Silent Swap: malware usa falsa extensão do Google Notes para trocar endereços de carteiras de crypto
1 de Julho de 2026

Pesquisadores de cibersegurança identificaram uma campanha ativa de extensão de navegador criada para roubar criptomoedas, substituindo de forma furtiva os endereços das carteiras no momento em que a vítima inicia uma transação.

A atividade, classificada como clipper de criptomoedas, recebeu o codinome Silent Swap, segundo a McAfee Labs.

“A campanha é distribuída por meio de instaladores sem assinatura, observados em variantes .NET e Golang, que implantam uma extensão maliciosa do Chromium disfarçada de utilitário legítimo ‘Google Notes’”, informou a empresa em um relatório técnico.

O instalador .NET sem assinatura, chamado BaseZipInstaller, foi projetado para baixar um arquivo ZIP que serve de base para a extensão maliciosa do navegador.

Para isso, ele faz uma varredura no sistema em busca de navegadores baseados em Chromium.

Em cada perfil detectado, o programa encerra à força o processo do navegador e injeta a extensão ao modificar os arquivos Secure Preferences e Preferences.

O objetivo final é agir como um clipper capaz de interceptar e manipular endereços de carteira copiados para a área de transferência, redirecionando os fundos para uma carteira sob controle do atacante.

Para alcançar esse objetivo, a falsa extensão Google Notes solicita permissões para acessar a área de transferência, todos os URLs e o histórico de navegação.

Como a maioria das transações em blockchain é irreversível, a troca de endereço pode causar perda financeira permanente.

A McAfee Labs afirmou que a atividade se sobrepõe a uma campanha anterior do CountLoader que distribuía um clipper de criptomoedas, com indícios de que o mesmo threat actor está por trás dos dois grupos.

O que diferencia o Silent Swap é o uso de uma técnica chamada EtherHiding, que emprega a blockchain como um mecanismo de armazenamento temporário para recuperar os detalhes ativos do servidor de command and control (C2).

Isso permite ao atacante atualizar com facilidade o valor de um smart contract para apontar para um novo domínio, sem precisar redistribuir o malware.

O segundo aspecto envolve a instalação clandestina da extensão em navegadores baseados em Chromium, como Google Chrome, Microsoft Edge, Brave e Vivaldi, por meio da modificação de arquivos protegidos de configuração do navegador.

O ataque, porém, depende da ativação do modo de desenvolvedor nas versões mais recentes desses navegadores, algo que o threat actor pode conseguir com técnicas de engenharia social.

“Normalmente, esses navegadores armazenam dados de verificação de segurança, como valores hash e HMAC, junto de configurações sensíveis para detectar alterações não autorizadas”, explicou a McAfee.

“O malware recalcula e atualiza esses valores de segurança depois de adulterar os arquivos, enganando o navegador e fazendo-o acreditar que a extensão maliciosa foi instalada legitimamente.”

“Isso permite que a extensão burle o processo normal de instalação pela loja de extensões e seja carregada silenciosamente, sem aprovação do usuário.”

A persistência e a capacidade de evasão da campanha foram descritas como deliberadas e em camadas, com foco principal em manter baixa visibilidade para o usuário e alta resistência à remoção e análise estática.

A persistência é estabelecida pelo registro da extensão por meio da alteração do arquivo Secure Preferences do navegador, o que faz com que ela seja carregada em inicializações futuras sem necessidade de um mecanismo separado.

Além disso, o malware tenta ativar o modo de desenvolvedor de forma programática no Brave e no Opera, e o instalador se autoexclui após a execução, removendo um indício da infecção inicial.

Outra técnica de evasão é a substituição dinâmica de carteiras, usada para buscar um endereço de substituição correspondente ao endereço original da vítima.

“Ele envia o endereço de carteira interceptado para o backend do atacante e usa a resposta para substituir dinamicamente o endereço original”, disse a McAfee.

“Se a solicitação ao backend falhar, a função recorre a um endereço de carteira hardcoded predefinido, garantindo a continuidade da atividade maliciosa.”

Para cada endereço de carteira que corresponda a padrões associados a Bitcoin (BTC), Ethereum, Bitcoin Cash, Ripple e Dash, o sistema mapeia um endereço exclusivo controlado pelo atacante no lado do servidor.

Já todos os endereços de Solana enviados convergem para um único endereço do atacante.

No momento da redação, foi constatado que esse endereço de Solana tinha saldo de US$ 1.902,45.

“Cada endereço enviado é mapeado para um endereço exclusivo controlado pelo atacante.

O reenvio do mesmo endereço original retorna a mesma substituição, o que indica um mapeamento determinístico um para um mantido no lado do servidor.”

Dados de telemetria indicam que as infecções estão distribuídas globalmente, com maior concentração de vítimas na Índia.

Outros países afetados pela campanha incluem Estados Unidos, Brasil, Indonésia e Espanha.

“Essa campanha é uma ilustração concisa da direção em que o roubo de criptomoedas voltado ao consumidor está indo”, afirmou a McAfee.

“Endereços estáticos do atacante foram substituídos por um mapeamento no lado do servidor, por vítima.

Domínios frágeis e hardcoded de command and control foram substituídos por uma consulta resolvida pela blockchain, que um operador pode alternar com uma única transação.”

Extensões do Chrome e do Firefox disfarçadas de VPN gratuita adicionam roubadores de dados da área de transferência

A divulgação ocorre no momento em que a Socket relatou um par de extensões maliciosas para os navegadores Chrome e Mozilla Firefox, ambas com o nome “VPN Go: Free VPN” na Chrome Web Store e no marketplace Firefox Add-ons.

“As duas extensões se apresentam como ferramentas de VPN gratuitas e incluem funcionalidade visível de proxy”, disseram os pesquisadores da Socket Kirill Boychenko e Kush Pandya.

“Por baixo da interface, ambas também contêm lógica maliciosa de roubo de dados da área de transferência, que monitora continuamente o texto copiado e o exfiltra para uma infraestrutura controlada por threat actor.”

O comportamento vai além dos endereços de carteira, permitindo a coleta de diversos tipos de dados sensíveis, incluindo senhas, códigos de autenticação, chaves de API, tokens OAuth e seed phrases.

Uma análise mais aprofundada revelou um padrão de atualização maliciosa em fases, no qual o desenvolvedor publicou inicialmente uma versão benigna na loja de extensões antes de introduzir a capacidade de roubo de dados da área de transferência em uma atualização posterior.

Enquanto as versões 1.1 e 1.2 da extensão para Chrome foram identificadas exfiltrando dados da área de transferência para “178.236.252[.]133”, a versão 1.3 passou a usar um IP diferente, “77.91.123[.]187”.

No equivalente para Firefox, a versão 1.3.3 foi a primeira a incluir o roubador de dados da área de transferência e a enviar as informações para “178.236.252[.]133”.

A atualização 1.3.4 transferiu a infraestrutura para “77.91.123[.]187”.

Usuários que instalaram qualquer uma das extensões devem removê-las imediatamente e tratar como comprometidos todos os segredos expostos enquanto a extensão esteve ativa.

“O código estático já é suficiente para mostrar que as extensões foram projetadas para funcionar como ferramentas de proxy, e não apenas para exibir uma interface falsa de VPN”, afirmou a Socket.

“A capacidade de proxy ainda aumenta o risco porque pode rotear o tráfego do navegador por uma infraestrutura fornecida pelo threat actor, expor tráfego HTTP em texto simples e metadados de conexão, além de fazer a extensão parecer útil enquanto o monitor da área de transferência opera em paralelo.”

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...