Katz Stealer: O batedor de carteiras digital que está mirando seus dados
Table of Contents
O que é Katz Stealer e por que é importante
O Katz Stealer é uma ferramenta de coleta de dados desenvolvida especificamente para coletar informações confidenciais dos dispositivos que infiltra. Ao contrário de ameaças mais agressivas que danificam arquivos ou exigem resgate, esta funciona silenciosamente em segundo plano — com o objetivo de observar, extrair e exfiltrar. Seus principais alvos são dados de login, carteiras de criptomoedas, dados do navegador e outros registros pessoais ou financeiros. O que torna o Katz particularmente notável é seu modelo de distribuição: ele é comercializado como Malware como Serviço (MaaS), o que significa que é vendido a cibercriminosos que podem usá-lo para suas próprias campanhas.
Disfarçado e enganoso: como ele entra
O processo de infiltração do Katz Stealer é inteligente e flexível. Geralmente, ele se esconde em arquivos compactados, como arquivos GZIP, agrupados com o que parecem ser mídias ou softwares comuns. Uma vez abertos, esses arquivos iniciam uma cadeia de infecção em várias etapas, geralmente começando com um arquivo JavaScript que baixa um script do PowerShell. Esse script então chama um carregador .NET para injetar o código malicioso em processos legítimos do sistema. O malware se esconde à vista de todos, sendo executado sob o disfarce de aplicativos confiáveis do Windows.
Anti-detecção por design
O Katz foi criado para evitar a detecção, não o confronto. Ele possui um conjunto de truques para evitar ser detectado durante a análise. Por exemplo, se o programa detectar que está sendo executado em uma máquina virtual ou sandbox — ambientes frequentemente usados por pesquisadores de segurança cibernética —, ele é encerrado imediatamente. Ele também utiliza uma tática conhecida como "process hollowing", que permite inserir seu código em processos legítimos, dificultando sua detecção. Além disso, o Katz utiliza geofencing: se determinar que o dispositivo está em uma determinada região, pode não prosseguir com suas atividades.
O que Katz Stealer realmente quer
Em sua essência, o Katz é uma ferramenta para roubo de informações. Ele começa coletando dados do dispositivo, como detalhes do sistema operacional, especificações de hardware, endereço IP e configurações de idioma. No entanto, seus principais alvos são navegadores e extensões. Ele se concentra em navegadores baseados em Chromium , como Chrome, Brave e Edge, bem como navegadores baseados em Gecko , como o Firefox. Destes, ele extrai histórico de navegação, senhas salvas, cookies e outros registros confidenciais. Em particular, ele procura extensões de navegador relacionadas a criptomoedas e pode extrair dados de mais de 100 delas.
Criptomoeda e além
O Katz não se limita aos navegadores. Ele é capaz de extrair informações de carteiras de criptomoedas para desktop, clientes FTP, ferramentas de VPN, softwares de e-mail, plataformas de jogos e mensageiros instantâneos. Ele também pode vasculhar arquivos de usuários buscando por palavras-chave tipicamente associadas a criptomoedas ou finanças. Como se não bastasse, ele pode fazer capturas de tela do desktop e até monitorar dados copiados para a área de transferência. Isso permite que ele capture senhas, endereços de carteira ou outras informações confidenciais no momento em que o usuário as copia.
Entra em cena o ladrão de TROX: um parente próximo
Katz não é o único ladrão de dados em circulação. O TROX Stealer é outro programa da mesma categoria. Assim como o Katz, o TROX foi projetado para operar furtivamente, coletar tipos semelhantes de informações e enviá-las de volta ao invasor. Embora possam diferir em alguns aspectos técnicos ou métodos de entrega, os objetivos são os mesmos: coletar dados do usuário sem serem detectados. Ambos podem ser comprados e implantados por invasores com pouco conhecimento técnico, o que os torna ferramentas atraentes no ecossistema do crime cibernético.
Quem está por trás do Katz e como ele se espalha
Os criadores do Katz normalmente não são os mesmos que o implementam. Em vez disso, eles agem mais como desenvolvedores vendendo um serviço. Ao oferecer o Katz como um MaaS, eles permitem que os compradores realizem suas próprias campanhas. Esse modelo de distribuição significa que a forma como o Katz é disseminado pode variar bastante — desde e-mails de phishing e sites enganosos até resultados de pesquisa envenenados e downloads de software falsos. Alguns usuários podem encontrá-lo por meio de pop-ups, links suspeitos ou contas de mídia social comprometidas. Em outros casos, o Katz pode vir junto com software pirata ou mods de jogos não oficiais.
Por que a conscientização é fundamental
O Katz Stealer pode operar discretamente, mas sua presença tem consequências de longo alcance. Ele pode comprometer tudo, desde logins em redes sociais até ativos em criptomoedas. Devido à sua natureza furtiva e recursos em constante evolução, nem sempre é fácil identificá-lo. Embora muitos usuários esperem que malware venha com alertas sonoros ou danos visíveis, ameaças como o Katz provam que os programas mais nocivos geralmente não deixam rastros imediatos.
Conclusão
Evitar ameaças como o Katz exige mais do que apenas soluções técnicas — começa com um comportamento cauteloso. Baixar arquivos apenas de fontes confiáveis, evitar links suspeitos e não abrir anexos de remetentes desconhecidos são práticas fundamentais. O mundo digital está cheio de promessas, downloads e pop-ups. Saber em quais confiar pode ser o fator decisivo entre manter a segurança e ter seus dados silenciosamente roubados.
