Hack Alerta

Nova Stealer: troca de apps macOS rouba frases-semente de carteiras

Por Redação Hack Alerta Publicado em 19/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 3 min

Nova Stealer substitui apps legítimos de carteiras macOS por versões falsas para capturar frases-semente e arquivos sensíveis (Ledger Live, Trezor Suite, Exodus). O malware usa scripts modulares, persistência via LaunchAgent e exfiltra arquivos críticos a cada ~20 horas; captura de keystrokes é enviada a endpoints /seed e /seed2 com delay por tecla.

Pesquisadores identificaram uma campanha de malware para macOS que substitui aplicações legítimas de carteira por versões falsas para capturar frases-semente e arquivos sensíveis das carteiras Ledger Live, Trezor Suite e Exodus.

Descoberta e alcance

A campanha, denominada Nova Stealer, foi analisada por pesquisadores que documentaram um dropper que baixa e executa um script chamado mdriversinstall.sh a partir de um servidor de comando e controle. O malware cria um diretório oculto ~/.mdrivers, instala componentes auxiliares e gera um identificador único de vítima com uuidgen.

Arquitetura e persistência

O malware é modular. Um orquestrador (mdriversmngr.sh) baixa módulos codificados em base64 para ~/.mdrivers/scripts. Para persistência cria-se um LaunchAgent plist chamado application.com.artificialintelligence, garantindo execução automática no login. Scripts são executados em sessões screen destacadas (screen -dmS) para rodar em background mesmo após logout.

Técnica de substituição de aplicações e exfiltração

O componente mdriversswaps.sh detecta instalações de Ledger Live e Trezor Suite em /Applications/, remove os aplicativos originais e apaga entradas do Launchpad via comandos SQLite. Em seguida baixa arquivos ZIP contendo apps falsos de domínios específicos, extrai-os e altera o Dock para apontar para as versões maliciosas.

Captação de frases-semente e arquivos

As falsas aplicações usam Swift/WebKit para renderizar páginas de phishing que solicitam frases de recuperação. O JavaScript malicioso valida entradas contra listas BIP-39/SLIP-39 para fornecer autocompletar, aumentando a ilusão de legitimidade. À medida que vítimas digitam palavras, dados são enviados a endpoints /seed e /seed2 com delays de 200–400 ms após cada tecla, permitindo captura em tempo real.

Arquivos específicos e periodicidade

O módulo de exfiltração (mdriversfiles.sh) procura por arquivos de carteiras — por exemplo, logs IndexedDB do Trezor, passphrase.json e seed.seco do Exodus e app.json da Ledger — e os envia ao C2 em requisições POST binárias a cada ~20 horas. Outro módulo (mdriversmetrics.sh) coleta inventário do sistema para perfilar vítimas.

Limites das informações e recomendações

A análise menciona domínios e caminhos usados pelo malware, mas não traz um IOCs completo na síntese disponível. Recomendações implícitas incluem evitar instalação de binários de origem desconhecida, auditar LaunchAgents e monitorar processos screen incomuns, além de orientar usuários de carteiras a não digitar frases-semente em interfaces não verificadas.

Baseado em publicação original de Cyber Security News
Tags: #macos #nova-stealer #ledger #trezor #exodus #wallet-theft #seed-phrase #launchagent #screen
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar