05/09/2025 — A empresa de cibersegurança Proofpoint identificou o Stealerium, malware em circulação desde maio que combina roubo de credenciais com um recurso automatizado de sextorsão. O programa invade computadores após a abertura de anexos ou links contaminados em e-mails de phishing, faz capturas simultâneas da tela do navegador e da webcam e envia o material aos operadores do golpe.
Como o ataque é distribuído
Segundo a Proofpoint, dezenas de milhares de mensagens foram disparadas por dois grupos hackers. As campanhas simulam faturas, pedidos de pagamento, convites de viagem, orçamentos ou pedidos de doação. Os anexos maliciosos chegam nos formatos .js, .vbs, .iso, .img, .ace ou executáveis compactados.
Setores de hospitalidade, educação e finanças estão entre os principais alvos, mas usuários individuais também podem ser atingidos. Uma vez executado, o malware estabelece comunicação com os atacantes via Telegram, Discord ou SMTP, dependendo da variante.
Função de sextorsão inédita
O diferencial mais grave é a capacidade de vigiar o navegador em busca de termos relacionados a pornografia. Quando detecta palavras como “sexo” ou “pornô”, o Stealerium tira um print da aba ativa e aciona a webcam, coletando fotos da vítima. Embora a Proofpoint não tenha confirmado casos concretos de extorsão, a funcionalidade já está presente no código.
Código aberto no GitHub
O Stealerium é oferecido como ferramenta gratuita e de código aberto no GitHub pelo usuário witchfindertr, que se apresenta como analista de malware em Londres e alega fins educacionais. Outras variantes, batizadas de Phantom Stealer e Warp Stealer, utilizam o mesmo núcleo de programação.
Técnicas de persistência e evasão
Após a invasão, o software adota medidas para driblar antivírus e ambientes de teste: insere atrasos aleatórios, verifica se está em sandbox, desativa o Windows Defender via PowerShell, cria tarefas agendadas, utiliza mutex para impedir múltiplas instâncias e pode executar o Chrome em headless mode. Se detectar ambiente suspeito, apaga-se automaticamente.
Dados visados
Além das imagens obtidas pela webcam, o Stealerium rouba:
- cookies, histórico e senhas de navegadores;
- dados de cartões de crédito salvos;
- tokens de serviços como Steam, Discord, Signal, Outlook e Gmail;
- informações de redes Wi-Fi, VPNs (NordVPN, ProtonVPN, OpenVPN) e hardware.
Como se proteger
A Proofpoint recomenda desconfiar de anexos inesperados, manter sistemas e antivírus atualizados, bloquear a execução remota de PowerShell e monitorar conexões a plataformas como Telegram e Discord. Em ambientes corporativos, é aconselhável vigiar tarefas agendadas e fluxos anômalos de dados. Adicionalmente, cobrir a webcam quando não estiver em uso reduz o risco de exposição.
Para quem deseja aprofundar o tema e acompanhar outras notícias sobre cibersegurança, visite nossa seção de notícias e mantenha-se informado.
Fique atento a novas campanhas maliciosas e adote boas práticas digitais para evitar tornar-se alvo de extorsões virtuais.
Com informações de TecMundo
