Notícias

O Omnistealer utiliza a blockchain para roubar tudo o que puder

por Pieter Arntz | 14 de abril de 2026
roubar tudo

Um novo programa de roubo de informações, apelidado de Omnistealer, está a transformar a blockchain numa plataforma permanente de alojamento de malware, o que constitui uma má notícia tanto para as empresas como para os utilizadores comuns.

É bastante comum que o malware armazene a sua carga maliciosa numa plataforma pública, de preferência uma que confira alguma credibilidade ao local de download, como o Google Docs, o OneDrive, o GitHub, o npm, o PyPI e assim por diante.

O problema para os distribuidores de malware é que estes podem ser removidos. Por vezes, pode demorar algum tempo e dar muito trabalho, mas é possível. O Omnistealer contorna esta situação armazenando o seu código de preparação dentro de transações em blockchains públicas como a TRON, a Aptos e a Binance Smart Chain.

Algumas transações em blockchain permitem pequenos fragmentos de dados arbitrários (notas, metadados, entradas de contratos inteligentes) e, em vez de algo inofensivo, os atacantes inserem:

  • Texto encriptado
  • Comandos codificados
  • Fragmentos de código de malware

E como as cadeias de blocos são de gravação apenas, esses fragmentos maliciosos tornam-se efetivamente impossíveis de apagar assim que são incluídos num bloco. É possível revogar domínios e retirar repositórios do GitHub, mas não é possível reverter a TRON ou a BSC apenas para remover algumas centenas de bytes de código de preparação de malware.

Isso transforma os registos públicos numa infraestrutura de comando e controlo resiliente e resistente à censura, que os defensores não conseguem simplesmente derrubar.

Apesar da ligação óbvia às criptomoedas, o Omnistealer não se limita a roubar investidores em criptomoedas. Assim que o Omnistealer se instala num sistema, tem como alvo:

  • Mais de 10 gestores de palavras-passe, incluindo ferramentas para o público em geral sincronizadas na nuvem, como o LastPass.
  • Os principais navegadores, como Chrome o Firefox, recolhem dados de login e de sessão guardados.
  • Contas de armazenamento na nuvem, incluindo credenciais do Google Drive.
  • Mais de 60 carteiras de criptomoedas baseadas no navegador, incluindo extensões populares como a MetaMask e a Coinbase Wallet.

 Foi concebido para ser um aspirador de dados multifuncional que, segundo os investigadores, irá «roubar literalmente tudo».

O ataque começa normalmente com um trabalho de programação «simples»: um colaborador externo recebe uma oferta LinkedIn no Upwork, acede a um repositório do GitHub e executa o que parece ser código normal de projeto. Nos bastidores, esse código estabelece ligação à blockchain, lê os dados da transação e utiliza-os como um indicador para recuperar e descodificar a carga útil final.

Os investigadores estimam que cerca de 300 000 credenciais já tenham sido comprometidas, abrangendo desde plataformas da indústria para adultos e serviços de entrega de comida até empresas de conformidade financeira, fornecedores do setor da defesa e entidades governamentais dos EUA. 

O que pode fazer 

Não é possível eliminar malware da blockchain, mas pode tornar muito mais difícil que campanhas como esta o afetem. Em primeiro lugar, reduza o que está disponível para ser roubado. Depois, proteja melhor as suas informações.

  • Considere o «emprego de sonho» e as ofertas de contrato não solicitadas como suspeitas por defeito, especialmente se passarem rapidamente para conversas fora da plataforma (Telegram, Discord) ou se lhe pedirem para executar código a partir de um repositório privado.
  • Proteja as suas palavras-passe com um gestor de palavras-passe de confiança e ative a autenticação multifator (dando preferência a uma aplicação ou chave em vez de SMS) para qualquer conta importante ou sensível.
  • Utilize uma solução antimalware atualizada e em tempo real para bloquear, detetar e remover ameaças como o Omnistealer.
  • Não utilize o seu perfil de utilizador habitual nem a sua estação de trabalho principal como ambiente de teste para projetos aleatórios no GitHub ou trabalhos paralelos. Em vez disso, utilize uma máquina virtual ou um sistema separado.
  • Fique atento às suas contas de criptomoedas e bancárias para detectar eventuais inícios de sessão ou levantamentos inexplicáveis e transfira os fundos para novas carteiras se suspeitar de uma violação.

Sejamos realistas, uma janela de navegação anónima tem as suas limitações.

Violações de segurança, comércio na dark web, fraude de cartões de crédito. Malwarebytes Identity Theft monitoriza tudo isto, alerta-o rapidamente e inclui um seguro contra roubo de identidade. 

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Logótipo do JDownloader

Os atacantes substituíram os downloads do instalador do JDownloader por malware

maio 15, 2026

O site do JDownloader foi comprometido e os links de download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade nas conversas

maio 15, 2026

O WhatsApp oferece agora conversas com IA que desaparecem, que a Meta afirma não conseguir ler. Entretanto, Instagram remover a funcionalidade que impedia a Meta de ler as suas mensagens.

Privacy
Logótipo do Yahoo Mail

Por que é que Malwarebytes alguns redirecionamentos do Yahoo Mail

maio 14, 2026

Alguns utilizadores do Yahoo Mail poderão receber Malwarebytes repetidos Malwarebytes , causados por ligações em segundo plano a domínios de terceiros suspeitos. Eis o motivo.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes