Durante muitos anos, a segurança corporativa concentrou seus esforços em bloquear ransomwares, exploits e ataques de negação de serviço. Embora essas ameaças continuem relevantes, o cenário atual mostra uma mudança significativa no comportamento dos grupos criminosos. Em vez de depender exclusivamente da exploração de vulnerabilidades técnicas, muitos ataques modernos começam com algo mais simples e extremamente eficaz, ou seja, o uso de credenciais legítimas vazadas por infostealer.

Sendo assim, os infostealers se consolidaram como uma das ameaças mais relevantes para empresas em 2025. Por outro lado, diferente de malwares destrutivos, essas ferramentas operam de forma silenciosa, coletando credenciais, cookies de sessão, tokens de autenticação e informações corporativas sensíveis sem necessariamente gerar sinais visíveis para o usuário.

Contudo, o crescimento desse modelo de ataque transformou o roubo de credenciais em uma operação altamente escalável. Atualmente, existe um mercado clandestino estruturado para comercialização de logs contendo acessos corporativos, sessões autenticadas e informações de dispositivos comprometidos. Em muitos casos, grupos especializados apenas roubam os dados e os revendendem para operadores de ransomware, brokers de acesso inicial bem como outros agentes maliciosos.

O resultado é um cenário em que empresas podem já estar comprometidas antes mesmo de identificarem qualquer atividade suspeita.

Como os infostealers operam dentro dos ambientes corporativos

Os infostealers foram desenvolvidos com um objetivo específico: coletar informações valiosas de forma rápida e discreta. Dessa forma, seu funcionamento normalmente prioriza velocidade, baixa detecção e extração silenciosa de dados.

Após a infecção, o malware inicia a busca por informações armazenadas localmente no dispositivo. Navegadores se tornaram um dos principais alvos porque concentram uma quantidade significativa de dados sensíveis. Senhas salvas, sessões autenticadas, histórico de navegação, informações de autofill e cookies representam ativos extremamente valiosos para atacantes.

O problema se agrava porque muitas aplicações corporativas modernas dependem diretamente de autenticação baseada em navegador. Plataformas SaaS, ambientes em nuvem, sistemas internos e soluções corporativas frequentemente mantêm sessões persistentes para melhorar a experiência do usuário. Portanto, quando um infostealer coleta esses cookies de autenticação, o criminoso pode reutilizar sessões válidas sem precisar conhecer a senha original.

Na prática, isso reduz drasticamente a eficácia de controles tradicionais como troca periódica de senha ou até mesmo autenticação multifator em determinados cenários.

Além disso, variantes modernas utilizam técnicas avançadas para reduzir rastros operacionais. Muitos executam inteiramente em memória, utilizam PowerShell, exploram processos legítimos do sistema operacional e evitam assim mecanismos tradicionais de persistência para diminuir indicadores de comprometimento.

Essa abordagem silenciosa torna a detecção significativamente mais difícil.

O mercado clandestino de credenciais roubadas

O crescimento dos infostealers impulsionou a criação de um ecossistema clandestino altamente organizado. Hoje, credenciais corporativas são comercializadas em fóruns privados, canais automatizados e marketplaces especializados.

Os chamados stealer logs normalmente incluem muito mais do que usuário e senha. Ou seja, dependendo da infecção, os dados podem conter:

• cookies de sessão;
• tokens de autenticação;
• informações de dispositivos;
• geolocalização;
• fingerprints do navegador;
• histórico de acesso;
• dados financeiros;
• acessos corporativos ativos.

Essas informações possuem enorme valor para operadores maliciosos porque permitem acesso rápido a ambientes corporativos sem necessidade de exploração adicional.

Relatórios recentes mostram crescimento expressivo desse mercado. O IBM X-Force Threat Intelligence Index 2025 destacou o abuso de identidades legítimas como um dos principais vetores de acesso inicial em ataques modernos. Por outro lado, pesquisas da SpyCloud apontaram aumento significativo na exposição de identidades corporativas associadas a infecções por stealers.

Esse modelo também alterou a dinâmica do crime cibernético. Atualmente, muitos grupos operam de forma especializada. Enquanto alguns desenvolvem os malwares, outros distribuem campanhas de phishing, e um terceiro grupo negocia os acessos obtidos. Assim, essa fragmentação tornou o ecossistema mais eficiente e escalável.

O conceito de “Initial Access Brokers” cresceu justamente nesse contexto. Esses operadores comercializam acessos válidos para outros grupos criminosos, incluindo operadores de ransomware.

O roubo de credenciais autenticadas mudou o cenário da segurança corporativa

Durante anos, a segurança focou principalmente na proteção de senhas. Entretanto, o crescimento do roubo de sessões autenticadas alterou significativamente o modelo de ameaça.

Quando um atacante obtém cookies válidos, ele pode assumir uma sessão ativa sem precisar realizar autenticação convencional. Em muitos casos, isso permite contornar mecanismos de MFA porque o processo de autenticação já ocorreu anteriormente no dispositivo comprometido.

Essa técnica se tornou extremamente popular em ataques modernos porque reduz fricção operacional e aumenta as chances de sucesso. Em vez de tentar quebrar senhas ou explorar vulnerabilidades complexas, o criminoso simplesmente reutiliza uma identidade legítima já autenticada.

O problema é ainda mais crítico em ambientes corporativos altamente integrados, onde uma única sessão pode fornecer acesso a múltiplos serviços em nuvem, plataformas administrativas e aplicações internas.

Isso explica por que identidade passou a ser tratada como o novo perímetro da segurança corporativa.

Por que os infostealers cresceram tão rapidamente

O crescimento acelerado dos infostealers está diretamente ligado à transformação digital das empresas. Ademais, o aumento do trabalho remoto, da computação em nuvem e da autenticação baseada em navegador criou um ambiente extremamente favorável para esse tipo de ameaça.

Ao mesmo tempo, o modelo Malware-as-a-Service reduziu drasticamente a barreira técnica para operações criminosas. Atualmente, operadores conseguem adquirir stealers prontos, painéis administrativos e infraestrutura de exfiltração mediante assinaturas relativamente acessíveis no mercado clandestino.

Ademais, outro fator importante é a eficácia operacional dessas campanhas. Diferentemente de ransomwares, que frequentemente geram impacto imediato e chamam atenção das equipes de segurança, os stealers podem permanecer invisíveis por longos períodos.

Muitas empresas descobrem a exposição apenas após:

• vazamento de credenciais;
• acesso suspeito;
• movimentação lateral;
• fraude financeira;
• comprometimento de contas em nuvem;
• incidentes secundários.

Esse atraso entre infecção e detecção aumenta significativamente o impacto operacional.

O impacto corporativo vai além do vazamento de credenciais

Um dos erros mais comuns é tratar infostealers apenas como ferramentas de roubo de senha. Contudo, na prática, os impactos podem ser muito mais amplos.

Credenciais comprometidas frequentemente servem como porta de entrada para ataques posteriores. Assim, operadores utilizam esses acessos para expandir privilégios, comprometer ambientes adicionais e alcançar ativos críticos da organização.

Além disso, sessões autenticadas podem fornecer acesso direto a:

• plataformas SaaS;
• sistemas financeiros;
• ambientes administrativos;
• VPNs corporativas;
• ferramentas de colaboração;
• repositórios de código;
• sistemas de gestão empresarial.

O comprometimento de uma única estação de trabalho pode desencadear incidentes significativamente maiores.

Outro aspecto relevante envolve exposição de dados sensíveis. Assim, em muitos casos, informações corporativas são exfiltradas silenciosamente sem interromper operações, dificultando a percepção imediata do incidente.

Esse cenário cria riscos associados a:

• LGPD;
• compliance;
• reputação corporativa;
• propriedade intelectual;
• fraude operacional;
• continuidade de negócio.

A dificuldade de detecção aumenta o risco operacional

Infostealers modernos foram desenvolvidos para evitar detecção tradicional. Muitos utilizam técnicas de evasão que reduzem indicadores clássicos de comprometimento.

Além disso, como o objetivo principal é coleta silenciosa de dados, o malware frequentemente evita comportamentos destrutivos que poderiam chamar atenção das equipes de resposta.

Esse modelo exige uma mudança importante na estratégia defensiva. Soluções baseadas exclusivamente em assinatura ou IOC podem ser insuficientes para detectar operações modernas de roubo de credenciais.

O monitoramento comportamental se tornou essencial. Portanto, atividades como coleta massiva de cookies, acesso anômalo a navegadores, exfiltração de dados e reutilização suspeita de sessões autenticadas precisam ser correlacionadas continuamente.

Paralelamente, organizações passaram a investir mais fortemente em threat intelligence e monitoramento de exposição externa para identificar credenciais comprometidas antes que sejam utilizadas em ataques posteriores.

A identidade se tornou o novo perímetro corporativo

O crescimento dos infostealers mostra que o modelo tradicional de segurança baseado apenas em perímetro já não é suficiente para lidar com ameaças modernas.

Hoje, atacantes priorizam identidades válidas porque elas permitem operar com menor risco de detecção, maior persistência e acesso facilitado a ambientes corporativos críticos.

Dessa forma, proteger apenas endpoints e infraestrutura deixou de ser suficiente. Empresas precisam monitorar continuamente a exposição de credenciais, sessões autenticadas e identidades comprometidas na superfície externa.

A capacidade de identificar rapidamente acessos expostos, cookies reutilizados e sinais de comprometimento se tornou parte essencial da estratégia de segurança corporativa moderna.

Organizações que tratam roubo de credenciais apenas como incidente secundário aumentam significativamente sua superfície de risco diante de um cenário onde identidade passou a ser um dos ativos mais valiosos para grupos criminosos.

A Resh auxilia empresas na identificação de credenciais vazadas, monitoramento contínuo de exposição digital, threat intelligence e análise de riscos associados ao comprometimento de identidades corporativas.

Com abordagens voltadas para validação contínua da superfície de ataque e inteligência de ameaças, é possível reduzir o tempo entre exposição e resposta, aumentando a capacidade de detecção antes que credenciais comprometidas sejam utilizadas em ataques mais amplos.

Referências

IBM X-Force. 2025 Threat Intelligence Index. Disponível em: https://newsroom.ibm.com/

SpyCloud. 2025 Identity Exposure Report. Disponível em: https://spycloud.com/

ENISA. ENISA Threat Landscape 2024. Disponível em: https://www.enisa.europa.eu/publications/enisa-threat-landscape

Microsoft Security Blog. Disponível em: https://www.microsoft.com/en-us/security/blog

Kaspersky. Digital Footprint Intelligence Report. Disponível em: https://www.kaspersky.com/

OWASP. OWASP Top 10. Disponível em: https://owasp.org/

Flashpoint. Threat Intelligence Insights. Disponível em: https://flashpoint.io/

CrowdStrike. Global Threat Report 2025. Disponível em: https://www.crowdstrike.com/global-threat-report/