Um novo malware de roubo de informações chamado AuraStealer tem feito sua presença ser sentida no cenário de cibersegurança desde meados de 2025. Desenvolvido e mantido ativamente por um grupo de indivíduos de língua russa, o malware apareceu pela primeira vez em fóruns de hackers underground em julho de 2025, logo após a interrupção da infraestrutura do stealer Lumma deixar uma lacuna notável no mercado de infostealers. O agente de ameaça moveu-se rapidamente para preencher essa lacuna, posicionando o AuraStealer como um concorrente direto do LummaC2.
Infraestrutura e modelo de negócios
Analistas da Intrinsec identificaram o AuraStealer como uma ameaça em rápido crescimento apoiada por uma infraestrutura de comando e controle (C2) bem estruturada. Sua pesquisa descobriu 48 nomes de domínio C2 vinculados a operações do AuraStealer, extraídos de mais de 200 amostras encontradas no VirusTotal. O agente de ameaça usa os domínios de topo .SHOP e .CFD, ambos baratos e comumente abusados por operadores de baixo orçamento. Para esconder o servidor real, o ator roteia todo o tráfego através da Cloudflare como um proxy reverso.
O painel do malware dá aos compradores tudo o que precisam para gerenciar campanhas — geração de builds, filtragem de logs, dashboards mostrando distribuições geográficas e integração com bot do Telegram para receber dados roubados. É vendido em dois pacotes de assinatura: US$ 295/mês para Básico e US$ 585/mês para Avançado. O desenvolvedor afirma abertamente que ex-usuários do Lumma, StealC, Vidar e Rhadamanthys agora estão migrando, e múltiplas campanhas já foram confirmadas na natureza.
Capacidades de coleta de dados e vetores de entrega
A gama de dados que o malware coleta é impressionante — credenciais de navegador, dados de carteiras de criptomoedas, tokens 2FA, cookies de sessão do Discord, Telegram e Steam, arquivos de configuração de VPN, bancos de dados de gerenciadores de senhas como KeePass e Bitwarden, conteúdo da área de transferência e capturas de tela da tela da vítima.
O AuraStealer atinge as vítimas principalmente através de uma técnica de engenharia social chamada ClickFix. Pesquisadores de segurança documentaram uma campanha notável em outubro de 2025 onde vídeos maliciosos no TikTok se passavam por tutoriais para ativar softwares populares como Windows, Microsoft 365, Adobe Photoshop e Spotify. Os espectadores eram instruídos a abrir o PowerShell com privilégios de administrador e executar um comando de uma linha, que baixava e executava silenciosamente uma amostra do AuraStealer.
Recomendações de defesa
Junto com iscas no TikTok, o malware foi distribuído através de uma ampla gama de loaders e downloaders. Em vários casos, o AuraStealer foi injetado em processos legítimos do Windows usando scripts Visual Basic, arquivos autoexecutáveis e loaders de shellcode Donut.
As equipes de segurança devem bloquear a execução do PowerShell acionada por conteúdo de mídia social ou sites de ativação de software não oficiais. Soluções de endpoint devem ser configuradas para detectar e alertar sobre injeção de processo em binários legítimos do sistema Windows. Todos os 48 domínios C2 conhecidos documentados neste relatório devem ser bloqueados no perímetro da rede sem demora. O treinamento de conscientização dos funcionários é essencial para ajudar os usuários a identificar ataques de engenharia social no estilo ClickFix.