Pesquisadores da Fortinet FortiGuard Labs descobriram uma campanha ativa de malware chamada Stealit que se espalha por instaladores falsos de jogos e VPNs — normalmente hospedados em sites de compartilhamento de arquivos e servidores do Discord. O alvo: gamers e quem mexe com criptomoedas. O diferencial? Técnicas experimentais do Node.js e um modelo de negócio tipo “malware-as-a-service” com assinaturas pagas.
O que é e por que é perigoso
O Stealit é um trojan que vem empacotado como instalador legítimo. Ele explora um recurso experimental do Node.js (Single Executable Application — SEA) para rodar como um executável autocontido, o que dificulta a detecção por antivírus tradicionais. Na prática: você baixa “um jogo grátis” ou uma “VPN” e, em vez disso, instala um invasor que atua furtivamente no seu PC.
Como a campanha age (visão geral, sem instruções técnicas)
- O instalador verifica se está em ambiente de análise (máquina virtual/ sandbox). Se detectar análise, fica inerte — tática comum para evitar a detecção automatizada.
- Se rodar no computador real, o malware estabelece persistência e reduz a visibilidade de suas rotinas, dificultando a remoção.
- Ele coleta credenciais e dados sensíveis — principalmente de navegadores, carteiras de criptomoedas e contas de jogos — e envia isso para um painel de controle central.
- Em alguns casos, o invasor abre canais de controle remoto, permitindo espionagem da tela, execução de comandos e transferência de arquivos.
Tudo isso é projetado para transformar máquinas comprometidas em “vítimas” monitoráveis por clientes que pagam pelo serviço.
O modelo comercial: crime por assinatura
Os operadores do Stealit vendem acesso ao malware como se fosse um SaaS sombrio. Planos com diferentes preços oferecem níveis variados de funcionalidades e tempo de uso, e compradores recebem um painel para monitorar e extrair dados das vítimas em tempo real. Essa profissionalização do crime digital facilita escalabilidade e torna a campanha lucrativa.
Quem está em risco
- Gamers que baixam versões piratas ou “crackadas” de jogos;
- Usuários que utilizam instaladores de fontes não oficiais (Mediafire, links no Discord/Telegram);
- Donos de carteiras de criptomoedas desktop/mobile;
- Contas vinculadas a plataformas de jogos (Steam, Epic, etc.).
Se você se encaixa em algum desses perfis, vale dobrar a atenção.
Como se proteger (práticas seguras — nada que ensine invasão)
- Baixe software só de fontes oficiais (site do desenvolvedor, lojas oficiais);
- Desconfie de versões “gratuitas” de apps pagos — é o isco favorito dos invasores;
- Evite executar instaladores de procedência duvidosa e não conceda permissões administrativas sem checar a origem;
- Mantenha antivírus e sistema atualizados; atualizações aumentam as chances de detecção e mitigação;
- Ative autenticação multifator sempre que possível; roubo de senha não significa perda automática da conta;
- Use carteiras de hardware para cripto sempre que lidar com valores significativos;
- Eduque times e amigos: golpes de engenharia social funcionam bem porque as pessoas confiam onde não deveriam.
Resumo rápido
O Stealit combina técnicas modernas (empacotamento SEA do Node.js) com um modelo comercial profissionalizado — resultado: ameaça mais difícil de detectar e de grande impacto financeiro para gamers e donos de cripto. A boa notícia é que as medidas de proteção continuam simples e eficazes: fonte oficial + cautela + 2FA + backups e, quando possível, hardware wallets.
