Conhecido como Stealerium, um malware capaz de roubar dados foi detectado em várias campanhas desde maio deste ano. O ataque utiliza usa a infecção por e-mail para espionar e constranger os alvos – algo conhecido como sextorsão. Nessa modalidade, os criminosos podem sequestrar a câmera da vítima e até chantageá-la com sua próprias fotos íntimas.
O Stealerium não só consegue acesso a dados, como é capaz de rastrear a atividade da vítima em sites adultos. O malware faz captura de telas das abas, e ainda fotografa a vítima enquanto assiste conteúdos pornográficos para chantageá-la posteriormente.
De acordo com a Proofpoint, empresa de cibersegurança que detectou a campanha, o malware foi encontrado em dezenas de milhares de e-mails enviados por dois grupos hackers. Curiosamente, o Stealerium é publicado como uma ferramenta gratuita e de código aberto no GitHub pelo usuário witchfindertr, que se apresenta como “analista de malware” em Londres e alega que o programa é apenas para fins educacionais.
O Stealerium é distribuído principalmente via phishing, usando e-mails falsos que simulam documentos legítimos — faturas, pedidos de pagamento, convites de viagem, solicitações de orçamento ou doações.
Os anexos ou links maliciosos podem ter extensões como .js, .vbs, .iso, .img, .ace ou executáveis comprimidos. Os e-mails tiveram como alvo empresas dos setores de hospitalidade, educação e finanças, embora indivíduos fora de empresas também possam ter sido afetados, mas não apareceriam nas ferramentas de monitoramento da Proofpoint.
Como o Stealerium invade computadores?
Uma vez instalado, o Stealerium coleta dados e os envia para os hackers via Telegram, Discord ou SMTP – protocolo de comunicação usado para enviar e receber mensagens de e-mail pela Internet, dependendo da variante.
O diferencial mais preocupante é a função de sextorsão automatizada, que monitora URLs do navegador em busca de termos relacionados à pornografia, como “sexo” e “pornô”, acionando capturas simultâneas da aba e da webcam da vítima. Segundo a Proofpoint, ainda não há casos confirmados dessa função sendo usada, mas sua existência indica que pode ter sido empregada em ataques reais.
Métodos de chantagem manual, como e-mails que afirmam ter fotos comprometedoras da vítima, são comuns há anos. No entanto, o recurso automatizado de captura de imagens é praticamente inédito, com um caso semelhante identificado em 2019 pela ESET, visando usuários de países ”francófonos” – ou seja, que falam francês.
Isso indica uma tendência de grupos menores focarem em indivíduos e evitar a atenção das autoridades, em vez de ataques em larga escala como ransomware (que sequestra dados em busca de dinheiro) ou botnets (rede infectadas por malware e controlados por um invasor ou cibercriminoso).
Após a execução, o malware usa técnicas para evitar detecção: atraso aleatório (sleep), verificação de sandbox ou máquina virtual, desativação do Windows Defender via PowerShell, criação de tarefas agendadas e uso de mutex para limitar instâncias. Ele também pode rodar o Chrome em modo headless – que permite executar o navegador em segundo plano – e se auto-remover se detectar ambiente suspeito.
Coleta de dados e sextorsão automatizada
O Stealerium captura dados de sistema e rede, como redes Wi-Fi, VPNs (NordVPN, ProtonVPN, OpenVPN), informações de hardware e SO. Ele também visa dados de navegadores, como cookies, históricos, credenciais salvas, dados de cartões, tokens de Steam, Minecraft, Discord, Signal, Outlook e Gmail.
O spyware também pode acessar arquivos locais, ou seja, fotos, documentos e até códigos. Além de tudo isso, o vírus também consegue enviar dados via Telegram, Discord, SMTP e GoFile – ferramenta de armazenamento em nuvem.
Existem variantes do Stealerium, como Phantom Stealer e Warp Stealer, que compartilham grande parte do código, técnicas de persistência e comportamentos de coleta de dados.
Como se proteger?
É possível tomar algumas ações para evitar cair nesse tipo de golpe, incluindo cuidado reforçado no download de anexos e proteger sua webcam.
- Desconfiar de anexos e links em e-mails não verificados.
- Manter sistemas e antivírus atualizados.
- Monitorar comandos suspeitos, como execução de PowerShell e Chrome em modo headless.
- Bloquear canais de envio de dados, como Telegram, Discord e GoFile.
- Tampar a webcam quando não estiver em uso.
- Em ambientes corporativos, monitorar tarefas agendadas, scripts e saídas de dados para detectar comportamentos anômalos.
Para saber mais sobre os principais tipos de golpes cibernéticos, acompanhe o TecMundo nas redes sociais e no YouTube. Assine nossa newsletter para receber notícias de segurança e tecnologia.