- Campanha de infostealer usa um instalador falso do OpenClaw, ativo desde fevereiro de 2026, para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extensões de autenticação do navegador.
- O ataque surge via site falso em março, oferecendo OpenClaw_x64.7z; dentro há um executável em Rust de ~130 MB, com documentação falsa para dificultar análises.
- Antes de agir, o malware verifica se está em máquina virtual ou ambiente de análise, espera movimento do mouse e, se aprovado, desativa o Windows Defender, abre portas no firewall e baixa seis módulos adicionais.
- Os componentes coletam informações do sistema, mantêm persistência, comunicam com servidores de comando e executam cargas em memória; a lista de alvos inclui 250 extensões de navegador, entre 201 carteiras cripto e 49 gerenciadores de senhas/authenticators.
- A lista de alvos fica em um repositório controlado pelos invasores, que também tenta acessar dados do Ledger Live no sistema de arquivos para facilitar o roubo de ativos digitais.
Cibercriminosos lançaram uma campanha de infostealer que usa um instalador falso do OpenClaw para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extensões de autenticação em navegadores. A ação está em curso desde fevereiro de 2026.
O golpe envolve um arquivo denominado OpenClaw_x64.7z, disponibilizado em um site enganoso registrado em março. Dentro há um executável em Rust de cerca de 130 MB, inflado com documentação falsa para dificultar a análise.
Antes de executar suas funções, o malware verifica se está em máquina virtual ou em ambiente de análise. Procura sinais de sandbox, bibliotecas suspeitas e perfis de hardware incomuns, além de aguardar movimento do mouse para confirmar uso humano.
Passadas as verificações, o instalador falso desativa o Windows Defender, abre portas no firewall e baixa seis módulos adicionais. Cada componente realiza coleta de dados, persistência, comunicação com servidores de comando e execução de cargas em memória.
A fase de roubo mira uma lista remota com 250 extensões de navegador, incluindo 201 carteiras cripto como MetaMask e Phantom, além de 49 gerenciadores de senhas e autenticadores como Bitwarden e LastPass.
A lista de alvos fica hospedada em um repositório controlado pelos invasores, permitindo atualizar serviços visados sem alterar o malware.
A campanha também tenta acessar dados do Ledger Live no sistema de arquivos, abrindo caminho para extrair informações ligadas a criptoativos.
Entre na conversa da comunidade