Roubo de informações - Como prevenir e mitigar?
Os infostealers são um tipo de malware que se infiltra em sistemas de computador para roubar informações confidenciais, como credenciais de login e informações financeiras. Visando principalmente dados do navegador e operando de forma oculta, esse tipo de malware para roubo de informações pode se espalhar por meio de diversos vetores de ataque, incluindo e-mails de phishing, downloads maliciosos, publicidade maliciosa (malvertising) e outros.
O que são ladrões de informação?
Os ladrões de informações fazem parte de uma indústria mais ampla de exfiltração de dados, sendo que as informações roubadas resultantes são frequentemente agrupadas e comercializadas na dark web. Os cibercriminosos também comercializam programas de roubo de informações como malware como serviço (MaaS), reduzindo a barreira de entrada para agentes mal-intencionados.
Com um ecossistema em constante amadurecimento em torno da exfiltração de dados e uma mudança de paradigma em relação a outros vetores de ataque, os ladrões de informações representam uma ameaça crescente contra a qual você precisa se proteger.
O Estado da Segurança Cibernética em 2025: Os Ladrões de Informação Estão em Ascensão
O relatório State of Cibersegurança 2025 da Check Pointdetalha o rápido crescimento dos ladrões de informações:
- Os diversos vetores de infecção por malware
- A indústria em expansão que cresceu em torno da exfiltração de dados corporativos
- As potenciais implicações da segurança de dados para as empresas
O relatório constatou que os ataques de roubo de informações cresceram 58% em 2024.
Embora a tecnologia por trás malware que roubam informações não tenha evoluído significativamente no último ano, o declínio das grandes botnets, a maturação do mercado mais amplo de exfiltração de dados e a adoção do trabalho remoto tornam esse um ponto de entrada eficiente para invadir redes corporativas.
Os ataques de roubo de informações são normalmente abrangentes, visando muitas pessoas e organizações, em vez de procurar invadir uma rede corporativa específica.
Pesquisas mostram que 70% de todos os dispositivos infectados por infostealers são pessoais, e não corporativos. Um dos principais objetivos de direcionar dispositivos pessoais é o acesso a recursos corporativos por meio de pontos de entrada "Traga Seu Próprio Dispositivo" (BYOD).
O Mercado de Roubo de Informações
Um método rápido e relativamente fácil de acessar informações corporativas confidenciais, os infostealers podem coletar rapidamente quantidades significativas de registros (credenciais de login ou outras informações confidenciais que fornecem acesso a uma rede corporativa, servindo como estágio inicial de uma violação de dados maior).
malware como serviço
Com a capacidade de coletar rapidamente grandes volumes de registros, os cibercriminosos por trás dos programas de roubo de informações agora os comercializam para agentes de ameaças menos avançados tecnicamente por meio do MaaS (Mobile at a Service).
Exemplos das plataformas de MaaS (Mobile As a Service) mais populares para roubo de informações na dark web incluem:
- RedLine Stealer
- LummaC2
- RoubarC
- Vidar
O cliente ou afiliado do MaaS compra licenças para essas ferramentas de roubo de informações para executar suas próprias campanhas de infecção. Os lotes de dados roubados recuperados são então vendidos ou comercializados no mercado de roubo de informações. Geralmente, isso ocorre por meio de plataformas como o Telegram ou mercados clandestinos, muitos dos quais estão sediados na Rússia.
As plataformas de roubo de informações MaaS competem entre si com base na qualidade dos registros e na capacidade de classificar e apresentar rapidamente os dados roubados no mercado. O valor desses registros diminui com o tempo, à medida que as equipes de segurança tomam conhecimento da ameaça, removem o software de roubo de informações de sua rede e corrigem quaisquer riscos gerados.
Portanto, os fornecedores de serviços de roubo de informações devem fornecer acesso rápido aos seus registros mais recentes quando eles são mais valiosos.
Corretores de Acesso Inicial
Outro participante no ecossistema de roubo de informações, além de fornecedores e afiliados, são os Corretores de Acesso Inicial (IABs). Essas são pessoas que aproveitam as informações iniciais para ganhar espaço na rede corporativa.
Eles garantem que um registro possa ser convertido em um acesso de rede mais amplo.
Ao prestar esse serviço, eles podem revender o acesso a alvos específicos em fóruns da dark web, atraindo agentes maliciosos com objetivos específicos, como ataques de ransomware. Esses agentes maliciosos podem monetizar ainda mais os dados iniciais obtidos pelo ladrão de informações, oferecendo recursos de ataque por meio de ransomware como serviço (RaaS).
O dinheiro gerado por esses esquemas, bem como por crimes cibernéticos financeiros mais simples (roubo de identidade, fraude, transações não autorizadas, etc.), alimenta o crescimento do ecossistema de roubo de informações.
Alvos do Infostealer
A análise de dados revela que os registros mais comuns disponíveis para venda pertencem aos maiores provedores de serviços online e plataformas de mídia social, sendo os 5 principais:
- accounts.google.com
- facebook.com
- roblox.com
- login.live.com
- instagram.com
Dada a natureza ampla e não direcionada da maioria das campanhas de infecção por roubo de informações, não é surpreendente que as credenciais de login roubadas pertençam aos serviços mais populares.
No entanto, análises sugerem que os jogadores podem ser mais suscetíveis a ataques de roubo de informações do que outros, dada a prevalência de credenciais de login para sites e serviços relacionados: Roblox, Discord, Twitch e Epic Games estão entre os 13 principais. Isso pode ser devido a hábitos de higiene na internet menos rigorosos nessas comunidades.
Dados geográficos do Infostealer
Os ladrões de informação estão frequentemente ligados à Rússia, com os registos de atividades sendo vendidos em mercados russos. A análise dos registros no mercado russo mostra que uma parcela significativa se origina de lugares como Índia e Brasil.
Os 5 principais países de origem da madeira vendida no mercado russo são apresentados abaixo:
- Índia 10%
- Brasil 8%
- Indonesia 5%
- Paquistão 5%
- Egito 5%
Como prevenir roubo de informações
A proteção contra malware que rouba informações e exfiltra dados exige processos de segurança sofisticados e boas práticas que abrangem toda a sua organização. Isso inclui proteger todos os pontos de entrada potenciais, como dispositivos pessoais (BYODs) usados para trabalho remoto ou híbrido.
Esses dispositivos ampliam drasticamente sua superfície de ataque e oferecem aos ladrões de informações muito mais oportunidades.
Os IABs podem identificar registros de dispositivos pessoais que oferecem acesso a uma rede corporativa valiosa – inclusive burlando mecanismos de Autenticação Multifatorial (MFA) ao roubar cookies de sessão encontrados em dispositivos pessoais. Portanto, qualquer processo de segurança que você tenha deve ir além do perímetro corporativo tradicional e incluir todos os pontos de acesso.
Principais métodos para impedir que ladrões de informações se infiltrem em seus sistemas:
- Identificando ataques de engenharia social: Como os ladrões de informações são geralmente distribuídos por meio de phishing e downloads maliciosos, sua melhor defesa é treinar sua equipe para identificar ataques de engenharia social. Além disso, você deve considerar o uso de ferramentas de segurança de e-mail que bloqueiam e-mails ou links suspeitos.
- Impedir a sincronização do navegador: Isso garante que as senhas dos seus sistemas corporativos não sejam acessíveis por meio de dispositivos pessoais.
- Utilizando Gestão Avançada de Identidade e Controle de Acesso: Esses sistemas rastreiam o comportamento e respondem a atividades suspeitas. Procure ferramentas que bloqueiem imediatamente ou introduzam novos métodos de verificação ao identificar atividades suspeitas.
- Busca proativa por registros: Procure por registros relacionados à sua empresa e seus funcionários em mercados de roubo de informações ou utilize inteligência de ameaças na dark web para rastrear possíveis vazamentos de dados, incluindo contas sequestradas.
- Incorporação de Detecção e Resposta de Pontos de Extremidade (EDR): Monitore e corrija ameaças de segurança cibernética malware como ladrões de informações. Utilizando detecção baseada em comportamento e em assinaturas, as ferramentas EDR podem identificar rapidamente malware em sua rede antes que ele se transforme em uma grave violação de dados.
- Aproveitando a MFA: Embora seja possível que ladrões de informações contornem a MFA por meio de cookies de sessão, ela ainda é uma ferramenta valiosa na proteção contra outras formas de acesso a dados. A autenticação multifator (MFA) oferece uma proteção caso um ladrão de informações obtenha acesso às credenciais de login e tente realizar um ataque mais amplo.
Previna e minimize o roubo de informações com a Check Point.
Os ladrões de informações representam uma ameaça crescente à segurança cibernética, possibilitando violações de dados mais graves. Com um extenso ecossistema de crimes cibernéticos se desenvolvendo em torno de programas de roubo de informações, esse malware é a chave para expor sua rede a agentes maliciosos em todo o mundo.
Os mercados modernos de roubo de informações transformam a invasão de redes corporativas e a obtenção de acesso não autorizado em uma questão financeira, e não de habilidade técnica. Bancos de dados com registros estão disponíveis para qualquer pessoa disposta a pagar. Sem proteções adequadas contra roubo de informações, você está arriscando que agentes maliciosos que navegam na dark web escolham outro alvo em vez da sua empresa.
Você pode aprender mais sobre o crescente risco de roubo de informações e como proteger sua empresa baixando o relatório "The State of Cibersegurança 2025" da Check Point.
