Uma campanha de distribuição de malware está usando repositórios falsos no GitHub para infectar computadores. O objetivo é roubar dados das vítimas que estão armazenados em extensões do Chrome.
O alerta vem de pesquisadores de cibersegurança da Trend Micro, que identificaram o programa malicioso, batizado de BoryptGrab. Ele está ativo desde pelo menos o final de 2025, com mais de uma centena de repositórios falsos ainda no ar.
Porta de entrada são ferramentas gratuitas falsas
O ponto de partida do ataque é engenhoso. Os criminosos criam repositórios públicos no GitHub, que é uma plataforma amplamente usada por desenvolvedores para compartilhar código, fingindo oferecer ferramentas gratuitas.
Trapaças para jogos como Valorant e CS2, programas como Voicemod Pro e editores de vídeo como Filmora figuram entre as iscas mais comuns.
Para garantir visibilidade, os repositórios usam técnicas de SEO, que são estratégias de otimização para que páginas apareçam entre os primeiros resultados do Google. Em alguns casos, o repositório falso aparecia logo abaixo do resultado legítimo nas buscas.
Ao clicar no link de download, a vítima é redirecionada por uma cadeia de páginas intermediárias que usam URLs codificadas em Base64 e criptografia AES para dificultar o rastreamento. Base64 e AES são métodos de codificar e embaralhar dados. O destino final é sempre uma página que gera e entrega um arquivo ZIP com o malware.
O que acontece depois que o arquivo é aberto
Dentro do ZIP há um executável que, ao ser aberto, carrega sorrateiramente uma biblioteca maliciosa no sistema usando uma técnica chamada DLL side-loading. Uma DLL é um arquivo de código que programas do Windows carregam para funcionar.
O side-loading engana um programa legítimo para que ele carregue uma versão adulterada desse arquivo, sem que o sistema perceba a troca.
Essa biblioteca descriptografa e executa um launcher, que é um programa cujo único trabalho é baixar e executar outros malwares. Uma das primeiras ações do launcher é adicionar o disco inteiro às exceções do Windows Defender, o antivírus nativo do sistema, desativando a proteção da vítima antes de seguir em frente.
Ataque ao Chrome e suas extensões
O BoryptGrab tem como alvo central os dados armazenados no navegador, com foco especial no Chrome. Para isso, ele precisa contornar uma camada de proteção chamada App-Bound Encryption, que é um mecanismo do Chrome que criptografa dados sensíveis vinculando-os ao próprio aplicativo, impedindo que outros programas os leiam diretamente.
Para driblar essa proteção, o malware usa técnicas extraídas de repositórios públicos do GitHub voltados originalmente para pesquisa de segurança.
O BoryptGrab coleta senhas salvas, cookies de sessão e dados de navegação de Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex Browser. Cookies de sessão são arquivos que mantêm a vítima conectada em sites, e roubá-los permite que o atacante acesse contas sem precisar de senha.
Extensões de carteiras de criptomoedas são alvo prioritário
Além dos dados do navegador em si, o BoryptGrab varre as extensões instaladas em busca de carteiras de criptomoedas. Uma carteira de criptomoedas armazena as chaves privadas, conhecidas como frase-semente, que permitem ao dono movimentar seus fundos digitais. Perder essas chaves significa perder o acesso de forma permanente e irreversível.
O malware também coleta tokens do Discord, que são credenciais de autenticação que permitem acessar uma conta sem senha, e arquivos do Telegram.
Além disso, ele faz uma varredura em diretórios comuns em busca de arquivos com extensões específicas, captura uma foto da tela no momento da infecção e envia tudo para os servidores dos atacantes compactado em um único arquivo.
Backdoor mantém o acesso livre
Algumas variantes do BoryptGrab instalam um componente adicional chamado TunnesshClient, que é um backdoor, ou seja, uma porta de acesso secreta e persistente ao computador da vítima. Ele estabelece um túnel SSH reverso com o servidor dos criminosos.
O SSH é um protocolo normalmente usado por administradores de sistemas para acessar servidores remotamente. No caso reverso, é o computador da vítima que inicia a conexão, o que dificulta o bloqueio por firewalls, pois o tráfego parece legítimo.
Através desse túnel, os atacantes conseguem executar comandos, transferir arquivos e usar o computador da vítima como proxy SOCKS5, que é um intermediário de rede que permite navegar na internet usando o endereço IP da vítima como disfarce.
Indícios apontam para origem russa
Ao longo de toda a cadeia de ataque, há evidências consistentes de que os responsáveis têm origem russa. Comentários em russo aparecem nos arquivos HTML das páginas falsas de download, mensagens de log em russo foram encontradas em componentes do malware e os endereços IP dos servidores de comando e controle, que são os servidores que controlam o malware à distância, estão geolocalizados na Rússia.
A escala da operação também chama atenção. Mais de uma centena de repositórios falsos foram identificados, com diferentes versões do malware circulando simultaneamente sob nomes de build como “Shrek”, “Sonic”, “Leon” e “CryptoByte”. Isso indica uma operação ativa, organizada e em evolução contínua.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
