O Netskope Threat Labs identificou uma campanha de cibercrime que mostra como operações criminosas digitais estão mais sofisticadas e estruturadas, incluindo o uso de um subdomínio brasileiro aparentemente comprometido na infraestrutura da campanha. O ataque usa um instalador falso do OpenClaw para roubo de informações por meio de um malware chamado Hologram, criado para capturar senhas, cookies de sessão, carteiras digitais, gerenciadores de senha e dados de autenticação.
Projeto de software do crime
O caso vai além de um golpe comum de download falso. Segundo a análise, os criminosos operam com uma estrutura semelhante à de um projeto de software, incluindo componentes modulares, atualização remota de alvos, uso de serviços legítimos para comunicação e mecanismos para dificultar a análise por ferramentas de segurança. Trata-se de uma operação desenhada para escalar, se adaptar e permanecer ativa mesmo diante de bloqueios.
Infraestrutura brasileira na cadeia de ataque
Um dos pontos de maior atenção é o uso de uma infraestrutura aparentemente legítima para dar suporte à campanha. A Netskope identificou que uma das camadas da operação utilizava um subdomínio associado a um domínio brasileiro, com terminação [.adv.br], comum em sites de escritórios de advocacia. Isso sugere que o domínio legítimo pode ter sido explorado por terceiros maliciosos, e não que a organização tenha participado intencionalmente da campanha.
Esse detalhe é relevante porque mostra como a infraestrutura brasileira também pode ser explorada em campanhas globais de cibercrime. Para empresas e usuários, o risco não está apenas em sites desconhecidos ou domínios claramente suspeitos. Páginas legítimas comprometidas podem ser usadas como parte da cadeia de ataque, servindo para redirecionamento, hospedagem ou comunicação com componentes maliciosos.
Serviços legítimos ajudam a camuflar a operação
A campanha também chama atenção pelo uso de serviços conhecidos, como Telegram, Azure DevOps e Hookdeck, para apoiar a operação criminosa. Essa técnica torna a detecção mais difícil, porque parte da comunicação maliciosa pode se misturar ao tráfego normal de ferramentas usadas no dia a dia nas empresas.
Na prática, o falso instalador tenta identificar se está sendo executado em um computador real ou em um ambiente usado por pesquisadores de segurança para análise de malware. Para isso, procura sinais de sandboxes e máquinas virtuais e, em alguns casos, aguarda interações humanas, como o movimento do mouse, antes de avançar. O objetivo é evitar detecção precoce e dificultar a análise automatizada da ameaça.
Navegador virou alvo estratégico para roubo de credenciais
O malware mira centenas de extensões de navegador, incluindo carteiras de criptoativos, autenticadores e gerenciadores de senha. Isso reforça como o navegador se tornou um dos principais cofres da vida digital, concentrando acessos pessoais, profissionais e financeiros.
O cibercrime está mais sofisticado, modular e difícil de rastrear
O alerta para o público mais amplo é que o cibercrime já não depende apenas de golpes simples. Hoje, muitas campanhas combinam engenharia social, infraestrutura distribuída, abuso de serviços legítimos e automação. Por isso, medidas cada vez mais essenciais incluem baixar softwares apenas de fontes oficiais, desconfiar de links compartilhados fora dos canais conhecidos e adotar defesas capazes de identificar comportamento suspeito.
Mais do que um episódio isolado, o caso mostra que os criminosos estão operando com mais sofisticação, velocidade e capacidade de adaptação. A presença de um subdomínio brasileiro na infraestrutura da campanha também reforça que organizações locais podem ter seus ambientes explorados por criminosos em operações internacionais, mesmo sem participação direta nos ataques.
Mais detalhes técnicos sobre a campanha estão disponíveis em https://www.netskope.com/pt/blog/openclaw-hologram-fake-installer-ships-rust-infostealer





