O site Bogus Avast falsifica a verificação de vírus e instala o Venom Stealer

Um site falso que se faz passar pelo antivírus Avast está enganando as pessoas para que infectem seus próprios computadores.

O site parece legítimo, executa o que parece ser uma verificação de vírus e afirma que seu sistema está cheio de ameaças. Mas os resultados são falsos: quando você é solicitado a “consertar” o problema, o download que você recebe é na verdade Ladrão de Veneno—um tipo de malware projetado para roubar senhas, cookies de sessão e dados de carteiras de criptomoedas.

Este é um golpe clássico de assustar e consertar: crie pânico e depois ofereça uma solução. Nesse caso, a “solução” abusa da marca confiável Avast para realizar o ataque.

Uma varredura que encontra exatamente o que o invasor deseja que você veja

A página de phishing é uma recriação da marca Avast, completa com barra de navegação, logotipo e crachás de certificação tranquilizadores. Os visitantes são convidados a executar o que parece ser uma verificação abrangente de vírus. Assim que clicam, a página apresenta uma breve animação antes de entregar seu veredicto predeterminado: três ameaças encontradas, três ameaças removidas, sistema protegido. Um log de console de rolagem nomeia uma detecção específica—Trojan:Win32/Zbot.AA!dll– para dar ao desempenho um ar de especificidade. A vítima é então solicitada a baixar a cura: um arquivo chamado Avast_system_cleaner.exe.

Esta é a carga útil. E longe de limpar alguma coisa, imediatamente começa a roubar.

Um serviço do Chrome que não é o Chrome

Quando a vítima lança Avast_system_cleaner.exeo binário – um executável do Windows PE de 64 bits com aproximadamente 2 MB de tamanho – copia-se em um local projetado para se misturar com software legítimo: C:Program FilesGoogleChromeApplicationv20svc.exe. O arquivo eliminado é byte por byte idêntico ao pai, compartilhando o mesmo hash MD5 (0a32d6abea15f3bfe2a74763ba6c4ef5). Em seguida, inicia a cópia com o sinalizador de linha de comando --v20cum argumento sem sentido cujo único propósito é sinalizar ao malware que ele está sendo executado em sua função de segundo estágio.

O disfarce é deliberado. Um processo chamado v20svc.exe localizado no diretório de aplicativos do Chrome parece, à primeira vista, um componente legítimo de serviço do navegador. Qualquer pessoa que escaneasse seu gerenciador de tarefas provavelmente passaria por ele sem pensar duas vezes. Este é um exemplo clássico de mascaramento: nomear um binário malicioso para corresponder às convenções de software confiável para que ele escape da inspeção casual.

Um artefato de depuração inserido no binário confirma sua linhagem: o caminho do PDB lê crypter_stub.pdbindicando que o executável foi compactado usando um crypter, que é uma ferramenta projetada para embaralhar o código de uma carga para que os mecanismos antivírus não possam reconhecê-lo apenas por sua assinatura. No momento da análise, apenas 27% dos mecanismos do VirusTotal sinalizaram a amostra, o que significa que cerca de três em cada quatro produtos antivírus comerciais a perderam completamente.

As regras YARA combinaram a amostra com o Ladrão de Veneno família de malware, um descendente conhecido da estrutura Quasar RAT que tem sido vendida em fóruns clandestinos desde pelo menos 2020. Venom Stealer foi desenvolvido especificamente para roubo de dados: credenciais de navegador, cookies de sessão, carteiras de criptomoedas e detalhes de cartão de crédito armazenados em navegadores.

Cada cookie, cada carteira, cada senha salva

Depois de executado, o malware funciona por meio de uma lista de verificação de alvos de alto valor na máquina da vítima.

Tudo começa com navegadores. A análise comportamental confirma que o malware coleta credenciais salvas e cookies de sessão. No ambiente de análise foi observado acesso direto ao banco de dados de cookies do Firefox em C:UsersAppDataRoamingMozillaFirefoxProfilescookies.sqlite-shm. A memória do processo também continha estruturas JSON totalmente formadas com dados de cookies roubados do Microsoft Edge e Google Chrome, incluindo sessões ativas para Netflix, YouTube, Reddit, Facebook, LinkedIn, AliExpress, Outlook, Adobe e Google. Os cookies de sessão roubados dão ao invasor a capacidade de sequestrar sessões autenticadas do navegador sem precisar da senha da vítima, incluindo sessões protegidas por autenticação de dois fatores.

O malware também tem como alvo carteiras de criptomoedas. Assinaturas comportamentais confirmam que ele procura e tenta roubar dados de carteira armazenados localmente, e o Venom Stealer está documentado como direcionado a aplicativos de carteira de desktop. Para qualquer pessoa que possua ativos criptográficos em uma carteira quente, as implicações são imediatas.

Além das credenciais, o ladrão captura uma captura de tela da área de trabalho da vítima, salva temporariamente como C:UsersAppDataLocalTempscreenshot_5sIczFxY95t2IQ5u.jpge grava um arquivo de rastreamento de sessão em C:UsersAppDataRoamingMicrosoftfd1cd7a3sess. Um pequeno arquivo de marcador também é colocado em C:UsersPublicNTUSER.dat—um caminho escolhido para imitar um arquivo legítimo do registro do Windows e evitar suspeitas.

Disfarçado de análise, entregue por HTTP simples

Todos os dados roubados são exfiltrados para um único domínio de comando e controle: app-metrics-cdn(.)comque resolveu 104.21.14.89 (um endereço Cloudflare) durante a análise. O nome de domínio é criado para parecer um serviço benigno de análise ou entrega de conteúdo, o tipo de tráfego que pode não soar o alarme em um log de proxy corporativo.

A exfiltração segue uma sequência estruturada de quatro etapas em HTTP não criptografado. Primeiro, um POST de dados de formulário multiparte para /api/upload transmite o arquivo coletado – capturas de tela, dados de carteira, bancos de dados de cookies – totalizando cerca de 140 KB. Um segundo POST para /api/upload-json envia uma carga JSON estruturada de aproximadamente 29 KB contendo credenciais e cookies analisados. Um POST de confirmação para /api/upload-complete sinaliza que o roubo terminou. O malware então entra em um loop de pulsação, fazendo check-in periodicamente em /api/listener/heartbeat manter contato com a infraestrutura da operadora.

Todo esse tráfego usa uma string genérica de agente de usuário do Mozilla/5.0, outra tentativa de se misturar à navegação comum na web.

Syscalls, sleep loops e verificações de depurador

Venom Stealer não simplesmente rouba e vai embora. São necessárias medidas significativas para evitar ser pego. A técnica de evasão mais notável é o uso de chamadas de sistema diretas e indiretas, um método em que o malware invoca funções do kernel do Windows diretamente, em vez de rotear através do padrão ntdll.dll biblioteca. Como a maioria das ferramentas de detecção de endpoint funciona interceptando chamadas para essa biblioteca, essa técnica as cega efetivamente. Esse comportamento foi sinalizado no processo pai e no processo filho descartado.

O malware também verifica se está sendo depurado, consulta informações do fornecedor e do modelo da CPU, lê o número de série do volume da unidade do sistema, cria páginas de proteção na memória que podem travar os depuradores que tentam percorrer o código e enumera os processos em execução. Estas são técnicas comuns para detecção de máquinas virtuais e ambientes de análise. Para frustrar ainda mais a análise automatizada, ele incorpora chamadas de sono superiores a três minutos.

Este não é um truque novo

Personificar um software de segurança para distribuir malware é um dos truques mais antigos do mundo. Um usuário que acredita que seu sistema está infectado está preparado para agir com urgência, e uma página que se parece com um fornecedor confiável de antivírus é exatamente o tipo de autoridade a quem ele se submeterá. Ao realizar uma varredura falsa que “encontra” ameaças e depois oferece uma cura, o invasor explora tanto o medo quanto a confiança em uma única interação.

Esta não é uma tática isolada. Em maio de 2025, DomainTools documentado uma campanha separada na qual os invasores construíram um clone convincente do site do Bitdefender e o usaram para distribuir Venom RAT junto com o ladrão StormKitty. O manual é quase idêntico: personificar uma marca de segurança, fabricar urgência e entregar um Trojan disfarçado de proteção. Isso sugere que este é um modelo repetível, não um experimento único.

O que fazer se você pode ter sido afetado

Baixe software de segurança apenas de sites oficiais de fornecedores. O site legítimo do Avast é avast.com. Não confie em resultados de mecanismos de pesquisa, anúncios ou links em e-mails não solicitados.

Se você interagiu com um site como este ou baixou o arquivo, aja rapidamente:

• Verifique se o seu sistema está infectado. Procure o arquivo v20svc.exe em C:Program FilesGoogleChromeApplication. Se existir, seu sistema provavelmente foi comprometido por esse malware.
• Execute uma verificação completa do sistema imediatamente. Use uma ferramenta antimalware confiável e atualizada (como o Malwarebytes) para detectar e remover a infecção. Se a verificação encontrar ameaças, siga as recomendações da ferramenta para colocá-las em quarentena ou excluí-las.
• Mude sua senha imediatamente. Comece com e-mail, serviços bancários e quaisquer contas importantes. Suponha que tudo o que foi salvo no seu navegador foi exposto.
• Sair de todas as sessões ativas. Saia de serviços como Google, Microsoft, Facebook e Netflix. Cookies de sessão roubados permitem que um invasor ignore totalmente a autenticação de dois fatores.
• Proteja fundos de criptomoeda. Se você usa uma carteira de criptomoeda para desktop, transfira seus fundos para uma nova carteira gerada em um dispositivo limpo o mais rápido possível.

Indicadores de Compromisso (IOCs)

Hashes de arquivo

• SHA-256: ecbeaa13921dbad8028d29534c3878503f45a82a09cf27857fa4335bd1c9286d

Domínios

Indicadores de rede

URLs C2

• http://app-metrics-cdn(.)com/api/upload
• http://app-metrics-cdn(.)com/api/upload-json
• http://app-metrics-cdn(.)com/api/upload-complete
• http://app-metrics-cdn(.)com/api/listener/heartbeat

Não apenas informamos ameaças: nós as removemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.