Pesquisadores de cibersegurança estão alertando sobre uma nova campanha que utiliza versões crackeadas de softwares como isca para distribuir ladrões de informações conhecidos como Lumma e ACR Stealer.
O AhnLab Security Intelligence Center (ASEC) afirmou que observou um aumento no volume de distribuição do ACR Stealer desde janeiro de 2025.
Um aspecto notável do malware stealer é o uso de uma técnica chamada dead drop resolver para extrair o servidor de comando e controle (C2) real.
Isso inclui o uso de serviços legítimos como Steam, Telegraph do Telegram, Google Forms e Google Slides.
"Os atores de ameaças inserem o domínio C2 real em codificação Base64 em uma página específica", disse o ASEC.
O malware acessa esta página, analisa a string e obtém o endereço do domínio C2 real para executar comportamentos maliciosos.
O ACR Stealer, anteriormente distribuído via malware Hijack Loader, é capaz de coletar uma ampla gama de informações de sistemas comprometidos, incluindo arquivos, dados de navegadores da web e extensões de carteiras de criptomoedas.
O desenvolvimento surge conforme o ASEC revelou outra campanha que usa arquivos com a extensão "MSC", que podem ser executados pelo Microsoft Management Console (MMC), para entregar o malware stealer Rhadamanthys.
"Existem dois tipos de malware MSC: um explora a vulnerabilidade do apds.dll (
CVE-2024-43572
) e o outro executa o comando 'command' usando o Console Taskpad", disse a empresa sul-coreana.
O arquivo MSC é disfarçado como um documento do MS Word.
Quando o botão 'Abrir' é clicado, ele baixa e executa um script do PowerShell de uma fonte externa.
O script do PowerShell baixado contém um arquivo EXE (Rhadamanthys). O
CVE-2024-43572
, também chamado GrimResource, foi documentado pela primeira vez pelo Elastic Security Labs em junho de 2024 como tendo sido explorado por atores maliciosos como um zero-day.
Foi corrigido pela Microsoft em outubro de 2024.
Campanhas de malware também foram observadas explorando plataformas de suporte por chat como Zendesk, se passando por clientes para enganar agentes de suporte desavisados a baixar um stealer chamado Zhong Stealer.
De acordo com um relatório recente publicado pela Hudson Rock, mais de 30.000.000 de computadores foram infectados por ladrões de informação nos "últimos anos", levando ao roubo de credenciais corporativas e cookies de sessão que poderiam então ser vendidos por cibercriminosos em fóruns clandestinos para outros atores por lucro.
Os compradores poderiam utilizar o acesso proporcionado por essas credenciais para realizar ações de pós-exploração próprias, levando a riscos graves.
Esses desenvolvimentos servem para destacar o papel desempenhado pelo malware stealer como um vetor de acesso inicial que fornece um ponto de apoio em ambientes corporativos sensíveis.
"Por tão pouco quanto $10 por log (computador), cibercriminosos podem comprar dados roubados de funcionários trabalhando em setores de defesa e militares classificados", disse a Hudson Rock.
A inteligência de infostealer não é apenas sobre detectar quem está infectado — é sobre entender a rede completa de credenciais comprometidas e riscos de terceiros.
Ao longo do último ano, atores de ameaças também intensificaram os esforços para espalhar uma variedade de famílias de malware, incluindo stealers e trojans de acesso remoto (RATs), por meio de uma técnica chamada ClickFix que muitas vezes envolve redirecionar usuários para páginas falsas de verificação CAPTCHA instruindo-os a copiar e executar comandos maliciosos do PowerShell.
Um dos payloads úteis assim distribuídas é o I2PRAT, que utiliza a rede de anonimização I2P para anonimizar seu servidor C2 final.
"O malware é uma ameaça avançada composta de múltiplas camadas, cada uma incorporando mecanismos sofisticados", disse a Sekoia.
O uso de uma rede de anonimização complica o rastreamento e dificulta a identificação da magnitude e da propagação da ameaça na natureza.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...