Nos bastidores do cibercrime, serviços por assinatura e golpes silenciosos moldam ataques que afetam sua rotina online sem aviso.
Uma operação policial em Moscou reacendeu alertas sobre um malware famoso por invadir navegadores e pegar credenciais no contrapé. A ação envolve suspeitos de operar o Meduza Stealer e expõe como esse mercado clandestino virou negócio escalável, com impacto direto no bolso e na privacidade de qualquer usuário.
Como o caso veio à tona
Autoridades russas detiveram três pessoas na capital e confirmaram que elas mantinham atividades ligadas ao Meduza Stealer. A porta-voz do Ministério do Interior, Irina Volk, informou que equipes do departamento de combate ao cibercrime atuaram em conjunto com policiais da região de Astrakhan. A investigação aponta que o grupo desenvolveu e distribuiu o software em fóruns clandestinos durante cerca de dois anos.
Três suspeitos foram presos em Moscou, e a polícia afirma que o Meduza circula em fóruns hackers há aproximadamente dois anos.
O gatilho para a ação veio após um ataque a uma instituição pública em Astrakhan, no sul da Rússia, em maio. Os operadores invadiram servidores e extraíram dados sigilosos. A partir daí, o caso avançou com base no Artigo 273 do Código Penal russo, que trata da criação, uso e distribuição de programas maliciosos. Nas buscas, os agentes recolheram computadores, celulares, cartões bancários e outros itens que conectam os suspeitos a diversas campanhas.
Além do infostealer, os detidos seriam responsáveis por um malware de botnet criado para desativar defesas dos sistemas atacados.
Segundo a polícia, a investigação segue para identificar cúmplices e rastrear a infraestrutura técnica do grupo. O foco agora inclui servidores de comando e controle e perfis usados para comercialização do acesso a dados roubados.
O que é o Meduza stealer
Meduza é um infostealer, ou seja, um ladrão de informações. Ele mira dados salvos no navegador, como logins, cookies de sessão e preenchimentos automáticos. Também vasculha carteiras de criptomoedas instaladas na máquina e tenta capturar senhas de aplicativos.
Recursos técnicos que miram seu navegador
O diferencial do Meduza apareceu no fim de 2023, quando operadores passaram a “reviver” cookies do Chrome que já tinham expirado. Esse truque devolve sessões válidas sem exigir senha nova, o que facilita sequestro de contas mesmo quando você troca a senha. Em cenários de dupla autenticação fraca, a técnica contorna etapas de verificação e acelera a tomada de perfis.
O Meduza ganhou fama por recuperar cookies de autenticação e transformar sessões vencidas em portas abertas para invasões.
O modelo de negócios também chama atenção: trata-se de um serviço por assinatura, semelhante a um streaming. O criminoso paga para usar, recebe atualizações e suporte, e escolhe módulos que atendem metas específicas. No jargão, isso se chama Malware-as-a-Service (MaaS). Esse formato reduz a barreira de entrada e multiplica campanhas simultâneas em vários países.
Conexões com o Aurora stealer
Pesquisadores que acompanham o mercado de infostealers, como o analista conhecido como “g0njxa”, associam o mesmo grupo ao Aurora Stealer, ativo desde 2022. Semelhante ao Meduza, o Aurora também opera no modelo de assinatura e compete pelo mesmo nicho, com foco em roubo de credenciais e dados de carteiras digitais.
Por que a Rússia agiu agora
O ataque contra a instituição de Astrakhan criou pressão interna. O caso uniu alvos locais e efeitos internacionais, já que infostealers costumam servir a golpes que alcançam vítimas fora das fronteiras do país de origem. A investigação mostrou ainda que o trio vendia ou alugava outro malware do tipo botnet, projetado para desligar antivírus e EDR, abrindo caminho para infecções posteriores.
O processo criminal mira tanto quem desenvolve quanto quem distribui. As prisões e as apreensões de equipamentos sugerem coleta de logs, carteiras digitais e registros de pagamentos por assinatura, peças que podem levar a novos operadores em fóruns.
O que isso significa para você
Mesmo com prisões, logs roubados continuam circulando no mercado negro. Quem compra esses pacotes consegue acesso a contas de e-mail, redes sociais, exchanges e serviços de nuvem. Para o usuário comum, o impacto aparece em compras não autorizadas, golpes de recuperação de conta e chantagem por dados sensíveis.
- Dados visados: senhas salvas, cookies de sessão, históricos de download e preenchimentos automáticos.
- Carteiras afetadas: extensões e apps de criptomoedas instalados no navegador e no desktop.
- Serviços em risco: e-mail, plataformas financeiras, marketplaces, redes sociais e jogos.
No Brasil, a combinação de infostealers com engenharia social alimenta fraudes com PIX, acesso a internet banking e tomada de perfis corporativos. O criminoso rouba a sessão e depois liga fingindo ser suporte, empurrando códigos de confirmação. Sem conferir origem da ligação, a vítima entrega o que falta.
Como reduzir o risco hoje
Troque senhas, invalide sessões antigas e ative MFA com chaves físicas sempre que possível.
- Ative autenticação de dois fatores baseada em aplicativo ou chave de segurança, evitando SMS.
- Revogue sessões e saídas ativas em serviços críticos (e-mail, banco, exchanges) antes de trocar senhas.
- Use gerenciador de senhas com geração aleatória e política de senhas únicas.
- Habilite alertas de login e verificação por dispositivo em contas sensíveis.
- Atualize navegador, extensões e sistema; remova plugins que você não usa.
- Proteja o endpoint: antimalware com proteção a roubo de credenciais e bloqueio de injeção no navegador.
- Desconfie de anexos e instaladores “gratuitos” de jogos, cracks e geradores; eles costumam carregar infostealers.
Medidas para empresas
- Bloqueie execução de binários desconhecidos e script loaders por política de aplicação.
- Adote EDR com detecção de coleta de cookies e acesso a diretórios de perfil do Chrome/Edge.
- Implemente MFA resistente a phishing (FIDO2) e políticas de sessão com binding ao dispositivo.
- Rotacione tokens e cookies após incidentes; force logout amplo e redefinição de credenciais.
- Monitore vazamentos de logs em mercados clandestinos ligados ao seu domínio.
Detalhes técnicos que valem seu tempo
Como funciona a “ressurreição” de cookies
Infostealers copiam cookies, tokens e arquivos de sessão do diretório do navegador. Alguns módulos conseguem revalidar esses artefatos ao manipular parâmetros de expiração e contexto, driblando verificações fracas do servidor. Sem medidas de amarração de sessão ao dispositivo, a conta aceita o cookie como se fosse seu. Chaves de segurança e validações com desafio criptográfico dificultam essa manobra.
O papel do malware-as-a-service
O MaaS industrializa o crime. O operador escolhe o plano, recebe painel para filtrar logs por país, domínio e tipo de dado, e exporta listas prontas para ataques de tomada de conta. Essa esteira acelera golpes de revenda de acesso, lavagem de criptos e envio de phishing segmentado.
Perguntas úteis para avaliar sua exposição
- Você guarda senhas no navegador sem MFA robusto na conta correspondente?
- Suas contas críticas usam chaves físicas ou apenas SMS?
- Seu navegador carrega extensões desconhecidas ou sem necessidade?
- Seu e-mail principal mostra sessões ativas em dispositivos que você não reconhece?
Complementos práticos
Quem usa criptomoedas ganha uma camada a mais com carteiras em hardware e assinaturas por múltiplas partes. Ao realizar operações em plataformas de investimento, separa o e-mail principal de um segundo endereço apenas para confirmações, com MFA forte em ambos. Em casos de suspeita, priorize revogação de sessões e troca de senhas em provedores de e-mail antes de qualquer outro serviço, já que o e-mail serve como chave de recuperação universal.
Para perfis corporativos, políticas que restringem cookies reutilizáveis, verificações de device posture e autenticação contínua reduzem a janela de ataque. Treinamentos curtos e frequentes sobre engenharia social, aliados a canais oficiais para validar ligações de “suporte”, cortam a etapa do golpista que tenta completar a invasão com códigos de verificação.
