Hackers vietnamitas usam avisos falsos de direitos autorais para espalhar o Lone None Stealer

Um grupo de hackers vietnamita conhecido como Lone None está realizando uma campanha de golpes online que está ativa desde pelo menos novembro de 2024. A campanha se concentra no roubo de informações pessoais e financeiras, especialmente criptomoedas.

A empresa de pesquisa de segurança cibernética Cofense Intelligence vem monitorando os movimentos desse agente de ameaça e compartilhou sua análise com o Hackread.com.

Os ataques começam com um e-mail falso de um aviso legal oficial de diferentes escritórios de advocacia ao redor do mundo, pedindo ao destinatário para remover conteúdo protegido por direitos autorais de seu site ou mídia social, às vezes até mesmo mencionando a conta real do destinatário no Facebook.

Essas mensagens são enviadas em cerca de dez idiomas diferentes, incluindo inglês, francês, alemão e chinês, sugerindo que o objetivo dos criminosos é expandir seu alcance. Os e-mails contêm um link que, ao ser clicado, leva a um arquivo baixado (como um arquivo ZIP). Esse arquivo contém o malware, habilmente disfarçado como documentos de prova, como PDFs ou PNGs.

Para executar o malware, os invasores usam o carregamento lateral de DLL , que lhes permite abusar de um programa legítimo e assinado (como um executável confiável do Microsoft Word ou leitor de PDF) para executar secretamente seu código malicioso e ignorar as verificações de segurança padrão.

A campanha utiliza dois tipos de ladrões de informações: o Pure Logs Stealer e o mais novo Lone None Stealer (também conhecido como PXA Stealer). O Pure Logs rouba uma ampla gama de dados confidenciais, incluindo senhas, números de cartão de crédito, cookies de sessão e arquivos de carteiras de criptomoedas locais salvos nos navegadores e computadores da vítima.

O Lone None Stealer, no entanto, concentra-se no roubo de criptomoedas . Ele monitora a área de transferência da vítima (o local onde o texto copiado é armazenado temporariamente) e, se um endereço de carteira de criptomoedas for copiado, o malware o substitui silenciosamente pelo endereço do criminoso. Isso significa que, se uma vítima tentar enviar dinheiro copiando e colando um endereço de carteira, os fundos vão diretamente para o hacker.

Em sua postagem de blog , a Cofense Intelligence observou que o Lone None Stealer foi encontrado em quase um terço (29%) de todos os relatórios recentes envolvendo o antigo Pure Logs Stealer desde junho de 2025, indicando seu uso crescente.

Este golpe envolve uma técnica de preparação única, na qual o criminoso oculta o endereço para a próxima etapa do ataque na página de perfil de um bot do Telegram . Além disso, o Lone None Stealer utiliza a rede do Telegram como seu principal canal de Comando e Controle (C2), enviando rapidamente todos os dados coletados aos hackers.

Como esse golpe explora diretamente o medo de uma disputa judicial urgente, é importante reconhecer os sinais de um e-mail falso. Nunca clique em links ou baixe arquivos de fontes inesperadas, pois essa simples precaução continua sendo a melhor proteção contra esses golpes.