Pesquisadores identificaram uma campanha maliciosa que utiliza o malware VenomRAT, um Trojan de acesso remoto, para roubo de senhas e controle furtivo de sistemas. A operação começa por meio de um site falso que imita a página de download do antivírus da Bitdefender para Windows.
Leia também
IA soberana é o próximo desafio em tecnologia
BSI alerta: falha crítica no AD 2025
O domínio fraudulento, “bitdefender-download[.]com”, simula a interface do site original, mas omite elementos como a palavra “grátis”. Ao clicar no botão de download, o usuário baixa um arquivo “BitDefender.zip” hospedado no Bitbucket e redirecionado via Amazon S3. Dentro do arquivo está o executável “StoreInstaller.exe”, que incorpora o VenomRAT e trechos dos códigos abertos SilentTrinity e StormKitty.
O VenomRAT, baseado no Quasar RAT, oferece controle remoto do sistema, keylogging e exfiltração de dados. O StormKitty coleta senhas e carteiras de criptomoedas, enquanto o SilentTrinity garante acesso persistente. A infraestrutura de comando e controle (C2) tem sido reutilizada com IPs como 67.217.228[.]160:4449, o que permitiu rastrear outras operações conectadas.
Além do site falso da Bitdefender, a campanha envolve arquivos maliciosos hospedados no GitHub e outros domínios de phishing que imitam instituições como o IDBank e o Royal Bank of Canada. O uso de componentes de código aberto permite que os criminosos criem um malware modular, voltado tanto para lucros rápidos quanto para comprometimento prolongado dos sistemas.
A infraestrutura inclui servidores hospedados na Cloudflare e certificados TLS compartilhados com outros domínios falsos. Para se proteger, é essencial verificar endereços de sites antes de baixar qualquer software ou fornecer credenciais, além de manter boas práticas de segurança digital.
