Malware Myth Stealer usa sites falsos de jogos como vetor de infecção para roubo de dados em navegadores

Pesquisadores da Trellix identificaram uma nova ameaça cibernética emergente: um malware de roubo de informações chamado Myth Stealer, desenvolvido na linguagem Rust. O malware, que passou despercebido até recentemente, tem sido disseminado por meio de sites fraudulentos de jogos hospedados em plataformas como o Blogger, atraindo vítimas com a falsa promessa de testar novos videogames.

Inicialmente oferecido gratuitamente via Telegram no final de 2024, o Myth Stealer evoluiu para um modelo de Malware como Serviço (MaaS), ampliando seu alcance e profissionalização. Ele é capaz de extrair senhas, cookies e dados de preenchimento automático de navegadores baseados em Chromium e Gecko — como Chrome, Edge, Brave, Opera, Vivaldi e Firefox. Durante a execução, o malware exibe uma interface enganosa enquanto seu código malicioso age em segundo plano.

Além de sites fraudulentos, os invasores também distribuem o Myth Stealer como uma versão crackeada de ferramentas de trapaça em jogos — como o software DDrace — em fóruns especializados. Uma vez baixado, o instalador exibe uma tela de configuração falsa e ativa o componente de roubo de dados, contido em um arquivo DLL de 64 bits. O malware encerra processos de navegadores antes de extrair as informações e enviá-las para servidores remotos ou webhooks do Discord.

O Myth Stealer incorpora técnicas sofisticadas de evasão, como ofuscação de strings e verificação de ambiente para evitar sandboxing e análise. Os desenvolvedores também atualizam o malware com frequência, adicionando funcionalidades como captura de tela e sequestro da área de transferência. A campanha segue uma tendência crescente do uso de trapaças em jogos como vetor de infecção.

Outro caso semelhante envolve o malware Blitz, descoberto pela Unidade 42 da Palo Alto Networks. Ele se espalha por ferramentas de trapaça com backdoor e instaladores crackeados, sendo propagado por canais no Telegram. Sua carga útil inclui um bot com funções de keylogger, DoS, minerador de criptomoedas (XMRig), além de capturas de tela e injeção de código. O Blitz também utilizava a plataforma Hugging Face como hospedagem para seus arquivos maliciosos.

O Blitz já infectou quase 300 sistemas em 26 países, sendo mais frequente em regiões como Rússia, Ucrânia, Bielorrússia e Cazaquistão. O desenvolvedor, identificado como "sw1zzx", afirma ter encerrado suas atividades após descobrir que a própria ferramenta de trapaça que utilizava estava comprometida com outro trojan. Ele chegou a publicar uma ferramenta de remoção para vítimas.

Em paralelo, a empresa CYFIRMA destacou outro trojan avançado: o DuplexSpy RAT, escrito em C# e publicado no GitHub sob pretexto educacional. Ele oferece funcionalidades de vigilância remota, persistência, execução sem arquivos e controle de energia — incluindo desligamento remoto e bloqueio da interface da vítima com uma imagem em tela cheia, potencialmente usada para extorsão.

Por fim, relatório da Positive Technologies revela que grupos hackers como TA558, Blind Eagle, Aggah, PhaseShifters e UAC-0050 estão utilizando o serviço Crypters And Tools para ofuscar malware, dificultando sua detecção. Essa oferta de crypting como serviço é comercializada em plataformas como nitrosoftwares[.]com, e tem como alvo regiões como os EUA, Leste Europeu e América Latina.

Via - THN