Uma nova onda de malware cripto está varrendo o mundo dos ativos digitais, e desta vez os atores são mais sábios e versáteis do que nunca. Na vanguarda da nova onda estão os Librarian Ghouls, um grupo de ameaça persistente avançada focado na Rússia (APT), e o Crocodilus, um ladrão multiplataforma com raízes em trojans bancários para Android.
“A mais recente campanha dos Ghouls Bibliotecários usa software legítimo como AnyDesk para ocultar mineradores de criptomoedas e keyloggers. Uma vez que estão dentro, são silenciosos—até à meia-noite.”
— Kaspersky Threat Intelligence ( 9 de junho de 2025 )
Ghouls Bibliotecários: O Malware "Legítimo"
Este grupo APT disfarça ataques como documentos de rotina (, por exemplo, ordens de pagamento ) em emails de phishing. Uma vez abertos, o seu malware:
Instala 4t Tray Minimizer para ocultar processos maliciosos.
Implementa AnyDesk para acesso remoto e XMRig para minerar Monero.
Rouba as credenciais da carteira de criptomoedas e as chaves de registro.
Novidade em 2025: Ativação à meia-noite — malware funciona apenas à noite para evitar deteção.
O ataque deles não é simplesmente um roubo à força bruta — em vez disso, eles reúnem especialização técnica com coação psicológica, atacando a cada passo do ciclo cripto.
Os Ghouls Bibliotecários também otimizaram o seu carregador para se disfarçar como aplicações comerciais legítimas, frequentemente implantando o seu malware em documentos que parecem ser inofensivos, como ordens de pagamento ou faturas. Quando a vítima executa o arquivo, os instaladores de malware instalam silenciosamente programas como 4t Tray Minimizer para cobrir os seus rastos e AnyDesk para controlo remoto.
Mas o que é mais exclusivo sobre esse grupo é que eles usam gatilhos baseados no tempo: o malware só é ativado à noite, diminuindo as chances de deteção pelas equipes de segurança durante o horário de trabalho. Ele faz isso usando uma estratégia noturna que permite roubar credenciais de carteira, minerar Monero usando XMRig e exfiltrar dados confidenciais sem serem detetados.
As vítimas podem nem perceber que algo está errado até semanas depois, quando as suas carteiras geralmente foram esvaziadas e os seus sistemas comprometidos além de uma simples restauração.
Crocodilus: O Coletor de Frases Semente
Originalmente um trojan bancário turco, Crocodilus agora visa usuários globais de cripto através de:
Aplicações falsas disfarçadas de Coinbase, MetaMask ou ferramentas de mineração.
Colhetores de frases-semente automatizados que digitalizam dispositivos em busca de dados de carteira.
Engenharia social através de contactos falsos de "Suporte Bancário" no seu telefone.
"O novo parser do Crocodilus extrai frases-semente com precisão cirúrgica. Um clique em um link X falso, e a sua carteira desapareceu."
— Equipa MTI da ThreatFabric ( 3 de junho de 2025 )
Crocodilus, por outro lado, evoluiu rapidamente de uma ameaça regional para uma global. Já não se limita ao Android, agora visa extensões de navegador maliciosas, aplicativos de desktop clonados e até bots do Telegram para expandir seu alcance. A característica mais mortal do malware é a sua capacidade de roubar frases-semente dos dados da área de transferência, capturas de tela e dados de preenchimento automático, às vezes até antes da vítima perceber que está sendo alvo.
Os agentes de ameaça começaram a oferecer acesso às carteiras comprometidas à venda em fóruns da darknet, estabelecendo um mercado negro próspero para ativos digitais roubados que está crescendo em tamanho e complexidade. Às vezes, o Crocodilus até envia mensagens de spam para números de "suporte" inocentes nos telefones das vítimas, enganando os usuários a fornecer informações sensíveis sob o pretexto de suporte técnico.
Códigos QR que ligam a contratos inteligentes que drenam carteiras.
Chats de suporte com deepfake de IA que imitam agentes reais.
Exemplo Real: Em maio de 2025, uma transmissão ao vivo de um deepfake "Elon Musk" incentivou os espectadores a escanear um código QR para um sorteio de "TeslaCoin". As vítimas perderam mais de 200 mil dólares em 30 minutos.
Uma das tendências mais ameaçadoras é o desenvolvimento de chats de suporte deepfake em tempo real. Os hackers usam avatares afetados pela IA para se passar por marcas ou influenciadores reconhecidos no X (Twitter), fornecendo "ajuda" autêntica e interativa que atrai as vítimas a compartilhar sua frase semente ou chave privada.
Os deepfakes são tão convincentes que até usuários experientes de criptomoedas foram apanhados neles, com os avatares imitando a voz, o tom e até a linguagem corporal de figuras reconhecidas na comunidade.
Em um dos casos mais notáveis, uma transmissão ao vivo "Elon Musk" deepfake no X anunciou um falso sorteio de TeslaCoin e teve centenas de milhares de dólares em perdas em poucos minutos.
Dicas de OPSEC: Como Permanecer Seguro
Do Guia de Quillaudits de 2025:
| Ação | Por Que É Importante |
| --- | --- |
| Use um dispositivo dedicado | Isolar a atividade cripto da navegação diária |
| Revogar aprovações | Malware não consegue drenar carteiras que você bloqueou |
| Evite Wi-Fi público | Crocodilus prospera em redes não seguras |
| Verifique os links X offline | Golpes de deepfake desaparecem quando verificados |
Para proteção contra tais ameaças, os usuários terão que utilizar uma abordagem OPSEC de várias camadas. Os especialistas recomendam o uso de carteiras de hardware para investimentos de alto valor, permitindo a autenticação de dois fatores e nunca compartilhando frases iniciais — nunca mesmo com supostos funcionários de suporte ou contas sociais legítimas.
Verificações regulares de aprovação de carteiras, manter o software atualizado e separar operações de criptomoeda em dispositivos de uso único também podem reduzir o risco. À medida que os atacantes se tornam cada vez mais inovadores e inventivos, a melhor defesa é permanecer bem informado e ser adequadamente cético.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
Consegue confiar que o seu Cripto está seguro enquanto dorme?
Uma nova onda de malware cripto está varrendo o mundo dos ativos digitais, e desta vez os atores são mais sábios e versáteis do que nunca. Na vanguarda da nova onda estão os Librarian Ghouls, um grupo de ameaça persistente avançada focado na Rússia (APT), e o Crocodilus, um ladrão multiplataforma com raízes em trojans bancários para Android.
Ghouls Bibliotecários: O Malware "Legítimo"
Este grupo APT disfarça ataques como documentos de rotina (, por exemplo, ordens de pagamento ) em emails de phishing. Uma vez abertos, o seu malware:
Novidade em 2025: Ativação à meia-noite — malware funciona apenas à noite para evitar deteção.
O ataque deles não é simplesmente um roubo à força bruta — em vez disso, eles reúnem especialização técnica com coação psicológica, atacando a cada passo do ciclo cripto.
Os Ghouls Bibliotecários também otimizaram o seu carregador para se disfarçar como aplicações comerciais legítimas, frequentemente implantando o seu malware em documentos que parecem ser inofensivos, como ordens de pagamento ou faturas. Quando a vítima executa o arquivo, os instaladores de malware instalam silenciosamente programas como 4t Tray Minimizer para cobrir os seus rastos e AnyDesk para controlo remoto.
Mas o que é mais exclusivo sobre esse grupo é que eles usam gatilhos baseados no tempo: o malware só é ativado à noite, diminuindo as chances de deteção pelas equipes de segurança durante o horário de trabalho. Ele faz isso usando uma estratégia noturna que permite roubar credenciais de carteira, minerar Monero usando XMRig e exfiltrar dados confidenciais sem serem detetados.
As vítimas podem nem perceber que algo está errado até semanas depois, quando as suas carteiras geralmente foram esvaziadas e os seus sistemas comprometidos além de uma simples restauração.
Crocodilus: O Coletor de Frases Semente
Originalmente um trojan bancário turco, Crocodilus agora visa usuários globais de cripto através de:
Crocodilus, por outro lado, evoluiu rapidamente de uma ameaça regional para uma global. Já não se limita ao Android, agora visa extensões de navegador maliciosas, aplicativos de desktop clonados e até bots do Telegram para expandir seu alcance. A característica mais mortal do malware é a sua capacidade de roubar frases-semente dos dados da área de transferência, capturas de tela e dados de preenchimento automático, às vezes até antes da vítima perceber que está sendo alvo.
Os agentes de ameaça começaram a oferecer acesso às carteiras comprometidas à venda em fóruns da darknet, estabelecendo um mercado negro próspero para ativos digitais roubados que está crescendo em tamanho e complexidade. Às vezes, o Crocodilus até envia mensagens de spam para números de "suporte" inocentes nos telefones das vítimas, enganando os usuários a fornecer informações sensíveis sob o pretexto de suporte técnico.
Links Falsos X: Agora Com Deepfakes em Tempo Real
Os hackers estão a explorar X (Twitter) com:
Exemplo Real: Em maio de 2025, uma transmissão ao vivo de um deepfake "Elon Musk" incentivou os espectadores a escanear um código QR para um sorteio de "TeslaCoin". As vítimas perderam mais de 200 mil dólares em 30 minutos.
Uma das tendências mais ameaçadoras é o desenvolvimento de chats de suporte deepfake em tempo real. Os hackers usam avatares afetados pela IA para se passar por marcas ou influenciadores reconhecidos no X (Twitter), fornecendo "ajuda" autêntica e interativa que atrai as vítimas a compartilhar sua frase semente ou chave privada.
Os deepfakes são tão convincentes que até usuários experientes de criptomoedas foram apanhados neles, com os avatares imitando a voz, o tom e até a linguagem corporal de figuras reconhecidas na comunidade.
Em um dos casos mais notáveis, uma transmissão ao vivo "Elon Musk" deepfake no X anunciou um falso sorteio de TeslaCoin e teve centenas de milhares de dólares em perdas em poucos minutos.
Dicas de OPSEC: Como Permanecer Seguro
Do Guia de Quillaudits de 2025:
| Ação | Por Que É Importante | | --- | --- | | Use um dispositivo dedicado | Isolar a atividade cripto da navegação diária | | Revogar aprovações | Malware não consegue drenar carteiras que você bloqueou | | Evite Wi-Fi público | Crocodilus prospera em redes não seguras | | Verifique os links X offline | Golpes de deepfake desaparecem quando verificados |
Para proteção contra tais ameaças, os usuários terão que utilizar uma abordagem OPSEC de várias camadas. Os especialistas recomendam o uso de carteiras de hardware para investimentos de alto valor, permitindo a autenticação de dois fatores e nunca compartilhando frases iniciais — nunca mesmo com supostos funcionários de suporte ou contas sociais legítimas.
Verificações regulares de aprovação de carteiras, manter o software atualizado e separar operações de criptomoeda em dispositivos de uso único também podem reduzir o risco. À medida que os atacantes se tornam cada vez mais inovadores e inventivos, a melhor defesa é permanecer bem informado e ser adequadamente cético.