Em um alerta preocupante para internautas brasileiros, um novo relatório revela que mais de 4.000 vítimas, espalhadas por 62 países, foram infectadas pelo PXA Stealer, uma ameaça cibernética cada vez mais sofisticada e evasiva.
Países como Coreia do Sul, Estados Unidos, Holanda, Hungria e Áustria lideram o ranking de vítimas, mas o Brasil definitivamente não está ausente desse cenário assustador. As datas falam por si: mais de 200.000 senhas únicas, centenas de registros de cartões de crédito e mais de 4 milhões de cookies do navegador já foram roubados.
Esses dados sensíveis não param apenas ali. Eles são vendidos em marketplaces no Telegram, como o Sherlock, transformando vítimas em presas fáceis para fraudadores que acessam contas bancárias, carteiras de criptografia e até mesmo VPNs. Em um país como o Brasil, onde a segurança cibernética ainda é um desafio, essa ameaça assume proporções particulares.
Os autores do relatório, da SentinelLabs e da Beazley Security, destacam que o PXA Stealer evoluiu significativamente desde seu surgimento em 2024. Hoje, é uma operação multietapa, altamente evasiva, comandada por atores cibernéticos que falam vietnamês e operam em mercados criminosos no Telegram.
Entre as técnicas mais notáveis está o uso de softwares legítimos assinados, como a leitura PDF do Haihaisoft e até mesmo o Word 2013, para esconder malware. Em abril deste ano, os criminosos enviaram phishing emails com arquivos que incluíam um executável do Word aparentemente inocente, mas que na verdade carregava um DLL malicioso.
Quando o usuário abre o arquivo, o sistema operacional carrega o DLL malicioso, que inicia uma cadeia de infecção multietapa. Isso inclui a criação de arquivos de decoy e a instalação de payloads em Python, capazes de roubar dados de mais de 40 navegadores, incluindo Chrome e Firefox. O malware até tenta injetar DLLs em processos do navegador para desativar mecanismos de criptografia interna.
Além disso, o PXA Stealer alvos extensivamente wallets de criptografia, como Crypto.com e ExodusWeb3, além de dados sensíveis de serviços financeiros como PayPal e Coinbase. Todo esse material é exfiltrado via requisições HTTP para a API do Telegram, tornando a operação altamente eficiente.
Para o Brasil, onde a cibersegurança ainda está engatinhando, esse tipo de ameaça é um lembrete doloroso da necessidade de melhorar nossas defesas digitais. Enquanto outros países investem pesado em proteção cibernética, nós estamos aqui, torcendo para que o próximo ataque não seja ainda pior.
