Motivação

O STX RAT representa mais um representante relevante da evolução contínua dos Remote Access Trojans (RATs) baseados em .NET, operando em um ecossistema onde acessibilidade, modularidade e baixo custo de entrada favorecem sua rápida disseminação entre atores de ameaça com diferentes níveis de sofisticação. Para a tomada de decisão de CISOs, o risco não reside apenas nas capacidades técnicas do malware, mas na combinação de três fatores críticos:

• Facilidade de aquisição e operação (commodity malware)
• Capacidade de persistência silenciosa em endpoints corporativos
• Integração com cadeias de ataque maiores (stealers, loaders, ransomware)

O STX RAT não é, isoladamente, uma ferramenta de alta sofisticação. No entanto, seu uso em campanhas oportunistas e sua capacidade de fornecer acesso contínuo ao ambiente comprometido o tornam um multiplicador de risco, frequentemente atuando como estágio intermediário para ataques mais destrutivos. Do ponto de vista de negócio, os principais impactos incluem:

• Exfiltração de dados sensíveis (credenciais, documentos, sessões)
• Comprometimento prolongado sem detecção
• Uso como ponto de apoio para ransomware
• Exposição regulatória (LGPD) e dano reputacional

A Evolução

O STX RAT se insere no ecossistema consolidado de RATs baseados em .NET, ao lado de famílias como AsyncRAT e QuasarRAT. Essas ferramentas compartilham características comuns:

• Código relativamente acessível
• Facilidade de customização
• Interfaces de controle amigáveis
• Distribuição via fóruns underground e canais fechados

Em 2025, cabe destacar que houve uma convergência entre três categorias de malware:

• RATs tradicionais (controle remoto)
• Infostealers (exfiltração rápida de dados)
• Loaders (entrega de payloads adicionais)

O STX RAT acompanha essa tendência ao oferecer:

• Capacidades de coleta de dados
• Execução remota de comandos
• Flexibilidade para integração com outros payloads

O STX segue a tend6encia de Malware-as-a-Service (MaaS), um modelo de negocio criminoso onde deliquentes menos experientes conseguem conduzir campanhas eficazes com baixo investimento técnico.

3. Análise de Kill Chain

3.1 Vetores de entrada

O STX RAT é tipicamente distribuído por meio de vetores amplamente conhecidos, porém ainda eficazes:

• Campanhas de phishing com anexos maliciosos
• Arquivos compactados contendo executáveis disfarçados
• Arquivos ISO, LNK e loaders
• Software pirata, cracks e keygens
• Malvertising

A eficácia desses vetores depende fortemente de engenharia social, frequentemente adaptada ao idioma e contexto regional, além de ser cada vez mais efetiva graças ao uso intensivo de IA.

3.2 Execução inicial

Após o acesso inicial:

• O usuário executa um loader ou dropper
• O payload é descompactado ou injetado em memória
• Pode haver uso de LOLBins (ex.: PowerShell) para execução indireta

3.3 Persistência

O STX RAT estabelece persistência utilizando:

• Chaves de registro (Run/RunOnce)
• Tarefas agendadas
• Cópias em diretórios persistentes do sistema

Essa persistência é projetada para se manter a reinicializações e ofuscar as ações de ferramentas, analistas e .

3.4 Expansão e pós-exploração

Embora não seja um framework completo, que inclua o movimento lateral, o acesso fornecido permite:

• Execução de ferramentas adicionais
• Download de payloads secundários
• Movimentação manual por operadores

4. Arquitetura Técnica do STX RAT

O STX RAT, por suas características de desenvolvimento, possui:

• Portabilidade
• Ofuscação
• Rápido desenvolvimento

4.1. Capacidades principais:

• Keylogging
• Captura de tela
• Gerenciamento de arquivos
• Execução remota de comandos
• Monitoramento do sistema

A comunicação entre cliente e servidor permite controle quase em tempo real.

5. Evasão

O STX RAT emprega técnicas comuns, porém eficazes:

5.1. Ofuscação

• Proteção de strings
• Packing do binário

5.2. Evasão de análise

• Detecção de ambiente virtual
• Delay de execução
• Verificação de sandbox

5.3. Evasão de defesa

• Uso de LOLBins
• Execução em memória (parcial)
• Possível bypass de mecanismos como AMSI

O objetivo não é invisibilidade total, mas reduzir a probabilidade de detecção automática.

6. Comando e Controle (C2)

A comunicação C2 geralmente utiliza:

• HTTP/HTTPS
• Portas customizadas
• Comunicação periódica (beaconing)

6.1. Características:

• Uso de VPS de baixo custo
• Rotação de IPs/domínios
• Infraestrutura descartável

Essa arquitetura favorece:

• Resiliência operacional
• Dificuldade de bloqueio completo

7. Impacto na América Latina

A América Latina apresenta condições favoráveis para disseminação do malware:

• Alta taxa de uso de software não licenciado
• Menor maturidade em segurança em PMEs
• Forte uso e eficácia de engenharia social

Setores frequentemente impactados:

• Financeiro
• Governo
• Pequenas e médias empresas

Campanhas costumam explorar:

• Idioma local (português ou espanhol)
• Temas como boletos, impostos, entregas e serviços bancários são os mais frequentes.

8. Técnicas, Táticas e procedimentos (TTPs)

O comportamento do STX RAT pode ser mapeado em diversas táticas:

a) Initial Access

• Phishing (T1566)

b) Execution

• User Execution (T1204)
• PowerShell (T1059.001)

c) Persistence

• Registry Run Keys (T1547.001)
• Scheduled Tasks (T1053)

d) Defense Evasion

• Obfuscated Files (T1027)
• Virtualization/Sandbox Evasion (T1497)

e) Command & Control

• Application Layer Protocol (T1071)

f) Exfiltration

• Exfiltration Over C2 Channel (T1041)

9. Estratégias de Detecção e Defesa

9.1. Controles técnicos

• EDR/XDR com análise comportamental
• Monitoramento de rede
• Detecção de anomalias

9.2. Hardening

• Bloqueio de macros
• Controle de execução de scripts
• Princípio do menor privilégio

9.3. Conscientização dos Usuários

• Treinamento contínuo contra phishing

Vazamento global: Brasil lidera com mais de 7 bilhões de cookies roubados

Pesquisa da NordVPN revela que o Brasil ocupa o 1º lugar entre 235 países no vazamento de cookies, com mais de 7 bilhões de registros, dos quais 550 milhões ainda estão ativos 

O Brasil desponta como o país com o maior volume de cookies vazados no mundo, conforme aponta nova pesquisa realizada pela NordVPN. De acordo com os dados, entre os quase 94 bilhões de cookies vazados encontrados na dark web, mais de 7 bilhões são originários de usuários brasileiros. O levantamento também revela que aproximadamente 550 milhões desses cookies ainda estão ativos e vinculados a atividades reais de usuários.

Apesar dos cookies serem vistos como úteis para melhorar experiências online, muitos não percebem que hackers podem explorá-los para roubar dados pessoais e acessar sistemas seguros. No contexto brasileiro, o volume de vazamentos é significativamente maior em relação aos demais países, com Índia, Indonésia, Estados Unidos e Vietnã, completando a lista dos cinco primeiros colocados.

Apesar de parecer inofensivos, os cookies vazados não contêm apenas informações triviais. Entre os dados expostos estão nomes completos, endereços de e-mail, senhas, cidades e até mesmo endereços físicos dos usuários. Portanto, esses dados podem ser utilizados por criminosos para cometer fraudes, roubo de identidade e invasões de contas online, colocando em risco a segurança digital de milhões de pessoas.

O especialista em cibersegurança da NordVPN, Adrianus Warmenhoven, alerta sobre os perigos dessa exposição. “Cookies podem parecer inofensivos, mas, nas mãos erradas, eles se tornam verdadeiras chaves digitais para nossas informações mais privadas.”, explica.

Número de cookies vazados em alta

A pesquisa revela que o número de cookies vazados subiu drasticamente nos últimos anos. Em 2024, eram 54 bilhões, enquanto em 2025 o número já ultrapassa os 94 bilhões — um aumento de 74%. Grande parte dos cookies vazados está relacionada a grandes plataformas, como Google (4,5 bilhões), YouTube (1,33 bilhões), Microsoft (1,1 bilhões) e Bing (1 bilhão).

O estudo também identificou que 38 tipos de malwares foram usados para roubar os cookies. O Redline lidera a lista, responsável por mais de 41,6 bilhões de vazamentos. Outros malwares, como Vidar (10 bilhões) e LummaC2 (9 bilhões), também contribuíram para a coleta de dados sensíveis.

O que são cookies e por que são importantes?

Os cookies são pequenos arquivos de texto que os sites armazenam no navegador do usuário para lembrar preferências, detalhes de login e comportamento de navegação. Esses arquivos desempenham um papel essencial na personalização da experiência online, permitindo que as páginas carreguem mais rapidamente e mantenham as configurações personalizadas do usuário.

Os cookies facilitam a navegação ao manter o usuário conectado, salvar itens no carrinho de compras e oferecer recomendações personalizadas com base no histórico de navegação. Sem eles, as interações online seriam menos práticas e personalizadas.

Tipos de cookies mais comuns:

• Cookies de sessão: Expiram ao fechar o navegador e são usados para manter o usuário conectado durante a navegação.
• Cookies persistentes: Permanecem no dispositivo após fechar o navegador, lembrando preferências e login em visitas futuras.
• Cookies de rastreamento: Monitoram as atividades online para oferecer anúncios direcionados e entender o comportamento do usuário.

Embora sejam úteis, os cookies podem representar riscos se caírem nas mãos erradas. Hackers podem roubar esses arquivos para acessar contas pessoais sem precisar de login, já que muitos cookies contêm tokens de sessão que mantêm a conexão ativa.

Formas simples de proteger seus dados

Diante dos dados alarmantes, a NordVPN recomenda que os usuários devem adotar formas simples de proteção que podem ajudar a prevenir roubo de dados. “As pessoas costumam fechar o navegador, mas a sessão ainda está ativa. Limpar os dados do site ajuda a minimizar os riscos”, diz Warmenhoven.

• Use senhas fortes e únicas para cada conta e ative a autenticação multifator (MFA).
• Evite compartilhar informações pessoais e clicar em links suspeitos.
• Mantenha seus dispositivos atualizados para bloquear malwares antes que comprometam seu sistema.
• Limpe regularmente os dados do site para reduzir a chance de acesso não autorizado.
• Verifique as configurações de privacidade das contas online para garantir que apenas serviços confiáveis possam acessar seus dados.

Metodologia

Os dados da pesquisa realizada entre 23 e 30 de abril foram compilados em parceria com pesquisadores independentes especializados em pesquisa de incidentes de segurança cibernética.

Os pesquisadores utilizaram dados coletados de canais do Telegram onde hackers anunciam quais informações roubadas estão disponíveis para venda. Isso levou a um conjunto de dados com informações sobre mais de 93,76 bilhões de cookies.

Os pesquisadores analisaram se os cookies estavam ativos ou inativos, qual malware foi usado para roubá-los, de qual país eles eram, bem como quais dados continham sobre a empresa que os criou, o sistema operacional do usuário e as categorias de palavras-chave atribuídas aos usuários.

A NordVPN não comprou cookies roubados nem acessou o conteúdo dos cookies, examinando apenas os tipos de dados contidos neles.

Sobre a NordVPN

A NordVPN é o provedor de serviços VPN mais avançado do planeta, usado por milhões de usuários de internet no mundo todo. A NordVPN fornece dupla criptografia VPN e Onion Over VPN, garantindo privacidade com rastreamento zero. Um dos principais recursos do produto é a Proteção Contra Ameaças, que bloqueia sites maliciosos, malware, rastreadores e anúncios maliciosos. É muito fácil de usar, oferece um dos melhores preços do mercado e possui mais de 6,2 mil servidores em 111 países. Para mais informações, acesse: nordvpn.com.

Os números não deixam dúvidas: o setor da saúde segue como um dos alvos preferenciais dos cibercriminosos no mundo. Segundo o Data Breach Investigations Report (DBIR) 2025, divulgado pela Verizon no dia 23 de abril, foram mais de 1.700 incidentes de segurança registrados na área médica entre novembro de 2023 e outubro de 2024. Destes, um assustador volume de 1.542 resultou em vazamentos de dados, muitos expostos por cibercriminosos em sites e fóruns na Dark e Deep Web.

O levantamento é considerado uma das maiores referências globais sobre segurança digital. Neste ano, analisou mais de 22 mil incidentes, com 12.195 violações de dados confirmadas em organizações de 139 países.

A saúde ficou atrás apenas do setor industrial, que acumulou 1.607 violações no mesmo período. “Os dados médicos são altamente sensíveis e valiosos. Por isso, o setor virou uma espécie de mina de ouro para os cibercriminosos”, explica Anchises Moraes, especialista da Apura Cyber Intelligence, que pelo sétimo ano consecutivo é uma das colaboradoras do relatório, levando dados do cenário brasileiro para esse levantamento global.

Segundo o relatório, 45% das violações miraram dados médicos, enquanto 40% afetaram dados pessoais, como nomes, endereços e números de documentos.

Os principais caminhos para as violações continuam sendo os mesmos: intrusões, falhas humanas e erros diversos, responsáveis por 74% dos casos. Já sobre quem promove os ataques, a maioria vem de fora: 67% são atribuídos a agentes externos. Mas o risco interno também é alto: 30% dos incidentes foram causados por pessoas com acesso legítimo aos sistemas. Os parceiros, por sua vez, responderam por 4% das investidas.

A maioria das invasões teve motivações financeiras: 90% dos ataques buscaram lucro direto com extorsão ou venda de dados. Contudo, um dado chama a atenção: os ataques movidos por espionagem saltaram de 1% em 2023 para 16% em 2024, um crescimento que, segundo Moraes, é “expressivo e preocupante”.

“Esse é um dos grandes desafios: muitas vezes, quem está dentro da organização facilita ou executa o ataque”, alerta Moraes. Para ele, a resposta precisa ir além de barreiras tecnológicas. “É preciso investir em treinamento, conscientização e controles rigorosos.”

Outra mudança detectada pelo DBIR 2025: os ataques de ransomware e invasões sofisticadas superaram, pela primeira vez, os erros humanos como causa dos incidentes, que lideravam o ranking até 2023. A escalada preocupa, especialmente em hospitais, onde a indisponibilidade de sistemas por um ataque de ransomware pode comprometer o atendimento e colocar vidas em risco. A América Latina também figura no relatório com destaque: foram 657 incidentes na região, sendo 413 com vazamentos confirmados.

“Depois que um ataque acontece, o desespero toma conta, e isso dá ainda mais vantagem aos criminosos”, afirma Moraes. “Não basta ter rotinas de segurança, sistemas de proteção robustos e, principalmente, investir em educação protetiva cibernética para reduzir o risco de um ataque bem-sucedido”, destaca. “É fundamental investir em medidas preventivas e pró-ativas, como monitoramento de ameaças, e construir um sólido plano de resposta a incidentes, para minimizar o impacto e retomar rapidamente a operação caso o pior aconteça”.

O relatório completo pode ser acessado gratuitamente no site da Verizon: https://www.verizon.com/business/resources/reports/dbir/.

O vazamento de milhões de credenciais por malwares do tipo infostealer (programas que invadem dispositivos para roubar logins, senhas e dados sensíveis) evidencia não apenas uma falha tecnológica, mas também uma ameaça jurídica concreta para empresas. Sob a Lei Geral de Proteção de Dados (LGPD), organizações que não implementam políticas preventivas, auditorias e controles rigorosos podem ser responsabilizadas civil e administrativamente, inclusive quando a falha ocorre via fornecedores ou parceiros.

Segundo o advogado especialista em tecnologia da informação e cibersegurança, Bruno Fuentes, a LGPD exige que empresas adotem medidas técnicas e administrativas adequadas para proteger dados pessoais. “Isso significa que não basta investir em tecnologia; é preciso demonstrar governança, auditoria e treinamento contínuo. Caso contrário, a empresa pode responder juridicamente, mesmo que o vazamento tenha origem por terceiros”, comenta.

Incidentes como este, segundo o advogado, mostram que conselhos e diretores precisam integrar a segurança de dados às decisões estratégicas da empresa. “Não agir pode gerar sanções e também comprometer contratos e relações comerciais”, alerta.

Segundo a legislação, incidentes de segurança devem ser notificados imediatamente à Agência Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados, sob risco de multas, bloqueio ou eliminação de dados. A falta de medidas preventivas ou de governança efetiva pode gerar ainda ações por danos materiais e morais.

Assis Neto, especialista em direito empresarial, destaca que além da proteção de dados, há uma dimensão societária. “Conselhos e sócios precisam garantir que contratos com fornecedores contenham cláusulas claras sobre responsabilidade, comunicação de incidentes e governança corporativa. Negligenciar esses aspectos expõe a empresa a sanções da ANPD, litígios e impactos reputacionais”, explica.

Para Neto, empresas familiares e grupos societários, em particular, devem tratar a governança corporativa de forma integrada com compliance e contratos estratégicos. “Falhas de controle podem gerar responsabilidade direta de administradores e comprometer a confiança entre sócios e investidores”, revela.

Para os juristas, proteção de dados não é apenas tecnologia, é estratégia jurídica e corporativa. Incidentes como os causados por infostealers demonstram que empresas que não alinham TI, jurídico e governança de fornecedores podem enfrentar sérias consequências legais e regulatórias.