Um novo malware tem se espalhado silenciosamente pelas redes de cibercrime, e pesquisadores de segurança afirmam que é muito mais capaz do que a maioria das ferramentas de seu tipo. Chamado Venom Stealer, esta plataforma de malware-as-a-service não apenas colhe credenciais, mas constrói toda uma cadeia de ataque automatizada que começa com um simples truque de engenharia social e termina com o roubo completo da vida digital da vítima, incluindo todos os fundos armazenados em carteiras de criptomoedas.
Diferenciais do Venom Stealer
A maioria dos coletores de credenciais funciona de maneira direta: infecta uma máquina, pega senhas, envia-as e desaparece. O Venom Stealer opera de maneira muito diferente. Ele incorpora a engenharia social ClickFix diretamente em seu painel de operador, automatiza todas as etapas do ataque desde o acesso inicial até o roubo de dados e mantém o pipeline de exfiltração funcionando bem depois que o primeiro payload é concluído.
Isso o torna significativamente mais perigoso do que coletores de commodities como Lumma, Vidar e RedLine, que tipicamente param na coleta de credenciais e não mantêm acesso contínuo após a infecção inicial. Analistas da BlackFog identificaram essa ameaça após rastrear sua atividade de perto em fóruns de cibercrime subterrâneos.
Modelo de negócios e distribuição
O desenvolvedor, operando sob o nome VenomStealer, oferece acesso através de um modelo de assinatura com preços entre 250 dólares por mês e 1.800 dólares por licença vitalícia. A plataforma inclui licenciamento via Telegram, um programa de afiliados de 15% e um payload binário nativo em C++ compilado separadamente para cada operador através do painel web.
Múltiplas atualizações foram enviadas apenas em março de 2026, o que sugere fortemente que esta é uma operação criminal em tempo integral com desenvolvimento ativo. O ataque começa quando um alvo visita uma página ClickFix controlada pelo operador. O Venom fornece quatro modelos prontos para Windows e macOS: um captcha falso da Cloudflare, uma atualização falsa do sistema operacional, um erro falso de certificado SSL e uma página falsa de instalação de fonte.
Técnicas de engenharia social e execução
Cada modelo engana a vítima para abrir uma janela de Executar ou Terminal, colar um comando e pressionar Enter. Como o usuário executa o comando, o processo parece auto-iniciado e escapa de ferramentas de segurança que monitoram relacionamentos suspeitos de processos pai-filho. Uma vez que o payload é executado, ele varre imediatamente todos os navegadores baseados em Chromium e Firefox na máquina, extraindo senhas salvas, cookies de sessão, histórico de navegação, dados de preenchimento automático e cofres de carteiras de criptomoedas de todos os perfis.
A criptografia de senhas v10 e v20 do Chrome é contornada através de uma elevação de privilégios silenciosa usando a interface COM CMSTPLUA, que puxa a chave de descriptografia sem acionar qualquer diálogo UAC e deixa nenhum rastro forense. A fingerprinting do sistema e inventários de extensões do navegador também são coletados, dando aos atacantes um perfil completo de cada vítima antes que os dados roubados sejam enviados.
Persistência e janela de exfiltração contínua
O que separa o Venom Stealer da maioria dos infostealers é o que acontece após o roubo inicial. Em vez de executar uma vez e sair, o Venom permanece ativo na máquina comprometida e monitora continuamente o arquivo Login Data do Chrome, capturando qualquer nova credencial salva após o início da infecção. Este listener de sessão verifica o arquivo a cada 30 segundos, o que significa que, mesmo que uma vítima redefina suas senhas após um incidente, essas novas credenciais são capturadas no momento em que o Chrome as salva.
Qualquer dado de carteira de criptomoedas descoberto é enviado para uma engine de cracking de GPU no lado do servidor, que automaticamente quebra e drena carteiras em nove redes blockchain, incluindo MetaMask, Phantom, Exodus e Electrum. Uma atualização de 9 de março adicionou um File Password and Seed Finder que varre o sistema de arquivos local em busca de frases semente, colocando os usuários em risco mesmo se nunca salvaram credenciais diretamente dentro de um navegador.
Recomendações de defesa
As organizações podem reduzir sua exposição a ameaças como esta restringindo as políticas de execução do PowerShell, desativando a janela Executar para contas de usuário padrão através do Group Policy e fornecendo treinamento regular de funcionários focado em reconhecer páginas de engenharia social estilo ClickFix. Como o ataque depende inteiramente de dados saindo do dispositivo, monitorar e controlar o tráfego de rede de saída são passos defensivos críticos que podem ajudar a detectar ou interromper a atividade de exfiltração antes que danos significativos sejam causados.