Malware invade webcam e usa imagens para extorsão sexual

Um novo malware, conhecido como Stealerium roubo de dados, tem sido uma preocupação desde maio, sendo detectado em várias campanhas. Este software malicioso se propaga através de e-mails infectados e tem como principal objetivo a prática de sextorsão. Ele não só coleta dados sensíveis, mas também monitora a atividade da vítima e pode até mesmo usar a câmera para chantageá-la.

A empresa de cibersegurança Proofpoint foi quem identificou essa ameaça. Eles observaram que o Stealerium tem sido distribuído em dezenas de milhares de e-mails, enviados por pelo menos dois grupos de hackers distintos. Curiosamente, o malware está disponível como uma ferramenta gratuita e de código aberto no GitHub, sob o perfil de um usuário que se identifica como witchfindertr e afirma ser um “analista de malware” em Londres, alegando que o programa é apenas para fins educacionais.

O Stealerium vai além do simples acesso a informações. Ele consegue acompanhar de perto a navegação da vítima, especialmente em sites de conteúdo adulto. Para isso, o programa realiza capturas de tela das abas do navegador e, de forma ainda mais preocupante, ativa a câmera para fotografar a pessoa enquanto ela acessa esses conteúdos. Essas imagens são então utilizadas para futuras chantagens, uma tática de sextorsão bastante invasiva.

A distribuição principal do Stealerium ocorre por meio de ataques de phishing. Os criminosos enviam e-mails falsos que imitam documentos comuns e legítimos, como faturas, pedidos de pagamento, convites de viagem, solicitações de orçamento ou até mesmo pedidos de doações. Essa abordagem busca enganar as vítimas para que abram os anexos ou cliquem em links maliciosos.

Os anexos ou links fraudulentos podem vir em diversos formatos de arquivo, incluindo extensões como .js, .vbs, .iso, .img, .ace ou executáveis compactados. Os e-mails foram direcionados principalmente a empresas dos setores de hospitalidade, educação e finanças. No entanto, é importante ressaltar que indivíduos fora dessas empresas também podem ter sido afetados, mesmo que não apareçam nas ferramentas de monitoramento da Proofpoint.

Como o Stealerium roubo de dados Invade e Atua

Uma vez que o Stealerium é instalado no computador, ele começa seu processo de coleta de dados. Essas informações são então enviadas para os atacantes, que podem usar diferentes canais, como Telegram, Discord ou SMTP (o protocolo padrão para envio e recebimento de e-mails), dependendo da versão do malware em questão.

O que realmente diferencia o Stealerium é sua funcionalidade de sextorsão automatizada. Este recurso monitora de perto as URLs do navegador, procurando por termos relacionados à pornografia, como “sexo” e “pornô”. Ao identificar esses termos, o malware aciona capturas simultâneas da tela do navegador e da webcam da vítima, gerando material para a chantagem.

De acordo com a Proofpoint, apesar da detecção dessa capacidade, ainda não há casos confirmados publicamente de que essa função automatizada tenha sido utilizada em ataques reais. Contudo, a simples existência dessa funcionalidade indica um potencial preocupante, sugerindo que ela pode já ter sido empregada em ações maliciosas sem conhecimento das vítimas.

Embora métodos manuais de chantagem, como e-mails que falsamente alegam possuir fotos comprometedoras da vítima, sejam comuns há anos, a funcionalidade automatizada de captura de imagens é quase inédita. Um caso similar foi identificado em 2019 pela ESET, visando usuários de países francófonos. Isso marca uma evolução na sofisticação dos ataques.

Monitoramento de Dados e Estratégias de Chantagem

Essa tendência de automatização e coleta de dados mais detalhada sugere que grupos de hackers menores estão optando por focar em indivíduos. Ao fazer isso, eles tentam evitar a atenção de grandes autoridades de segurança, em contraste com ataques de maior escala, como ransomware (que sequestra dados por dinheiro) ou botnets (redes de computadores infectados controladas por um invasor).

Após a execução, o Stealerium emprega várias técnicas para evitar ser detectado por sistemas de segurança. Ele pode introduzir um atraso aleatório (sleep) em suas operações, verificar se está sendo executado em um ambiente de teste (como uma sandbox ou máquina virtual), e até desativar o Windows Defender usando o PowerShell.

O malware também cria tarefas agendadas para garantir sua persistência e utiliza um mutex para limitar o número de instâncias em execução, dificultando a análise. Além disso, pode rodar o navegador Chrome em modo headless, ou seja, em segundo plano sem interface visível, e se auto-remover caso detecte um ambiente suspeito, apagando seus rastros. Para saber mais sobre atualizações de sistemas, você pode conferir Windows 11 25H2 traz melhorias no Explorador de Arquivos.

O Stealerium é capaz de coletar uma vasta gama de informações. Ele captura dados do sistema e da rede, incluindo redes Wi-Fi, configurações de VPNs (como NordVPN, ProtonVPN, OpenVPN), informações sobre o hardware do computador e o sistema operacional (SO). Essa coleta detalhada permite um perfil completo da vítima.

O foco do malware também se estende aos dados armazenados em navegadores, como cookies, históricos de navegação, credenciais salvas e informações de cartões de crédito. Ele ainda visa tokens de plataformas como Steam, Minecraft, Discord, Signal, Outlook e Gmail. Para entender como dados de navegação podem ser usados, veja Circular para Pesquisar permite tradução automática durante a rolagem da tela.

Além dos dados de navegador, o spyware consegue acessar arquivos locais, como fotos, documentos e até códigos de programação. Todas essas informações são então enviadas aos criminosos por meio de serviços como Telegram, Discord, SMTP e GoFile, uma ferramenta de armazenamento em nuvem. A ocorrência de um vazamento de dados é sempre um alerta para os usuários.

Existem diferentes versões do Stealerium em circulação, como o Phantom Stealer e o Warp Stealer. Essas variantes compartilham grande parte do código-fonte, das técnicas de persistência no sistema e dos métodos de coleta de dados, indicando uma evolução ou ramificação da mesma ameaça base.

Como se Proteger Deste Tipo de Ameaça

Para evitar ser vítima de golpes como o que o Stealerium aplica, é fundamental adotar algumas medidas de segurança importantes. Manter a atenção e tomar precauções pode fazer toda a diferença na proteção de seus dados e privacidade digital.

• É crucial desconfiar de anexos e links contidos em e-mails que você não esperava ou que vêm de remetentes desconhecidos ou não verificados.
• Mantenha seus sistemas operacionais e softwares antivírus sempre atualizados. Essa é uma defesa essencial contra novas ameaças, pois as atualizações frequentemente incluem patches de segurança.
• Monitore comandos suspeitos que possam ser executados em seu computador, como a ativação inesperada do PowerShell ou do Chrome em modo headless, que indicam atividade incomum.
• Considere bloquear canais de envio de dados, como Telegram, Discord e GoFile, se não forem essenciais para seu uso, especialmente em ambientes corporativos, para dificultar a exfiltração de informações.
• Para proteger sua privacidade de forma mais simples, tampe a webcam quando não estiver em uso. Essa medida evita que programas maliciosos capturem imagens sem seu consentimento. Ações simples de segurança podem ser tão eficazes quanto investir em uma câmera de segurança dupla 4K com giro 360º e IA alerta sobre roubos de pacotes para sua casa.
• Em ambientes corporativos, é vital monitorar tarefas agendadas, scripts e a saída de dados para a internet, a fim de detectar comportamentos anômalos que possam indicar uma infecção ou ataque em curso.

Estar atento aos detalhes e implementar essas práticas de segurança pode ajudar a manter suas informações seguras. A vigilância constante é a melhor defesa no mundo digital de hoje.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.