Hackers usam narradores de IA no YouTube para espalhar malware que rouba endereços de carteiras cripto

A campanha não é só mais um 'clipboard hijacker', é um caso clínico de como a IA virou ferramenta operacional do cibercrime profissional. Os narradores de voz sintética no YouTube não são efeito colateral: são o primeiro elo de uma cadeia de confiança fabricada. Eles dão credibilidade a vídeos que ensinam 'como usar bots sniper', enquanto o malware em Rust já está instalado em %APPDATA%\silke ou como LaunchAgent no macOS, com persistência autoreparável. A Check Point identificou que os atacantes usam até 15.500 endereços de carteira embutidos, cobrindo Bitcoin (bech32, legacy, P2SH), Ethereum, Tron, Cardano e Monero. Isso não é amadorismo: é logística de roubo em escala, com foco em conversão imediata de cópias-colas em transferências reais.

O hub de phishing no WordPress (@JoseCmanXD) é o centro nervoso. Ele não vende apenas um malware, vende uma ilusão de ecossistema: tutoriais com IA, comentários automatizados, estrelas infladas em seis contas GitHub que se estrelam mutuamente, reviews positivos em SourceForge com 97% de downloads vindos de Android (mesmo sem builds para Android). É a mesma lógica das campanhas anteriores da CEVIU, mas agora com IA gerando a fachada humana. Em 2025, o vishing superou o phishing por e-mail como vetor principal de acesso inicial. Aqui, o 'vishing' é visual e auditivo: um avatar falante no YouTube convence mais rápido do que um e-mail mal escrito.

Em comparação com a campanha de maio de 2026 que falsificava instaladores do Gemini CLI e Claude via SEO poisoning, essa nova onda trocou a busca orgânica por engajamento fabricado, views, comentários, estrelas. Antes, o ataque dependia de usuários digitarem errado; agora, ele atrai usuários que buscam 'ferramentas legítimas para trading'. Também evoluiu em relação ao repositório falso da OpenAI no Hugging Face (maio/2026): lá, o malware era ladrão de dados; aqui, é transacional, ataca no momento exato da cópia-colagem, quando a vítima já decidiu enviar fundos. E, pela primeira vez na série CEVIU, há evidência de uso direto de IA generativa não só para conteúdo, mas para construção de reputação cruzada: narrativas, avatares, comentários, reviews, stars, tudo orquestrado como um único sistema de desconfiança.

Esse tipo de ataque não é sobre explorar vulnerabilidades de software, é sobre explorar a confiança em sinais de reputação. Quando 40% dos roubos de cripto em 2026 envolvem engenharia social, e o volume de ambientes criminosos online cresceu 1.600% entre 2022 e 2024, a defesa precisa mudar de foco: não basta bloquear URLs suspeitas. É preciso monitorar substituições não autorizadas na área de transferência, validar assinaturas de binários antes da execução e tratar 'popularidade' como sinal de risco, não de segurança. Empresas que treinam equipes só contra phishing por e-mail estão deixando de lado o novo front: vídeos que parecem tutoriais, canais com 100 mil inscritos e comentários que dizem 'funcionou perfeitamente', todos gerados por IA.