Um novo infostealer baseado em Python chamado CharlieKirk Grabber foi identificado visando sistemas Windows, com o objetivo focado de roubar credenciais de login armazenadas, cookies de navegador e dados de sessão. O malware é construído para funcionar como uma ameaça "smash-and-grab" — ele é executado rapidamente, coleta quaisquer dados sensíveis que encontrar e desaparece antes que o usuário perceba algo incomum.
Vetor e estrutura modular
O malware chega como um executável do Windows, empacotado através de uma ferramenta chamada PyInstaller, que agrupa todo o seu código Python em um único arquivo autônomo que é executado sem exigir que o Python esteja instalado na máquina de destino. Ele empresta seu nome e imagética política do grupo Turning Point USA para explorar engenharia social. O malware é tipicamente entregue através de e-mails de phishing, pacotes de software crackeados, downloads de trapaças para jogos ou iscas baseadas em mídias sociais.
Pesquisadores da Cyfirma identificaram o malware e observaram que ele usa uma estrutura do tipo "builder", o que o torna modular. Isso significa que quem o opera pode configurar livremente as configurações de comando e controle (C2) — como um webhook do Discord ou um bot do Telegram — e ligar ou desligar módulos de coleta específicos antes de implantar o executável final.
Mecanismo de coleta e exfiltração
Uma vez ativo em um sistema, o CharlieKirk Grabber perfila o host coletando o nome de usuário, nome do host, UUID de hardware e o endereço IP externo. Ele força o término de processos de navegador em execução usando a ferramenta Windows TASKKILL, desbloqueando o acesso a bancos de dados de senhas salvas. Os dados roubados — abrangendo senhas, cookies, entradas de preenchimento automático, histórico de navegação e credenciais Wi-Fi — são então agrupados em um arquivo ZIP e enviados para a plataforma de hospedagem de arquivos GoFile. Um link de download é imediatamente enviado ao atacante via HTTPS através de um webhook do Discord ou de um bot do Telegram.
Técnicas de evasão Living off the Land
O que torna este stealer particularmente difícil de detectar é seu uso intensivo de ferramentas legítimas do Windows que já fazem parte de toda instalação. Em vez de implantar arquivos de terceiros suspeitos, o malware usa NETSH.EXE para recuperar senhas Wi-Fi salvas, SYSTEMINFO.EXE para mapear detalhes de hardware e SO, e PowerShell para adicionar silenciosamente a si mesmo à lista de exclusões do Microsoft Defender. Este método, conhecido como "living off the land", permite que ações maliciosas se misturem com o comportamento administrativo normal, ajudando-o a evitar a detecção baseada em assinatura.
Recomendações de defesa
Organizações devem impor Autenticação Multifator em todos os serviços críticos e restringir o armazenamento de senhas baseado em navegador através de políticas corporativas. As equipes de segurança devem monitorar eventos incomuns de término de processos do navegador, tráfego HTTPS de saída para Discord, Telegram ou GoFile, e qualquer atividade do PowerShell em diretórios graváveis pelo usuário. A execução a partir de caminhos temporários, como %TEMP% e %APPDATA%, deve ser bloqueada usando AppLocker ou Windows Defender Application Control (WDAC).