Campanha de Malware LeakyInjector e LeakyStealer Rouba Criptomoedas e Dados
Uma nova campanha de malware, composta por LeakyInjector e LeakyStealer, foi descoberta, visando roubar ativos em criptomoedas e dados de navegação dos usuários. O LeakyInjector, um executável de 64 bits assinado com um certificado digital válido, consegue contornar a segurança ao ser executado. Ele injeta o LeakyStealer na memória, que utiliza criptografia ChaCha20 para proteger seu código. O LeakyStealer estabelece persistência no sistema e coleta informações como nomes de usuário e dados de domínios, conectando-se a um servidor de comando e controle (C2) para exfiltrar dados. O malware também possui um motor polimórfico que dificulta a detecção estática, alterando bytes de memória durante a execução. Ele busca por carteiras de criptomoedas populares e extensões de navegadores, além de exfiltrar o histórico de navegação de vários navegadores. A campanha é considerada sofisticada, com um uso abusivo de assinatura de código e mecanismos furtivos de exfiltração, exigindo atenção imediata das equipes de resposta a incidentes.