Bybit, a segunda maior bolsa de criptomoedas do mundo por volume de negociação, relatou que seu Centro de Operações de Segurança (SOC) divulgou descobertas detalhando uma campanha de malware sofisticada e em múltiplos estágios que tem como alvo usuários de macOS que buscam por “Claude Code”, uma ferramenta de desenvolvimento com IA da Anthropic.
O relatório marca uma das primeiras divulgações conhecidas por uma bolsa de criptomoedas centralizada (CEX) de uma campanha de ameaça ativa direcionada a desenvolvedores por meio de canais de descoberta de ferramentas de IA, ressaltando o papel crescente do setor na linha de frente da inteligência em cibersegurança.
Identificada pela primeira vez em março de 2026, a campanha utilizou envenenamento de otimização de mecanismos de busca (SEO) para elevar um domínio malicioso ao topo dos resultados de pesquisa do Google. Os usuários eram redirecionados para uma página de instalação falsificada, projetada para se assemelhar de perto à documentação legítima, acionando uma cadeia de ataque em duas etapas focada em coleta de credenciais, roubo de criptoativos e acesso persistente ao sistema.
A carga inicial, entregue por meio de um dropper Mach-O, implantou um infostealer baseado em osascript que apresentava características semelhantes a variantes conhecidas do AMOS e Banshee. Ele executou uma sequência de ofuscação em múltiplas fases para extrair dados sensíveis, incluindo credenciais de navegador, entradas do Chaveiro do macOS, sessões do Telegram, perfis de VPN e informações de carteiras de criptomoedas. Pesquisadores da Bybit identificaram tentativas de acesso direcionado a mais de 250 extensões de carteiras baseadas em navegador e a múltiplos aplicativos de carteira para desktop.
Uma carga útil de segunda fase introduziu uma backdoor em C++ com capacidades avançadas de evasão, incluindo detecção de sandbox e configurações de tempo de execução criptografadas. O malware estabeleceu persistência por meio de agentes em nível de sistema e habilitou a execução remota de comandos via polling baseado em HTTP, concedendo aos atacantes controle contínuo sobre os dispositivos comprometidos.
O SOC da Bybit utilizou fluxos de trabalho com assistência de IA em todo o ciclo de vida de análise de malware, acelerando significativamente o tempo de resposta sem perder profundidade analítica. A triagem inicial e a classificação da amostra Mach-O foram concluídas em minutos, com modelos sinalizando semelhanças comportamentais com famílias de malware conhecidas.
A engenharia reversa assistida por IA e a análise de fluxo de controle reduziram o tempo necessário para a inspeção profunda da backdoor de segunda fase de uma estimativa de seis a oito horas para menos de 40 minutos. Ao mesmo tempo, pipelines automatizados de extração identificaram indicadores de comprometimento (IOCs) – incluindo infraestrutura de comando e controle, assinaturas de arquivos e padrões comportamentais – e os mapearam para frameworks de ameaças estabelecidos.
Essas capacidades permitiram a implementação de medidas de detecção no mesmo dia. A geração de regras assistida por IA apoiou a criação de assinaturas de ameaças e regras de detecção em endpoints, que os analistas validaram antes de serem aplicadas em ambientes de produção. Rascunhos de relatórios gerados por IA reduziram ainda mais o tempo de resposta, permitindo que produtos de inteligência de ameaças fossem finalizados aproximadamente 70% mais rápido do que em fluxos de trabalho tradicionais.
"Como uma das primeiras bolsas de cripto a documentar publicamente esse tipo de campanha de malware, acreditamos que compartilhar essas descobertas é fundamental para fortalecer a defesa coletiva em todo o setor", disse David Zong, Head of Group Risk Control and Security na Bybit. "Nosso SOC com apoio de IA nos permite passar da detecção para a visibilidade completa da kill chain em uma única janela operacional. O que antes exigia uma equipe de analistas trabalhando em vários turnos – descompilação, extração de IOCs, elaboração de relatórios, criação de regras – foi concluído em uma única sessão, com a IA realizando o trabalho pesado e nossos analistas fornecendo julgamento e validação."
A investigação também revelou táticas de engenharia social, incluindo falsos prompts de senha do macOS usados para validar e armazenar em cache as credenciais dos usuários. Em alguns casos, os invasores tentaram substituir aplicativos legítimos de carteiras de criptomoedas, como Ledger Live e Trezor Suite, por versões trojanizadas hospedadas em infraestrutura maliciosa.
O malware teve como alvo uma ampla gama de ambientes, incluindo navegadores baseados em Chromium, variantes do Firefox, dados do Safari, Notas da Apple e diretórios de arquivos locais comumente usados para armazenar dados financeiros ou de autenticação sensíveis.
A Bybit identificou múltiplos domínios e endpoints de comando e controle associados à campanha, todos desativados para divulgação pública. A análise indica que os atacantes confiaram em polling HTTP intermitente em vez de conexões persistentes, tornando a detecção mais desafiadora.
O incidente reflete uma tendência crescente de atacantes que miram desenvolvedores por meio de resultados de busca manipulados, particularmente à medida que ferramentas de IA ganham adoção em massa. Desenvolvedores continuam sendo alvos de alto valor devido ao acesso que possuem a bases de código, infraestrutura e sistemas financeiros.
A Bybit confirmou que a infraestrutura maliciosa foi identificada em 12 de março, com análise completa, mitigação e medidas de detecção concluídas no mesmo dia. A divulgação pública ocorreu em 20 de março, acompanhada de orientações detalhadas de detecção.
#Bybit / #CryptoArk / #NewFinancialPlatform
Sobre a Bybit
A Bybit é a segunda maior bolsa de criptomoedas do mundo por volume de negociação, atendendo uma comunidade global de mais de 80 milhões de usuários. Fundada em 2018, a Bybit está redefinindo a abertura no mundo descentralizado ao criar um ecossistema mais simples, aberto e igual para todos. Com forte foco em Web3, a Bybit faz parcerias estratégicas com protocolos de blockchain líderes para fornecer infraestrutura robusta e impulsionar a inovação on-chain. Reconhecida por sua custódia segura, mercados diversificados, experiência de usuário intuitiva e ferramentas avançadas de blockchain, a Bybit faz a ponte entre TradFi e DeFi, capacitando builders, criadores e entusiastas a liberar todo o potencial da Web3. Descubra o futuro das finanças descentralizadas em Bybit.com.
Para mais detalhes sobre a Bybit, visite Bybit Press
Para solicitações da imprensa, entre em contato: [email protected]
Para atualizações, siga: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
