Como remover o VoidStealer de sistemas infetados

Que tipo de malware é o VoidStealer?

O VoidStealer é um tipo de malware que rouba dados confidenciais dos navegadores. Utiliza uma técnica baseada num depurador para contornar a proteção do navegador (encriptação ligada à aplicação), monitorizando a memória enquanto o navegador está em execução. Isto permite-lhe capturar chaves de encriptação sem necessidade de permissões especiais ou de injetar código. Por este motivo, é mais difícil de ser detetado pelas ferramentas de segurança.

Introdução

A encriptação vinculada à aplicação (ABE) é um mecanismo de segurança que encripta dados confidenciais (como palavras-passe guardadas) de forma a que apenas o navegador possa aceder aos mesmos. Esta funcionalidade de segurança foi adicionada ao Google Chrome em 2024. O VoidStealer é o primeiro malware-as-a-service (MaaS) de roubo de informações conhecido a utilizar um método de contorno da ABE.

O VoidStealer possui várias versões, e esta técnica de contorno foi adicionada na versão 2.0 do malware. O stealer utiliza dois métodos diferentes para contornar a proteção do navegador, caso um deles não funcione. O primeiro método é bem conhecido e envolve a injeção no processo do navegador, mas pode ser facilmente detetado por ferramentas de segurança.

O segundo método é mais recente e mais discreto, uma vez que apenas lê a memória do navegador e se integra como um depurador. Isto torna-o menos visível e mais difícil de detetar. No Google Chrome, as palavras-passe guardadas e outras informações confidenciais são encriptadas e armazenadas numa base de dados local. Estes dados são guardados num ficheiro de base de dados SQLite no sistema, normalmente localizado na pasta AppData.

Em geral, as palavras-passe são protegidas de forma a que apenas o navegador (e os processos autorizados) possam lê-las. A Criptografia Vinculada à Aplicação (ABE) protege uma chave secreta utilizando os privilégios de sistema mais elevados no Windows. O próprio Chrome é executado como um utilizador normal, pelo que não consegue aceder diretamente a esta chave.

Para resolver esta questão, o Chrome utiliza um serviço em segundo plano especial que funciona com privilégios mais elevados para desbloquear a chave de forma segura quando necessário. Quando o Chrome a solicita, o serviço verifica o pedido e, em seguida, devolve a chave descodificada. O Chrome utiliza então esta chave para codificar e descodificar dados confidenciais, como palavras-passe e cookies.

Os programas de roubo de informações poderiam contornar a proteção executando-se com privilégios totais, mas isso só funciona em alguns casos. Também podem inserir-se no Chrome para solicitar a chave, mas isso é mais fácil de detetar pelas ferramentas de segurança. O Chrome protege a chave mantendo-a na memória apenas por um breve período e encriptando-a.

O VoidStealer aproveita esse breve momento para verificar a memória do navegador utilizando um depurador e capturar a chave, sem necessidade de privilégios elevados ou injeção de código.

Como funciona a técnica

O VoidStealer tem como alvo navegadores como o Google Chrome e o Microsoft Edge. Inicia um processo oculto no navegador e instala-se como um depurador. Isto acontece porque, durante o arranque, o navegador carrega e descodifica dados protegidos, como os cookies. Nesse momento, a chave secreta fica disponível na memória por um breve período, tornando-se o momento ideal para o malware a capturar.

O VoidStealer define pontos de interrupção e monitoriza o processo até chegar exatamente a esse momento, extraindo depois a chave diretamente da memória. Com essa chave, consegue descodificar e aceder a dados confidenciais, como palavras-passe guardadas e cookies. Os cibercriminosos podem utilizar indevidamente estas informações para diversos fins maliciosos.

Podem utilizá-las para aceder a contas (por exemplo, redes sociais ou contas bancárias), roubar dados pessoais ou cometer fraudes. Também podem utilizar contas pirateadas para espalhar malware e esquemas fraudulentos. Em alguns casos, vendem os dados roubados a terceiros na dark web.

Conclusão

O VoidStealer é um tipo de malware concebido para roubar informações confidenciais dos navegadores. Utiliza técnicas avançadas para contornar as proteções de segurança e aceder a dados armazenados, tais como palavras-passe e cookies. Isto torna-o uma ameaça grave, uma vez que pode operar de forma discreta e evitar ser detetado.

Alguns exemplos de outros programas de roubo de dados são BoryptGrab, MaskGramStealer e Xillen.

Como é que o VoidStealer se infiltrou no meu computador?

Os cibercriminosos aproveitam-se frequentemente de falhas de segurança em software desatualizado ou disseminam malware através de programas pirateados, ferramentas de ativação não oficiais e geradores de chaves. Outros métodos comuns incluem esquemas fraudulentos de suporte técnico, e-mails ou mensagens enganosas que contêm links ou anexos maliciosos e anúncios maliciosos.

O malware também pode ser distribuído através de pen drives infetados, sites falsos ou comprometidos, redes de partilha de ficheiros ponto a ponto (P2P) e ferramentas de download de terceiros. Os atacantes costumam ocultá-lo em ficheiros como executáveis, arquivos compactados, scripts ou documentos como PDFs e ficheiros do Office, que podem infetar os sistemas assim que forem abertos ou quando forem realizadas ações adicionais.

Como evitar a instalação de malware?

Mantenha o seu sistema operativo e todos os programas instalados atualizados e descarregue software e ficheiros a partir de sites oficiais ou lojas de aplicações de confiança. Evite interagir com anúncios suspeitos, janelas pop-up ou links desconhecidos, especialmente em sites não fiáveis, e não permita notificações de páginas questionáveis.

Tenha cuidado com e-mails ou mensagens inesperadas de remetentes desconhecidos — não abra anexos nem clique em links, a menos que tenha a certeza de que são seguros. Utilize ferramentas de segurança fiáveis para realizar análises regulares e detetar potenciais ameaças.

Se acha que o seu computador já está infetado, recomendamos que execute uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.

O VoidStealer foi promovido num fórum de hackers (fonte: gendigital.com):

Remoção automática instantânea do malware:

A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:

Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Menu rápido:

• O que é o VoidStealer?
• PASSO 1. Remoção manual do malware VoidStealer.
• PASSO 2. Verifique se o seu computador está livre de vírus.

Como remover malware manualmente?

A remoção manual de malware é uma tarefa complicada — normalmente, é melhor deixar que os programas antivírus ou antimalware o façam automaticamente. Para remover este malware, recomendamos a utilização de Combo Cleaner Antivirus para Windows.

Se pretender remover malware manualmente, o primeiro passo é identificar o nome do malware que pretende remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:

Se verificou a lista de programas em execução no seu computador, por exemplo, através do Gerenciador de Tarefas, e identificou um programa que parece suspeito, deve seguir estes passos:

Descarregue um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o Registo e as localizações no sistema de ficheiros:

Reinicie o computador no Modo de Segurança:

Utilizadores do Windows XP e do Windows 7: Inicie o computador no Modo de Segurança. Clique em «Iniciar», clique em «Desligar», clique em «Reiniciar» e clique em «OK». Durante o processo de arranque do computador, prima a tecla F8 do teclado várias vezes até ver o menu «Opções avançadas do Windows» e, em seguida, selecione «Modo de Segurança com Rede» na lista.

Vídeo que mostra como iniciar o Windows 7 no «Modo de Segurança com Rede»:

Utilizadores do Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Aceda ao Ecrã Inicial do Windows 8, escreva «Avançado» e, nos resultados da pesquisa, selecione «Definições». Clique em «Opções de arranque avançadas» e, na janela «Definições gerais do PC» que se abre, selecione «Arranque avançado».

Clique no botão «Reiniciar agora». O seu computador irá agora reiniciar e aceder ao «Menu de opções avançadas de arranque». Clique no botão «Resolução de problemas» e, em seguida, clique no botão «Opções avançadas». No ecrã de opções avançadas, clique em «Definições de arranque».

Clique no botão «Reiniciar». O seu computador irá reiniciar e apresentar o ecrã de Configurações de Arranque. Prima F5 para arrancar em Modo de Segurança com Rede.

Vídeo que mostra como iniciar o Windows 8 no «Modo de Segurança com Rede»:

Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone de energia. No menu que se abre, clique em «Reiniciar» enquanto mantém premida a tecla «Shift» no teclado. Na janela «Escolher uma opção», clique em «Resolução de problemas» e, em seguida, selecione «Opções avançadas».

No menu de opções avançadas, selecione «Definições de arranque» e clique no botão «Reiniciar». Na janela seguinte, deve clicar na tecla «F5» do teclado. Isto irá reiniciar o sistema operativo no modo de segurança com rede.

Vídeo que mostra como iniciar o Windows 10 no «Modo de segurança com rede»:

Descompacte o ficheiro comprimido descarregado e execute o ficheiro Autoruns.exe.

Na aplicação Autoruns, clique em «Opções» na parte superior e desmarque as opções «Ocultar localizações vazias» e «Ocultar entradas do Windows». Após este procedimento, clique no ícone «Atualizar».

Consulte a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.

Deve anotar o caminho completo e o nome do programa. Tenha em atenção que alguns programas maliciosos ocultam os nomes dos processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que pretende remover, clique com o botão direito do rato sobre o nome do mesmo e selecione «Eliminar».

Depois de remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente na próxima inicialização do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.

Reinicie o computador no modo normal. Seguir estes passos deverá eliminar qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos avançados de informática. Se não tiver esses conhecimentos, deixe a remoção de malware a cargo de programas antivírus e antimalware.

Estes passos podem não funcionar em casos de infeções por malware avançado. Como sempre, é melhor prevenir a infeção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize um software antivírus. Para ter a certeza de que o seu computador está livre de infeções por malware, recomendamos que o analise com Combo Cleaner Antivirus para Windows.

Perguntas frequentes (FAQ)

O meu dispositivo está infetado com o malware VoidStealer. Devo formatar o meu dispositivo de armazenamento para me livrar dele?

Reiniciar ou limpar um dispositivo é uma forma eficaz de remover malware. No entanto, isso também apaga todos os dados, caso não exista uma cópia de segurança. Recomenda-se tentar primeiro remover o VoidStealer utilizando uma ferramenta de segurança como o Combo Cleaner.

Quais são os maiores problemas que o malware pode causar?

O malware pode causar vários problemas, tais como prejuízos financeiros ou roubo de identidade, bem como o roubo de dados pessoais. Também pode assumir o controlo de um dispositivo e danificar ou eliminar ficheiros importantes.

Qual é o objetivo do VoidStealer?

O objetivo do VoidStealer é roubar informações confidenciais do computador de um utilizador, especialmente dos navegadores da Web. Foi concebido para extrair dados como palavras-passe guardadas, cookies e dados de início de sessão, para que os atacantes possam aceder a contas ou realizar outras ações maliciosas.

Como é que o VoidStealer se infiltrou no meu dispositivo?

Os cibercriminosos disseminam malware explorando software desatualizado e utilizando programas piratas, ferramentas de ativação falsas e geradores de chaves. Também recorrem a e-mails de phishing, anúncios maliciosos e esquemas fraudulentos de suporte técnico. Além disso, o malware pode provir de pen drives infetados, sites falsos, redes P2P e ferramentas de download de terceiros, e está frequentemente oculto em ficheiros como executáveis, arquivos, scripts ou documentos.

O Combo Cleaner protege-me contra malware?

Sim, o Combo Cleaner consegue detetar e remover a maioria dos programas maliciosos conhecidos. No entanto, algumas ameaças avançadas podem estar profundamente ocultas no sistema. É por isso que é importante realizar uma verificação completa do sistema, para garantir que tudo é detetado e removido.