Nos últimos meses surgiu uma campanha de infostealer denominada REMUS que, além do seu código, revela uma tendência preocupante: as operações criminosas estão se transformando em plataformas comerciais profissionais. Análises técnicas têm mostrado similaridades com o Lumma Stealer e capacidades como controles anti-VM, roubo de cookies e tokens de navegador; mas ao observar fóruns e publicações do operador é considerado algo mais relevante para defensores e responsáveis pela segurança: um roteiro claro, versões, suporte ao cliente e métricas operacionais que convertem o malware em um serviço continuamente desenvolvido.
O que distingue o REMUS não é apenas a extração de credenciais tradicionais, mas a priorização de sessões autenticadas e artefatos do navegador(cookies, tokens, IndexedDB de extensões). Essa abordagem permite aos atacantes reutilizar acessos já validados, muitas vezes medindo controles como MFA ou detecções por anomalias de início de sessão, e por isso as sessões roubadas tornaram-se uma moeda de alto valor no mercado clandestino. Flare e outros observadores documentaram como o ator foi adicionando funções de “restore” e compatibilidade com proxys para manter e reutilizar sessões roubadas (fonte: Flare).
Do ponto de vista operacional, a REMUS ilustra a fragmentação do ecossistema MaaS: desenvolvedores, operadores e distribuidores podem se especializar e escalar campanhas com painéis de gestão, acompanhamento de “workers” e filtros para priorizar logs valiosos. Essa divisão do trabalho aumenta a persistência e a capacidade de monetizar dados a longo prazo e reduz a fricção técnica para compradores sem conhecimentos avançados, o que amplia o risco para organizações de todos os tamanhos.
As implicações para a segurança corporativa são claras: não basta proteger senhas. Sistemas que confiam apenas em credenciais estáticas ou em MFA que possa ser omitida por restauração de sessão são vulneráveis. Plataformas específicas como Discord, Steam, Riot ou serviços ligados ao Telegram aparecem repetidamente nos relatórios pelo valor operacional de suas sessões, o que afeta empresas de jogos, comunidades online e serviços com economias internas.
Em termos práticos, a resposta defensiva deve combinar controlos técnicos, políticas e detecção ativa. No técnico, é crítico aplicar atributos de cookie seguros (HttpOnly, Secure, SameSite), reduzir a persistência de tokens, usar tokens ligados a dispositivo e preferir mecanismos modernos de autenticação como FIDO2 ou chaves hardware; as recomendações de segurança de identidade oficiais, como as de NIST sobre autenticação, são um bom ponto de partida ( NIST SP 800-63B).
Para detecção e remediação: implemente monitoramento de sessões ativas e alertas por mudanças de contexto (IP, geolocalização, fingerprinting do navegador), invalide tokens ante suspeitas e ofereça fluxos de reatenticação obrigatória se forem detectados restaurações a partir de proxys ou dispositivos desconhecidos. As soluções de EDR e as plataformas de proteção do navegador podem ajudar a detectar e bloquear loaders, crypting e execuções suspeitas usadas para implantar stealers.
No âmbito do manejo de senhas e gestores, não é suficiente confiar na extensão do navegador: incentive o uso de gestores nativos ou aplicativos com criptografia forte, proteja o acesso a vaults com MFA e considere políticas que mitiguem o risco de exposição desde IndexedDB e outros armazéns locais. Os equipamentos de produto devem rever práticas que armazenam credenciais ou tokens no cliente e migrar para mecanismos server‐side com tokens efêmeros sempre que possível.
A inteligência de ameaças e a monitorização de mercados clandestinos também ganharam importância: saber quais dados são vendidos e detectar fugas precoces pode marcar a diferença. Ferramentas que reúnem e analisam stealer logs permitem a organizações identificar exposições antes de serem usadas para fraudes ou acessos persistentes; relatórios públicos sobre REMUS e sua evolução, como a análise da comunidade, ajudam a contextualizar táticas e objetivos (por exemplo, técnico em inglês). SOC Prime).
Finalmente, a governação e a formação continuam a ser determinantes. As empresas devem rever políticas de sessão, limitar privilégios por defeito, rotar credenciais críticas com periodicidade e treinar usuários sobre riscos de phishing e vetores de entrega de stealers. Se houver suspeita de compromisso, a prioridade é cortar a persistência: revogar sessões, rotar chaves, analisar loaders e coordenar com fornecedores de identidade e segurança para mitigar o impacto.
REMUS é um lembrete de que a segurança moderna exige pensar mais no ciclo de vida do acesso do que na senha em si: as operações criminosas se profissionalizam e buscam maximizar a utilidade de cada dado roubado. Adaptar controles técnicos, processos de resposta e modelos de detecção a essa realidade é a melhor defesa frente a esta nova geração de infostealers.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...