Informações sobre ameaças

Site de comércio malicioso instala malware que entrega o seu navegador aos invasores

por Gabriele Orini | 22 de abril de 2026
O site TradingClaw lança o Needle Stealer
Adicionar como fonte preferencial no Google

Durante nossa investigação de ameaças, descobrimos uma campanha que utilizava o mesmo carregador de malware identificado em nossa pesquisa anterior para distribuir uma ameaça diferente: o Needle Stealer, um malware de roubo de dados projetado para coletar discretamente informações confidenciais de dispositivos infectados, incluindo dados do navegador, sessões de login e carteiras de criptomoedas.

Nesse caso, os invasores utilizaram um site que promovia uma ferramenta chamada TradingClaw (tradingclaw[.]pro), que se apresenta como um assistente baseado em IA para o TradingView.

O TradingView é uma plataforma legítima usada por traders para analisar os mercados financeiros, mas este site falso chamado TradingClaw não faz parte do TradingView, nem tem qualquer relação com a startup legítima tradingclaw.chat. Em vez disso, está sendo usado aqui como isca para induzir as pessoas a baixarem malware.

O que é o Needle Stealer?

O Needle é um programa modular de roubo de informações escrito em Golang. Em termos simples, isso significa que ele é construído em módulos, de modo que os invasores podem ativar ou desativar funcionalidades dependendo do que desejam roubar.

De acordo com seu painel de controle, o Needle inclui:

  • Needle Core: O componente principal, com recursos como captura de formulários (captura dos dados inseridos em sites) e sequestro da área de transferência
  • Módulo de extensão: controla navegadores, redireciona o tráfego, injeta scripts e substitui downloads
  • Spoofer de carteiras para desktop: tem como alvo aplicativos de carteiras de criptomoedas como Ledger, Trezor e Exodus
  • Falsificador de carteiras de navegador: tem como alvo carteiras baseadas em navegador, como MetaMask e Coinbase, incluindo tentativas de extrair frases-semente

O painel também exibe um recurso “em breve” para gerar páginas falsas no estilo do Google ou do Cloudflare, sugerindo que os invasores planejam adotar técnicas de phishing mais avançadas.

Painel do Ladrão de Agulhas
Painel do Ladrão de Agulhas

Neste artigo, analisamos a distribuição do stealer por meio de um site falso relacionado a um serviço de IA chamadoTradingClaw. Detectamos que o mesmo stealer também é distribuído por outros malwares, como Amadey, GCleaner e CountLoader/DeepLoad. 

Análise da campanha TradingClaw

Nesta campanha, o malware é distribuído por meio de um site falso que anuncia o TradingClaw como uma ferramenta de negociação baseada em IA.

Site malicioso TradingClaw
Site malicioso TradingClaw

O próprio site age de forma seletiva. Em alguns casos, os visitantes veem a página falsa do TradingClaw, enquanto em outros são redirecionados para um site diferente (studypages[.]com). Esse tipo de filtragem é comumente usado por invasores para evitar a detecção e mostrar o conteúdo malicioso apenas aos alvos pretendidos. Os mecanismos de busca, por exemplo, veem a versão do Studypages:

Página falsa do Studypages
Os resultados do Google mostram a página falsa do Studypages

Se o usuário continuar, será solicitado que ele baixe um arquivo ZIP. Esse arquivo contém a primeira etapa da cadeia de infecção.

Assim como na campanha anterior, o ataque se baseia em uma técnica chamada “sequestro de DLL”. Em termos simples, isso significa que o malware se disfarça como um arquivo legítimo que um programa confiável carregará automaticamente. Quando o programa é executado, ele acaba executando o código malicioso sem saber.

Nesse caso, o carregador de DLL (denominado iviewers.dll) é executado primeiro. Em seguida, ele carrega uma DLL de segunda fase, que, por fim, injeta o Needle Stealer em um Windows legítimo Windows (RegAsm.exe) utilizando uma técnica conhecida como “process hollowing”.

O Needle Stealer foi injetado no processo RegAsm.exe
O Needle Stealer foi injetado no processo RegAsm.exe

O Stealer foi desenvolvido em Golang, e a maioria das funções está implementada no pacote “ext”. 

Parte do pacote “exe”
Parte do pacote “exe”

O que o malware faz

Depois de instalado, o módulo central Needle pode:

  • Faça capturas de tela do sistema infectado
  • Roubar dados do navegador, incluindo histórico, cookies e informações salvas
  • Extrair dados de aplicativos como o Telegram e clientes FTP
  • Recolher arquivos como documentos .txt e dados de carteiras
  • Roubar informações de carteiras de criptomoedas

Uma das características mais preocupantes é a sua capacidade de instalar extensões maliciosas no navegador.

Extensões maliciosas para navegadores

O programa malicioso também permite a distribuição de extensões de navegador maliciosas, oferecendo aos invasores uma forma eficaz de assumir o controle do navegador da vítima.

Identificamos várias variações dessas extensões, cada uma com estruturas de arquivo e componentes ligeiramente diferentes. Nos bastidores, o malware utiliza recursos integrados do Golang para descompactar um arquivo ZIP oculto (geralmente chamado de base.zip ou meta.zip) que contém os arquivos de extensão, juntamente com um arquivo de configuração (cfg.json).

Parcial cfg.json arquivo de configuração:

{
  "extension_host": {},
  "api_key": "…
  "server_url": "https://C2/api/v2",
  "self_destruct": true,
  "base_extension": true,
  "ext_manifest": {
    "account_extension_type": 0,
    "active_permissions": {
      "api": [
        "history",
        "notifications",
        "storage",
        "tabs",
        "webNavigation",
        "declarativeNetRequest",
        "scripting",
        "declarativeNetRequestWithHostAccess",
        "sidePanel"
      ],
      "explicit_host": [
        "<all_urls>"
      ],
      "manifest_permissions": [],
      "scriptable_host": [
        "<all_urls>"
      ]
    },
    "commands": {
      "_execute_action": {
        "was_assigned": true
      }
    }, 
…

Este arquivo de configuração é fundamental. Ele indica ao malware para onde enviar os dados roubados (o servidor de comando e controle), qual extensão maliciosa instalar e quais recursos ativar.

A extensão do programa malicioso é colocada em uma pasta aleatória no caminho %LOCALAPPDATA%\Packages\Extensions. A pasta contém três arquivos principais popup.jscontent.jse background.js.   

A extensão maliciosa foi instalada
A extensão maliciosa foi instalada

As extensões analisadas têm nomes relacionados ao Google.

A extensão maliciosa falsa no Edge
A extensão maliciosa falsa no Edge

O que as extensões maliciosas podem fazer

A extensão dá aos invasores controle quase total sobre o navegador, com recursos que vão muito além do malware comum.

É possível:

  • Conecte-se a um servidor remoto usando uma chave de API integrada e verifique regularmente se há instruções. Ele também pode alternar para domínios de backup caso o servidor principal fique offline.
  • Gere um ID exclusivo para acompanhar o usuário infectado ao longo do tempo.
  • Recolher todo o histórico de navegação e enviá-lo para um servidor remoto (/upload).
  • Monitore o que você está fazendo em tempo real, incluindo os sites que você visita, e aplique regras de redirecionamento controladas por invasores. Isso permite que ele o redirecione silenciosamente para diferentes sites ou altere o que você vê em uma página, incluindo a inserção ou ocultação de conteúdo.
  • Interceptam downloads, cancelam arquivos legítimos e os substituem por arquivos maliciosos provenientes de servidores controlados pelos invasores.
  • Injetar scripts diretamente em páginas da web, possibilitando o roubo ou a manipulação de dados.
  • Exibir notificações falsas do navegador com texto e imagens controlados pelo invasor.

Como ele se comunica com os invasores

O programa malicioso e sua extensão se comunicam com servidores de comando e controle (C2) por meio de vários pontos de extremidade de API. Esses são, essencialmente, diferentes “canais” utilizados para tarefas específicas:

  • /backup-domains/active—recorre a servidores de backup para manter a conexão caso o servidor principal esteja bloqueado
  • /upload—envia os dados roubados de volta aos invasores
  • /extension—recebe instruções para redirecionamentos, downloads e notificações
  • /scripts—baixa código malicioso para injetar em páginas da web

Como se manter seguro

Os golpistas estão cada vez mais usando ferramentas relacionadas à IA para fazer com que sites falsos pareçam legítimos. Neste caso, um suposto “assistente de negociação com IA” foi usado para induzir as pessoas a instalar malware.

Para reduzir o risco:

  • Baixe software apenas de sites oficiais. Se uma ferramenta alegar ser compatível com uma plataforma conhecida, verifique o site oficial da plataforma para confirmar se é verdadeira.
  • Verifique quem criou o arquivo antes de executá-lo. Observe o nome do editor e evite qualquer coisa que pareça desconhecida ou inconsistente.
  • Verifique regularmente as extensões do seu navegador. Remova tudo o que você não reconhecer, especialmente as extensões que não instalou conscientemente.

O que fazer se você acredita ter sido afetado

Se você acha que pode ter baixado esse programa de roubo de informações:

  • Verifique os registros do EDR e do firewall para identificar comunicações com os servidores C2 listados na seção de IOCs.
  • Em um dispositivo diferente e limpo, saia de todas as sessões ativas nas suas contas importantes: Google, Microsoft 365, qualquer portal bancário, GitHub, Discord, Telegram, Steam e sua plataforma de criptomoedas. Altere todas as senhas e ative a autenticação de dois fatores (2FA) nas contas às quais você acessou a partir deste computador.
  • Verifique a pasta %LOCALAPPDATA%\Packages\Extensions e extensões de navegador suspeitas.
  • Se você tiver carteiras de criptomoedas nesse computador, transfira os fundos para um dispositivo não comprometido imediatamente. É isso que esses criminosos exploram primeiro.
  • Execute uma verificação completa com Malwarebytes.

Indicadores de Compromisso (IOCs)

HASH

95dcac62fc15e99d112d812f7687292e34de0e8e0a39e4f12082f726fa1b50ed

0d10a6472facabf7d7a8cfd2492fc990b890754c3d90888ef9fe5b2d2cca41c0

Domínios

Tradingclaw[.]pro: site falso

Chrocustumapp[.]com: relacionado a uma extensão maliciosa

Chrocustomreversal[.]com: relacionado a uma extensão maliciosa

google-services[.]cc: relacionado ao CountLoader/DeepLoad

Coretest[.]digital: Painel C2

Reisen[.]work: Painel C2

IPs

178[.]16[.]55[.]234: Painel C2

185[.]11[.]61[.]149: Painel C2

37[.]221[.]66[.]27: Painel C2

2[.]56[.]179[.]16: Painel C2

178[.]16[.]54[.]109: Painel C2

37[.]221[.]66[.]27: Painel C2

209[.]17[.]118[.]17: Painel C2

162[.]216[.]5[.]130: Painel C2

Atualização do pesquisador, 28 de abril de 2026

Atualizado para especificar a família do malware: CountLoader/DeepLoad.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Gabriele Orini

Gabriele é um engenheiro de pesquisa de malware que adora combater malware. Quando não está fazendo isso, você o encontrará curtindo a natureza, a arte e os animais.

ÚLTIMOS ARTIGOS

IA
mensagens seguras e e-mails perdidos

IA: ameaça, ferramenta ou ambos?

Junho 5, 2026

A preocupação da população com a IA está aumentando. Analisamos o que está por trás disso e por que a segurança cibernética ocupa um lugar especial nesse debate.

Golpes
phishing em grande escala

Os programas de roubo de informações estão se tornando a carga útil preferida para ataques de phishing

Junho 3, 2026

Os cibercriminosos preferem os infostealers às técnicas tradicionais de phishing porque reduzem o atrito, são facilmente escaláveis e estão amplamente disponíveis.

Celular
Celular

Alerta falsos de vírus estão invadindo os jogos para celular

Junho 2, 2026

"Seu dispositivo está infectado!" Avisos falsos sobre contas e alertas de vírus estão transformando alguns anúncios dentro dos jogos em armadilhas de malware.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes