Os ataques de phishing sempre foram uma das maneiras mais comuns pelas quais criminosos cibernéticos roubam dados pessoais e comerciais. Mas algo mudou silenciosamente sobre como esses ataques funcionam. Em vez de enganar as pessoas para digitarem senhas em sites falsos, os atacantes estão agora implantando malwares diretamente nos dispositivos das vítimas para fazer o roubo por elas.
A evolução da ameaça
Essa mudança tem se construído gradualmente e sinaliza uma fase mais perigosa na evolução das fraudes online. O phishing tradicional ainda existe e continua sendo uma ameaça séria. No entanto, um número crescente de atacantes agora prefere implantar infostealers, uma categoria de malware projetada para coletar silenciosamente senhas, cookies do navegador, tokens de sessão, dados de preenchimento automático salvos, detalhes de carteiras de criptomoedas e até arquivos armazenados no dispositivo.
Por que a mudança?
Um dos principais motivos por trás dessa mudança é a adoção generalizada da autenticação multifator (MFA). Como a MFA adiciona uma camada extra de verificação de login, senhas roubadas sozinhas não são mais suficientes para muitas tomadas de conta. Ao roubar cookies de sessão, os atacantes podem contornar a MFA completamente e acessar contas sem precisar de uma senha ou código de um único uso.
O ecossistema MaaS
Outro fator importante é a explosão do ecossistema de malware-as-a-service (MaaS). Esse mercado subterrâneo permite que criminosos comprem kits de infostealer prontos, carregadores e ferramentas de acesso inicial sem precisar construir nada eles mesmos. Isso reduziu drasticamente a barreira de entrada, permitindo que até atacantes de baixa habilidade executem campanhas de roubo de credenciais em larga escala.
Vetores de entrega
Os infostealers atingem as vítimas por meio de uma ampla gama de métodos de entrega. Anúncios maliciosos, prompts falsos de atualização de navegador, software pirata, cheats de jogos, ferramentas quebradas e extensões duvidosas de navegador estão entre os pontos de entrada mais comuns. Uma tática chamada ClickFix também ganhou tração recentemente. Ela funciona enganando os usuários para executarem comandos ou scripts em seus próprios dispositivos, muitas vezes apresentando uma mensagem de erro falsa ou aviso que instrui a colar algo em um prompt de comando.
Medidas de mitigação recomendadas
Permanecer seguro exige construir hábitos simples e consistentes. Os usuários devem evitar clicar em anúncios patrocinados e navegar diretamente para sites oficiais ao baixar software. Ferramentas piratas e software quebrado carregam um alto risco de malware embutido e devem ser evitados completamente. Atrasar antes de clicar em qualquer link ou abrir qualquer anexo em um e-mail pode fazer uma diferença real, especialmente quando a mensagem cria um senso de urgência em torno de faturamento, problemas de conta ou alertas de segurança.
Indicadores de comprometimento
Os administradores de segurança devem monitorar processos de sistema desconhecidos, conexões de saída para IPs desconhecidos e arquivos criados em diretórios temporários. A implementação de soluções de detecção de comportamento e monitoramento de endpoints é crucial para identificar a atividade de infostealers antes que os dados sejam exfiltrados.
Perguntas frequentes
- O que é um infostealer? Malware que coleta dados sensíveis do dispositivo da vítima.
- Como contornar a MFA? Roubo de cookies de sessão permite acesso sem senha.
- Como se proteger? Evitar software pirata, clicar com cautela e usar MFA baseado em hardware.