Como remover o malware Stealit do sistema operativo

Que tipo de malware é o Stealit?

O Stealit é um programa malicioso multifuncional que funciona como um RAT (Remote Access Trojan), spyware, ladrão e ransomware. Existem versões deste malware para Windows e Android. Os criadores do Stealit estão a vendê-lo online.

Visão geral do malware Stealit

O Stealit possui mecanismos anti-análise, incluindo ofuscação forte, deteção de VM (Virtual Machine) e sandbox, e capacidades anti-depuração. Este malware utiliza técnicas que garantem a persistência, como configurar-se para iniciar automaticamente a cada reinicialização do sistema.

Conforme mencionado na introdução, o Stealit funciona como um Trojan de Acesso Remoto (RAT) – permitindo acesso e controlo remotos sobre máquinas infetadas. Ele também possui recursos de spyware. O Stealit pode executar vários comandos, reiniciar/desligar sistemas, reproduzir áudio, exibir notificações falsas do sistema, gravar vídeo através das câmaras do dispositivo, transmitir ao vivo a área de trabalho e assim por diante.

Este programa pode carregar e executar ficheiros – uma capacidade que pode ser usada para causar infeções em cadeia (por exemplo, infiltrar trojans, ransomware, cryptominers, etc.). De acordo com o material promocional do Stealit, ele é capaz de introduzir qualquer carga útil nos sistemas. Geralmente, softwares desse tipo tendem a operar dentro de certas especificações ou limitações.

Este programa malicioso possui funcionalidades de ransomware para criptografar dados – ele pode criptografar ficheiros, anexar extensões aos nomes dos ficheiros, alterar o papel de parede do ambiente de trabalho, deixar notas de resgate e conversar diretamente com a vítima através do seu dispositivo.

Além disso, este malware tem capacidades de roubo. O Stealit pode extrair dados de navegadores, extensões de navegadores, carteiras de criptomoedas, mensageiros e software relacionado a jogos (lista completa abaixo). Ele tem como alvo cookies da Internet, preenchimentos automáticos (por exemplo, nomes de utilizador, detalhes de identificação pessoal, etc.), palavras-passe/frases-passe, sessões, códigos 2FA/MFA e assim por diante.

O malware funciona como um capturador de ficheiros – ele pode pesquisar e descarregar ficheiros da área de trabalho, documentos, downloads e outros diretórios. Os ficheiros visados incluem documentos confidenciais, cópias de segurança de carteiras de criptomoedas, códigos 2FA do Discord Messenger, etc.

A versão Android do Stealit também possui funcionalidades de spyware, roubo de dados e ransomware (bloqueio de ecrã). Ele pode transmitir ao vivo (ou seja, o ecrã, áudio através de microfones e vídeo através de câmaras), rastrear a localização da vítima em tempo real, realizar uma reposição de fábrica, abrir URLs específicos, descarregar/instalar APKs (ou seja, causar infeções em cadeia), gerir ficheiros (por exemplo, visualizar, eliminar, exfiltrar), registar teclas digitadas (keylogging), aceder a contas iniciadas através do dispositivo, obter listas de contactos, ler/enviar SMS, visualizar registos de chamadas e gerir chamadas.

Como o Stealit é capaz de enviar mensagens de texto e fazer chamadas, ele pode ser usado como malware de Toll fraude. Ele também tem os recursos necessários para funcionar como ransomware de bloqueio de ecrã – exibir uma mensagem personalizada de bloqueio de ecrã que pode exigir resgate para recuperar o acesso e exercer pressão ameaçando reiniciar o dispositivo. Este programa pode ser utilizado para realizar ataques de sobreposição através do WebView – exibir ecrãs de phishing que imitam páginas genuínas para recolher dados vulneráveis (por exemplo, credenciais de login, números de cartões de crédito/débito, etc.).

O material promocional do Stealit afirma que há planos para implementar capacidades de roubo de dados do navegador na variante Android. Os criadores de malware costumam melhorar os seus softwares e metodologias. Portanto, futuras iterações do Stealit poderão ter capacidades e funcionalidades adicionais/diferentes.

Em resumo, a presença de software malicioso como o Stealit nos dispositivos pode levar a múltiplas infeções no sistema, perda permanente de dados, graves problemas de privacidade, perdas financeiras e roubo de identidade.

Exemplos semelhantes de malware

Malware é um termo abrangente que engloba programas com uma ampla gama de funcionalidades. Assim como o Stealit, o software malicioso pode ter uma infinidade de funções prejudiciais ou uma aplicação incrivelmente restrita e específica.

SilentSync, MostereRAT, ZynorRAT – são alguns dos nossos artigos mais recentes sobre trojans de acesso remoto que têm como alvo o Windows, e Klopatra, RedHook, RatOn – sobre RATs para Android.

Lembre-se de que, independentemente de como o malware opera, a sua presença num sistema ameaça a integridade do dispositivo e a segurança do utilizador. Portanto, todas as ameaças devem ser eliminadas imediatamente após a deteção.

Como o Stealit se infiltrou no meu computador?

No momento da redação deste artigo, os criadores do Stealit estão a colocá-lo à venda. Os criadores têm um canal no Telegram e o malware tem um site dedicado. Portanto, a forma como este programa é distribuído pode depender do modus operandi dos cibercriminosos que o utilizam (ou seja, os métodos podem variar entre os ataques).

Foi observado que os nomes dos ficheiros utilizados para propagar o Stealit estão relacionados com VPNs e videojogos. As campanhas mais antigas do Stealit dependiam de Electron empacotados com instaladores NSIS (contendo scripts Node.js). As campanhas posteriores passaram a utilizar o recurso SEA (Single Executable Application) do Node.js para distribuição. Os ficheiros infecciosos geralmente chegavam em arquivos compactados de formatos populares (como ZIPs).

É importante notar que vários disfarces e métodos de proliferação são possíveis. Normalmente, o software malicioso é distribuído com base em técnicas de phishing e engenharia social. Os ficheiros maliciosos podem ser arquivos (ZIP, RAR, etc.), executáveis (.exe, .run, etc.), documentos (PDF, Microsoft Office, Microsoft OneNote, etc.), JavaScript e assim por diante. Basta abrir um ficheiro infectado para desencadear a cadeia de download/instalação do malware.

As técnicas de distribuição mais comuns incluem: downloads drive-by (furtivos/enganosos), fontes de download não confiáveis (por exemplo, sites de freeware e de terceiros, redes de partilha Peer-to-Peer, etc.), programas/mídia pirata, ferramentas de ativação de software ilegal ("cracks"), malvertising, golpes online, anexos ou links maliciosos em e-mails/mensagens de spam e atualizações falsas.

Alguns programas maliciosos podem propagar-se automaticamente através de redes locais e dispositivos de armazenamento removíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).

Como evitar a instalação de malware?

É essencial ter cuidado para garantir a segurança do dispositivo e do utilizador. Portanto, faça downloads apenas de canais oficiais e verificados. Ative e atualize o software usando funções/ferramentas fornecidas por desenvolvedores legítimos, pois as adquiridas de terceiros podem conter malware.

Além disso, esteja atento ao navegar, pois a Internet está repleta de conteúdos enganosos e perigosos. Trate os e-mails e outras mensagens recebidas com cuidado. Não abra anexos ou links presentes em comunicações suspeitas/irrelevantes.

É fundamental ter um antivírus confiável instalado e mantido atualizado. Programas de segurança devem ser usados para executar verificações regulares do sistema e remover ameaças detectadas. Se você acredita que o seu computador já está infetado, recomendamos executar uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.

Lista de softwares visados pelo malware Stealit;

Navegadores visados:

7Star, 360 Browser, Amigo, Brave, Cent Browser, Chedot, ChromePlus, Chromium, Citrio, CocCoc, Comodo Dragon, Coowon, DC Browser, Elements Browser, Epic Privacy Browser, Google Chrome, Google Chrome Canary, Iridium, K-Melon, Kometa, Liebao, Maxthon3, Microsoft Edge, Mozilla Firefox, Opera, Orbitum, QIP Surf, Sleipnir, Slimjet, Sputnik, Thorium, Toch, UCozMedia Uran, UR Browser, Vivaldi, Yandex.

Criptomoedas e extensões de navegador relacionadas a criptomoedas visadas:

Atomic, Binance Chain, BitApp, BoltX, Braavos, Brave, Coin98, Coinbase, Crypto.com, Equal, Ethos, EVER, Exodus, Fewcha Move, Guarda, Guild, Harmony, iWallet, Jaxx Liberty, KardiaChain, Keplr, Liquality, Maiar DeFi Wallet, Martian Aptos, Math, MetaMask, MewCx, Nami, Nifty, OKX, Pali, Petra Aptos, Phantom, Ready Wallet (Argent X), Ronin, Saturn, Sender, Sollet, Sui, Suiet, Temple, Terra Station, TON, TronLink, Trust, Wombat, XDEFI, Yoroi.

Mensageiros visados:

• Telegram
• WhatsApp

Software específico relacionado com jogos:

• Epic Games
• GrowTopia
• Minecraft
• Roblox
• Steam

Captura de ecrã do painel de controlo Web do malware Stealit:

Captura de ecrã do site usado para vender o Stealit:

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

• O que é Stealit?
• PASSO 1. Remoção manual do malware Stealit.
• PASSO 2. Verifique se o seu computador está limpo.

Como remover malware manualmente?

A remoção manual de malware é uma tarefa complicada - geralmente, é melhor permitir que programas antivírus ou antimalware façam isso automaticamente. Para remover este malware, recomendamos usar Combo Cleaner Antivirus para Windows.

Se desejar remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o gerenciador de tarefas, e identificou um programa que parece suspeito, deve continuar com estas etapas:

Faça o download de um programa chamado Autoruns. Este programa mostra os aplicativos de inicialização automática, o Registro e os locais do sistema de ficheiros:

Reinicie o computador no Modo de Segurança:

Utilizadores do Windows XP e Windows 7: Inicie o computador no Modo de Segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar, clique em OK. Durante o processo de inicialização do computador, pressione a tecla F8 no teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo de Segurança com Rede na lista.

Vídeo mostrando como iniciar o Windows 7 no "Modo de segurança com rede":

Utilizadores do Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Vá para o ecrã Iniciar do Windows 8, digite Avançado e, nos resultados da pesquisa, selecione Definições. Clique em Opções de inicialização avançadas e, na janela "Definições gerais do PC" aberta, selecione Inicialização avançada.

Clique no botão «Reiniciar agora». O seu computador irá reiniciar e aceder ao «Menu de opções avançadas de arranque». Clique no botão «Resolução de problemas» e, em seguida, clique no botão «Opções avançadas». No ecrã de opções avançadas, clique em «Definições de arranque».

Clique no botão «Reiniciar». O seu PC irá reiniciar na tela Configurações de Inicialização. Pressione F5 para inicializar no Modo de Segurança com Rede.

Vídeo mostrando como iniciar o Windows 8 no "Modo de segurança com rede":

Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone Energia. No menu aberto, clique em «Reiniciar» enquanto mantém pressionada a tecla «Shift» no teclado. Na janela «Escolha uma opção», clique em «Resolução de problemas» e, em seguida, selecione «Opções avançadas».

No menu de opções avançadas, selecione «Configurações de inicialização» e clique no botão «Reiniciar». Na janela seguinte, clique no botão «F5» do teclado. Isso reiniciará o sistema operacional no modo de segurança com rede.

Vídeo mostrando como iniciar o Windows 10 no "Modo de segurança com rede":

Extraia o arquivo baixado e execute o ficheiro Autoruns.exe.

No aplicativo Autoruns, clique em «Opções» na parte superior e desmarque as opções «Ocultar locais vazios» e «Ocultar entradas do Windows». Após este procedimento, clique no ícone «Atualizar».

Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.

Deve anotar o caminho completo e o nome. Tenha em atenção que alguns malwares ocultam os nomes dos processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar remover ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o nome e selecione «Eliminar».

Após remover o malware através da aplicação Autoruns (isso garante que o malware não será executado automaticamente na próxima inicialização do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de removê-lo.

Reinicie o computador no modo normal. Seguir estas etapas deve remover qualquer malware do seu computador. Observe que a remoção manual de ameaças requer conhecimentos avançados de informática. Se não tiver esses conhecimentos, deixe a remoção de malware para programas antivírus e antimalware.

Essas etapas podem não funcionar com infecções por malware avançadas. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize um software antivírus. Para ter certeza de que o seu computador está livre de infecções por malware, recomendamos fazer uma verificação com Combo Cleaner Antivirus para Windows.

Perguntas frequentes (FAQ)

O meu computador está infetado com o malware Stealit. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Provavelmente não. A remoção de malware raramente requer formatação.

Quais são os maiores problemas que o malware Stealit pode causar?

Os perigos representados por uma infeção dependem das funcionalidades do malware e dos objetivos dos atacantes. O Stealit é um software malicioso altamente funcional. A sua presença num sistema pode levar a múltiplas infeções do sistema, perda de dados, graves problemas de privacidade, perdas financeiras e roubo de identidade.

Qual é o objetivo do malware Stealit?

O malware é usado principalmente para obter ganhos financeiros. No entanto, os ataques também podem ser motivados pelo divertimento ou rancores pessoais dos invasores, hacktivismo, interrupção de processos (por exemplo, sites, serviços, empresas, etc.) e motivações políticas/geopolíticas.

Como é que o malware Stealit se infiltrou no meu computador?

As técnicas de distribuição de malware mais comuns incluem: downloads drive-by, fontes de download suspeitas (por exemplo, sites de freeware e hospedagem gratuita de ficheiros, redes de partilha P2P, etc.), golpes online, malvertising, spam, conteúdo pirata, ferramentas de ativação de software ilegal ("cracks") e atualizações falsas. Além disso, alguns programas maliciosos podem se auto-proliferar através de redes locais e dispositivos de armazenamento removíveis.

O Combo Cleaner irá proteger-me contra malware?

Sim, o Combo Cleaner é capaz de detetar e remover quase todas as infeções de malware conhecidas. Note que, uma vez que programas maliciosos sofisticados tendem a esconder-se profundamente nos sistemas, é crucial realizar uma verificação completa do sistema.