Uma campanha de cibercrime identificada pela equipe da Netskope acendeu um alerta sobre o uso de infraestrutura brasileira em ataques globais de roubo de dados. A operação utiliza um falso instalador do software OpenClaw para distribuir o malware Hologram, criado para capturar senhas, cookies de sessão, carteiras digitais, gerenciadores de senha e outros dados sensíveis armazenados nos navegadores das vítimas.
Segundo os pesquisadores, o caso chama atenção não apenas pelo golpe em si, mas pelo nível de sofisticação da estrutura usada pelos criminosos. A campanha opera de forma semelhante a um projeto profissional de software, com componentes modulares, atualização remota de alvos e mecanismos desenvolvidos para dificultar a análise por ferramentas de segurança. O objetivo é permitir que a operação continue ativa mesmo diante de bloqueios e tentativas de detecção.
Um dos pontos mais sensíveis da investigação é o uso de um subdomínio brasileiro com extensão [.adv.br], normalmente associada a escritórios de advocacia. A análise indica que o domínio legítimo provavelmente foi comprometido e explorado por terceiros maliciosos, sem participação direta da organização responsável. Ainda assim, o episódio reforça como infraestruturas legítimas podem ser incorporadas à cadeia de ataques cibernéticos internacionais.
O caso também mostra que os criminosos estão cada vez mais explorando serviços conhecidos para camuflar atividades maliciosas. A campanha utilizava plataformas como Telegram, Azure DevOps e Hookdeck para apoiar partes da operação. Como essas ferramentas fazem parte da rotina de muitas empresas, o tráfego malicioso pode acabar se misturando às comunicações legítimas, dificultando a identificação do ataque.
Outro diferencial da ameaça é a capacidade de detectar ambientes de análise usados por pesquisadores de segurança. O falso instalador tenta identificar se está sendo executado em máquinas virtuais ou sandboxes e, em alguns casos, aguarda interações humanas, como movimentos do mouse, antes de iniciar suas ações. A estratégia busca evitar detecção precoce e reduzir as chances de o malware ser estudado rapidamente.
Os navegadores se tornaram um alvo prioritário porque concentram boa parte da vida digital dos usuários. O malware Hologram é capaz de atingir centenas de extensões, incluindo carteiras de criptoativos, autenticadores e gerenciadores de senha. Isso amplia o potencial de impacto tanto para usuários comuns quanto para empresas, já que credenciais corporativas também podem ser comprometidas.
Especialistas apontam que campanhas como essa demonstram uma transformação no perfil do cibercrime. Em vez de ataques simples e isolados, grupos criminosos passaram a operar com estruturas distribuídas, automação, engenharia social e abuso de serviços legítimos. Diante desse cenário, práticas como baixar softwares apenas de fontes oficiais, desconfiar de links compartilhados fora dos canais conhecidos e investir em soluções capazes de identificar comportamentos suspeitos se tornam cada vez mais importantes.
Mais do que um incidente pontual, o caso evidencia como organizações brasileiras podem ter seus ambientes explorados em operações globais sem sequer perceberem inicialmente o comprometimento. A presença de um subdomínio nacional na infraestrutura da campanha reforça que a segurança digital deixou de ser apenas uma preocupação técnica e passou a integrar diretamente os riscos operacionais e reputacionais das empresas.
