Descoberta e escopo da ameaça
Uma nova e evolutiva ameaça tem chamado a atenção de pesquisadores de segurança cibernética em todo o mundo. Um stealer de informações baseado em Windows, conhecido como NWHStealer, ressurgiu com uma cadeia de entrega mais sofisticada, agora utilizando o runtime JavaScript Bun como parte de seu processo de infecção. Essa mudança deixa claro que os atacantes por trás desta campanha estão experimentando ativamente com ferramentas menos conhecidas para se manterem à frente das defesas de segurança.
O NWHStealer é um malware baseado em Rust capaz de roubar dados sensíveis de sistemas Windows infectados. Ele se espalha através de scripts Node.js, instaladores MSI e downloads de software falsos hospedados em plataformas confiáveis, como GitHub, GitLab, SourceForge e Itch.io. Como ele se mistura a pacotes de software que parecem legítimos, muitos usuários baixam e executam sem suspeita.
Analistas da Malwarebytes identificaram o novo método de entrega durante atividades rotineiras de caça a ameaças. O pesquisador Gabriele Orini notou que os atacantes incorporaram o Bun, uma ferramenta de JavaScript moderna construída como uma alternativa de alto desempenho ao Node.js, na cadeia de entrega do malware. Sua relativa novidade nos círculos de segurança o torna particularmente atraente para atacantes tentando deslizar pela detecção.
Técnica de entrega e evasão de detecção
A infecção começa com um arquivo ZIP disfarçado de treinador de jogos, crack de software ou ferramenta de utilidade. Nomes de arquivos detectados incluem MOUSE_PI_Trainer_v1.0.zip, FiveM Mod.zip, TradingView-Activation-Script-0.9.zip e AutoTune 2026.zip. Dentro do arquivo, reside o Installer.exe, que carrega código JavaScript embutido com o runtime Bun oculto em sua seção .bun.
O código JavaScript malicioso é dividido em dois arquivos principais. O primeiro, sysreq.js, executa comandos PowerShell e WMI para verificar se o sistema é uma máquina real ou uma virtual. Ele insere contagem de CPU, espaço em disco, resolução de tela, fabricantes de hardware e até mesmo o nome de usuário, usando um sistema de pontuação para decidir se deve prosseguir com a infecção ou parar inteiramente. Essa camada anti-VM é projetada para evitar detecção em ambientes de análise de segurança automatizados.
O segundo arquivo, memload.js, lida com a comunicação com o servidor de comando e controle (C2) do atacante. Strings e configurações são criptografadas usando XOR combinado com codificação base64, tornando a análise estática muito mais difícil. O loader envia um relatório contendo o IP público da vítima, detalhes do sistema e uma captura de tela para o C2, depois busca um payload criptografado AES e implanta o NWHStealer diretamente na memória com traços mínimos em disco.
Capacidades do malware e dados visados
Uma vez dentro de um sistema, o NWHStealer é altamente capaz. Ele coleta informações do sistema, rouba dados salvos do navegador e senhas, drena carteiras de criptomoedas e visa aplicativos como Discord, Steam e clientes FTP como FileZilla. Ele também pode injetar código malicioso em processos do navegador, contornar o Controle de Conta de Usuário do Windows, persistir através de tarefas agendadas e buscar novos endereços de comando e controle do Telegram para manter a operação viva após derrubadas parciais.
A escala desta campanha é notável. Os atacantes continuam a criar novos perfis em plataformas legítimas para impulsionar novos iscos, tornando difícil para os moderadores responderem rapidamente. A combinação de roubo de dados, persistência e infraestrutura de autoatualização torna o NWHStealer uma ameaça séria tanto para usuários comuns quanto para organizações.
Medidas de mitigação e recomendações para executivos
Diante da distribuição generalizada deste stealer, os usuários devem tomar medidas práticas para se protegerem. Baixe software apenas de fontes oficiais e verificadas e evite plataformas de compartilhamento de arquivos, a menos que a identidade e reputação do editor estejam claramente estabelecidas. Sempre verifique a assinatura digital de um arquivo antes de executá-lo, pois o software legítimo carregará detalhes de assinatura consistentes e verificáveis.
Também vale a pena inspecionar qualquer arquivo baixado antes de abri-lo. Arquivos maliciosos frequentemente têm estruturas de arquivo incomuns, conteúdo incompatível ou padrões de nomenclatura que não correspondem ao que foi anunciado. Manter-se cauteloso com downloads que parecem bons demais para ser verdade, seja um cheat de jogo, um ativador de software ou uma ferramenta gratuita, permanece uma das defesas mais eficazes contra ameaças como o NWHStealer.
Indicadores de Comprometimento (IoCs)
As equipes de segurança devem monitorar os seguintes indicadores de comprometimento para detectar atividades relacionadas ao NWHStealer:
- Domínios C2: whale-ether[.]pro, cosmic-nebula[.]cc, silent-harvester[.]cc, silent-orbit[.]cc, support-onion[.]club.
- Hashes SHA-256: d3a896f450561b2546b418b469a8e10949c7320212eb1c72b48e2b1e37c34ba5, 96fe4ddfe256dc9d2c6faea7c18e2583cd9d9c0099a4ad2cf082f569ee8379f4, 3710fb27d2032ef1eb1252ebf5c4dd516d2b2c0a83fb82c664c89e504b990fa9.
- Arquivos suspeitos: Installer.exe, sysreq.js, memload.js, dw.exe.
Perguntas frequentes sobre o NWHStealer
Como o NWHStealer se diferencia de outros stealers? O uso do runtime Bun e as verificações anti-VM sofisticadas o tornam mais difícil de detectar em ambientes de análise automatizados.
Quais dados ele rouba? Senhas de navegador, chaves de criptomoedas, credenciais de aplicativos como Discord e Steam, e informações do sistema.
Como posso me proteger? Evite downloads de fontes não confiáveis, verifique assinaturas digitais e mantenha seu software e antivírus atualizados.