Pesquisadores de cibersegurança identificaram uma nova campanha de malware que se aproveita de softwares pirateados para disseminar stealers, como o Lumma Stealer e o ACR Stealer. Segundo o AhnLab Security Intelligence Center (ASEC), desde janeiro de 2025, houve um aumento significativo na disseminação do ACR Stealer, um malware projetado para roubar informações sensíveis, incluindo arquivos, dados de navegadores e extensões de carteiras de criptomoedas. Uma das táticas mais sofisticadas utilizadas pelos atacantes envolve o “dead drop resolver”, um método que oculta o servidor de comando e controle (C2) em serviços legítimos, como Steam, Telegram’s Telegraph, Google Forms e Google Slides.
Os criminosos codificam o endereço real do C2 em Base64 dentro dessas plataformas, permitindo que o malware acesse, decodifique e obtenha o domínio real para iniciar atividades maliciosas sem chamar a atenção das ferramentas de segurança. A descoberta ocorre no momento em que o ASEC alerta para outra campanha que usa arquivos MSC para infectar sistemas com o Rhadamanthys Stealer. Esses arquivos, quando executados no Microsoft Management Console (MMC), baixam e executam scripts PowerShell maliciosos que instalam o malware sem que a vítima perceba. Algumas versões dessa ameaça exploram a vulnerabilidade CVE-2024-43572 (GrimResource), um zero-day corrigido pela Microsoft em outubro de 2024, para ampliar sua capacidade de ataque.
Os criminosos também estão utilizando plataformas de suporte ao cliente, como o Zendesk, para enganar agentes de atendimento e convencê-los a baixar o Zhong Stealer, um malware especializado em roubo de credenciais corporativas. Além dessas campanhas, os criminosos também estão ampliando o uso da técnica ClickFix, que redireciona vítimas para falsas páginas de verificação CAPTCHA e as instrui a executar comandos PowerShell maliciosos. Esse método tem sido utilizado para espalhar malware avançado, como o I2PRAT, que emprega a rede de anonimização I2P para ocultar seu servidor C2 final, dificultando o rastreamento e a contenção do ataque.
