CEVIU Logo
Voltar

Mais de 100 Repositórios no GitHub Distribuem o Stealer BoryptGrab

Aprofundamento CEVIU

Aprofundamento

O BoryptGrab não é só mais um stealer genérico: ele foi construído em C/C++ com foco em evasão e escalabilidade, usando técnicas como detecção de VMs, comparação de processos em tempo real e execução condicional com privilégios elevados. Desde abril de 2025, os atacantes mantêm uma operação coordenada no GitHub, mais de 100 repositórios falsos, otimizados para SEO, direcionam usuários para páginas de download que servem ZIPs maliciosos. Esses arquivos contêm o stealer principal, mas também carregam cargas secundárias como o backdoor TunnesshClient (túnel SSH reverso), variantes do Vidar e o downloader HeaconLoad em Go.

Ele extrai dados de 6 navegadores principais, 30+ carteiras de criptomoedas desktop e extensões, além de capturar telas, roubar arquivos do Telegram e, nas versões mais recentes, tokens do Discord. Comentários em russo no código e infraestrutura hospedada em IPs vinculados à Rússia reforçam a hipótese de origem russa, algo raro entre stealers em C/C++, que normalmente são menos difundidos que os feitos em .NET ou Python.

Por que isso importa

Empresas que permitem acesso não supervisionado ao GitHub, especialmente equipes de desenvolvimento e TI, estão expostas diretamente: um único clique em um repositório falso pode comprometer credenciais corporativas, chaves de API, tokens de sessão e até chaves privadas de carteiras usadas em ambientes de teste. Diferente de stealers baseados em PowerShell ou scripts, o BoryptGrab opera nativamente, com menor taxa de detecção por EDRs e capacidade de persistência via DLL sideloading. A presença do túnel SSH reverso também transforma máquinas infectadas em pontos de entrada para redes internas, aumentando o risco de movimentação lateral.

Perguntas frequentes

Como identificar um repositório falso do BoryptGrab no GitHub?

Repositórios suspeitos costumam ter nomes genéricos como 'FreeGameCheats', 'DiscordTokenGrabber' ou 'BrowserPasswordExtractor', poucos commits, descrições vagas e READMEs copiadas. Muitos têm estrelas artificiais e forks automatizados. Verifique o histórico do autor: contas novas com dezenas de repositórios semelhantes são fortes indicadores.

O BoryptGrab afeta apenas usuários finais ou também ambientes corporativos?

Afeta ambos. Em empresas, o risco maior está em desenvolvedores que baixam ferramentas de terceiros sem validação, especialmente se o ambiente não bloqueia execução de binários não assinados ou não monitora conexões SSH inesperadas. O TunnesshClient, por exemplo, pode contornar firewalls tradicionais ao usar portas comuns como 443.

Quais medidas técnicas impedem a execução do BoryptGrab?

Bloqueio de downloads de ZIPs de domínios não confiáveis, restrição de execução de binários fora de pastas autorizadas (AppLocker/WDAC), desativação de scripts VBS/PowerShell não assinados e monitoramento de processos filhos de explorer.exe ou winword.exe. Também é crítico auditar conexões SSH de saída em endpoints.

Existe detecção comercial confiável para esse stealer?

Sim: YARA rules públicas já cobrem múltiplas amostras do BoryptGrab desde dezembro de 2025, e vendors como CrowdStrike, Microsoft Defender e Elastic Security atualizaram suas assinaturas no início de 2026. No entanto, variantes com payloads criptografados dinamicamente ainda escapam de detecção baseada em hash.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
10 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser