Substituição invisível de endereços de Bitcoin, vazamento na fabricante de brinquedos para adultos e outros eventos de cibersegurança - ForkLog: criptomoedas, IA, singularidade, futuro

# Substituição invisível de endereços de Bitcoin, fuga de informações por parte do fabricante de brinquedos para adultos e outros acontecimentos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Hackers criaram um esquema de substituição invisível de endereços de Bitcoin.
• Um novo Trojan para Android disfarçou-se de aplicações IPTV.
• Usuários de Trezor e Ledger receberam cartas de phishing em papel.
• Uma pesquisa revelou que grandes empresas monitoram usuários do Chrome através de extensões.

Hackers criaram um esquema de substituição invisível de endereços de Bitcoin

Malfeitores começaram a substituir endereços de Bitcoin de forma invisível sob o pretexto de uma negociação vantajosa de arbitragem de criptomoedas. A descoberta foi feita por especialistas da BleepingComputer.

A campanha baseia-se na promessa de lucros elevados a partir de uma suposta “falha de segurança para arbitragem” na plataforma de troca de criptomoedas Swapzone. Na prática, os hackers executam um código malicioso que modifica o processo de troca diretamente no navegador da vítima.

Normalmente, ataques do estilo ClickFix visam sistemas operacionais: os usuários são enganados a executar comandos no PowerShell para “corrigir erros” do Windows, o que leva à instalação de stealers ou ransomware. Neste caso, o alvo foi uma sessão específica no navegador.

Segundo a mídia, este é um dos primeiros casos registrados de uso da mecânica ClickFix para manipular páginas web com o objetivo de roubar criptomoedas diretamente.

Para promover a campanha fraudulenta, hackers deixam comentários em várias postagens em um serviço popular de armazenamento de trechos de código (Pastebin).

Fonte: BleepingComputer. Eles promovem uma “vazamento de documentação de invasão”, que supostamente permite ganhar US$13.000 em dois dias, anexando um link para o recurso. O “manual” no Google Docs descreve um esquema para obter uma troca inflacionada em certos pares de BTC.

Observações da BleepingComputer indicam que o documento é acessado constantemente por de uma a cinco pessoas ao mesmo tempo, confirmando a atividade do esquema.

Fonte: BleepingComputer. No manual falso, o usuário é instruído a:

1. Acessar o site Swapzone.
2. Copiar o código JavaScript de uma fonte externa.
3. Voltar à aba do Swapzone, digitar javascript:, colar o código copiado e pressionar Enter.

Este método usa a função URI javascript: do navegador, que permite executar código no contexto do site aberto. A análise revelou que o script inicial carrega uma segunda parte, altamente confusa, que é inserida na página do Swapzone, substituindo scripts legítimos do Next.js responsáveis pelas transações:

• Substituição de endereço. O script malicioso contém uma lista de endereços de Bitcoin dos criminosos. Ele substitui um deles pelo endereço real de depósito gerado pela exchange;
• Engano visual. O código altera as taxas de câmbio exibidas e os valores de pagamento na tela, criando a impressão de que a “esquema de arbitragem” realmente funciona;
• Resultado. A vítima vê a interface legítima do serviço, mas envia dinheiro para a carteira Bitcoin do hacker.

Novo Trojan para Android disfarçou-se de aplicações IPTV

Um novo malware para Android se apresenta como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias da vítima. A informação foi divulgada pelos especialistas em cibersegurança ThreatFabric.

O vírus Massiv usa sobreposição de janelas e gravação de toques na tela para coletar dados confidenciais. Ele também pode estabelecer controle remoto completo do dispositivo infectado.

Na campanha, o Massiv atacou um aplicativo estatal português relacionado ao Chave Móvel Digital — sistema nacional de autenticação e assinatura digital. Os dados armazenados nesses serviços podem ser usados para burlar procedimentos de verificação de identidade (KYC), acessar contas bancárias e outros serviços online públicos e privados.

Segundo a ThreatFabric, há registros de abertura de contas bancárias e serviços em nome da vítima sem seu conhecimento.

O Massiv oferece dois modos de controle remoto aos operadores:

• transmissão de tela — usa a API MediaProjection do Android para transmitir o que acontece na tela em tempo real;
• modo UI-tree — extrai dados estruturados via Accessibility Service (Serviço de Acessibilidade).

Fonte: ThreatFabric. O segundo modo permite que os criminosos vejam textos, nomes de elementos de interface e suas coordenadas. Assim, podem clicar em botões e editar campos de texto em nome do usuário. Ainda mais importante, esse método contorna a proteção contra capturas de tela, comum em aplicativos bancários e financeiros.

Os pesquisadores observaram uma tendência interessante: nos últimos oito meses, o uso de aplicativos IPTV como isca para infectar dispositivos Android aumentou significativamente.

Fonte: ThreatFabric. Esses aplicativos frequentemente violam direitos autorais, portanto não estão disponíveis na Google Play. Os usuários costumam baixá-los como APKs de fontes não oficiais e instalá-los manualmente.

De acordo com o relatório, a campanha tem foco em residentes da Espanha, Portugal, França e Turquia.

Usuários de Trezor e Ledger receberam cartas de phishing em papel

Usuários de Trezor e Ledger começaram a receber cartas comuns, enviadas por criminosos fingindo serem os fabricantes de carteiras de hardware.

Segundo o especialista em cibersegurança Dmitry Smilyants, a carta que recebeu parecia uma notificação oficial do departamento de segurança da Trezor.

No papel timbrado, foi oferecido ao cliente passar por um procedimento obrigatório: escanear um QR code e completar a verificação em um site específico até uma data limite. Caso não o fizesse, o usuário teria seu acesso às funções da carteira suspenso.

Nos comentários, surgiram outros casos antigos de phishing supostamente feitos por representantes da Ledger. Ambas as cartas criavam uma sensação de urgência, incentivando as vítimas a agir imediatamente.

pelo menos poderiam ter trabalhado melhor na página de phishing 😭😭

até palavras-chave de seed enviadas por API do Telegram…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Who said what? (@g0njxa) 12 de fevereiro de 2026

Os QR codes nas cartas levavam a sites maliciosos que imitavam as páginas oficiais de configuração da Trezor e Ledger. Na etapa final, os usuários eram obrigados a inserir a frase-semente para “comprovar a posse do dispositivo”.

Pesquisador revelou que grandes empresas monitoram usuários do Chrome via extensões

O pesquisador conhecido como Q Continuum descobriu 287 extensões para Chrome que transmitem todos os dados do histórico de navegação para empresas terceiras. O total de instalações dessas extensões ultrapassa 37,4 milhões.

Com uma ferramenta automatizada de testes, o especialista verificou 32.000 plugins da Chrome Web Store. Como resultado, identificou mais de 30 empresas que coletam esses dados.

O analista acredita que muitas extensões que oferecem ferramentas úteis e convenientes solicitam acesso ao histórico do navegador de forma injustificada. Algumas delas criptografam os dados, dificultando a detecção.

Segundo o especialista, parte da coleta de dados está prevista nas políticas de privacidade, mas nem todos os usuários as leem com atenção.

O pesquisador identificou que empresas como Similarweb, Semrush, Alibaba Group, ByteDance e a afiliada da Similarweb, Big Star Labs, estão envolvidas na coleta de dados.

Entre as extensões suspeitas estão o personalizador de temas Stylish, bloqueadores de anúncios (Stands AdBlocker e Poper Blocker, CrxMouse) e a própria extensão do Similarweb (SimilarWeb: Website Traffic & SEO Checker).

Fonte: GitHub do usuário Q Continuum. Cerca de 20 milhões de instalações, de um total de 37,4 milhões, não puderam ser vinculadas a destinatários específicos.

A política de privacidade do Similarweb documenta a coleta de dados. A empresa afirma que anonimiza as informações na ponta do cliente, embora também indique que “parte desses dados pode incluir informações pessoais e confidenciais, dependendo das buscas e do conteúdo acessado”.

Vazaram dados de clientes de fabricante de brinquedos para adultos

A empresa japonesa Tenga enviou notificações aos clientes sobre uma violação de dados. A informação foi divulgada pelo TechCrunch.

Segundo o comunicado, “uma pessoa não autorizada acessou o e-mail corporativo de um de nossos funcionários”, o que permitiu ao hacker visualizar o conteúdo das mensagens recebidas. Isso potencialmente possibilitou a visualização e o roubo de nomes de clientes, endereços de e-mail e histórico de trocas de mensagens, que “podiam incluir detalhes de pedidos ou contatos com suporte”.

O hacker também enviou spam para a lista de contatos do funcionário comprometido, incluindo clientes da empresa.

Após a publicação, um representante da Tenga afirmou ao TechCrunch que, de acordo com uma avaliação técnica, a fuga de dados afetou “cerca de 600 pessoas” nos EUA.

A Tenga é uma fornecedora global de produtos para adultos. Dado o caráter dos produtos, detalhes de pedidos e contatos de suporte provavelmente contêm informações pessoais que muitos clientes prefeririam manter em sigilo.

A empresa adotou várias medidas de proteção:

• redefinição das credenciais do funcionário hackeado;
• implementação de autenticação multifator em todos os seus sistemas — uma função básica de segurança que impede o acesso às contas mesmo com senha roubada.

Um representante da companhia não quis esclarecer se a autenticação de dois fatores estava ativada na conta de e-mail antes do incidente.

Na África, 651 suspeitos foram presos durante operação contra cibercrime

Autoridades de países africanos prenderam 651 suspeitos e apreenderam mais de US$4,3 milhões durante uma operação conjunta contra fraudes financeiras. A informação foi divulgada pela Interpol.

O objetivo da operação Red Card 2.0 foi desmantelar grupos criminosos envolvidos em perdas superiores a US$45 milhões. As autoridades de 16 países apreenderam 2341 dispositivos e bloquearam 1442 sites, domínios e servidores maliciosos.

Principais resultados por país:

• Nigéria. A polícia desmantelou uma rede de fraudes de investimento que recrutava jovens para ataques de phishing, roubo de dados pessoais e esquemas de investimento falsos. Foram removidas mais de 1000 contas fraudulentas em redes sociais. Seis membros da gangue, que usavam credenciais roubadas de funcionários, também foram presos por invadir um grande provedor de telecomunicações;
• Quênia. Foram detidos 27 suspeitos durante investigações sobre grupos que atraíam vítimas por redes sociais e aplicativos de mensagens para projetos de investimento fictícios;
• Costa do Marfim. Foram presos 58 indivíduos na luta contra aplicativos de microcrédito móvel, que usavam taxas ocultas e métodos ilegais de cobrança de dívidas.

Também no ForkLog:

• A OpenAI lançou um benchmark para avaliar a capacidade de agentes de IA de invadir contratos inteligentes.
• O Vibe Coding via Claude Opus resultou na invasão do projeto DeFi Moonwell.
• A Figure admitiu vazamento de dados pessoais de clientes.
• A polícia da Coreia do Sul confiscou 22 BTC de uma cold wallet.

O que ler neste fim de semana?

No romance “Cegueira Falsa”, o canadense biologista e escritor Peter Watts propôs uma hipótese radical: a mente pode ser eficiente sem consciência. Quase 20 anos após a publicação do livro, essa tese parece descrever com precisão a inteligência artificial generativa.

No novo artigo do ForkLog, analisamos quais erros cometemos ao humanizar algoritmos.