Vírus disfarçado de bot de cripto rouba carteiras digitais e dados de usuários

Empresa de cibersegurança identificou campanha que abusou de GitHub, SourceForge, YouTube e VirusTotal para dar aparência legítima a um clipper capaz de redirecionar transferências de criptomoedas sem o conhecimento da vítima.

Cecilia Ferraz

schedule25/06/2026, às 11:00

Vírus disfarçado de bot de cripto rouba carteiras digitais e dados de usuários

Um único cibercriminoso, identificado pelo pseudônimo @JoseCmanXD, usou uma rede coordenada de contas falsas em pelo menos cinco plataformas diferentes para promover programas maliciosos disfarçados de ferramentas de ganho fácil com criptomoedas. A campanha foi descoberta pela empresa de cibersegurança Check Point e divulgada em relatório publicado recentemente.

O objetivo era simples, convencer donos de criptomoedas a baixar um malware que rouba dinheiro sem que a vítima perceba.

smart_display

Nossos vídeos em destaque

O golpe começa com uma promessa de vantagem

O hacker criou um site no WordPress que oferecia ferramentas voltadas a quem quer lucrar rápido no mercado de criptomoedas. Entre os produtos anunciados estavam bots para compra automática de memecoins, um "Aviator Predictor", que supostamente prevê o resultado de jogos de crash, e outros programas com promessas parecidas.

Nenhuma dessas ferramentas funciona como prometido. Todas servem de embalagem para um malware chamado clipper.

roubo criptomoedas.png — O site decryptor.net, hospedado no WordPress, servia como central da operação: de lá, o hacker direcionava vítimas para GitHub, SourceForge e YouTube, todas plataformas com engajamento artificialmente inflado. Imagem: Check Point.

O que é um clipper e como ele rouba dinheiro

Um clipper é um tipo de malware que fica monitorando a área de transferência do computador. Essa é a função que armazena temporariamente o que você copia com Ctrl+C.

Quando alguém copia o endereço de uma carteira de criptomoeda para fazer uma transferência, o clipper detecta aquela sequência de caracteres e a troca automaticamente pelo endereço do atacante. Se a vítima não perceber a substituição antes de confirmar a transação, o dinheiro vai direto para o hacker.

roubo criptomoedas (1).png — O mesmo pseudônimo @JoseCmanXD aparece como contato de suporte no site falso e em todas as outras plataformas usadas na campanha, o que permitiu aos pesquisadores da Check Point rastrear e atribuir toda a operação a um único agente. Imagem: Check Point.

O ataque funciona porque endereços de carteiras são longos, complexos e praticamente impossíveis de memorizar. A maioria das pessoas simplesmente copia, cola e confirma sem conferir.

Reputação fabricada do zero

Para que as vítimas baixassem os programas sem desconfiança, o hacker precisava parecer legítimo. A solução foi construir uma popularidade artificial em várias plataformas ao mesmo tempo.

No GitHub, plataforma usada por desenvolvedores para compartilhar código, contas controladas pelo próprio atacante deram mais de 140 estrelas aos repositórios e geraram mais de 5.000 downloads. No SourceForge, outro site de distribuição de software, o contador de downloads foi inflado para mais de 44.000.

roubo criptomoedas (2).png — No SourceForge, contas coordenadas deixaram avaliações cinco estrelas para ferramentas maliciosas. O projeto "Aviator Predictor" acumulou 689 downloads só na semana analisada, segundo dados da plataforma. Imagem: Check Point.

No YouTube, um canal com tutoriais em desktop usava narradores gerados por inteligência artificial. Os comentários positivos e as visualizações também eram artificiais, produzidos por redes de contas falsas.

Manipulação chegou até o VirusTotal

O ponto mais preocupante da campanha foi o abuso do VirusTotal, serviço amplamente utilizado por profissionais de segurança e usuários comuns para verificar se um arquivo é perigoso.

Contas falsas publicaram votos positivos e comentários dizendo que os arquivos eram seguros. Combinado com o fato de que os antivírus não detectavam o malware, isso criou uma falsa sensação de segurança para quem tentava verificar os programas antes de baixá-los.

roubo criptomoedas (3).png — O canal do YouTube usava tutoriais em desktop com narrador gerado por IA para simular um criador de conteúdo legítimo. Os vídeos mais recentes foram produzidos em inglês para alcançar um público global, após uma fase inicial voltada a usuários de língua russa. Imagem: Check Point.

Além disso, artigos promocionais foram publicados em sites de notícias legítimos no dia 27 de abril de 2026, e posts foram feitos no BitcoinTalk, um dos fóruns mais antigos da comunidade bitcoin. Todos eles apontavam para o site falso do hacker.

Como o malware age no computador

Na versão para Windows, a vítima baixa um arquivo ZIP que contém um programa chamado SniperBot_Premium(Free).exe. Ao ser executado, ele ativa o malware principal, escrito na linguagem de programação Rust.

O programa se instala no computador e passa a iniciar automaticamente toda vez que o sistema é ligado. Em seguida, fica rodando silenciosamente em segundo plano, monitorando a área de transferência.

roubo criptomoedas (4).png — Em março de 2022, o usuário @JoseCmanXD publicou em um fórum de hacking uma ferramenta chamada CryptoRipper, descrita como um stealer de Bitcoin. O post mostra que o agente opera nesse tipo de atividade há pelo menos três anos. Imagem: Check Point.

O malware tem uma lista interna com mais de 15.500 endereços de carteiras controladas pelo atacante. Quando detecta que o usuário copiou um endereço de criptomoeda, ele substitui o conteúdo copiado por um dos endereços da lista. O processo é instantâneo e invisível.

No Mac, o ataque funciona de forma parecida. Um script chamado unlocker.command instrui a vítima a desativar manualmente uma proteção nativa do macOS chamada Gatekeeper, liberando a execução do malware.

O que a Check Point recomenda

roubo criptomoedas (5).png — O arquivo SniperBot_Premium(Free).exe é um loader escrito em .NET cuja única função é localizar e executar o malware real, o silkebin.exe, escondido dentro de uma subpasta do arquivo ZIP baixado pela vítima. Imagem: Check Point.

Os pesquisadores alertam que métricas de engajamento, como estrelas no GitHub, avaliações positivas e número de downloads, podem ser facilmente compradas ou fabricadas.

Antes de baixar qualquer ferramenta relacionada a criptomoedas, especialmente aquelas que prometem lucro automático ou vantagem em jogos, a recomendação é verificar a origem com cuidado, desconfiar de avaliações excessivamente positivas e sempre conferir o endereço de destino antes de confirmar qualquer transferência.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

Hackread

Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum