Notícias

O Omnistealer usa a blockchain para roubar tudo o que puder

por Pieter Arntz | 14 de abril de 2026
roubar tudo

Um novo programa de roubo de informações, chamado Omnistealer, está transformando a blockchain em uma plataforma permanente de hospedagem de malware, o que é uma má notícia tanto para as empresas quanto para os usuários comuns.

É bastante comum que o malware armazene sua carga maliciosa em uma plataforma pública, de preferência uma que confira alguma credibilidade ao local de download, como o Google Docs, o OneDrive, o GitHub, o npm, o PyPI e assim por diante.

O problema para os distribuidores de malware é que esses códigos podem ser removidos. Às vezes, isso pode levar algum tempo e dar muito trabalho, mas é possível. O Omnistealer contorna essa dificuldade armazenando seu código de preparação dentro de transações em blockchains públicas como TRON, Aptos e Binance Smart Chain.

Algumas transações em blockchain permitem a inclusão de pequenos fragmentos de dados arbitrários (notas, metadados, entradas de contratos inteligentes) e, em vez de algo inofensivo, os invasores inserem:

  • Texto criptografado
  • Comandos codificados
  • Trechos de código de malware

E como as blockchains são de gravação apenas, esses trechos maliciosos tornam-se efetivamente impossíveis de apagar assim que são incluídos em um bloco. É possível revogar domínios e retirar repositórios do GitHub, mas não dá para reverter a TRON ou a BSC apenas para remover algumas centenas de bytes de código de preparação de malware.

Isso transforma os livros-razão públicos em uma infraestrutura de comando e controle resiliente e resistente à censura, que os defensores não conseguem simplesmente derrubar.

Apesar da ligação óbvia com as criptomoedas, o Omnistealer não se limita a roubar investidores em criptomoedas. Assim que o Omnistealer invade um sistema, ele tem como alvo:

  • Mais de 10 gerenciadores de senhas, incluindo ferramentas para consumidores sincronizadas na nuvem, como o LastPass.
  • Os principais navegadores, como Chrome o Firefox, coletam dados de login e de sessão salvos.
  • Contas de armazenamento em nuvem, incluindo credenciais do Google Drive.
  • Mais de 60 carteiras de criptomoedas baseadas em navegador, incluindo extensões populares como MetaMask e Coinbase Wallet.

 Foi projetado para ser um aspirador de dados completo que, segundo os investigadores, vai “literalmente roubar tudo“.

O ataque geralmente começa com um trabalho de programação “simples”: um prestador de serviços recebe uma oferta LinkedIn no Upwork, baixa um repositório do GitHub e executa o que parece ser um código de projeto normal. Nos bastidores, esse código se conecta à blockchain, lê os dados da transação e os utiliza como um indicador para buscar e descriptografar a carga útil final.

Pesquisadores estimam que cerca de 300 mil credenciais já tenham sido comprometidas, abrangendo desde plataformas da indústria adulta e serviços de entrega de comida até empresas de conformidade financeira, fornecedores do setor de defesa e órgãos do governo dos Estados Unidos. 

O que você pode fazer 

Não é possível excluir malware da blockchain, mas você pode tornar muito mais difícil que campanhas como essa o afetem. Primeiro, reduza o que está disponível para ser roubado. Depois, proteja melhor suas informações.

  • Considere como suspeitas, por padrão, as ofertas de “emprego dos sonhos” e as propostas de contrato não solicitadas, especialmente se elas forem rapidamente transferidas para conversas fora da plataforma (Telegram, Discord) ou se pedirem que você execute código de um repositório privado.
  • Proteja suas senhas com um gerenciador de senhas confiável e ative a autenticação multifatorial (preferindo o uso de aplicativo ou chave em vez de SMS) para qualquer conta importante ou confidencial.
  • Use uma solução antimalware atualizada e em tempo real para bloquear, detectar e remover ameaças como o Omnistealer.
  • Não use seu perfil de usuário pessoal nem sua estação de trabalho principal como ambiente de teste para projetos aleatórios no GitHub ou trabalhos paralelos. Em vez disso, use uma máquina virtual ou um sistema separado.
  • Fique atento às suas contas de criptomoedas e bancárias para detectar acessos ou saques inexplicáveis e transfira os fundos para novas carteiras caso suspeite de algum problema de segurança.

Vamos ser sinceros: uma janela anônima tem suas limitações.

Violações de dados, comércio na dark web, fraudes de crédito. Malwarebytes Identity Theft monitora tudo isso, avisa você rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
Logotipo do JDownloader

Os invasores substituíram os downloads do instalador do JDownloader por malware

Maio 15, 2026

O site do JDownloader foi invadido e os links para download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade no chat

Maio 15, 2026

O WhatsApp agora oferece conversas com IA que desaparecem, e a Meta afirma que não consegue lê-las. Já Instagram remover o recurso que impedia a Meta de ler suas mensagens.

Privacy
Logotipo do Yahoo Mail

Por que Malwarebytes alguns redirecionamentos do Yahoo Mail

Maio 14, 2026

Alguns usuários do Yahoo Mail podem receber Malwarebytes repetidos Malwarebytes devido a conexões em segundo plano com domínios de terceiros suspeitos. Veja o motivo.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes