Bybit, a segunda maior corretora de criptomoedas do mundo em volume de negociação, informou que seu Security Operations Center (SOC) divulgou conclusões detalhando uma sofisticada campanha de malware em múltiplas etapas direcionada a usuários de macOS que buscam por “Claude Code”, uma ferramenta de desenvolvimento com IA da Anthropic.
O relatório marca uma das primeiras divulgações conhecidas por uma exchange cripto centralizada (CEX) de uma campanha de ameaça ativa voltada a desenvolvedores por meio de canais de descoberta de ferramentas de IA, ressaltando o papel crescente do setor na linha de frente da inteligência em cibersegurança.
Identificada pela primeira vez em março de 2026, a campanha utilizou envenenamento de otimização para mecanismos de busca (SEO) para elevar um domínio malicioso ao topo dos resultados de pesquisa do Google. Os usuários eram redirecionados para uma página de instalação falsa, projetada para se assemelhar de perto à documentação legítima, desencadeando uma cadeia de ataque em duas etapas focada em coleta de credenciais, direcionamento a criptoativos e acesso persistente ao sistema.
A carga útil inicial, entregue por meio de um dropper Mach-O, implantou um infostealer baseado em osascript exibindo características semelhantes a variantes conhecidas do AMOS e Banshee. Ele executou uma sequência de ofuscação em múltiplas fases para extrair dados sensíveis, incluindo credenciais de navegador, entradas do macOS Keychain, sessões do Telegram, perfis de VPN e informações de carteiras de criptomoedas. Pesquisadores da Bybit identificaram tentativas de acesso direcionado a mais de 250 extensões de carteiras baseadas em navegador e a múltiplos aplicativos de carteira para desktop.
Uma carga útil de segunda etapa introduziu uma backdoor em C++ com capacidades avançadas de evasão, incluindo detecção de sandbox e configurações de runtime criptografadas. O malware estabeleceu persistência por meio de agentes em nível de sistema e habilitou execução remota de comandos via polling baseado em HTTP, concedendo aos invasores controle contínuo sobre os dispositivos comprometidos.
O SOC da Bybit utilizou fluxos de trabalho assistidos por IA em todo o ciclo de vida da análise de malware, acelerando significativamente o tempo de resposta sem perder profundidade analítica. A triagem inicial e a classificação da amostra Mach-O foram concluídas em poucos minutos, com modelos sinalizando semelhanças comportamentais com famílias de malware conhecidas.
Engenharia reversa assistida por IA e análise de fluxo de controle reduziram o tempo necessário para inspeção profunda da backdoor de segunda etapa de uma estimativa de seis a oito horas para menos de 40 minutos. Ao mesmo tempo, pipelines automatizados de extração identificaram indicadores de comprometimento (IOCs) – incluindo infraestrutura de comando e controle, assinaturas de arquivos e padrões comportamentais – e os mapearam para frameworks de ameaça estabelecidos.
Essas capacidades possibilitaram a implantação de medidas de detecção no mesmo dia. A geração de regras assistida por IA apoiou a criação de assinaturas de ameaça e regras de detecção em endpoint, que os analistas validaram antes de serem aplicadas em ambientes de produção. Rascunhos de relatórios gerados por IA reduziram ainda mais o tempo de entrega, permitindo que os produtos de inteligência de ameaças fossem finalizados aproximadamente 70% mais rápido do que em fluxos de trabalho tradicionais.
“Como uma das primeiras corretoras cripto a documentar publicamente esse tipo de campanha de malware, acreditamos que compartilhar essas descobertas é fundamental para fortalecer a defesa coletiva em todo o setor”, disse David Zong, Head of Group Risk Control and Security na Bybit. “Nosso SOC assistido por IA nos permite passar da detecção para a visibilidade completa da kill chain dentro de uma única janela operacional. O que antes exigia uma equipe de analistas trabalhando em vários turnos – descompilação, extração de IOCs, elaboração de relatórios, escrita de regras – foi concluído em uma única sessão, com a IA realizando o trabalho pesado e nossos analistas fornecendo julgamento e validação.”
A investigação também revelou táticas de engenharia social, incluindo falsos prompts de senha do macOS usados para validar e armazenar em cache credenciais de usuários. Em alguns casos, invasores tentaram substituir aplicativos legítimos de carteiras de criptomoedas, como Ledger Live e Trezor Suite, por versões trojanizadas hospedadas em infraestrutura maliciosa.
O malware teve como alvo uma ampla gama de ambientes, incluindo navegadores baseados em Chromium, variantes do Firefox, dados do Safari, Apple Notes e diretórios de arquivos locais comumente usados para armazenar dados financeiros ou de autenticação sensíveis.
A Bybit identificou múltiplos domínios e endpoints de comando e controle associados à campanha, todos desativados para divulgação pública. A análise indica que os invasores confiaram em polling HTTP intermitente em vez de conexões persistentes, tornando a detecção mais desafiadora.
O incidente reflete uma tendência crescente de invasores visando desenvolvedores por meio de resultados de pesquisa manipulados, especialmente à medida que ferramentas de IA se tornam amplamente adotadas. Desenvolvedores continuam sendo alvos de alto valor devido ao seu acesso a bases de código, infraestrutura e sistemas financeiros.
A Bybit confirmou que a infraestrutura maliciosa foi identificada em 12 de março, com análise completa, mitigação e medidas de detecção concluídas no mesmo dia. A divulgação pública ocorreu em 20 de março, acompanhada de orientações detalhadas de detecção.
#Bybit / #CryptoArk / #NewFinancialPlatform
Sobre a Bybit
A Bybit é a segunda maior corretora de criptomoedas do mundo em volume de negociação, atendendo uma comunidade global de mais de 80 milhões de usuários. Fundada em 2018, a Bybit está redefinindo a abertura no mundo descentralizado ao criar um ecossistema mais simples, aberto e igualitário para todos. Com forte foco em Web3, a Bybit faz parcerias estratégicas com protocolos blockchain líderes para fornecer infraestrutura robusta e impulsionar a inovação on-chain. Reconhecida por sua custódia segura, mercados diversificados, experiência de usuário intuitiva e ferramentas avançadas de blockchain, a Bybit faz a ponte entre TradFi e DeFi, capacitando builders, criadores e entusiastas a desbloquear todo o potencial da Web3. Descubra o futuro das finanças descentralizadas em Bybit.com.
Para mais detalhes sobre a Bybit, visite Bybit Press
Para solicitações de mídia, entre em contato: [email protected]
Para atualizações, acompanhe: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
