Golpes, Inteligência de Ameaças

O site falso «Pudgy World» rouba as suas palavras-passe de criptomoedas

por Stefan Dasic | 17 de março de 2026
Site falso do Pudgy World

Um site de phishing que se faz passar pelo recém-lançado jogo para navegador «Pudgy World» está a visar utilizadores de criptomoedas com uma técnica que vai muito além de um logótipo convincente e de um esquema de cores semelhante.

O Pudgy World é um jogo gratuito para navegador baseado na marca de NFTs Pudgy Penguins. Os jogadores exploram um mundo virtual, personalizam avatares de pinguins e completam missões. No entanto, algumas funcionalidades estão associadas a colecionáveis digitais e itens do jogo armazenados em carteiras de criptomoedas.

Isso significa que o jogo oficial pede, por vezes, aos jogadores que liguem uma carteira de criptomoedas para verificar a propriedade de itens ou desbloquear funcionalidades adicionais. O site de phishing aproveita-se dessa etapa: quando um visitante seleciona a sua carteira neste site falso, este mostra o que parece ser o ecrã de desbloqueio da própria carteira. Para o utilizador, parece-se em tudo com o software da carteira de criptomoedas real em que já confia.

Site de phishing que se faz passar pelo site Pudgy World.
Site de phishing que se faz passar pelo site Pudgy World.

«Ligue a sua carteira para começar»

A marca Pudgy Penguins viveu uns meses extraordinários. O projeto de NFT de pinguins, revitalizado pelo CEO Luca Netz após a sua aquisição em 2022, construiu de forma consistente uma das histórias de crossover mais convincentes da Web3: peluches físicos nas prateleiras do Walmart e da Target, um jogo para dispositivos móveis chamado Pudgy Party que ultrapassou um milhão de downloads e um jogo para navegador chamado Pudgy World, que foi lançado a 10 de março de 2026 e ganhou imediatamente viralidade.

O jogo oficial pede aos jogadores que liguem uma carteira de criptomoedas para começarem a jogar. Essa frase: «Ligue a sua carteira para começar» aparece agora, literalmente, num site que não tem nada a ver com o Pudgy Penguins.

O domínio em questão é pudgypengu-gamegifts[.]live. Não está de forma alguma associado à Igloo Inc., a empresa responsável pelos Pudgy Penguins. O site reproduz a arte de fundo gelada do jogo oficial, o logótipo dos Pudgy Penguins e a paleta de cores azul e branca característica da marca com tanta fidelidade que um utilizador que chegasse ao site no meio da agitação do lançamento de um novo jogo não teria motivos óbvios para suspeitar de nada.

Onze carteiras, onze falsificações convincentes

Ao selecionar uma carteira aqui, é ativada a interface da carteira falsa.
Ao selecionar uma carteira aqui, é ativada a interface da carteira falsa.

Ao clicar no botão CONNECT, abre-se uma janela pop-up com tema escuro, concebida para se assemelhar ao kit de ligação Reown WalletConnect — a biblioteca de código aberto que o site oficial do Pudgy World utiliza para gerir as ligações às carteiras. A janela modal apresenta ainda os rótulos das separadores «reown» e «Manual Kit» na parte superior, tal como o componente original.

A seguir, encontra-se uma lista das carteiras compatíveis:

MetaMask (marcada como «RECOMENDADA»), Trust Wallet, Coinbase Wallet, Ledger, Trezor Wallet, Phantom Wallet, Rabby Wallet, OKX Wallet, Magic Eden, Solflare e Uniswap Wallet.

O ataque torna-se tecnicamente interessante na etapa seguinte.

A seleção de uma carteira de software não redireciona o utilizador para outra página nem abre um site externo. Em vez disso, a página apresenta uma sobreposição concebida para se assemelhar ao ecrã de desbloqueio da extensão do navegador da carteira. A sobreposição aparece na margem da janela do navegador, exatamente onde um pop-up de uma extensão real iria aparecer.

O funcionamento das carteiras de hardware é diferente. Ao selecionar a Trezor Wallet, abre-se uma caixa de diálogo no centro do ecrã que imita a interface do Trezor Connect, em vez de uma sobreposição num canto. Em ambos os casos, o resultado é que o utilizador pensa que está a ver o seu próprio software instalado, quando, na realidade, está a ver um elemento de uma página web controlado pelo atacante.

A falsificação fica exatamente onde ficaria a sua extensão verdadeira

Para cada carteira de extensão de navegador da lista, o site de phishing apresenta um ecrã de desbloqueio concebido para corresponder à identidade visual da extensão real, com o logótipo, o esquema de cores, a disposição dos botões e o texto corretos.

As imagens abaixo mostram as falsificações ao lado das extensões genuínas. As diferenças não são visíveis para quem não estiver atento a elas.

  • Extensão falsa
    Extensão falsa
  • Extensão real
    Extensão real
  • Extensão falsa
    Extensão falsa
  • Extensão real
    Extensão real

  • Site falso
    Extensão falsa
  • Extensão real
    Extensão real

Os utilizadores de carteiras de hardware não estão isentos, e o facto de a Trezor ter sido alvo deste ataque é particularmente revelador.

Os dispositivos Trezor são normalmente utilizados por pessoas que já estão no mundo das criptomoedas há tempo suficiente para investir em hardware de segurança específico. Por outras palavras, trata-se provavelmente de utilizadores com contas de valor mais elevado.

Ao selecionar a carteira Trezor no site de phishing, é exibida uma caixa de diálogo que imita fielmente a interface da ponte Trezor Connect. Ao mesmo tempo, o navegador exibe um aviso de permissão para um dispositivo USB nativo — a própria caixa de diálogo do sistema operativo, acionada por uma chamada à API WebUSB — com a mensagem «pudgypengu-gamegifts.live pretende estabelecer ligação».

O prompt exibe a mensagem «Não foram encontrados dispositivos compatíveis» se não estiver ligado nenhum Trezor, mas a sequência foi concebida para se assemelhar a um autêntico processo de reconhecimento de hardware.

Um utilizador que ligue o seu Trezor nesta altura e aprove a autorização USB terá concedido ao site de phishing acesso à ponte do dispositivo.

Para quem não tem um dispositivo à mão, a janela de diálogo oferece outra opção: «Utilizar um método de ligação alternativo». É provavelmente por esse caminho que se verificam os maiores riscos. Um utilizador que não consiga fazer funcionar o fluxo de hardware e recorra a uma opção manual está a um passo de ser solicitado a introduzir a sua frase-semente — a chave mestra para tudo o que se encontra na sua carteira — diretamente num campo controlado pelo atacante.

«Não foram encontrados dispositivos compatíveis.»

A página que finge não existir para os investigadores

A página de phishing é mais sofisticada do que parece à primeira vista.

Incorporado no site está um carregador de JavaScript ofuscado, cujo conteúdo real está comprimido e oculto por várias camadas de codificação, que realiza uma série de verificações antes de executar qualquer ação visível.

Em primeiro lugar, verifica se o navegador está a ser controlado por uma ferramenta automatizada do tipo que os investigadores de segurança e as sandboxes utilizam para analisar páginas suspeitas em massa. Se detetar uma, interrompe discretamente o processo e a página parece estar limpa.

Em seguida, lê o identificador do hardware gráfico para determinar se está a ser executado dentro de uma máquina virtual, que é outro ambiente de análise comum.

Só depois de se certificar de que se trata de um utilizador real é que solicita uma segunda carga útil, de maior dimensão, ao servidor do atacante. Essa carga útil contém o código responsável pelo roubo de credenciais.

Mesmo essa solicitação contém uma medida de segurança. Se a resposta do servidor for inferior a 500 KB (o tipo de resposta provisória que um fornecedor de segurança poderia enviar a um domínio malicioso conhecido), o carregador descarta-a e não faz nada.

A consequência prática de tudo isto é que as ferramentas de análise automatizada provavelmente classificarão a página inicial como inofensiva, uma vez que, na sua infraestrutura, ela se comporta como tal. A funcionalidade maliciosa nunca é carregada, a menos que o servidor do atacante decida que vale a pena atacar o visitante.

Por que é que esta campanha se dirige aos jogadores mais gordinhos?

O momento parece ter sido escolhido deliberadamente. O Pudgy World foi lançado a 10 de março de 2026, e a campanha de phishing parece ter estado ativa por volta dessa mesma altura. Os novos jogadores que chegam ao jogo pela primeira vez estão a passar por um processo de integração na Web3 que nunca tinham experimentado antes.

O passo legítimo «ligar a sua carteira» no site oficial leva os utilizadores a acreditar que este comportamento é normal. O site de phishing aproveita-se então dessa expectativa antes que a experiência possa pôr isso em causa.

A variedade de carteiras visadas também é significativa. A campanha praticamente não deixa nenhuma carteira de fora. Quer a vítima possua Ethereum, Solana ou ativos multicadeia, há uma falsificação convincente à sua espera. Criar 11 falsificações de interface de utilizador específicas para cada carteira não é uma tarefa trivial. Isto aponta para um agente malicioso com recursos consideráveis ou, mais provavelmente, para a reutilização de um kit de phishing comercial concebido precisamente para este tipo de ataque.

O que fazer se tiver sido afetado

As campanhas de phishing relacionadas com criptomoedas há muito que se baseiam em airdrops falsos e páginas falsas do MetaMask. Esta campanha destaca-se pela precisão com que imita o ecrã de desbloqueio de uma carteira, colocando o aviso exatamente onde um pop-up de extensão real apareceria e tirando partido da memória motora dos utilizadores.

O ataque aproveita-se também do lançamento do Pudgy World. À medida que os produtos Web3 alcançam públicos mais amplos, atraem atacantes que têm como alvo utilizadores pouco familiarizados com a segurança das carteiras.

Uma regra continua a aplicar-se: um site nunca pode mostrar o ecrã de desbloqueio com a extensão real do seu navegador.

  • Se introduziu a senha da sua MetaMask, Coinbase Wallet ou de qualquer outra carteira digital neste site, altere a sua senha imediatamente, desbloqueando a extensão normalmente e acedendo às Definições. Considere transferir os seus ativos para um novo endereço de carteira cuja frase-semente nunca tenha sido utilizada em nenhum site.
  • Se tiver aprovado o pedido de autorização do dispositivo USB para o Trezor, desligue o dispositivo e verifique o histórico de ligações do Trezor Suite. Uma ligação WebUSB, por si só, não expõe a sua frase de semente, mas pode permitir que uma página maliciosa comunique com a ponte. Revogue imediatamente a autorização nas definições do site do seu navegador.
  • Adicione o site oficial do Pudgy Penguins (pudgypenguins.com) e o URL oficial do jogo aos seus favoritos. Aceda diretamente a partir desses favoritos, nunca através de um link no Discord, Twitter ou numa mensagem direta.
  • Instale uma extensão do navegador que identifique domínios de phishing conhecidos antes de interagir com eles. Malwarebytes Browser Guard bloqueará este domínio.
  • Lembre-se desta regra: o ecrã de desbloqueio da sua carteira digital aparece sempre na barra na parte superior da janela, e não dentro do próprio conteúdo da página. Qualquer página que pareça apresentar o pedido de introdução da palavra-passe da sua carteira digital dentro do próprio conteúdo da página é um site de phishing.

Indicadores de compromisso (IOCs)

Domínios

  • pudgypengu-gamegifts[.]live

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Telemóvel
Um cavalo de Tróia sobre rodas invade o ecrã de um smartphone

O Google toma medidas contra Android que abusam das funcionalidades de acessibilidade

março 17, 2026

Há anos que o malware tem vindo a abusar das funcionalidades de acessibilidade Android. A Google acaba de tornar isso muito mais difícil.

Privacy
Sites comprometidos

Sites pirateados distribuem o Vidar, um programa de roubo de informações, aos Windows

março 16, 2026

Encontrámos páginas falsas do tipo «verifique se é humano» em sites WordPress pirateados que induzem Windows a instalar o programa de roubo de informações Vidar.

Insectos
Logótipo Chrome

[atualizado] A Google corrige duas Chrome que estavam a ser alvo de ataques

março 13, 2026

A Google lançou uma Chrome extraordinária Chrome para corrigir duas vulnerabilidades de dia zero que já estão a ser ativamente exploradas.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes