Site falso do Pudgy World rouba suas senhas criptografadas

Um site de phishing que se faz passar pelo recém-lançado jogo de navegador Pudgy World tem como alvo os usuários de criptografia com uma técnica que vai muito além de um logotipo convincente e um esquema de cores correspondente.

Pudgy World é um jogo de navegador gratuito desenvolvido em torno da marca Pudgy Penguins NFT. Os jogadores exploram um mundo virtual, personalizam avatares de pinguins e completam missões. Mas alguns recursos estão vinculados a itens colecionáveis ​​digitais e itens de jogo armazenados em carteiras de criptomoedas.

Isso significa que o jogo oficial às vezes pede aos jogadores que conectem uma carteira criptografada para verificar a propriedade de itens ou desbloquear recursos adicionais. O site de phishing abusa dessa etapa: quando um visitante seleciona sua carteira neste site falso, ele mostra o que parece ser a tela de desbloqueio da própria carteira. Para o usuário, parece para todo o mundo o verdadeiro software de carteira criptografada em que ele já confia.

“Conecte sua carteira para começar”

A marca Pudgy Penguins teve alguns meses extraordinários. O projeto NFT do pinguim, revivido pelo CEO Luca Netz depois que ele o adquiriu em 2022, construiu continuamente uma das histórias cruzadas mais convincentes da Web3: brinquedos de pelúcia físicos nas prateleiras do Walmart e Target, um jogo para celular chamado Pudgy Party que ultrapassou um milhão de downloads, e um jogo baseado em navegador chamado Pudgy World que foi ao ar em 10 de março de 2026 para atenção viral imediata.

O jogo oficial pede aos jogadores que conectem uma carteira criptografada para começar. Esse texto: “Conecte sua carteira para começar” agora está aparecendo, literalmente, em um site que não tem nada a ver com Pudgy Penguins.

O domínio em questão é pudgypengu-gamegifts(.)live. Não é afiliado de forma alguma à Igloo Inc., a empresa por trás do Pudgy Penguins. O site reproduz a arte de fundo gelada do jogo oficial, o logotipo Pudgy Penguins e a paleta de cores azul e branco característica da marca com fidelidade suficiente para que um usuário que chegue durante a emoção do lançamento de um novo jogo não tenha motivos óbvios para suspeitar.

Onze carteiras, onze falsificações convincentes

Clicando no CONECTAR O botão abre uma janela pop-up com tema escuro criada para se parecer com o kit de conexão Reown WalletConnect – a biblioteca de código aberto que o site Pudgy World real usa para lidar com conexões de carteira. O modal ainda exibe os rótulos das guias “reown” e “Kit Manual” na parte superior, correspondendo ao componente original.

Dentro está uma lista de carteiras suportadas:

MetaMask (marcado como “RECOMENDADO”), Trust Wallet, Coinbase Wallet, Ledger, Trezor Wallet, Phantom Wallet, Rabby Wallet, OKX Wallet, Magic Eden, Solflare e Uniswap Wallet.

O ataque torna-se tecnicamente interessante na próxima etapa.

A seleção de uma carteira de software não redireciona o usuário para outra página nem abre um site externo. Em vez disso, a página renderiza uma sobreposição projetada para se parecer com a tela real de desbloqueio da extensão do navegador da carteira. A sobreposição aparece na borda da janela de visualização do navegador, exatamente onde um pop-up de extensão real apareceria.

Os fluxos da carteira de hardware se comportam de maneira diferente. Selecionando Carteira Trezor abre uma caixa de diálogo na tela central que imita a interface do Trezor Connect, em vez de uma sobreposição de canto. Em ambos os casos, o resultado é que o usuário acredita que está olhando para o seu próprio software instalado, quando na verdade está olhando para um elemento da página web controlado pelo invasor.

A falsificação fica exatamente onde sua extensão real estaria

Para cada carteira de extensão de navegador da lista, o site de phishing exibe uma tela de desbloqueio construída para corresponder à identidade visual da extensão real, com logotipo, esquema de cores, layout de botão e texto corretos.

As capturas de tela abaixo mostram as falsificações junto com as extensões genuínas. As diferenças não são visíveis para quem não as procura.

Os usuários de carteiras de hardware não estão isentos, e o alvo da Trezor é particularmente revelador.

Os dispositivos Trezor normalmente pertencem a pessoas que estão na criptografia há tempo suficiente para investir em hardware de segurança dedicado. Em outras palavras, os usuários provavelmente possuem contas de maior valor.

Selecionar Trezor Wallet no site de phishing aciona uma caixa de diálogo que imita de perto a interface da ponte Trezor Connect. Ao mesmo tempo, o navegador exibe um prompt de permissão de dispositivo USB nativo – a caixa de diálogo do próprio sistema operacional, acionada por uma chamada da API WebUSB – onde se lê “pudgypengu-gamegifts.live deseja se conectar”.

O prompt diz “Nenhum dispositivo compatível encontrado” se nenhum Trezor estiver conectado, mas a sequência foi projetada para parecer um aperto de mão de hardware genuíno.

Um usuário que conecta seu Trezor neste momento e aprova a permissão USB concedeu ao site de phishing acesso à ponte do dispositivo.

Para quem não tem um dispositivo em mãos, a caixa de diálogo oferece outra opção: “Usar um método de conexão alternativo”. Esse caminho é provavelmente onde ocorre o maior dano. Um usuário que não consegue fazer o fluxo de hardware funcionar e recorre a uma opção manual está a um passo de ser solicitado a digitar sua frase inicial, a chave mestra para tudo em sua carteira, diretamente em um campo controlado pelo invasor.

A página que se finge de morta para os pesquisadores

A página de phishing é mais cautelosa do que parece à primeira vista.

Incorporado ao site está um carregador JavaScript ofuscado, com seu conteúdo real compactado e oculto atrás de múltiplas camadas de codificação, que realiza uma série de verificações antes de fazer qualquer coisa visível.

Primeiro, ele testa se o navegador está sendo controlado por uma ferramenta automatizada do tipo que pesquisadores de segurança e sandboxes usam para analisar páginas suspeitas em massa. Se detectar um, ele para silenciosamente e a página parece limpa.

Em seguida, ele lê o identificador de hardware gráfico para determinar se ele está sendo executado dentro de uma máquina virtual, que é outro ambiente de análise comum.

Somente quando estiver satisfeito com a presença de um usuário real, ele solicitará uma segunda carga útil maior do servidor do invasor. Essa carga contém o código responsável pelo roubo de credenciais.

Mesmo esse pedido contém uma salvaguarda. Se a resposta do servidor for menor que 500 KB (o tipo de resposta de espaço reservado que um fornecedor de segurança pode fornecer para um domínio malicioso conhecido), o carregador a descarta e não faz nada.

A consequência prática de tudo isso é que as ferramentas de verificação automatizada provavelmente classificarão a página inicial como benigna, porque em sua infraestrutura ela se comporta como tal. A funcionalidade maliciosa nunca é carregada, a menos que o servidor do invasor decida que vale a pena atacar o visitante.

Por que esta campanha tem como alvo os jogadores Pudgy

O momento parece ser deliberado. O Pudgy World foi lançado em 10 de março de 2026, e a campanha de phishing parece ter estado ativa na mesma janela. Novos jogadores que chegam ao jogo pela primeira vez passam por um fluxo de integração da Web3 que nunca experimentaram antes.

A etapa legítima “conecte sua carteira” no site oficial ensina aos usuários que esse comportamento é normal. O site de phishing explora então essa expectativa antes que a experiência possa desafiá-la.

A gama de carteiras visadas também é significativa. A campanha quase não deixa pontos cegos na carteira. Quer a vítima possua Ethereum, Solana ou ativos de múltiplas cadeias, há uma falsificação convincente esperando por ela. Criar 11 falsificações de UI específicas para carteiras não é uma tarefa trivial. Aponta para um agente de ameaça com bons recursos ou, mais provavelmente, para a reutilização de um kit de phishing comercial construído precisamente para esta classe de ataque.

O que fazer se você pode ter sido afetado

As campanhas de criptografia de phishing há muito dependem de lançamentos aéreos falsos e páginas MetaMask falsas. Esta campanha se destaca pela precisão com que imita a tela de desbloqueio de uma carteira, colocando o prompt exatamente onde apareceria um pop-up de extensão real e explorando a memória muscular dos usuários.

O ataque também pega carona no lançamento do Pudgy World. À medida que os produtos Web3 alcançam públicos mais amplos, eles atraem invasores que visam usuários não familiarizados com a segurança de carteiras.

Uma regra ainda é válida: um site nunca pode exibir a tela real de desbloqueio da extensão do navegador.

• Se você inseriu sua senha MetaMask, Coinbase Wallet ou qualquer outra carteira de software neste site, altere sua senha imediatamente desbloqueando a extensão normalmente e acessando Configurações. Considere transferir ativos para um novo endereço de carteira cuja frase inicial nunca tenha sido usada em nenhum site.
• Se você aprovou o prompt de permissão do dispositivo USB para Trezor, desconecte seu dispositivo e revise seu histórico de conexão do Trezor Suite. Uma conexão WebUSB por si só não expõe sua frase inicial, mas pode permitir que uma página maliciosa se comunique com a ponte. Revogue imediatamente a permissão nas configurações do site do seu navegador.
• Marque o site oficial do Pudgy Penguins (pudgypenguins.com) e o URL oficial do jogo. Navegue até ele diretamente desse marcador, nunca de um link no Discord, Twitter ou uma mensagem direta.
• Instale uma extensão de navegador que sinalize domínios de phishing conhecidos antes de interagir com eles. O Malwarebytes Browser Guard bloqueará este domínio.
• Lembre-se desta regra: a tela de desbloqueio da sua carteira sempre aparece na barra no topo da janela, e não dentro da própria página. Qualquer página que pareça mostrar a solicitação de senha da sua carteira dentro do conteúdo da página é um site de phishing.

Indicadores de Compromisso (IOCs)

Domínios

• pudgypengu-gamegifts(.)live