Infostealers transformam milhões de dispositivos em máquinas de roubo de credenciais

Infostealers são malware especializados em extrair dados sensíveis de dispositivos infectados, transformando milhões de computadores e celulares em 'fábricas automatizadas de roubo de credenciais'. Desde o surgimento do ZeuS em 2006 até as variantes atuais como LummaC2 (31% das infecções em 2024), Stealc (17,4%) e RisePro (19,9%), esses programas evoluíram para coletar não apenas senhas, mas também cookies de sessão, tokens 2FA, passkeys, dados de carteiras de criptomoedas e metadados completos de navegadores. Em 2024, houve um aumento de 115% nas infecções em relação a 2023, com 20–25 milhões de novos casos — e projeções da IBM Security indicam um salto de 180% nos e-mails contendo infostealers no início de 2025. O modelo Malware-as-a-Service (MaaS) impulsionou essa escalada: infostealers como RedLine e Raccoon são alugados por menos de $120/mês, tornando o crime acessível a operadores sem expertise técnica.

O mercado negro alimentado por esses dados é massivo: em 2024, foram listados 8 milhões de anúncios na dark web para os cinco principais infostealers, com potencial para roubar 1,6 bilhão de credenciais. Cada log — arquivo criptografado contendo login, senha, cookies ativos e dados bancários — é vendido entre $1 e $100. Dados de 2024 confirmam que 95% dos 2,3 milhões de cartões bancários vazados via infostealers ainda eram válidos tecnicamente, permitindo fraudes diretas. Novas ameaças como Banshee Stealer já demonstram capacidade de atacar tanto Windows quanto macOS, sinalizando expansão para ambientes Apple.

Infostealers não são uma ameaça isolada: são o principal vetor inicial para ciberataques sofisticados em 2025. Segundo a Mandiant, 60% dos incidentes de ransomware em 2023 tiveram origem em credenciais roubadas por infostealers. Eles contornam a autenticação multifator (MFA) ao exfiltrar cookies de sessão ativos e tokens 2FA, permitindo acesso não autorizado sem necessidade de inserção de códigos. Para empresas, o impacto é crítico: 46% dos dispositivos infectados em 2025 eram BYOD (traga seu próprio dispositivo), e o setor de saúde sofreu 60% de todos os ataques de malware em 2023, majoritariamente via RedLine e Agent Tesla. A CEVIU alerta que a detecção tardia desses agentes permite que dados sejam vendidos, reutilizados em campanhas de phishing direcionado ou integrados a botnets avançadas — tornando a prevenção em camada (endpoint, email, navegador e treinamento) indispensável.

Para equipes de desenvolvimento e segurança da informação, infostealers exigem revisão urgente de práticas de gerenciamento de sessão e armazenamento de credenciais. A extração de cookies e tokens de sessão ativos mostra que soluções baseadas apenas em senhas ou MFA tradicional não são suficientes: é preciso adotar políticas de expiração curta de sessões, uso obrigatório de passkeys com verificação de integridade de dispositivo, e bloqueio de APIs que exponham tokens fora de contextos seguros. Ferramentas de detecção devem priorizar comportamentos suspeitos de processos que leem memória de navegadores (Chrome, Edge, Firefox), acessam arquivos de perfil (.local/share/Google/Chrome/Default/Login Data) ou realizam captura de tela em segundo plano. Além disso, a integração com SIEMs deve incluir correlação entre logs de endpoint, eventos de autenticação anômala e acessos a marketplaces da dark web — já que 16% dos incidentes em 2024 tiveram infostealers como porta de entrada inicial, superados apenas por exploits.