O que os infostealers fazem e como eles funcionam?
Os infostealers são um tipo de malware criado para infectar sistemas computacionais e roubar dados armazenados localmente como nomes de usuários e senhas salvos, dados de preenchimento automático dos navegadores, informações financeiras e outras informações pessoalmente identificáveis (PII).
Uma tática básica é atrair as vítimas e fazer com que elas executem armadilhas na forma de arquivos ou instaladores. Os cibercriminosos geralmente fazem isso através de phishing, malvertising ou táticas de engenharia social no estilo “click-to-fix” (clique para corrigir). Depois que o malware é executado, ele coleta dados de pontos comuns de armazenamento (como navegadores web, clientes de e-mail e gerenciadores de senha) e aí empacota todas as informações roubadas em um arquivo de registro (log), enviando tudo para um servidor de uma infraestrutura controlada por quem faz os ataques. Muitos operadores usam painéis de back-end que recebem, organizam e facilitam a busca destes registros.
Depois da extração dos dados, os operadores de infostealer vendem os registros para lucrar, comercializando estes dados em comunidades privadas ou através de envios diretos para seus parceiros criminosos que aí usam os dados roubados para realizar outros ataques e golpes, como roubo de contas e fraude.
Como os infostealers invadem um dispositivo
Infostealers geralmente infectam os dispositivos quando um usuário é induzido a executar um arquivo malicioso por conta própria. Os cibercriminosos usam técnicas de engenharia social e canais de distribuição que fazem com que o malware pareça legítimo, útil ou urgente. Os métodos de infecção mais comuns incluem:
Software crackeado, cheats, mods e ferramentas “grátis”
Os infostealers podem ser distribuídos através de software crackeado, cheats e mods de games e instaladores que não são oficiais, o que é perfeito para facilitar a instalação de malware que se disfarça de programas legítimos. Estes arquivos são compartilhados em sites de torrent, plataformas de hospedagem de arquivos, fóruns e descrições em vídeos (onde os usuários tendem a desativar os alertas ou ignorar prompts de segurança). Depois de executado, o malware escondido é executado juntamente com o software divulgado e começa a coletar os dados da vítima.
Páginas de download, malvertising e armadilhas patrocinadas
Os infostealers também se propagam através de anúncios fraudulentos, resultados patrocinados para se destacar nos resultados de buscas e páginas falsas de download que copiam sites reais de software. Estas páginas aparecem quando as pessoas buscam por ferramentas populares, updates ou patches e são criadas para convencer em um olhar mais superficial. Mas um simples clique em um botão falso de download pode baixar um payload de infostealer ao invés de um software legítimo.
Extensões maliciosas para navegador
Além disso, os infostealers também podem ser entregues através de extensões maliciosas para navegadores que se passam por ferramentas legítimas como ad blockers, add-ons de produtividade ou rastreadores de preços. Quando são adicionadas a um navegador, estas extensões operam dentro de um ambiente confiável, o que dá acesso direto às senhas armazenadas, cookies e sessões ativas. Por conta dessa camuflagem, uma extensão maliciosa pode ficar instalada e ativa muito tempo depois de pegar os dados designados.
Links e arquivos compartilhados através de apps de chat e armazenamento em nuvem
Infostealers também podem entrar em um dispositivo através de links e arquivos compartilhados e plataformas de chat como chats em grupo, servidores e mensagens diretas, além de links de armazenamento em nuvem postados em fóruns e mídias sociais. Os cibercriminosos compartilham “ferramentas grátis”, “conteúdo premium” ou “correções”, depois usam hosteamento built-in de arquivos ou pastas compartilhadas para disseminar arquivos e instaladores infectados. Quando uma vítima abre o arquivo, o infostealer é executado e começa a coletar os dados armazenados localmente.
Loader de redes e campanhas de pay-per-install
Algumas vezes, os infostealers entram nos dispositivos através de loader malware, que é um pequeno programa que já está em execução no dispositivo e que existe unicamente para baixar e executar outros arquivos maliciosos. Os loaders são tipicamente instalados da mesma forma que os infostealers (através de downloads infectados, anexos de phishing e links maliciosos), mas eles só ficam nos dispositivos para que os cibercriminosos consigam fazer outros payloads depois. Operadores criminosos pagam essas redes de carregamento para propagar infostealers em computadores infectados categorizados por país ou volume. Este modelo remove a necessidade de enganar os mesmos usuários mais de uma vez e transforma a entrega de malware em um serviço automatizado.
Os tipos de vítimas mais atacadas pelos infostealers
Os usuários mais afetados pelos infostealers geralmente são aqueles com dispositivos que têm uma mistura densa de senhas salvas, logins sincronizados e abas abertas em sessões ativas. Através de um número bem grande de casos, os mesmos tipos de usuários aparecem, moldados por aquilo que fazem online e por quais ferramentas usam. Os perfis abaixo são um esboço dos tipos mais comuns de vítimas e mostram como os comportamentos aparentemente normais podem criar alvos ainda mais visíveis.
O perfil “sempre logado”
O perfil “sempre logado” descreve a maioria dos usuários de sistemas Windows que ficam sempre logados em suas contas e que passam muito tempo nas redes sociais (como Facebook, Instagram e X, o antigo Twitter), mídia paga e plataformas de streaming, sites de compras online e serviços de finanças pessoais. Estes usuários têm a tendência de salvar senhas e manter sessões ativas porque usam suas contas diariamente e raramente saem delas. E, da perspectiva de um cibercriminoso, esses são alvos fáceis.
O perfil “gamer”
O perfil “gamer” inclui usuários que passam tempo em grandes ecossistemas de games e que instalam launchers, mods, cheats e add-ons de terceiros relacionados a games para customizar ou desbloquear recursos de gameplay. Este grupo executa mais arquivos de terceiros do que a maioria dos outros usuários, o que aumenta os riscos de executar um download perigoso e de criar uma porta de entrada fácil aos cibercriminosos. Os infostealers infectam os dispositivos dos “gamers” através de games crackeados, mods que não são oficiais ou ferramentas “grátis” para melhorar o desempenho e que vêm com malware. As contas de plataformas de games geralmente armazenam detalhes de pagamentos e de compras digitais e suas sessões de navegador geralmente ficam ativas, o que ajuda a explicar por qual motivo os operadores de infostealers focam tanto neste grupo.
O perfil “pró IT pro”
Pode parecer irônico, mas o perfil “pró IT” é o principal alvo de agentes maliciosos. Os infostealers atingem os profissionais de TI porque os endpoints deles (em sua maioria PCs usados para engenharia ou administração de TI) concentram credenciais de alto valor e acesso de admin em um só lugar. Esses usuários muitas vezes armazenam os dados em logins de admin, tokens de API e credenciais de acesso remoto junto com dados de navegação do cotidiano. Se um infostealer invadir um dispositivo desses, os dados de navegação roubados podem se tornar o primeiro dominó em uma longa sucessão de invasões de ferramentas e infraestrutura internas.
Por que o roubo de cookies pode burlar senhas e MFA
Como a segurança de login melhorou com o tempo, as táticas de infostealers também passaram por mudanças. Os operadores de infostealers hoje focam em cookies de autenticação e tokens de sessão com mais frequência que as senhas em si. Esta mudança reflete como as pessoas passaram a fazer login nas contas. Agora, há mais usuários dependendo de gerenciadores de senhas e autenticação multifatorial (MFA), então os criminosos focam nos dados que podem ficar à margem dessas defesas.
Os cookies e tokens são emitidos após um login bem-sucedido, o que significa que algumas vezes eles podem permitir a entrada de um cibercriminoso em uma conta sem ativar outras telas de login ou um prompt de MFA. O fator que amplia o risco é o período de tempo no qual uma sessão permanece válida. Um token roubado pode ser reutilizado até a sessão expirar ou ser revogada pelo serviço, o que dá aos invasores uma janela de tempo maior para se mover através dos serviços logados.
Nos marketplaces obscuros, os dados de sessões roubadas são tratados como uma commodity, com o preço sendo diretamente influenciado pelo “frescor” dos dados. Ou seja: quanto mais recentes são os dados roubados, mais eles valem. O movimento do roubo da senha até o cookie de sessão e do token é um bom exemplo de como os cibercriminosos reagem e se adaptam às defesas de autenticação mais fortes.
Como reduzir os riscos de o seu dispositivo ser infectado com malware infostealer
Para reduzir os riscos de o seu dispositivo ser infectado com malware infostealer, é importante limitar a quantidade de acessos a contas que ficam armazenados no seu dispositivo de uma só vez reduzindo, assim, o quão longe um invasor pode ir caso um infostealer comprometa seu dispositivo. A ideia é diminuir o raio de impacto ao filtrar melhor a quantidade de contas e sessões que destravam outras contas e serviços. Os passos abaixo destacam como fazer isso sem precisar remodelar toda a sua rotina online.
- Proteja suas contas mais sensíveis primeiro. Pense em termos de portas de entrada ao invés de números de contas. Feche seu e-mail principal e seu login de entrada primeiro, depois aplique as mesmas proteções ao seu app de banco, suas compras e serviços fundamentais. Use MFA (autenticação multifatorial) e passkeys sempre que elas estiverem disponíveis e tente não deixar estas contas fundamentais protegidas apenas com senhas.
- Reduza as coisas que ficam memorizadas no seu navegador. Verifique regularmente quais as senhas que ficam armazenadas no seu navegador ou no seu gerenciador de senhas e apague aquelas que você não usa mais, além de sair das sessões que parecem estranhas. Mantenha seu sistema operacional e seu navegador atualizados, já que versões ultrapassadas são mais fáceis de explorar e mais difíceis de recuperar depois de uma infecção por infostealer.
- Trate os downloads e as ferramentas “grátis” com cuidado. Evite instalar launchers que não são oficiais ou software crackeado. E, caso uma ferramenta solicite a desativação de proteções ou exija burlar prompts de segurança para permitir a instalação, veja isso como um sinal de alerta e não baixe nem instale nada.
- Cuidado com sinais de invasão e redirecione o acesso rápido. Trate alertas de login inesperados e redefinições de senhas como sinais de que a conta foi roubada. Altere as senhas usando outro dispositivo (não faça isso usando o dispositivo que você suspeita que foi infectado), revogue as sessões ativas para os serviços que permitem essa opção e verifique as configurações de recuperação da conta para que os invasores não consigam entrar novamente usando seu e-mail ou seus códigos de backup.
Sua segurança online começa com um clique.
Fique em segurança com a VPN líder a nível mundial
