Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o EKZ Stealer?
O EKZ Stealer é um ladrão de informações concebido para extrair silenciosamente palavras-passe guardadas, cookies, dados de preenchimento automático e detalhes de cartões de pagamento dos navegadores web em computadores Windows infetados. De acordo com a investigação da Arctic Wolf, foi observado pela primeira vez em maio de 2026 como parte de uma campanha dirigida a organizações que utilizam o software FortiClient EMS da Fortinet.
Para distribuir o stealer, os atacantes disfarçaram-no como uma atualização legítima do software Fortinet com o nome FortiEndpoint_Patch.exe. O ficheiro era enviado automaticamente para os endpoints geridos através de configurações de perfil VPN adulteradas, o que significa que as vítimas normalmente não tinham conhecimento de que o malware estava a ser instalado.
Visão geral do EKZ Stealer
O malware visa tanto navegadores baseados em Chromium (como Chrome e Edge) quanto navegadores baseados em Firefox, incluindo LibreWolf, Waterfox, Pale Moon e Thunderbird. Destas aplicações, recolhe credenciais de início de sessão guardadas, cookies de sessão, dados de preenchimento automático e números de cartões de crédito guardados.
Uma vez concluída a recolha, os dados obtidos são escritos num ficheiro de registo na máquina da vítima e depois enviados para um servidor controlado pelos atacantes através de uma ligação HTTP. O stealer suporta utilização repetida em múltiplos hosts através de uma interface de linha de comandos, sugerindo que é usado em operações direcionadas e conduzidas por operadores.
A campanha documentada pela Arctic Wolf explorou o CVE-2026-35616, uma vulnerabilidade no FortiClient EMS que permitia acesso não autenticado à API de gestão do servidor. Os atacantes usaram essa posição para modificar configurações de perfil VPN, injetando comandos PowerShell maliciosos que eram executados automaticamente em todos os endpoints geridos quando uma ligação VPN era estabelecida.
Como o EKZ Stealer rouba dados do navegador
Os navegadores baseados em Chromium encriptam as palavras-passe guardadas usando uma proteção associada à conta de utilizador do Windows. O EKZ Stealer contorna isto copiando-se para a pasta de aplicação do próprio navegador e relançando-se a partir dessa localização, o que faz com que o navegador o trate como um processo interno fidedigno.
A partir dessa posição, chama uma função privilegiada do navegador para obter a chave de desencriptação AES-256 usada para proteger as credenciais armazenadas. Isto permite que o stealer leia todas as palavras-passe guardadas no navegador sem qualquer aviso ao utilizador.
Evasão de defesas
O EKZ Stealer toma medidas para dificultar a análise e remover vestígios da infeção. O seu executável tem um carimbo temporal de compilação zerado, o que remove o marcador de data normalmente usado pelos investigadores para determinar quando um programa foi compilado.
O malware também foi distribuído através de scripts PowerShell codificados em Base64, que podem contornar filtros que procuram comandos maliciosos reconhecíveis. Após a conclusão da exfiltração, o stealer elimina o ficheiro do payload e limpa as entradas de registo relacionadas, apagando evidências da infeção.
| Nome | EKZ infostealer |
| Tipo De Ameaça | Ladrão de informações, Trojan, Vírus que rouba palavras-passe |
| Nomes De Deteção | Avast (Win64:MalwareX-gen [Misc]), AVG (Win64:MalwareX-gen [Misc]), Combo Cleaner (Trojan.PasswordStealer.GenericKDS.6861), Kaspersky (Trojan-PSW.Win64.Agent.aea), Microsoft (Trojan:Win32/Qwexlafiba!rfn), Lista Completa (VirusTotal) |
| Sintomas | Os stealers são concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma particular é claramente visível numa máquina infetada. |
| Métodos De Distribuição | Vulnerabilidade de software explorada (CVE-2026-35616), scripts PowerShell maliciosos, atualização de software falsa (disfarçada como um patch legítimo da Fortinet). |
| Danos | Palavras-passe e informações bancárias roubadas, roubo de identidade, sequestro de contas, infeções adicionais, perdas monetárias. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
As vítimas do EKZ Stealer podem perder todas as credenciais armazenadas nos seus navegadores, incluindo palavras-passe de contas, dados de cartões de pagamento e cookies de sessão que podem permitir aos atacantes aceder a contas sem necessitar da palavra-passe original. Quaisquer contas ativas no navegador no momento da infeção devem ser consideradas potencialmente comprometidas.
A rotina de limpeza do stealer torna difícil confirmar uma infeção após o facto, e as organizações afetadas pela vulnerabilidade do FortiClient EMS podem tê-lo implementado em muitos dispositivos ao mesmo tempo. O EKZ Stealer deve ser removido do sistema imediatamente.
Mais exemplos de stealers são o DebugElevator, o Evolution e o Needle.
Como é que o EKZ Stealer se infiltrou no meu computador?
De acordo com a Arctic Wolf, a campanha do EKZ Stealer explorou o CVE-2026-35616, uma vulnerabilidade no FortiClient EMS da Fortinet que permitia acesso não autenticado à API de gestão do servidor. Os atacantes obtiveram controlo administrativo e modificaram as definições de perfil VPN para injetar scripts PowerShell maliciosos na configuração.
Estes scripts eram executados automaticamente em todos os endpoints geridos sempre que uma ligação VPN era estabelecida. O payload foi nomeado FortiEndpoint_Patch.exe, e para a maioria dos utilizadores e administradores pareceria uma atualização de rotina do software da Fortinet em vez de malware.
Fora desta campanha específica, os stealers chegam comummente aos utilizadores através de emails de phishing, sites falsos de download de software, software pirateado e cracks de software.
Como evitar a instalação de malware?
Mantenha todo o software atualizado, incluindo ferramentas de gestão de rede e clientes VPN. Vulnerabilidades como o CVE-2026-35616 são corrigidas pelos fornecedores assim que descobertas, mas os dispositivos precisam efetivamente receber e aplicar essas correções para ficarem protegidos. Descarregue atualizações de software apenas diretamente dos sites oficiais dos fornecedores.
Tenha cuidado com emails inesperados que contenham anexos ou ligações, mesmo quando parecem vir de uma fonte fidedigna. Use software antivírus de boa reputação e faça verificações regulares de ameaças. Se acredita que o seu computador já está infetado, recomendamos executar uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
DESCARREGAR Combo CleanerAo descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Menu rápido:
- O que é o EKZ Stealer?
- PASSO 1. Remoção manual do malware EKZ Stealer.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware recomendamos o uso de Combo Cleaner Antivirus para Windows.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, usando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa chamado Autoruns. Este programa mostra aplicações de arranque automático, localizações do Registo e do sistema de ficheiros:
Reinicie o seu computador no Modo de Segurança:
Utilizadores de Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de arranque do seu computador, pressione a tecla F8 no seu teclado várias vezes até ver o menu de Opções Avançadas do Windows e, em seguida, selecione Modo de Segurança com Rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de Segurança com Rede":
Utilizadores de Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Vá ao Ecrã Inicial do Windows 8, digite Avançado, nos resultados da pesquisa selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições Gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O seu computador irá agora reiniciar no "Menu de opções de arranque avançadas". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O seu PC irá reiniciar no ecrã de Definições de arranque. Pressione F5 para arrancar no Modo de Segurança com Rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de Segurança com Rede":
Utilizadores de Windows 10: Clique no logótipo do Windows e selecione o ícone de Energia. No menu aberto, clique em "Reiniciar" enquanto mantém pressionado o botão "Shift" no seu teclado. Na janela "escolha uma opção", clique em "Resolução de problemas" e, em seguida, selecione "Opções avançadas".
No menu de opções avançadas, selecione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" no seu teclado. Isto irá reiniciar o seu sistema operativo no modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de Segurança com Rede":
Extraia o arquivo descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Options" no topo e desmarque as opções "Hide Empty Locations" e "Hide Windows Entries". Após este procedimento, clique no ícone "Refresh".
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o seu caminho completo e nome. Note que algum malware oculta nomes de processos sob nomes legítimos de processos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Delete".
Após remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de prosseguir. Se encontrar o nome do ficheiro do malware, certifique-se de o remover.
Reinicie o seu computador no modo normal. Seguir estes passos deve remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer competências avançadas de informática. Se não possui estas competências, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infeções de malware avançadas. Como sempre, é melhor prevenir a infeção do que tentar remover malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e use software antivírus. Para ter a certeza de que o seu computador está livre de infeções de malware, recomendamos verificá-lo com Combo Cleaner Antivirus para Windows.
Perguntas Frequentes (FAQ)
O meu computador está infetado com o malware EKZ Stealer, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação remove o EKZ Stealer mas também apaga todos os dados na unidade. Executar uma ferramenta de segurança de boa reputação como o Combo Cleaner é o primeiro passo recomendado; a formatação deve ser considerada apenas como último recurso.
Quais são os maiores problemas que o malware EKZ Stealer pode causar?
O EKZ Stealer pode resultar no roubo de todas as palavras-passe guardadas no navegador, cookies de sessão e dados de cartões de pagamento. Isto pode levar ao sequestro de contas, roubo de identidade e fraude financeira, especialmente se as credenciais roubadas incluírem contas bancárias ou de email.
Qual é o objetivo do malware EKZ Stealer?
O objetivo do EKZ Stealer é recolher credenciais guardadas e dados sensíveis dos navegadores web, incluindo palavras-passe, cookies, dados de preenchimento automático e detalhes de cartões de pagamento, e enviar essa informação aos atacantes para exploração.
Como é que o malware EKZ Stealer se infiltrou no meu computador?
O EKZ Stealer foi observado a propagar-se através de uma campanha que explorou o CVE-2026-35616, uma vulnerabilidade no FortiClient EMS. Os atacantes injetaram scripts PowerShell maliciosos nas configurações VPN, fazendo com que o stealer fosse executado automaticamente nos endpoints geridos sem qualquer ação do utilizador.
O Combo Cleaner protege-me contra malware?
Sim. O Combo Cleaner pode detetar e remover a maioria do malware conhecido, incluindo ladrões de informações. É recomendado executar uma verificação completa do sistema para garantir que nenhuma ameaça é ignorada e que o sistema está completamente limpo.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários