Mais de 100 Repositórios no GitHub Distribuem o Stealer BoryptGrab
Aprofundamento CEVIU
Aprofundamento
O BoryptGrab não é só mais um stealer genérico: ele foi construído em C/C++ com foco em evasão e escalabilidade, usando técnicas como detecção de VMs, comparação de processos em tempo real e execução condicional com privilégios elevados. Desde abril de 2025, os atacantes mantêm uma operação coordenada no GitHub, mais de 100 repositórios falsos, otimizados para SEO, direcionam usuários para páginas de download que servem ZIPs maliciosos. Esses arquivos contêm o stealer principal, mas também carregam cargas secundárias como o backdoor TunnesshClient (túnel SSH reverso), variantes do Vidar e o downloader HeaconLoad em Go.
Ele extrai dados de 6 navegadores principais, 30+ carteiras de criptomoedas desktop e extensões, além de capturar telas, roubar arquivos do Telegram e, nas versões mais recentes, tokens do Discord. Comentários em russo no código e infraestrutura hospedada em IPs vinculados à Rússia reforçam a hipótese de origem russa, algo raro entre stealers em C/C++, que normalmente são menos difundidos que os feitos em .NET ou Python.
Por que isso importa
Empresas que permitem acesso não supervisionado ao GitHub, especialmente equipes de desenvolvimento e TI, estão expostas diretamente: um único clique em um repositório falso pode comprometer credenciais corporativas, chaves de API, tokens de sessão e até chaves privadas de carteiras usadas em ambientes de teste. Diferente de stealers baseados em PowerShell ou scripts, o BoryptGrab opera nativamente, com menor taxa de detecção por EDRs e capacidade de persistência via DLL sideloading. A presença do túnel SSH reverso também transforma máquinas infectadas em pontos de entrada para redes internas, aumentando o risco de movimentação lateral.
Perguntas frequentes
Como identificar um repositório falso do BoryptGrab no GitHub?
Repositórios suspeitos costumam ter nomes genéricos como 'FreeGameCheats', 'DiscordTokenGrabber' ou 'BrowserPasswordExtractor', poucos commits, descrições vagas e READMEs copiadas. Muitos têm estrelas artificiais e forks automatizados. Verifique o histórico do autor: contas novas com dezenas de repositórios semelhantes são fortes indicadores.
O BoryptGrab afeta apenas usuários finais ou também ambientes corporativos?
Afeta ambos. Em empresas, o risco maior está em desenvolvedores que baixam ferramentas de terceiros sem validação, especialmente se o ambiente não bloqueia execução de binários não assinados ou não monitora conexões SSH inesperadas. O TunnesshClient, por exemplo, pode contornar firewalls tradicionais ao usar portas comuns como 443.
Quais medidas técnicas impedem a execução do BoryptGrab?
Bloqueio de downloads de ZIPs de domínios não confiáveis, restrição de execução de binários fora de pastas autorizadas (AppLocker/WDAC), desativação de scripts VBS/PowerShell não assinados e monitoramento de processos filhos de explorer.exe ou winword.exe. Também é crítico auditar conexões SSH de saída em endpoints.
Existe detecção comercial confiável para esse stealer?
Sim: YARA rules públicas já cobrem múltiplas amostras do BoryptGrab desde dezembro de 2025, e vendors como CrowdStrike, Microsoft Defender e Elastic Security atualizaram suas assinaturas no início de 2026. No entanto, variantes com payloads criptografados dinamicamente ainda escapam de detecção baseada em hash.
Fontes
- securityweek.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 10 de março de 2026
- Editoria
- CEVIU Segurança da Informação
