Vírus é distribuído em sites de compartilhamento de arquivos e servidores do Discord, tendo como alvo gamers e usuários de criptomoedas.
Uma nova campanha de malware, batizada de Stealit, tem como alvo computadores Windows e dispositivos Android, controlando webcams e câmeras.
Uma nova campanha de malware, identificada por pesquisadores da Fortinet FortiGuard Labs, está utilizando técnicas experimentais do Node.js para infectar computadores através de instaladores falsos de jogos e VPNs. O vírus, batizado de Stealit, é distribuído em sites de compartilhamento de arquivos como Mediafire e em servidores do Discord, mirando especialmente gamers e usuários de criptomoedas.
O diferencial da operação, segundo a investigação jornalística, reside no modelo de negócio: os criminosos vendem acesso ao malware em planos de assinatura que variam de US$ 29,99 por semana até US$ 1.999,99 para a versão vitalícia do trojan Android. Os “clientes” recebem um painel de controle para monitorar e roubar dados das vítimas em tempo real.
A campanha já está ativa e explora um recurso experimental do Node.js chamado Single Executable Application (SEA), que dificulta a detecção por antivírus tradicionais. A operação envolve a criação de instaladores falsos de jogos populares e aplicativos VPN, distribuídos em sites de compartilhamento e servidores do Discord. O Node.js Single Executable Application (SEA) permite empacotar aplicações Node.js como executáveis independentes, rodando no computador sem a necessidade de instalação do Node.js.
Alguns ataques utilizam o framework Electron, a mesma tecnologia que faz apps como Discord e Slack funcionarem. O malware se disfarça de aplicação legítima, checando se está rodando em uma máquina virtual ou ambiente de testes antes de iniciar a operação de roubo de dados. O malware cria um arquivo chamado cache.json na pasta temporária do Windows com uma chave de autenticação codificada em Base64, que funciona como o “CPF” da vítima no sistema dos criminosos.
O save_data.exe rouba dados de navegadores baseados em Chromium, como Chrome, Edge e Brave, incluindo senhas, histórico, cookies e cartões salvos. O stats_db.exe busca mensagens do Telegram e WhatsApp, carteiras de criptomoedas e contas de jogos como Steam, Minecraft, Epic Games e GrowTopia. O game_cache.exe garante que o malware iniciará toda vez que o computador for ligado, abrindo um canal direto com os criminosos, que podem ver a tela em tempo real, executar comandos remotos, baixar e enviar arquivos, e até mudar o papel de parede. Os planos variam de acordo com o que se quer roubar, com opções para Windows e Android, com preços entre US$ 29,99 e US$ 1.999,99.
