📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Nos últimos meses, um novo malware infostealer conhecido como REMUS surgiu no cenário do crime cibernético, chamando a atenção de pesquisadores de segurança e analistas de malware. Várias análises técnicas publicadas nos últimos meses focaram nas capacidades, infraestrutura e semelhanças do malware com o Lumma Stealer, incluindo mecanismos de direcionamento de navegador, funcionalidade de roubo de credenciais e muito mais.
No entanto, muito menos atenção tem sido dada à operação clandestina por trás do próprio malware.
Uma análise conduzida por pesquisadores do Flare de 128 postagens ligadas à operação clandestina REMUS entre 12 de fevereiro e 8 de maio de 2026, fornece uma visão rara de como o grupo apresenta, desenvolve e operacionaliza o malware nas comunidades clandestinas. Ao analisar os anúncios do interveniente, os registos de atualização, os anúncios de funcionalidades, as discussões operacionais e as comunicações dirigidas ao cliente, a investigação ajuda a mapear a forma como a operação evoluiu ao longo do tempo e quais as prioridades que impulsionaram o seu desenvolvimento.
As descobertas revelam não apenas a rápida evolução das capacidades do ladrão, mas também um foco crescente na comercialização, escalabilidade operacional, roubo de sessão e direcionamento do gerenciador de senhas. De forma mais ampla, a atividade oferece informações sobre como as operações modernas de malware como serviço (MaaS) se assemelham cada vez mais a negócios de software estruturados, com ciclos de desenvolvimento contínuos, refinamentos operacionais e recursos projetados para melhorar a usabilidade, a persistência e a monetização de longo prazo.
A atividade subterrânea revela um ciclo de desenvolvimento altamente comprimido, mas agressivo, com a operadora publicando repetidamente atualizações de recursos, refinamentos operacionais e novos recursos de coleta em apenas alguns meses.
Em vez de anunciar uma construção de malware estático, as postagens retratam uma plataforma MaaS mantida ativamente, evoluindo quase em tempo real.
Fevereiro de 2026 marcou o impulso comercial inicial. As primeiras postagens se concentraram em estabelecer REMUS como um ladrão confiável e fácil de usar, promovendo roubo de credenciais de navegador, coleta de cookies, roubo de tokens Discord, entrega de telegramas e gerenciamento básico de registros. O tom foi altamente promocional e orientado para o cliente. Em uma das primeiras postagens, a operadora afirmou: “Com boa criptografia e um servidor intermediário dedicado, a taxa de retorno de chamada é de aproximadamente 90%”.
Outra postagem comercializou o malware como apresentando “suporte 24 horas por dia, 7 dias por semana” e funcionalidade “suficientemente simples para que até uma criança possa descobrir”, destacando uma forte ênfase na usabilidade e comercialização desde o início.
Março de 2026 representou o período de desenvolvimento mais ativo da campanha. Durante esta fase, a operadora introduziu a funcionalidade de token de restauração, manipulação expandida de logs, rastreamento de trabalhadores, páginas de estatísticas, filtragem de logs duplicados e fluxos de trabalho de entrega de Telegram aprimorados. Várias postagens focaram não no roubo em si, mas na visibilidade operacional e no gerenciamento de campanhas. Uma atualização adicionou apelidos de trabalhadores às tabelas de log e visualizações de estatísticas, enquanto outra melhorou a visibilidade da execução do carregador para que os operadores pudessem entender melhor as infecções com falha. A mudança sugere que o REMUS estava evoluindo para uma plataforma operacional mais ampla, em vez de apenas um malware executável.
Abril de 2026 mostrou um movimento claro em direção à continuidade da sessão e aos artefatos de autenticação do lado do navegador. A operadora adicionou suporte a proxy SOCKS5, restauração de token aprimorada, alternadores anti-VM, direcionamento de plataforma de jogos e coleta relacionada ao gerenciador de senhas. Uma atualização declarou explicitamente: “Adicionada coleção IndexedDB para extensões 1Password e LastPass.”
Outra referência a pesquisas relacionadas ao Bitwarden. As postagens enfatizavam cada vez mais sessões autenticadas, fluxos de trabalho de restauração e armazenamento no navegador, em vez de apenas credenciais independentes.
No início de maio de 2026, a operação parecia focada no refinamento e na estabilidade operacional. As postagens restantes no conjunto de dados faziam referência a melhorias de restauração, correções de bugs, otimizações de coleta e ajustes contínuos na funcionalidade de entrega e gerenciamento, sugerindo que a operadora estava mudando da rápida expansão de recursos para a estabilização da plataforma.
REMUS e sua conexão com Lumma
Captura de tela da plataforma Flare mostrando uma das primeiras postagens do REMUS. Inscreva-se para o teste gratuito para ter acesso, caso ainda não seja um cliente.
Os relatórios públicos concentraram-se amplamente no REMUS como um sucessor ou variante tecnicamente significativo do Lumma Stealer. Os pesquisadores descreveram o malware como um infostealer de 64 bits que compartilha múltiplas semelhanças com o Lumma, incluindo verificações anti-VM, roubo de credenciais com foco no navegador e técnicas de desvio de criptografia do navegador.
Essa sobreposição técnica é importante, mas os dados subterrâneos sugerem que a história vai muito além da linhagem do malware.
As postagens analisadas mostram um agente de ameaça construindo agressivamente um produto comercial de crime cibernético em torno de
No entanto, muito menos atenção tem sido dada à operação clandestina por trás do próprio malware.
Uma análise conduzida por pesquisadores do Flare de 128 postagens ligadas à operação clandestina REMUS entre 12 de fevereiro e 8 de maio de 2026, fornece uma visão rara de como o grupo apresenta, desenvolve e operacionaliza o malware nas comunidades clandestinas. Ao analisar os anúncios do interveniente, os registos de atualização, os anúncios de funcionalidades, as discussões operacionais e as comunicações dirigidas ao cliente, a investigação ajuda a mapear a forma como a operação evoluiu ao longo do tempo e quais as prioridades que impulsionaram o seu desenvolvimento.
As descobertas revelam não apenas a rápida evolução das capacidades do ladrão, mas também um foco crescente na comercialização, escalabilidade operacional, roubo de sessão e direcionamento do gerenciador de senhas. De forma mais ampla, a atividade oferece informações sobre como as operações modernas de malware como serviço (MaaS) se assemelham cada vez mais a negócios de software estruturados, com ciclos de desenvolvimento contínuos, refinamentos operacionais e recursos projetados para melhorar a usabilidade, a persistência e a monetização de longo prazo.
A atividade subterrânea revela um ciclo de desenvolvimento altamente comprimido, mas agressivo, com a operadora publicando repetidamente atualizações de recursos, refinamentos operacionais e novos recursos de coleta em apenas alguns meses.
Em vez de anunciar uma construção de malware estático, as postagens retratam uma plataforma MaaS mantida ativamente, evoluindo quase em tempo real.
Fevereiro de 2026 marcou o impulso comercial inicial. As primeiras postagens se concentraram em estabelecer REMUS como um ladrão confiável e fácil de usar, promovendo roubo de credenciais de navegador, coleta de cookies, roubo de tokens Discord, entrega de telegramas e gerenciamento básico de registros. O tom foi altamente promocional e orientado para o cliente. Em uma das primeiras postagens, a operadora afirmou: “Com boa criptografia e um servidor intermediário dedicado, a taxa de retorno de chamada é de aproximadamente 90%”.
Outra postagem comercializou o malware como apresentando “suporte 24 horas por dia, 7 dias por semana” e funcionalidade “suficientemente simples para que até uma criança possa descobrir”, destacando uma forte ênfase na usabilidade e comercialização desde o início.
Março de 2026 representou o período de desenvolvimento mais ativo da campanha. Durante esta fase, a operadora introduziu a funcionalidade de token de restauração, manipulação expandida de logs, rastreamento de trabalhadores, páginas de estatísticas, filtragem de logs duplicados e fluxos de trabalho de entrega de Telegram aprimorados. Várias postagens focaram não no roubo em si, mas na visibilidade operacional e no gerenciamento de campanhas. Uma atualização adicionou apelidos de trabalhadores às tabelas de log e visualizações de estatísticas, enquanto outra melhorou a visibilidade da execução do carregador para que os operadores pudessem entender melhor as infecções com falha. A mudança sugere que o REMUS estava evoluindo para uma plataforma operacional mais ampla, em vez de apenas um malware executável.
Abril de 2026 mostrou um movimento claro em direção à continuidade da sessão e aos artefatos de autenticação do lado do navegador. A operadora adicionou suporte a proxy SOCKS5, restauração de token aprimorada, alternadores anti-VM, direcionamento de plataforma de jogos e coleta relacionada ao gerenciador de senhas. Uma atualização declarou explicitamente: “Adicionada coleção IndexedDB para extensões 1Password e LastPass.”
Outra referência a pesquisas relacionadas ao Bitwarden. As postagens enfatizavam cada vez mais sessões autenticadas, fluxos de trabalho de restauração e armazenamento no navegador, em vez de apenas credenciais independentes.
No início de maio de 2026, a operação parecia focada no refinamento e na estabilidade operacional. As postagens restantes no conjunto de dados faziam referência a melhorias de restauração, correções de bugs, otimizações de coleta e ajustes contínuos na funcionalidade de entrega e gerenciamento, sugerindo que a operadora estava mudando da rápida expansão de recursos para a estabilização da plataforma.
REMUS e sua conexão com Lumma
Captura de tela da plataforma Flare mostrando uma das primeiras postagens do REMUS. Inscreva-se para o teste gratuito para ter acesso, caso ainda não seja um cliente.
Os relatórios públicos concentraram-se amplamente no REMUS como um sucessor ou variante tecnicamente significativo do Lumma Stealer. Os pesquisadores descreveram o malware como um infostealer de 64 bits que compartilha múltiplas semelhanças com o Lumma, incluindo verificações anti-VM, roubo de credenciais com foco no navegador e técnicas de desvio de criptografia do navegador.
Essa sobreposição técnica é importante, mas os dados subterrâneos sugerem que a história vai muito além da linhagem do malware.
As postagens analisadas mostram um agente de ameaça construindo agressivamente um produto comercial de crime cibernético em torno de
#samirnews #samir #news #boletimtec #por #dentro #do #remus #infostealer: #roubo #de #sessão, #maas #e #evolução #rápida
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário