Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Criminosos usam OpenClaw falsificado para atacar extensões de navegador

Golpe usa instalador falso de OpenClaw para roubar credenciais de carteiras de criptomoedas e gerenciadores de senhas, mirando cerca de quinhentas extensões de navegador

Photo
0:00
Carregando...
0:00
  • Campanha de infostealer usa um instalador falso do OpenClaw, ativo desde fevereiro de 2026, para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extensões de autenticação do navegador.
  • O ataque surge via site falso em março, oferecendo OpenClaw_x64.7z; dentro há um executável em Rust de ~130 MB, com documentação falsa para dificultar análises.
  • Antes de agir, o malware verifica se está em máquina virtual ou ambiente de análise, espera movimento do mouse e, se aprovado, desativa o Windows Defender, abre portas no firewall e baixa seis módulos adicionais.
  • Os componentes coletam informações do sistema, mantêm persistência, comunicam com servidores de comando e executam cargas em memória; a lista de alvos inclui 250 extensões de navegador, entre 201 carteiras cripto e 49 gerenciadores de senhas/authenticators.
  • A lista de alvos fica em um repositório controlado pelos invasores, que também tenta acessar dados do Ledger Live no sistema de arquivos para facilitar o roubo de ativos digitais.

Cibercriminosos lançaram uma campanha de infostealer que usa um instalador falso do OpenClaw para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extensões de autenticação em navegadores. A ação está em curso desde fevereiro de 2026.

O golpe envolve um arquivo denominado OpenClaw_x64.7z, disponibilizado em um site enganoso registrado em março. Dentro há um executável em Rust de cerca de 130 MB, inflado com documentação falsa para dificultar a análise.

Antes de executar suas funções, o malware verifica se está em máquina virtual ou em ambiente de análise. Procura sinais de sandbox, bibliotecas suspeitas e perfis de hardware incomuns, além de aguardar movimento do mouse para confirmar uso humano.

Passadas as verificações, o instalador falso desativa o Windows Defender, abre portas no firewall e baixa seis módulos adicionais. Cada componente realiza coleta de dados, persistência, comunicação com servidores de comando e execução de cargas em memória.

A fase de roubo mira uma lista remota com 250 extensões de navegador, incluindo 201 carteiras cripto como MetaMask e Phantom, além de 49 gerenciadores de senhas e autenticadores como Bitwarden e LastPass.

A lista de alvos fica hospedada em um repositório controlado pelos invasores, permitindo atualizar serviços visados sem alterar o malware.

A campanha também tenta acessar dados do Ledger Live no sistema de arquivos, abrindo caminho para extrair informações ligadas a criptoativos.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais