Hack Alerta

Campanha usa falsas entrevistas para infectar desenvolvedores Web3

Por Redação Hack Alerta Publicado em 12/01/2026 10:03 Riscos e Ameaças Tempo de leitura: 3 min

Campanha de engenharia social mira desenvolvedores Web3: candidatos baixam collaborex_setup.msi durante entrevistas, abrindo C2 (179.43.159.106) com risco de exfiltração de chaves e credenciais. Bloqueio de installs e EDR são recomendados.

Resumo

Pesquisadores documentaram uma campanha de engenharia social que mira desenvolvedores Web3 e profissionais de criptomoedas: candidatos recebem convites de entrevista contendo um instalador malicioso (collaborex_setup.msi) que estabelece conexão com um servidor de comando e controle.

Como a campanha funciona

O esquema usa sites e vagas de emprego que aparentam ser legítimos (por exemplo, ofertas em youbuidl.dev) e domínios fraudulentos como collaborex.ai. Durante entrevistas remotas, candidatos são induzidos a baixar um suposto cliente de reunião; o instalador (collaborex_setup.msi) contém código que abre um canal C2 para o IP 179.43.159.106.

Vetor, persistência e impacto

  • Execução do instalador no dispositivo da vítima inicia comunicação com infraestrutura do atacante e instala componentes furtivos.
  • Objetivos relatados incluem exfiltração de chaves privadas, credenciais de carteira e dados corporativos, com risco direto a exchanges, protocolos DeFi e propriedade intelectual.
  • A campanha tem como vetor inicial confiança (candidatura a vaga), o que reduz a suspeita do candidato e aumenta a chance de execução em máquinas corporativas.

Evidências e atribuição

O pesquisador Aris Haryanto analisou a cadeia de ataque e publicou detalhes técnicos sobre o instalador e o fluxo de ataque. A matéria descreve o fluxo de engenharia social, a presença do instalador nomeado e o IP de C2, mas não associa a campanha a um ator específico por nome.

Contramedidas imediatas

  • Proibir instalação de software não aprovado em dispositivos corporativos e exigir uso de ambientes isolados para testes de software.
  • Educar recrutadores e candidatos: verificação prévia de domínios e alertas sobre convites que exigem execução de instaladores.
  • Implementar EDR e detecção de comportamento: monitorar processos que iniciam conexões de rede inesperadas ou persistem após término de sessão.
  • Bloquear e monitorar conexões com o IP relatado (179.43.159.106) e investigar logs de endpoints que tenham executado collaborex_setup.msi.
  • Revisar políticas de uso de carteiras em máquinas corporativas e aplicar isolamento para chaves privadas (hardware wallets, HSMs).

Observações finais

A campanha demonstra evolução do modelo de engenharia social: invasores transformam o processo de recrutamento em vetor de ataque. Para organizações que lidam com ativos criptográficos ou desenvolvedores Web3, a combinação de controles técnicos (EDR, bloqueio de instalação) com políticas operacionais (processo de recrutamento seguro) é imprescindível.

Fonte: Cyber Security News (Análise de Aris Haryanto e reportagens técnicas citadas).
Baseado em publicação original de Cyber Security News
Tags: #web3 #social-engineering #malware #crypto #c2 #msi #wallet #recrutamento #edr
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar