Descoberta e evolução da ameaça
Um infostealer recém-descoberto chamado KuinaExtractor tem evoluído silenciosamente há mais de seis meses, representando uma ameaça séria e crescente para usuários em múltiplas plataformas. Escrito na linguagem de programação Rust, o malware visa dados de navegadores, carteiras de criptomoedas e credenciais de serviços populares como Roblox, Steam e Discord. O que torna essa ameaça particularmente preocupante é a rapidez com que amadureceu, passando de uma construção inicial rústica para uma ferramenta polida e furtiva em questão de meses.
KuinaExtractor apareceu pela primeira vez em dezembro de 2025 e passou por quatro estágios distintos de desenvolvimento, cada um adicionando novas capacidades e técnicas de evasão mais profundas. O autor do malware parece ser um desenvolvedor de língua vietnamita, com texto em vietnamita encontrado em todo o código, incluindo saída de depuração e mensagens do sistema.
Técnicas de evasão e exfiltração
Quando KuinaExtractor foi recriado em janeiro de 2026, a exfiltração mudou de webhooks do Discord para um bot do Telegram, dando ao operador mais controle e tornando o tráfego mais difícil de sinalizar. Ao mesmo tempo, o único bypass de UAC da primeira versão foi substituído por uma tabela de ponteiros de função oferecendo sete técnicas de bypass separadas. Essa redundância significa que o malware pode tentar múltiplos caminhos de escalonamento de privilégios se um for bloqueado.
A reescrita de janeiro também adicionou reconhecimento extensivo antes de qualquer roubo de dados. Consultas de hardware usando WMIC, enumeração de rede WiFi, dump do Windows Credential Manager e geolocalização de IP da vítima foram executadas antes da rotina principal de roubo. O malware também incluía um loop projetado para desativar o Microsoft Defender.
Indicadores de comprometimento e IoCs
Os analistas da ThreatRay identificaram e rastrearam KuinaExtractor ao longo de seis meses comparando similaridades de código em nível de função. Marcadores consistentes incluem nomes de mutex compartilhados, caminhos de host de compilação deixados dentro dos binários e um conjunto consistente de alças de contato do Telegram. O projeto foi relançado em junho de 2026 sob o nome "k0to", mudando o foco da adição de novos recursos para esconder os existentes.
O build mais recente envolve suas strings em criptografia XOR de 28 bytes, envia suas próprias raízes de certificado em vez de confiar na loja confiável do sistema e adiciona uma verificação de sandbox que verifica títulos de janela do PowerShell para ferramentas de analistas. Esses sinais indicam uma mudança clara para furtividade de longo prazo.
Impacto e recomendações de segurança
Equipes de segurança que monitoram esta família devem tratar qualquer amostra carregando esses marcadores compartilhados como parte da mesma atividade do ator de ameaça, independentemente do nome exibido no binário. A evolução rápida e as técnicas de evasão sofisticadas exigem monitoramento proativo de tráfego de rede e análise de comportamento de endpoints.
Recomenda-se a implementação de soluções de detecção baseadas em comportamento que possam identificar atividades de exfiltração via Telegram e tentativas de bypass de UAC. A revisão de logs de segurança e a análise de tráfego de saída são essenciais para detectar atividades suspeitas associadas a este malware.
O que fazer agora
Administradores de sistema devem garantir que as atualizações de segurança estejam em dia e que as configurações de UAC estejam rigorosas. O monitoramento de processos que tentam desativar defesas de segurança é crucial. A análise de tráfego de rede para conexões não autorizadas a serviços de mensagens como Telegram pode ajudar na detecção precoce.