Pesquisadores de cibersegurança da Fortinet FortiGuard Labs identificaram uma nova campanha de malware que usa técnicas experimentais do Node.js para infectar computadores através de instaladores falsos de jogos e VPNs.
Batizado de Stealit, o vírus é distribuído em sites de compartilhamento de arquivos como Mediafire e em servidores do Discord, mirando especialmente gamers e usuários de criptomoedas.
O diferencial da operação está no modelo de negócio: os criminosos vendem acesso ao malware em planos de assinatura que variam de US$ 29,99 por semana até US$ 1.999,99 para a versão vitalícia do trojan Android. Os “clientes” recebem um painel de controle para monitorar e roubar dados das vítimas em tempo real.
A campanha já está ativa e explora um recurso experimental do Node.js chamado Single Executable Application (SEA), que dificulta a detecção por antivírus tradicionais.
Como funciona o golpe?
A operação é simples, mas eficiente. Os criminosos criam instaladores falsos de jogos populares e aplicativos VPN. Esses arquivos são distribuídos em sites de compartilhamento como Mediafire e em servidores do Discord.
O diferencial técnico aqui é o uso do Node.js Single Executable Application (SEA), um recurso ainda experimental que permite empacotar aplicações Node.js como executáveis independentes. Traduzindo: o vírus roda no seu computador sem precisar que você tenha o Node.js instalado. É autocontido, discreto e passa batido por muitos antivírus.
O Node.js funciona como um ambiente de tempo de execução que permite executar JavaScript no lado do servidor (back-end) e não apenas em navegadores.
Alguns ataques também usam o framework Electron, a mesma tecnologia que faz apps como Discord e Slack funcionarem. O malware se disfarça de aplicação legítima com perfeição.
O que acontece quando você executa o arquivo?
Primeiro, o instalador faz uma checagem básica: ele verifica se está rodando em uma máquina virtual ou ambiente de testes. Se detectar que está sendo analisado, o malware simplesmente não executa. Passou da verificação? Aí começa a operação de roubo de dados.
O malware cria um arquivo chamado cache.json na pasta temporária do Windows com uma chave de autenticação codificada em Base64. Essa chave funciona como o “CPF” da vítima no sistema dos criminosos. É com ela que os “clientes” do malware vão acessar o painel de controle e monitorar seus dados.
Em seguida, o vírus configura o Windows Defender para ignorar a pasta onde está instalado. Três executáveis são então baixados do servidor de comando e controle.
- O save_data.exe rouba tudo do Chrome, Edge, Brave e outros navegadores baseados em Chromium — senhas, histórico, cookies, cartões salvos. Mas ele só funciona se você executou o instalador como administrador.
- O stats_db.exe vai atrás de mensagens do Telegram e WhatsApp, carteiras de criptomoedas como Atomic e Exodus, e contas de jogos como Steam, Minecraft, Epic Games e GrowTopia. Se você é gamer ou investe em crypto, esse é o seu pior pesadelo.
- O game_cache.exe é o mais assustador. Ele garante que o malware vai iniciar toda vez que você ligar o computador. Além disso, abre um canal direto com os criminosos, que podem ver sua tela em tempo real, executar comandos remotos, baixar e enviar arquivos, e até mudar seu papel de parede.
Malware-as-a-Service: até crime virou assinatura
Aqui é onde a coisa fica realmente bizarra. Os criminosos por trás do Stealit têm um site bonitinho onde vendem acesso ao malware como se fosse um produto SaaS legítimo. Eles se descrevem como fornecedores de “soluções profissionais de extração de dados”.
Os planos variam de acordo com o que você quer roubar.
Windows Stealer:
- Plano semanal: US$ 29,99;
- Plano mensal: US$ 49,99;
- Plano vitalício: US$ 499,99.
Android RAT (Remote Access Trojan):
- Plano semanal: US$ 99,99
- Plano mensal: US$ 249,99
- Plano vitalício: US$ 1.999,99.
Quem compra ganha acesso a um painel de controle onde pode monitorar as vítimas infectadas em tempo real. É basicamente Big Brother, mas versão crime cibernético. O malware Android também oferece controle de webcam, monitoramento de tela ao vivo e até deploy de ransomware.
O que você pode fazer?
A boa notícia é que se proteger desse tipo de ataque não é difícil. Ter desconfiança e ficar atento aos detalhes podem te levar longe.
- Nunca baixe instaladores de sites de compartilhamento de arquivos: Mediafire, Discord, Telegram — nada disso é fonte confiável para software. Vá sempre ao site oficial do desenvolvedor;
- Desconfie de “versões grátis” de software pago: se o jogo custa R$ 200 na Steam, aquela versão “de graça” no Discord provavelmente vem com algo extra;
- Mantenha seu antivírus atualizado: mesmo que o malware seja novo, antivírus atualizados têm mais chances de detectar comportamentos suspeitos;
- Use autenticação de dois fatores em tudo: se os criminosos roubarem suas senhas, a 2FA ainda pode salvar suas contas;
- Fique de olho nas permissões: se um instalador de jogo pede acesso de administrador ou quer mexer no Windows Defender, desconfie.