Nova campanha de malware Stealit se espalha por meio de VPN e aplicativos de instalação de jogos – Against Invaders – Notícias de CyberSecurity para humanos.

Nova campanha de malware Stealit se espalha por meio de VPN e aplicativos de instalação de jogos - Against Invaders - Notícias de CyberSecurity para humanos.

Os agentes de ameaças estão conduzindo uma nova campanha maliciosa implantando o malware Stealit por meio de aplicativos disfarçados, de acordo com a Fortinet.

O laboratório de pesquisa de ameaças do provedor de segurança cibernética, FortiGuard Labs, descobriu esse novo ladrão de informações (infostealer) após um pico nas detecções de um script específico do Visual Basic, Um novo relatório explicado.

O acesso inicial da campanha é obtido por meio de instaladores falsos de jogos e VPN agrupados no PyInstaller e arquivos compactados comuns e carregados em sites de compartilhamento de arquivos, como Mediafire e Discord.

O agente da ameaça então emprega ofuscação pesada e várias técnicas anti-análise para evitar a detecção e complicar a análise.

Uma vez instalado, o infostealer Stealit permite que o agente da ameaça Extrair informações de vários navegadores, incluindo Google Chrome e Microsoft Edge. Também posso roubar dados de uma variedade de aplicativos, incluindo software e mercados relacionados a jogos (Steam, Minecraft, GrowTopic e Epic Games Launcher), aplicativos de mensagens instantâneas (WhatsApp e Telegram) e carteiras de criptomoedas (Atomic, Exodus e carteiras instaladas como extensões do navegador).

Novas técnicas de entrega de Stealit

Aproveitando Node.js único aplicativo executável

Enquanto o malware Stealit anterior usava o Electron para empacotar scripts em instaladores, a nova campanha inicialmente aproveitou Node.js recurso Single Executable Apps (SEA) para distribuir scripts maliciosos para sistemas sem Node.js instalados.

Node.js SEA é um recurso experimental projetado para empacotar aplicativos Node.js, suas dependências e ativos em um executável autônomo, permitindo que eles sejam executados em sistemas sem Node.js instalados. Essa abordagem resulta em tamanhos de arquivo significativamente maiores.

O agente da ameaça por trás dessa campanha explorou esse recurso incorporando scripts prejudiciais no recurso NODE_SEA_BLOB do executável, armazenado como RCDATA.

Esse recurso contém não apenas o script, mas também o caminho do arquivo original, que geralmente revela detalhes reveladores.

Nas amostras observadas, o caminho inclui referências a ‘StealIt’ e ‘angablue’, indicando o uso do AngaBlue, uma ferramenta de código aberto que automatiza a criação de executáveis Node.js SEA, juntamente com o infostealer Stealit.

“Os agentes de ameaças por trás disso podem estar explorando a novidade do recurso, contando com o elemento surpresa e esperando pegar os aplicativos de segurança e os analistas de malware desprevenidos”, sugeriram os pesquisadores do FortiGuard Labs.

No entanto, os pesquisadores observaram que, semanas após o início da nova campanha, o agente da ameaça reverteu para a estrutura Electron, desta vez criptografando scripts Node.js agrupados com AES-256-GCM.

Realocação do painel Stealit C2

Juntamente com a mudança na técnica de entrega de malware, o agente da ameaça por trás dessa nova campanha Stealit também mudou seu painel de comando e controle (C2) para novos domínios.

Inicialmente hospedado em roubado[.]risos, o painel foi rapidamente movido para iloveanimals[.]loja depois que o domínio original se tornou inacessível.

O site opera como uma plataforma comercial, comercializando o Stealit como uma “solução profissional de extração de dados” com acesso baseado em assinatura, observaram os pesquisadores do FortiGuard Labs.

O painel anuncia recursos semelhantes a Trojans de acesso remoto (RAT), incluindo roubo de arquivos, controle de webcam, monitoramento de tela ao vivo e implantação de ransomware, visando os sistemas Windows e Android.

Vídeos instrutivos demonstram sua funcionalidade, enquanto os planos de preços oferecem assinaturas vitalícias por cerca de US$ 500 para Windows e US$ 2000 para Android.

O agente da ameaça também mantém um canal no Telegram (StealitPublic) para atualizações e promoções, com @deceptacle servindo como o principal ponto de contato para clientes em potencial.

Leia agora: Sites de ajuda falsos do macOS procuram espalhar infostealer em campanha direcionada

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.