No comunicado à imprensa “Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code”, divulgado em 21 de abril de 2026 pela Bybit via PR Newswire, fomos informados pela empresa de que a manchete e o 9º parágrafo foram atualizados. A versão completa e corrigida segue abaixo:
Equipe de Segurança da Bybit, potencializada por IA, descobre campanha de malware para macOS visando usuários que buscam Claude Code
DUBAI, EAU, 21 de abril de 2026 /PRNewswire/ -- Bybit, a segunda maior exchange de criptomoedas do mundo em volume de negociação, informou que seu Centro de Operações de Segurança (SOC) divulgou descobertas detalhando uma sofisticada campanha de malware de múltiplas etapas, destinada a usuários de macOS que buscam por “Claude Code”, uma ferramenta de desenvolvimento com tecnologia de IA da Anthropic.
O relatório marca uma das primeiras divulgações conhecidas por uma exchange centralizada de criptomoedas (CEX) de uma campanha de ameaça ativa que tem como alvo desenvolvedores por meio de canais de descoberta de ferramentas de IA, destacando o papel crescente do setor na linha de frente da inteligência em cibersegurança.
Identificada pela primeira vez em março de 2026, a campanha utilizou envenenamento de SEO (search engine optimization) para elevar um domínio malicioso ao topo dos resultados de busca do Google. Os usuários eram redirecionados para uma página de instalação falsa, projetada para se assemelhar de perto à documentação legítima, desencadeando uma cadeia de ataque em duas etapas, focada em roubo de credenciais, direcionamento a criptoativos e acesso persistente ao sistema.
A carga útil inicial, entregue por meio de um dropper Mach-O, implantou um infostealer baseado em osascript que apresentava características semelhantes a variantes conhecidas de AMOS e Banshee. Ele executou uma sequência de ofuscação em múltiplas fases para extrair dados sensíveis, incluindo credenciais de navegador, entradas do macOS Keychain, sessões do Telegram, perfis de VPN e informações de carteiras de criptomoedas. Pesquisadores da Bybit identificaram tentativas de acesso direcionado a mais de 250 extensões de carteiras baseadas em navegador e a múltiplas aplicações de carteiras desktop.
Uma carga útil de segunda etapa introduziu uma backdoor baseada em C++ com capacidades avançadas de evasão, incluindo detecção de sandbox e configurações de tempo de execução criptografadas. O malware estabeleceu persistência por meio de agentes em nível de sistema e habilitou a execução remota de comandos via polling baseado em HTTP, concedendo aos invasores controle contínuo sobre os dispositivos comprometidos.
O SOC da Bybit utilizou fluxos de trabalho assistidos por IA em todo o ciclo de vida da análise de malware, acelerando significativamente o tempo de resposta, mantendo ao mesmo tempo a profundidade analítica. A triagem inicial e a classificação da amostra Mach-O foram concluídas em minutos, com modelos sinalizando semelhanças comportamentais com famílias de malware conhecidas.
A engenharia reversa assistida por IA e a análise de fluxo de controle reduziram o tempo necessário para inspeção profunda da backdoor de segunda etapa de uma estimativa de seis a oito horas para menos de 40 minutos. Ao mesmo tempo, pipelines automáticos de extração identificaram indicadores de comprometimento (IOCs) – incluindo infraestrutura de comando e controle, assinaturas de arquivos e padrões comportamentais – e os mapearam para estruturas de ameaças estabelecidas.
Essas capacidades permitiram a implementação de medidas de detecção no mesmo dia. A geração de regras assistida por IA apoiou a criação de assinaturas de ameaças e regras de detecção em endpoints, que foram validadas por analistas antes de serem colocadas em produção. Rascunhos de relatórios gerados por IA reduziram ainda mais o tempo de entrega, permitindo que os produtos de inteligência de ameaças fossem finalizados aproximadamente 70% mais rápido do que em fluxos de trabalho tradicionais.
“Como uma das primeiras exchanges de criptomoedas a documentar publicamente esse tipo de campanha de malware, acreditamos que compartilhar essas descobertas é fundamental para fortalecer a defesa coletiva em todo o setor”, disse David Zong, Head of Group Risk Control and Security na Bybit. “Nosso SOC assistido por IA nos permite passar da detecção para visibilidade completa da kill chain dentro de uma única janela operacional. O que antes exigia uma equipe de analistas trabalhando em vários turnos – descompilação, extração de IOCs, redação de relatórios, criação de regras – foi concluído em uma única sessão, com a IA fazendo o trabalho pesado e nossos analistas fornecendo julgamento e validação. Olhando para o futuro, enfrentaremos uma guerra de IA. Usar IA para defender contra IA é uma tendência inevitável. A Bybit aumentará ainda mais seu investimento em IA para segurança, alcançando detecção de ameaças em nível de minutos e resposta de emergência automatizada e inteligente.”
A investigação também revelou táticas de engenharia social, incluindo prompts falsos de senha do macOS usados para validar e armazenar em cache credenciais de usuários. Em alguns casos, os invasores tentaram substituir aplicações legítimas de carteiras de criptomoedas, como Ledger Live e Trezor Suite, por versões trojanizadas hospedadas em infraestrutura maliciosa.
O malware teve como alvo uma ampla gama de ambientes, incluindo navegadores baseados em Chromium, variantes do Firefox, dados do Safari, Apple Notes e diretórios de arquivos locais comumente usados para armazenar dados financeiros ou de autenticação sensíveis.
A Bybit identificou múltiplos domínios e endpoints de comando e controle associados à campanha, todos desativados para divulgação pública. A análise indica que os invasores confiaram em polling HTTP intermitente em vez de conexões persistentes, tornando a detecção mais desafiadora.
O incidente reflete uma tendência crescente de invasores que miram desenvolvedores por meio de resultados de busca manipulados, especialmente à medida que ferramentas de IA ganham adoção mainstream. Desenvolvedores continuam sendo alvos de alto valor devido ao seu acesso a bases de código, infraestrutura e sistemas financeiros.
A Bybit confirmou que a infraestrutura maliciosa foi identificada em 12 de março, com análise completa, mitigação e medidas de detecção concluídas no mesmo dia. A divulgação pública ocorreu em 20 de março, juntamente com orientações detalhadas de detecção.
#Bybit / #CryptoArk / #NewFinancialPlatform
Sobre a Bybit
A Bybit é a segunda maior exchange de criptomoedas do mundo em volume de negociação, atendendo a uma comunidade global de mais de 80 milhões de usuários. Fundada em 2018, a Bybit está redefinindo a abertura no mundo descentralizado ao criar um ecossistema mais simples, aberto e igualitário para todos. Com forte foco em Web3, a Bybit firma parcerias estratégicas com protocolos líderes de blockchain para fornecer infraestrutura robusta e impulsionar a inovação on-chain. Reconhecida por sua custódia segura, diversos marketplaces, experiência de usuário intuitiva e ferramentas avançadas de blockchain, a Bybit faz a ponte entre TradFi e DeFi, capacitando builders, criadores e entusiastas a desbloquearem todo o potencial da Web3. Descubra o futuro das finanças descentralizadas em Bybit.com.
Para mais detalhes sobre a Bybit, visite Bybit Press
Para solicitações da mídia, entre em contato: [email protected]
Para atualizações, siga: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
