Hack Alerta

AuraStealer: infostealer com obfuscação avançada e modelo MaaS

Por Redação Hack Alerta Publicado em 08/01/2026 10:04 Riscos e Ameaças Tempo de leitura: 3 min

Gendigital detalha AuraStealer: infostealer entregue via cracks e campanhas em redes sociais, vendido por assinatura (US$295–585/mês). Usa geofencing, detecção de VM, obfuscação de fluxo e outros mecanismos anti‑análise; rouba dados de navegadores, carteiras e tokens. Indicadores e mitigação são possíveis via EDR e políticas de execução.

AuraStealer: infostealer com obfuscação avançada e vendas por assinatura

Relatório técnico divulgado por pesquisadores da Gendigital detalha a arquitetura, técnicas anti‑análise e capacidades de roubo de dados do malware chamado AuraStealer, oferecido como serviço a criminosos.

Distribuição e modelo comercial

AuraStealer é entregue via campanhas de "Scam‑Yourself" em plataformas de vídeo (ex.: TikTok), cracks de software e downloads maliciosos, e também através de loaders e técnicas de DLL sideloading. O produto é comercializado por assinatura em níveis que, segundo a cobertura, variam entre US$295 e US$585 por mês, e inclui painel web para gerenciar dados roubados.

Mecanismos de evasão e obfuscação

Gendigital descreve múltiplas camadas de defesa contra análise e detecção:

  • Geofencing: o binário evita execução em países do CIS e Estados Bálticos.
  • Detecção de sandbox/VM: verifica número de CPUs e processos (espera pelo menos 4 CPUs ou ~200 processos) antes de executar.
  • Desafios interativos: mostra uma janela solicitando código aleatório quando executado sem camadas protetoras, interrompendo análises automatizadas.
  • Obfuscação de fluxo de controle indireta e hashing de APIs por exceções para frustrar disassemblers estáticos.
  • Criptografia/obfuscação de strings via XOR empilhado e verificações anti‑tamper por MapFileAndCheckSumW.

Capacidades de roubo

O stealer tem módulos configuráveis e alega suporte a roubo de dados de mais de 110 navegadores e 70 aplicações, incluindo carteiras de criptomoedas e tokens de autenticação (Discord, Telegram, Steam), além de coleções de extensões de navegador e bases de dados de gerenciadores de senha (KeePass, Bitwarden).

Implicações para defesa

Apesar da sofisticação, os pesquisadores apontam falhas de implementação que permitem detecção e mitigação:

  • Verificações ambientais claras: bloqueios por geolocalização e requisitos de CPU/processos podem ser usados por sensores para identificar amostras maliciosas.
  • Fluxos de instalação e sideloading podem ser monitorados e bloqueados em pipelines de EDR e restrições de execução (Application Control).
  • Conteúdo do painel de gestão de criminosos e indicadores de configuração devem ser caçados em rede para identificar exfiltração.

Recomendações

  • Fortalecer controles de origem de software (aplicar políticas de execução, bloquear downloads de cracks e sites maliciosos).
  • Habilitar proteção contra DLL sideloading e monitorar loaders suspeitos.
  • Reforçar detecção de exfiltração de credenciais e tokens em endpoints e proxies, e aplicar políticas de rotação de chaves/tokens quando houver suspeita.

Resumo

AuraStealer combina técnicas de evitação avançadas com um modelo comercial que simplifica acesso a capacidades de roubo de credenciais e carteiras. As coberturas técnicas fornecem indicadores de detecção que defesas maduras devem incorporar, mas o caráter comercial do malware indica potencial de escala e recorrência de incidentes se os canais de distribuição permanecerem ativos.

Baseado em publicação original de Cyber Security News
Tags: #aurastealer #infostealer #maldware-as-a-service #obfuscacao #dll-sideloading #phisihing #cracked-software #gendigital #exfiltration
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar