Um malware voltou a preocupar especialistas em segurança digital após pesquisadores identificarem uma nova onda de ataques explorando conteúdos piratas no intuito de infectar usuários ao redor do mundo.
Nesse sentido, a campanha envolve uma versão renovada do LummaStealer, um dos infostealers mais perigosos da atualidade, que havia sido temporariamente desarticulado após uma grande operação policial internacional. Agora, a ameaça reaparece com força, utilizando técnicas ainda mais sofisticadas para driblar antivírus e enganar vítimas por meio de downloads falsos de filmes, jogos e softwares.
Vale ressaltar que pesquisadores da Bitdefender fizeram essa descoberta. Isso se deve ao fato de que eles identificaram a retomada de uma operação massiva de distribuição do malware. Mesmo após uma ofensiva policial que derrubou milhares de domínios usados pelo grupo criminoso em 2025, os operadores rapidamente se reorganizaram e voltaram à ativa.
Qual o malware que explora pirataria para se espalhar e voltou à ativa?
O responsável pela nova onda de ataques é o LummaStealer, um software malicioso especializado no roubo de informações sensíveis armazenadas nos computadores das vítimas. Ele surgiu em fóruns russos no final de 2022 e rapidamente ganhou notoriedade entre criminosos digitais por sua eficiência e facilidade de uso.
Um modelo de crime como serviço
Um ponto importante é que o Lumma Stealer opera dentro de um modelo conhecido como “malware-as-a-service” (MaaS). Na prática, ele funciona como uma assinatura criminosa: desenvolvedores criam e mantêm o código, enquanto afiliados pagam valores que podem variar entre 250 e 20.000 dólares para utilizar o sistema. Dependendo do plano contratado, os criminosos têm acesso a diferentes recursos, suporte técnico e infraestrutura.
Sendo assim, esse formato democratiza o cibercrime. Isso se deve ao fato de que mesmo pessoas com pouco conhecimento técnico conseguem lançar campanhas globais de infecção. Para isso, basta pagar pela ferramenta e seguir instruções que os desenvolvedores fornecem.
A operação policial e o retorno
No mês de maio de 2025, uma megaoperação internacional conseguiu derrubar mais de 2.300 domínios ligados à infraestrutura do LummaStealer. A ação parecia ter enfraquecido significativamente o grupo.
Apesar disso, de acordo com a Bitdefender, os operadores simplesmente migraram para serviços de hospedagem conhecidos como “bulletproof hosting”, que ignoram solicitações de autoridades e oferecem proteção a atividades ilícitas. Logo, essa migração permitiu que o malware ressurgisse com nova estrutura, mantendo sua capacidade de disseminação global.

Funcionamento do ataque desse malware
O sucesso desse malware está diretamente ligado à engenharia social e à exploração da pirataria digital como isca. Nesse sentido, a promessa de acesso gratuito a conteúdos populares continua sendo um dos maiores gatilhos para downloads inseguros.
Sites falsos e arquivos enganosos
Os criminosos criam páginas falsas que oferecem jogos crackeados, softwares pagos desbloqueados ou filmes recém-lançados. Sendo assim, arquivos com nomes atraentes como “Need for Speed Hot Pursuit Setup.exe” ou “Mission Impossible Final Reckoning 2025 720p.mp4.exe” são disponibilizados para download.
No segundo exemplo, a extensão dupla é o golpe principal. Mesmo que o nome sugira um vídeo (.mp4), o sistema operacional executa o arquivo como programa (.exe), o que inicia a infecção.
CastleLoader: o veículo invisível
Antes de acontecer a instalação do LummaStealer, entra em cena um componente que se chama CastleLoader. Ele funciona como um carregador que executa código diretamente na memória do computador, o que reduz vestígios no disco rígido e dificulta a detecção por antivírus tradicionais.
Paralelamente, vale destacar que o processo envolve duas etapas de descriptografia com operações XOR. Após essa dupla decodificação, o conteúdo é descomprimido utilizando o formato LZNT1 do próprio Windows, revelando o executável final do malware.
Técnicas anti-análise
O código realiza verificações para identificar se está sendo executado em ambientes virtuais usados por pesquisadores, como VMware ou VirtualBox. Desse modo, caso detecte processos como “vmtoolsd.exe” ou “VboxTray.exe”, ele encerra automaticamente sua execução.
Em adição, outra técnica sofisticada que a Bitdefender identificou é chamada ClickFix. A vítima é levada a um site que exibe mensagens falsas como “Clique aqui para provar que você não é um robô”.
O usuário é instruído a pressionar Win+R, colar um comando e pressionar Enter. No entanto, o que ele não sabe é que o site já copiou um script malicioso em PowerShell para a área de transferência. Ao colar e executar, ativa o ataque sem perceber.
Persistência e adaptação
Depois de instalado, o malware cria arquivos na pasta AppData local e adiciona atalhos à inicialização do Windows, garantindo execução automática a cada reinicialização. Os pesquisadores também descobriram que o código identifica quais antivírus estão instalados (como Avast, AVG, Bitdefender ou Sophos) e adapta nomes e caminhos de arquivos para evitar detecção. Essa personalização é resultado de testes contínuos feitos pelos criminosos.
Curiosamente, uma falha não intencional no CastleLoader ajudou os pesquisadores a rastrear a campanha: o software tenta fazer ping para um domínio inexistente com um padrão específico repetido duas vezes. Tal requisição DNS falha, mas deixa um rastro detectável.
Informações que esse malware tem o objetivo de roubar
O principal objetivo desse malware é a coleta massiva de dados confidenciais que possam ser revendidos ou explorados financeiramente.
Senhas e cookies de sessão
O LummaStealer extrai credenciais armazenadas em navegadores como por exemplo Chrome, Firefox e Edge. Para isso, ele acessa os bancos de dados locais onde senhas são salvas automaticamente.
Em paralelo, o malware rouba cookies de sessão (arquivos que mantêm o usuário logado em sites). Com esses cookies, criminosos podem acessar contas sem precisar da senha, contornando inclusive a autenticação em dois fatores em alguns casos.
Carteiras de criptomoedas e gerenciadores de senha
Carteiras digitais de Bitcoin, Ethereum e outras criptomoedas são alvos prioritários. Da mesma maneira, extensões como MetaMask e Coinbase também entram na lista de captura.
Adicionalmente, gerenciadores como KeePass são especialmente valiosos, pois concentram todas as credenciais da vítima em um único local. Em conjunto a isso, tokens de autenticação de dois fatores e códigos de backup também podem ser roubados.
Documentos pessoais e dados sensíveis
O malware vasculha arquivos .docx, .pdf e outros formatos em busca de contratos, documentos de identidade, registros médicos e dados financeiros. Com isso, ferramentas de acesso remoto como por exemplo AnyDesk, configurações de email e FTP também são coletadas. Por fim, o programa ainda captura screenshots da tela e monitora tudo que é copiado para a área de transferência.
Desdobramentos do espalhamento desse malware
A pesquisa apontou que a Índia aparece como o país mais afetado, seguida pelos Estados Unidos e por nações da Europa. Nesse sentido, durante um mês de monitoramento, entre dezembro e janeiro, registraram-se infecções ativas nessas regiões.
Ou seja, isso é algo que indica uma campanha coordenada e de grande alcance. Sendo assim, especialistas alertam que a disseminação ocorreu de forma silenciosa, explorando vulnerabilidades em dispositivos pessoais e corporativos. Isso amplia ainda mais o nível de risco.
Impacto financeiro e roubo de identidade
Com credenciais em mãos, criminosos podem sequestrar contas bancárias, perfis em redes sociais e caixas de email. Paralelamente, documentos pessoais e dados sensíveis permitem a abertura de contas fraudulentas, contratação de serviços indevidos e aplicação de golpes de identidade.
Já no caso das criptomoedas, o cenário é ainda mais crítico, pois carteiras digitais podem ser esvaziadas em segundos. Em outras palavras, isso gera prejuízos praticamente irreversíveis, sem possibilidade de estorno.
Extorsão e efeito cascata
Quando o conteúdo que os criminosos usam como isca envolve material adulto ou sensível, eles têm a possibilidade de recorrer à extorsão, ameaçando expor hábitos de navegação das vítimas. Juntamente com isso, e-mails comprometidos tornam-se ferramentas para novos disparos maliciosos, ampliando o ciclo de infecção e criando um efeito cascata que potencializa o alcance do ataque.
Como se proteger desse malware?
Diante do ressurgimento desse malware, adotar medidas preventivas é essencial.
Evite downloads de fontes não oficiais
Nunca baixe softwares, jogos ou filmes de sites piratas. A promessa de gratuidade pode custar caro tanto em termos de segurança quanto de privacidade.
Desconfie de comandos manuais
É necessário considerar qualquer site que peça para executar comandos no PowerShell ou prompt de comando como suspeito imediatamente.
Reaja rápido em caso de suspeita
Se houver indícios de infecção, troque imediatamente todas as senhas, especialmente as de email e serviços financeiros. Em conjunto a isso, invalide sessões ativas quando possível. No entanto, em muitos casos, a reinstalação completa do sistema operacional é a única garantia de limpeza total.
Medidas para empresas
Organizações devem investir em treinamento contra engenharia social, monitoramento de autenticações suspeitas e implementação obrigatória de autenticação multifator. De qualquer maneira, a educação digital continua sendo uma das armas mais eficazes contra ameaças cibernéticas.
Resumindo, o retorno desse malware mostra que o cibercrime é resiliente e se adapta rapidamente às tentativas de bloqueio. Ou seja, a combinação entre pirataria digital, engenharia social e técnicas avançadas de evasão cria um cenário perigoso para usuários comuns e empresas.
Então, manter-se informado e adotar boas práticas de segurança é fundamental para evitar prejuízos financeiros e vazamentos de dados. Logo, se você quer continuar por dentro de alertas, análises e novidades sobre esse malware e segurança digital, acompanhe nossos conteúdos e fique sempre protegido!
*com uso de Inteligência Artificial

