Nos últimos meses, foi detectado um aumento preocupante de infecções relacionadas com LummaStealer, uma plataforma de roubo de informações que funciona como malware‐as‐a-service (MaaS). Embora tenha sido desarticulada parcialmente numa operação coordenada em maio de 2025 que tumbou milhares de domínios e sua infraestrutura de controle, a atividade não desapareceu: os operadores voltaram a implementar operações a partir de julho e desde o final de 2025 a janeiro de 2026 a campanha tem escalado de forma notável.
LummaStealer não é um vírus isolado, mas um serviço criminoso que facilita o acesso a dados altamente sensíveis. Entre o que você procura contam nomes de usuário e senhas guardadas em navegadores, cookies de sessão, tokens de autenticação, configurações de VPN, detalhes de carteiras de criptomoedas e documentos armazenados na equipe. Essa amplitude de objetivos torna-o uma ameaça particularmente perigosa para usuários e empresas.
O que mudou nesta onda é o papel de CastleLoader, um carregador de malware que emergiu como elemento central em muitas cadeias de infecção. Pesquisadores do Bitdefender descreveram como CastleLoader atua como uma “plataforma de distribuição”: decifra e carga o código malicioso totalmente em memória, usa múltiplas camadas de ofuscação e pode se comunicar de forma flexível com servidores de comando e controle, o que o torna ideal para propagar famílias variadas de info-stealers e troianos de acesso remoto. Para a análise completa dos resultados do Bitdefender, consultar o seu relatório técnico: Bitdefender Labs: LummaStealer e CastleLoader.
No técnico, CastleLoader aparece normalmente como scripts ofuscados escritos em AutoIt ou Python que desencriptam e executam a carga maliciosa em memória. Emprega renomeada com dicionários, cadeias codificadas que são descodificados em tempo de execução, pilhas de código inútil e operações aritméticas que servem apenas para confundir analistas e ferramentas automáticas. Além disso, antes de lançar o roubo de informações, verifica o ambiente para saber se está a ser analisado num laboratório de segurança e adapta as suas rotas de instalação segundo os produtos de segurança detectados na máquina vítima.
A persistência é alcançada através de uma receita simples, mas eficaz: o programa malicioso é copiado para uma rota estabelecida, o intérprete (por exemplo AutoIt) é colocado em outra localização e é criado um acesso direto da Internet na pasta inicial para executar o intérprete com o programa como argumento, de modo que a carga fica activa após reinícios. Entre os indicadores de comportamento que os pesquisadores identificaram aparece uma conduta chamativa: CastleLoader provoca deliberadamente uma consulta DNS a um domínio inexistente, forçando uma falha que deixa artefatos de rede detectáveis — um ponto que os equipamentos de defesa podem usar para identificar atividade suspeita na rede.
A propagação de LummaStealer não se limita a um único método. Os operadores usam instaladores troceados ou “troyanizados”, versões piratas de software distribuídas em sites falsos ou torrents, e arquivos de jogos ou multimídia enganosos. Um vetor de engenharia social especialmente eficaz é conhecido como ClickFix: a vítima vê uma página que imita um CAPTCHA ou uma verificação, recebe instruções detalhadas para colar e executar um comando em PowerShell e esse comando já foi colocado na sua área de transferência. Ao colar, a máquina descarrega e executa um script remoto; muitas vezes o primeiro componente que entra é CastleLoader, que por sua vez recupera LummaStealer. Bitdefender documenta este modus operandi no seu relatório e qualifica-o como um dos vectores mais potentes da campanha.
A relação entre CastleLoader e LummaStealer já tinha sido apontada anteriormente por outros equipamentos de inteligência. Por exemplo, a Insikt Group de Recorded Future documentou como uma das peças da infraestrutura usada por CastleLoader tinha atuado como servidor de comando e controle para LummaStealer, o que confirma a conexão operacional entre ambos projetos maliciosos. Para aprofundar essa pesquisa, consultar a análise de Recorded Future: Recorded Future — Insikt Group.
Diante desse cenário, a prevenção e a detecção precoce são chaves. No plano pessoal, convém evitar baixar executáveis a partir de fontes não verificadas e fugir de software pirateado ou ferramentas “crackeadas”, que são caldo de cultivo habitual para este tipo de infecções. Se uma web pedir executar um comando no PowerShell ou na consola como parte de uma “verificação”, isso deve ser tomado como um sinal de alarme: nunca se deve colar e executar código da área de transferência se não entender exatamente o que faz. Para empresas e administradores, além da educação de usuários, é imprescindível ter soluções de endpoint e detecção de comportamento que observem execuções em memória, anomalias em DNS e persistências incomuns, bem como aplicar controles de filtragem de downloads e segmentação de rede.
A lição mais ampla é que o ecossistema do cibercrime é resiliente. As interrupções por parte das forças da ordem e da indústria podem abrandar ou desarticular infra-estruturas, mas os desenvolvedores de malware e os vendedores de serviços ilícitos se adaptam com novas peças e técnicas – como CastleLoader e ClickFix – para voltar a colocar a maquinaria em andamento. Por isso a resposta tem de ser igualmente multifacetada: combinação de inteligência sobre ameaças compartilhadas, ferramentas de detecção avançadas e, não menos importante, formação contínua para que os usuários reconheçam enganos e não executem comandos que comprometam sua equipe.
Se você quer ler as análises técnicas e obter indicadores para a defesa, os relatórios de Bitdefender e Recorded Future citados acima são um bom ponto de partida. Manter o software atualizado, aplicar autenticação multifator nas contas críticas, usar gestores de senhas e revisar registros de rede em busca de padrões atípicos (por exemplo, consultas DNS fracassadas a domínios inexistentes) são medidas concretas que reduzem muito o risco contra essas campanhas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...