u00fanico arquivo.<\/p>\n<p><strong>Backdoor garante acesso permanente<\/strong><\/p>\n<p>Algumas variantes do BoryptGrab incluem um componente adicional chamado TunnesshClient. Trata-se de um backdoor, uma porta de acesso secreta e persistente ao computador da v\u00edtima.<\/p>\n<p>Esse componente cria um t\u00fanel SSH reverso com o servidor controlado pelos criminosos. O SSH \u00e9 um protocolo normalmente usado por administradores de sistemas para acessar servidores remotamente. No modelo reverso, \u00e9 o pr\u00f3prio computador da v\u00edtima que inicia a conex\u00e3o, dificultando o bloqueio por firewalls, j\u00e1 que o tr\u00e1fego parece leg\u00edtimo.<\/p>\n<p>Por meio desse t\u00fanel, os atacantes podem executar comandos remotamente, transferir arquivos e at\u00e9 utilizar o computador infectado como proxy SOCKS5, permitindo navegar na internet usando o endere\u00e7o IP da v\u00edtima como disfarce.<\/p>\n<p><strong>Evid\u00eancias indicam origem russa<\/strong><\/p>\n<p>Ao longo da cadeia de ataque, pesquisadores encontraram ind\u00edcios consistentes de que os respons\u00e1veis podem ter origem russa. Coment\u00e1rios em russo aparecem nos arquivos HTML das p\u00e1ginas falsas de download, e mensagens de log no mesmo idioma foram identificadas em componentes do malware.<\/p>\n<p>Al\u00e9m disso, os endere\u00e7os IP dos servidores de comando e controle \u2014 respons\u00e1veis por gerenciar o malware \u00e0 dist\u00e2ncia \u2014 est\u00e3o geolocalizados na R\u00fassia.<\/p>\n<p>A escala da opera\u00e7\u00e3o tamb\u00e9m chama aten\u00e7\u00e3o. Mais de uma centena de reposit\u00f3rios falsos foram identificados, com diferentes vers\u00f5es do malware circulando simultaneamente sob nomes de build como &#8220;Shrek&#8221;, &#8220;Sonic&#8221;, &#8220;Leon&#8221; e &#8220;CryptoByte&#8221;, o que indica uma campanha ativa, organizada e em constante evolu\u00e7\u00e3o.<\/p>\n<p>&nbsp;<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><\/p>\n<p><em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Campanha usa reposit\u00f3rios falsos no GitHub para espalhar o BoryptGrab, malware que contorna prote\u00e7\u00f5es do navegador e rouba dados sens\u00edveis de usu\u00e1rios<\/p>","protected":false},"author":16,"featured_media":16227,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-16226","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16226"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16226\/revisions"}],"predecessor-version":[{"id":16228,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16226\/revisions\/16228"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16227"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}