Pesquisadores de cibersegurança destacaram um stealer de informações baseado em Rust, anteriormente não documentado, chamado Myth Stealer, que está sendo propagado por meio de sites de jogos fraudulentos.
"Após sua execução, o malware exibe uma janela falsa para parecer legítimo, enquanto simultaneamente descriptografa e executa código malicioso em segundo plano", disseram os pesquisadores de segurança da Trellix, Niranjan Hegde, Vasantha Lakshmanan Ambasankar e Adarsh S em uma análise.
O stealer, inicialmente oferecido gratuitamente no Telegram em sua versão beta no final de dezembro de 2024, desde então migrou para um modelo de malware-como-serviço (MaaS).
Ele é equipado para roubar senhas, cookies e informações de preenchimento automático de navegadores baseados em Chromium e Gecko, como Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Mozilla Firefox.
Os operadores do malware foram encontrados mantendo diversos canais no Telegram para anunciar a venda de contas comprometidas, bem como fornecer testemunhos de seu serviço.
Esses canais foram fechados pelo Telegram.
Evidências mostram que Myth Stealer é distribuído por meio de sites falsos, incluindo um hospedado no Blogger do Google, oferecendo diversos jogos de vídeo sob o pretexto de testá-los.
Vale ressaltar que uma página no Blogger quase idêntica foi usada para entregar outro malware stealer conhecido como AgeoStealer, conforme divulgado pela Flashpoint em abril de 2025.
A Trellix também descobriu o malware sendo distribuído como uma versão crackeada de um software de trapaça em jogos chamado DDrace em um fórum online, destacando os diversos veículos de distribuição.
Independentemente do vetor de acesso inicial, o loader baixado exibe uma janela de configuração falsa para o usuário para enganá-lo, fazendo-o pensar que uma aplicação legítima está sendo executada.
Em segundo plano, o loader descriptografa e lança o componente stealer.
Em um arquivo DLL de 64 bits, o stealer tenta encerrar processos em execução associados a vários navegadores da web antes de roubar os dados e exfiltrá-los para um servidor remoto ou, em alguns casos, para um Discord webhook.
"Ele também contém técnicas anti-análise como obfuscação de strings e verificações do sistema usando nomes de arquivo e nomes de usuário", disseram os pesquisadores.
Os autores do malware atualizam regularmente o código do stealer para evadir a detecção de AV e introduzir funcionalidades adicionais, como a capacidade de captura de tela e sequestro da área de transferência.
Myth Stealer não está sozinho quando se trata de usar iscas de trapaças em jogos para distribuir malware.
Na semana passada, a Unit 42 da Palo Alto Networks revelou outro malware para Windows chamado Blitz, que se espalha através de trapaças em jogos e instaladores crackeados para programas legítimos.
Propagado principalmente via um canal do Telegram controlado pelo atacante, Blitz consiste em dois estágios: um downloader, responsável por um payload de bot, projetado para registrar teclas digitadas, tirar screenshots, baixar/upload de arquivos e injetar código.
Ele também vem equipado com uma função de DoS contra servidores web e instala um minerador XMRig.
A trapaça backdoor realiza verificações anti-sandbox antes de recuperar o próximo estágio do malware, com o downloader sendo executado apenas quando a vítima faz login novamente após fazer logout ou reiniciar o sistema.
O downloader também é configurado para executar as mesmas verificações anti-sandbox antes de soltar o payload do bot.
O que é notável na cadeia de ataque é que os payloads do bot Blitz e do minerador de criptomoeda XMR, juntamente com componentes de sua infraestrutura de comando e controle (C2), são hospedados em um Hugging Face Space.
O Hugging Face bloqueou a conta do usuário após a divulgação responsável.
Até o final de abril de 2025, estima-se que o Blitz tenha acumulado 289 infecções em 26 países, liderados por Rússia, Ucrânia, Belarus e Cazaquistão.
No mês passado, o ator de ameaça por trás do Blitz afirmou em seu canal do Telegram que estava pendurando as botas depois de aparentemente descobrir que a trapaça tinha um trojan embutido nela.
Eles também forneceram uma ferramenta de remoção para limpar o malware dos sistemas das vítimas.
"A pessoa por trás do malware Blitz parece ser um falante de russo que usa o pseudônimo sw1zzx nas plataformas de mídia social", disse a Unit 42.
Esse operador de malware é provavelmente o desenvolvedor do Blitz.
Este desenvolvimento ocorre enquanto a CYFIRMA detalhava um novo RAT (Remote Access Trojan) baseado em C#, chamado DuplexSpy RAT, que vem com capacidades extensivas para vigilância, persistência e controle do sistema.
Foi publicado no GitHub em abril de 2025, alegando ser destinado apenas para "demonstração educacional e ética."
"A cadeia de infecção do Blitz"
"Ele estabelece persistência via replicação da pasta de inicialização e modificações no registro do Windows, enquanto emprega execução sem arquivo e técnicas de escalonamento de privilégios para furtividade", disse a empresa.
"Os principais recursos incluem registro de teclas digitadas, captura de tela, espionagem por webcam/áudio, shell remoto e funções anti-análise."
Além de apresentar a capacidade de reproduzir áudio ou sons do sistema remotamente na máquina da vítima, o DuplexSpy RAT incorpora um módulo de controle de energia que possibilita ao atacante executar comandos no nível do sistema na máquina comprometida, como desligar, reiniciar, fazer logout e dormir.
"[O malware] impõe uma tela de bloqueio falsa exibindo uma imagem fornecida pelo atacante (codificada em Base64) em tela cheia enquanto desabilita a interação do usuário", adicionou a CYFIRMA.
Impede o fechamento, a menos que explicitamente permitido, simulando um congelamento do sistema ou aviso de resgate para manipular ou extorquir a vítima.
As descobertas também seguem um relatório da Positive Technologies de que vários atores de ameaças, incluindo TA558, Blind Eagle, Aggah (também conhecido como Hagga), PhaseShifters (também conhecido como Angry Likho, Sticky Werewolf e UAC-0050), UAC-0050 e PhantomControl, estão usando uma oferta de criptografia como serviço chamada Crypters And Tools para ofuscar arquivos como o Ande Loader.
Cadeias de ataque usando Crypters And Tools têm como alvo os Estados Unidos, Europa Oriental (incluindo Rússia) e América Latina.
Uma plataforma onde o criptografador é vendido é nitrosoftwares[.]com, que também oferece várias ferramentas, incluindo exploits, criptografadores, loggers e clippers de criptomoeda, entre outros.
"Conforme nossa investigação, não há correlação entre o Myth Stealer e o AgeoStealer," informou a empresa.
"AgeoStealer é escrito em JavaScript e é empacotado como uma aplicação Electron, enquanto o Myth Stealer é escrito em Rust. Fora o uso de páginas web visualmente similares, não há relação entre os dois."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...