){kind=link}
Um único cibercriminoso, identificado pelo pseudônimo @JoseCmanXD, usou uma rede coordenada de contas falsas em pelo menos cinco plataformas diferentes para promover programas maliciosos disfarçados de ferramentas de ganho fácil com criptomoedas. A campanha foi descoberta pela empresa de cibersegurança Check Point e divulgada em relatório publicado recentemente.
O objetivo era simples, convencer donos de criptomoedas a baixar um malware que rouba dinheiro sem que a vítima perceba.
smart_display
Nossos vídeos em destaque
O golpe começa com uma promessa de vantagem
O hacker criou um site no WordPress que oferecia ferramentas voltadas a quem quer lucrar rápido no mercado de criptomoedas. Entre os produtos anunciados estavam bots para compra automática de memecoins, um “Aviator Predictor”, que supostamente prevê o resultado de jogos de crash, e outros programas com promessas parecidas.
Nenhuma dessas ferramentas funciona como prometido. Todas servem de embalagem para um malware chamado clipper.
O que é um clipper e como ele rouba dinheiro
Um clipper é um tipo de malware que fica monitorando a área de transferência do computador. Essa é a função que armazena temporariamente o que você copia com Ctrl+C.
Quando alguém copia o endereço de uma carteira de criptomoeda para fazer uma transferência, o clipper detecta aquela sequência de caracteres e a troca automaticamente pelo endereço do atacante. Se a vítima não perceber a substituição antes de confirmar a transação, o dinheiro vai direto para o hacker.
)
O ataque funciona porque endereços de carteiras são longos, complexos e praticamente impossíveis de memorizar. A maioria das pessoas simplesmente copia, cola e confirma sem conferir.
Reputação fabricada do zero
Para que as vítimas baixassem os programas sem desconfiança, o hacker precisava parecer legítimo. A solução foi construir uma popularidade artificial em várias plataformas ao mesmo tempo.
No GitHub, plataforma usada por desenvolvedores para compartilhar código, contas controladas pelo próprio atacante deram mais de 140 estrelas aos repositórios e geraram mais de 5.000 downloads. No SourceForge, outro site de distribuição de software, o contador de downloads foi inflado para mais de 44.000.
)
No YouTube, um canal com tutoriais em desktop usava narradores gerados por inteligência artificial. Os comentários positivos e as visualizações também eram artificiais, produzidos por redes de contas falsas.
Manipulação chegou até o VirusTotal
O ponto mais preocupante da campanha foi o abuso do VirusTotal, serviço amplamente utilizado por profissionais de segurança e usuários comuns para verificar se um arquivo é perigoso.
Contas falsas publicaram votos positivos e comentários dizendo que os arquivos eram seguros. Combinado com o fato de que os antivírus não detectavam o malware, isso criou uma falsa sensação de segurança para quem tentava verificar os programas antes de baixá-los.
)
Além disso, artigos promocionais foram publicados em sites de notícias legítimos no dia 27 de abril de 2026, e posts foram feitos no BitcoinTalk, um dos fóruns mais antigos da comunidade bitcoin. Todos eles apontavam para o site falso do hacker.
Como o malware age no computador
Na versão para Windows, a vítima baixa um arquivo ZIP que contém um programa chamado SniperBot_Premium(Free).exe. Ao ser executado, ele ativa o malware principal, escrito na linguagem de programação Rust.
O programa se instala no computador e passa a iniciar automaticamente toda vez que o sistema é ligado. Em seguida, fica rodando silenciosamente em segundo plano, monitorando a área de transferência.
)
O malware tem uma lista interna com mais de 15.500 endereços de carteiras controladas pelo atacante. Quando detecta que o usuário copiou um endereço de criptomoeda, ele substitui o conteúdo copiado por um dos endereços da lista. O processo é instantâneo e invisível.
No Mac, o ataque funciona de forma parecida. Um script chamado unlocker.command instrui a vítima a desativar manualmente uma proteção nativa do macOS chamada Gatekeeper, liberando a execução do malware.
O que a Check Point recomenda
)
Os pesquisadores alertam que métricas de engajamento, como estrelas no GitHub, avaliações positivas e número de downloads, podem ser facilmente compradas ou fabricadas.
Antes de baixar qualquer ferramenta relacionada a criptomoedas, especialmente aquelas que prometem lucro automático ou vantagem em jogos, a recomendação é verificar a origem com cuidado, desconfiar de avaliações excessivamente positivas e sempre conferir o endereço de destino antes de confirmar qualquer transferência.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.