Uma nova campanha de infostealer está usando um falso instalador do OpenClaw para roubar credenciais de carteiras de criptomoedas, gerenciadores de senhas e extensões de autenticação instaladas em navegadores.
O OpenClaw é apresentado como um assistente pessoal de IA de código aberto, o que torna o golpe atraente para usuários interessados em ferramentas locais de automação. A campanha está ativa desde pelo menos fevereiro de 2026.
O ataque começa em um site falso registrado em março, que oferece um arquivo chamado OpenClaw_x64.7z. Dentro dele há um executável em Rust com cerca de 130 MB, inflado com documentação falsa para dificultar análise automatizada e burlar limites de envio em sandboxes.
Antes de executar suas funções principais, o malware verifica se está em uma máquina virtual ou ambiente de análise. Ele procura sinais de sandbox, bibliotecas suspeitas e perfis de hardware incomuns, além de aguardar movimentação real do mouse para confirmar que está em um sistema usado por uma pessoa.
Quando passa nessas verificações, o falso instalador desativa o Windows Defender, abre portas no firewall e baixa seis módulos adicionais. Cada componente tem uma função específica, como coleta de informações do sistema, persistência, comunicação com servidores de comando e execução de cargas em memória.
A fase de roubo de credenciais mira uma lista remota com 250 extensões de navegador. Entre elas estão 201 carteiras cripto, incluindo MetaMask, Phantom, Coinbase, OKX, Rabby e Ronin, além de 49 gerenciadores de senhas e autenticadores, como Bitwarden, LastPass, 1Password, NordPass, KeePass e Google Authenticator.
A lista de alvos fica hospedada em um repositório controlado pelos invasores, o que permite atualizar os serviços visados sem alterar o malware.
A campanha também tenta acessar dados do Ledger Live no sistema de arquivos, criando outro caminho para roubo de informações ligadas a criptoativos.
