Quando essa campanha de malware começou?

A campanha de malware está ativa desde junho de 2025. Ela já comprometeu mais de 90 hosts desde o seu início.

Que tipo de arquivo é usado para distribuir o malware?

O malware é distribuído por meio de arquivos instaladores MSI, que é o formato padrão de pacote Windows usado por muitos fornecedores de software legítimos.

O que o malware faz depois de infectar um sistema?

O malware implanta um kit de três módulos que realiza reconhecimento do sistema, ativa um keylogger para capturar credenciais e códigos de autenticação de dois fatores, e rouba senhas armazenadas no navegador, cookies de sessão e dados de preenchimento automático.

Por que inserir credenciais SSH e tokens do GitLab diretamente no instalador é considerado um risco de segurança?

Credenciais inseridas diretamente em arquivos instaladores são legíveis por qualquer pessoa que inspecione o binário, o que pode expor os servidores de comando e controle dos atacantes e seus repositórios de código a defensores e investigadores.

Usar uma carteira de hardware é suficiente para se proteger contra esse tipo de ataque?

De acordo com o artigo, depender apenas de uma carteira de hardware não é proteção suficiente contra essa campanha, porque o malware visa credenciais, cookies de sessão e teclas digitadas que podem contornar a autenticação sem exigir acesso direto à carteira.

Malware em Instalador MSI Visa Traders de Criptomoedas desde Junho de 2025

Uma sofisticada campanha de malware descoberta visando traders de criptomoedas tem estado silenciosamente ativa desde junho de 2025, usando um truque enganosamente simples, mas eficaz: inserir credenciais SSH e tokens do GitLab diretamente dentro de arquivos instaladores MSI. A operação já comprometeu mais de 90 hosts e foi especificamente projetada para assumir o controle de contas de negociação de criptomoedas, combinando reconhecimento do sistema, keylogging e roubo de dados do navegador em uma única cadeia de ataque coordenada. Para qualquer pessoa que mantém ou negocia ativos digitais ativamente, a mecânica dessa campanha revela por que depender apenas de uma carteira de hardware não é proteção suficiente.

Como Funciona a Campanha do Instalador MSI: Reconhecimento, Keylogging e Roubo no Navegador

O ataque começa quando um alvo executa o que parece ser um instalador MSI legítimo, o formato padrão de pacote Windows usado por inúmeros fornecedores de software. Uma vez executado, o instalador implanta um kit de malware de três módulos que opera em sequência.

O primeiro módulo realiza o reconhecimento do sistema, mapeando a configuração do host infectado, o ambiente de rede e o software instalado. Essa etapa fornece ao atacante uma visão clara do que está disponível antes de se comprometer com uma intrusão mais profunda. O segundo módulo ativa um keylogger, capturando tudo o que a vítima digita, incluindo credenciais de login em corretoras, códigos de autenticação de dois fatores e senhas de carteiras. O terceiro módulo visa os dados armazenados no navegador, extraindo senhas salvas, cookies de sessão e entradas de preenchimento automático que podem ser usadas para contornar a autenticação em plataformas financeiras sem nunca precisar diretamente da senha da conta.

A combinação é deliberada. O keylogging captura credenciais em movimento; o roubo no navegador captura credenciais em repouso. Juntos, deixam muito poucas brechas.

Por Que Credenciais Inseridas Diretamente no Código São um Risco Sistêmico

O que torna essa campanha particularmente notável do ponto de vista da pesquisa de segurança não é apenas o que ela faz às vítimas, mas o que expõe sobre os próprios atacantes. Incorporar credenciais SSH e tokens do GitLab diretamente no instalador significa que o malware carrega um vínculo direto e estático de volta à sua própria infraestrutura de backend.

Esse é um fracasso de segurança operacional por parte do atacante, e não é exclusivo desse grupo. Quando desenvolvedores, seja construindo software legítimo ou ferramentas maliciosas, inserem tokens de autenticação diretamente em arquivos compilados ou empacotados, essas credenciais tornam-se legíveis por qualquer pessoa que inspecione o binário. Para os defensores, credenciais inseridas diretamente no código do malware podem expor servidores de comando e controle, repositórios de código e até o fluxo de trabalho de desenvolvimento interno de um agente de ameaça. Para as vítimas, a mesma falha que pode ajudar investigadores a rastrear os atacantes não oferece nenhuma proteção depois que o comprometimento já ocorreu.

Esse padrão espelha tendências mais amplas em malware voltado para a nuvem. Conforme abordado em reportagens sobre o malware PCPJack explorando credenciais de nuvem, as estruturas de roubo de credenciais tratam cada vez mais tokens inadequadamente protegidos como alvos fáceis, sejam esses tokens das vítimas ou, neste caso, dos próprios atacantes.

Quem Está Sendo Visado e Como os Traders de Criptomoedas São Selecionados

O foco da campanha em traders de criptomoedas não é acidental. Contas de criptomoedas apresentam um perfil de alvo excepcionalmente atraente: frequentemente mantêm valor líquido significativo, as transações são irreversíveis uma vez transmitidas para o blockchain, e muitos traders usam interfaces baseadas em navegador para gerenciar posições em múltiplas corretoras simultaneamente.

Esse último ponto é crítico. A negociação baseada em navegador significa que sessões armazenadas no navegador, cookies e credenciais salvas são uma via direta para acesso à conta. Um atacante que captura um cookie de sessão válido de um navegador frequentemente pode se autenticar em uma corretora sem acionar solicitações de senha ou de dois fatores, porque a sessão em si já está autenticada. O componente keylogger então cobre qualquer cenário em que o trader saia e entre novamente, capturando credenciais novas em tempo real.

Com mais de 90 hosts já confirmados como comprometidos, a escala da campanha sugere uma operação direcionada, mas persistente, em vez de uma abordagem ampla e indiscriminada. Traders que baixaram software de fontes não oficiais ou não verificadas desde junho de 2025 correm maior risco.

Como VPNs, Gerenciadores de Credenciais e Higiene do Navegador Reduzem Sua Superfície de Ataque

Nenhuma ferramenta isolada elimina o risco que essa campanha representa, mas várias práticas reduzem significativamente a exposição.

Uma VPN não impede que malware seja executado depois que já está em uma máquina, mas reduz o risco de interceptação de tráfego e pode limitar a visibilidade em nível de rede que um atacante obtém durante a fase de reconhecimento. Mais importante, usar uma VPN de forma consistente em todos os dispositivos ajuda a estabelecer a higiene de rede como um hábito, e não como uma reflexão tardia.

Gerenciadores de credenciais abordam um dos principais vetores de ataque aqui: senhas armazenadas no navegador. Quando as credenciais são armazenadas em um gerenciador dedicado e criptografado, em vez do cofre de senhas nativo do navegador, o roubo de dados do navegador produz informações muito menos utilizáveis. A maioria dos gerenciadores de credenciais também suporta a geração de senhas únicas e complexas para cada conta, o que limita o alcance do dano caso um conjunto de credenciais seja capturado.

A higiene do navegador também é importante. Os traders devem considerar o uso de um perfil de navegador dedicado, ou um navegador separado completamente, exclusivamente para acesso às corretoras. Esse perfil não deve ter senhas salvas, nenhuma extensão além do estritamente necessário, e deve ser limpo de cookies após cada sessão. Cookies de sessão não podem ser roubados de uma sessão que não existe mais.

Por fim, a disciplina na instalação de software é a primeira linha de defesa. Arquivos MSI obtidos fora dos sites oficiais de fornecedores ou lojas de aplicativos carregam riscos reais. Verificar hashes de arquivos, checar assinaturas do editor e tratar qualquer instalador que exija a desativação do software de segurança como um sinal de alerta imediato pode evitar a execução inicial que torna todo o resto possível.

O Que Isso Significa Para Você

Se você negocia criptomoedas ativamente ou mantém ativos digitais acessíveis por meio de uma interface baseada em navegador, essa campanha é um aviso direto. Carteiras de hardware protegem fundos na blockchain, mas não protegem contas em corretoras, e é exatamente aí que esse malware foi projetado para causar danos.

Comece auditando onde suas credenciais residem atualmente. Se as senhas de sua corretora estiverem salvas em um navegador, mova-as para um gerenciador de credenciais dedicado e gere novas senhas únicas para cada plataforma. Revise suas extensões de navegador e remova qualquer coisa que não utilize ativamente. Verifique seu histórico de downloads em busca de qualquer instalador MSI obtido desde junho de 2025 de fontes que não consiga verificar.

A crescente sofisticação das operações de roubo de credenciais, desde as campanhas de tokens inseridos diretamente no código descritas aqui até a exploração de múltiplos CVEs documentada em estruturas voltadas para a nuvem, torna a higiene proativa de credenciais uma das defesas mais eficazes disponíveis para usuários individuais. Dedicar uma hora para auditar sua configuração hoje é consideravelmente menos doloroso do que se recuperar de uma tomada de conta amanhã.