Zak Cole, desenvolvedor principal Ethereum foi recentemente alvo de um ataque de phishing, no qual o atacante disfarçou um link como um convite para participar de um podcast. Segundo Zak, a tentativa utilizou domínios falsos e um instalador malicioso para roubar credenciais e dados dedentde seu computador.
Cole escreveu um tópico de 21 mensagens no X na noite de segunda-feira, começando por explicar como o golpe começou com uma mensagem direta no X convidando-o a "Participar do nosso podcast!"
21/02
— zak.eth (@0xzak) 15 de setembro de 2025
Tudo começou com uma mensagem direta no Twitter: "Junte-se ao nosso podcast!"
O atacante (@0xMauriceWang) se passou por alguém do @theempirepod. Parecia legítimo depois de uma rápida olhada, então aceitei. Em seguida, recebi um e-mail de [email protected] com um link do @StreamYard. O texto dizia… pic.twitter.com/fEvazOVFs5
O remetente, usando o nome de usuário @0xMauriceWang na plataforma social, se fez passar por um representante do podcast Empire da Blockwork e enviou um e-mail de um domínio que, segundo Zak, parecia ser "um domínio legítimo de podcast"
O golpista tentou "ajudar" Zak a instalar um aplicativo malicioso
Segundo o desenvolvedor principal do Ether, o e-mail incluía um link que aparecia como streamyard.com, mas que na verdade redirecionava para streamyard.org. Quando Cole clicou, a página exibiu uma mensagem de "erro ao entrar" e o instruiu a baixar um aplicativo para desktop para continuar.
Nas capturas de tela que Cole compartilhou em seu tópico no X, ele inicialmente recusou a instalação devido às políticas de segurança de sua empresa, mas o invasor implorou para que ele a instalasse "só desta vez", chegando a enviar um tutorial em vídeo demonstrando como instalar o suposto aplicativo.
"Cara, é o StreamYard, eles têm mais de 3 milhões de usuários. Eu também tenho um laptop corporativo, mas funciona bem. A versão para navegador quase não funciona, talvez uma em cada 20 tentativas conecte. Tenho quase certeza de que eles a mantêm como marketing, mas na prática todo mundo acaba usando o aplicativo para desktop. Muito mais estável..." dizia a mensagem.
Foi então que Cole percebeu "sinais de alerta por toda parte" e baixou o pacote em uma máquina controlada do laboratório, em vez de em seu computador de trabalho.
Dentro do arquivo DMG, ele encontrou um binário Mach-O oculto chamado “.Streamyard”, um carregador Bash e um ícone falso de Terminal criado para enganar os usuários e fazê-los arrastá-lo para obter acesso em nível de sistema.
Ele descreveu o carregador como uma "boneca russa de mentiras", explicando como ele concatenava fragmentos em base64, os descriptografava com uma chave, recodificava o resultado e o executava. Cada etapa tinha o objetivo de burlar a detecção por antivírus.
“Decodificado offline, o Stage2 era um AppleScript que localizava o volume montado, copiava a pasta .Streamyard para /tmp/.Streamyard, removia a quarentena com xattr -c, chmod +x e então executava. Silencioso, cirúrgico e letal”, explicou o desenvolvedor, anotando a linha de código.
Cole acrescentou que, se a vítima desativasse o Gatekeeper do macOS ou caísse no golpe de phishing de arrastar e soltar no Terminal, o malware teria extraído silenciosamente tudo, incluindo senhas, carteiras de criptomoedas, e-mails, mensagens e fotos.
A conversa com o atacante revela a contratação de serviços de malware
Em vez de encerrar a operação, Cole entrou em uma chamada ao vivo com o golpista depois de pedir ajuda, que parecia nervoso e lia um roteiro enquanto tentava guiá-lo pela instalação falsa.
Durante a sessão de videochamada, o programador do Ether começou a compartilhar a tela, percorrendo uma pasta com vídeos explícitos de Kim Jong Un para desestabilizar o atacante.
Ao insistir por respostas sobre o motivo de não estar funcionando, o golpista admitiu que não fazia parte de uma operação patrocinada pelo Estado, mas sim de uma comunidade ativa de hackers que havia alugado um kit de phishing por cerca de US$ 3.000 por mês.
Cole observou que o atacante usou expressões coloquiais como "mate" para enganar as vítimas, fazendo-as acreditar que ele estava baseado no Reino Unido ou perto dos Estados Unidos. O atacante também revelou que não controlava a infraestrutura diretamente e não podia gerenciar os domínios da carga maliciosa, e que estava usando um serviço de "crime cibernético econômico"
14/21
— zak.eth (@0xzak) 15 de setembro de 2025
O detalhe crucial foi que eles usaram https://t.co/3gJrz4EVIl para entrega (load.*.php?call=stream endpoints) e https://t.co/NqE3HGJVms (@streamyardapp) como isca, e ambos foram bloqueados (obrigado @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
De acordo com as descobertas da VirusTotal, empresa de inteligência de segurança colaborativa, a infraestrutura de distribuição usada foi o lefenari.com, que hospedava payloads por meio de endpoints com scripts, e o streamyard.org, usado como isca. Ambos os domínios foram desativados com a ajuda da empresa de cibersegurança Security Alliance.
