Campanha usa repositórios falsos no GitHub para espalhar o BoryptGrab, malware que contorna proteções do navegador e rouba dados sensíveis de usuários

Malware – Uma campanha de distribuição de malware tem utilizado repositórios falsos no GitHub para infectar computadores e roubar dados armazenados em extensões do navegador Chrome. O ataque busca capturar informações sensíveis das vítimas, como senhas, cookies de sessão e credenciais vinculadas a serviços online.

O alerta foi feito por pesquisadores de cibersegurança da Trend Micro, que identificaram o programa malicioso chamado BoryptGrab. Segundo os especialistas, o malware está ativo desde pelo menos o final de 2025 e já foi associado a mais de uma centena de repositórios fraudulentos ainda disponíveis na plataforma.

LEIA: IA inspirada no cérebro humano aprende a ‘pensar duas vezes’ antes de errar

Ferramentas gratuitas falsas servem como isca

Os criminosos iniciam o ataque criando repositórios públicos no GitHub que aparentam oferecer ferramentas gratuitas. Como a plataforma é amplamente usada por desenvolvedores para compartilhar código, os links acabam transmitindo credibilidade às vítimas.

Entre as iscas mais frequentes estão trapaças para jogos como Valorant e CS2, além de programas populares como Voicemod Pro e editores de vídeo como Filmora.

Para aumentar a visibilidade, os repositórios utilizam técnicas de SEO, estratégias de otimização que ajudam páginas a aparecer entre os primeiros resultados do Google. Em alguns casos, o link malicioso surgia logo abaixo do resultado legítimo nas pesquisas.

Ao clicar no botão de download, a vítima é redirecionada por uma sequência de páginas intermediárias. Essas páginas usam URLs codificadas em Base64 e criptografia AES para dificultar o rastreamento. Base64 e AES são métodos usados para codificar e embaralhar dados. No fim do processo, o usuário recebe um arquivo ZIP contendo o malware.

Execução silenciosa após abrir o arquivo

Dentro do arquivo compactado há um executável que, ao ser aberto, carrega silenciosamente uma biblioteca maliciosa no sistema por meio de uma técnica conhecida como DLL side-loading.

Uma DLL é um arquivo de código utilizado por programas do Windows para funcionar. No side-loading, um software legítimo é enganado para carregar uma versão adulterada desse arquivo, sem que o sistema identifique a troca.

A biblioteca então descriptografa e executa um launcher, programa responsável por baixar e rodar outros malwares. Uma das primeiras ações desse launcher é adicionar o disco inteiro às exceções do Windows Defender, antivírus nativo do sistema, desativando a proteção antes de prosseguir com a infecção.

Malware contorna proteção do Chrome

O BoryptGrab concentra seus esforços nos dados armazenados no navegador, principalmente no Chrome. Para isso, precisa contornar um mecanismo de segurança chamado App-Bound Encryption, que criptografa informações sensíveis e as vincula ao próprio aplicativo, impedindo que outros programas as leiam diretamente.

Para driblar essa proteção, o malware utiliza técnicas encontradas em repositórios públicos do GitHub originalmente destinados à pesquisa em segurança.

Com isso, o programa consegue coletar senhas salvas, cookies de sessão e dados de navegação de diversos navegadores, incluindo Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex Browser. Os cookies de sessão são arquivos que mantêm o usuário conectado em sites; ao roubá-los, o atacante pode acessar contas sem precisar da senha.

Carteiras de criptomoedas e contas do Discord são alvo

Além das informações armazenadas diretamente nos navegadores, o malware também procura extensões instaladas relacionadas a carteiras de criptomoedas.

Essas carteiras guardam as chaves privadas, chamadas de frase-semente, que permitem ao proprietário movimentar seus fundos digitais. Caso essas chaves sejam roubadas, o acesso aos ativos pode ser perdido de forma permanente e irreversível.

O BoryptGrab também coleta tokens do Discord, que funcionam como credenciais de autenticação capazes de permitir acesso à conta sem necessidade de senha, além de arquivos do Telegram.

Durante a infecção, o malware ainda realiza uma varredura em diretórios comuns do sistema em busca de arquivos com extensões específicas, captura uma imagem da tela do computador e envia todos os dados aos servidores dos atacantes compactados em um único arquivo.

Backdoor garante acesso permanente

Algumas variantes do BoryptGrab incluem um componente adicional chamado TunnesshClient. Trata-se de um backdoor, uma porta de acesso secreta e persistente ao computador da vítima.

Esse componente cria um túnel SSH reverso com o servidor controlado pelos criminosos. O SSH é um protocolo normalmente usado por administradores de sistemas para acessar servidores remotamente. No modelo reverso, é o próprio computador da vítima que inicia a conexão, dificultando o bloqueio por firewalls, já que o tráfego parece legítimo.

Por meio desse túnel, os atacantes podem executar comandos remotamente, transferir arquivos e até utilizar o computador infectado como proxy SOCKS5, permitindo navegar na internet usando o endereço IP da vítima como disfarce.

Evidências indicam origem russa

Ao longo da cadeia de ataque, pesquisadores encontraram indícios consistentes de que os responsáveis podem ter origem russa. Comentários em russo aparecem nos arquivos HTML das páginas falsas de download, e mensagens de log no mesmo idioma foram identificadas em componentes do malware.

Além disso, os endereços IP dos servidores de comando e controle — responsáveis por gerenciar o malware à distância — estão geolocalizados na Rússia.

A escala da operação também chama atenção. Mais de uma centena de repositórios falsos foram identificados, com diferentes versões do malware circulando simultaneamente sob nomes de build como “Shrek”, “Sonic”, “Leon” e “CryptoByte”, o que indica uma campanha ativa, organizada e em constante evolução.

(Com informações de Tecmundo)

(Foto: Reprodução/Freepik)