Neste artigo

Infostealers se tornaram uma das ameaças mais impactantes para organizações em 2026. Diferente de ransomware, que anuncia sua presença, infostealers operam em silêncio absoluto — extraem credenciais, cookies, tokens e dados sensíveis sem que a vítima perceba.

O resultado aparece semanas ou meses depois: contas corporativas comprometidas, acessos vendidos em marketplaces da dark web e incidentes que ninguém sabe explicar como começaram.

O que são infostealers

Infostealers são malwares projetados especificamente para extrair informações sensíveis de sistemas comprometidos e exfiltrá-las para servidores controlados pelo atacante. Operam de forma rápida e discreta — muitos executam em segundos, coletam tudo e se autodestroem.

26 bilhões+
credenciais comprometidas por infostealers circulam em marketplaces da dark web (SpyCloud 2025)

O que infostealers roubam

Credenciais de navegadores

Navegadores Chromium (Chrome, Edge, Brave) armazenam senhas em bancos SQLite criptografados com DPAPI (Windows). Infostealers extraem a master key e decriptam todo o banco de senhas em sequência. Firefox usa NSS com perfil próprio, também vulnerável.

Cookies de sessão

Por que cookies são tão valiosos

Cookies de sessão permitem session hijacking: o atacante importa os cookies no próprio browser e acessa contas autenticadas sem precisar de senha ou MFA. O serviço vê o cookie válido e concede acesso como se fosse o usuário legítimo. Isso afeta e-mail corporativo, cloud consoles (AWS, Azure), SaaS e qualquer serviço web.

Tokens e chaves

  • Tokens de API: GitHub, GitLab, Slack, Discord, cloud providers
  • Chaves SSH: acesso a servidores sem senha
  • Certificados: client certificates para VPNs e serviços autenticados
  • Tokens de sessão MFA: bypass de autenticação multifator em alguns contextos

Dados sensíveis

  • Preenchimento automático: nomes, endereços, cartões de crédito salvos no browser
  • Carteiras de criptomoedas: MetaMask, Exodus, Electrum, keystores Ethereum
  • Arquivos de configuração: .env, terraform.tfstate, docker-compose com credenciais
  • Gerenciadores de senhas: vaults locais do KeePass, dados exportados

Dados de infraestrutura (em ataques avançados)

  • Credenciais cloud: AWS (access keys, IMDS, ECS task roles), GCP, Azure
  • Kubernetes: service account tokens, secrets de namespaces
  • CI/CD: configurações de GitLab CI, Jenkins, Travis com segredos embutidos
  • Bancos de dados: connection strings com credenciais em MySQL, PostgreSQL, Redis

Arquitetura em 3 camadas

Infostealers modernos operam em estágios distintos, cada um com função específica:

3 estágios de execução

  • Estágio 1 — Dropper: ponto de entrada que decodifica e executa o payload principal. Opera inteiramente em memória — nunca toca o disco — dificultando detecção por antivírus baseado em assinaturas
  • Estágio 2 — Stealer: coleta dados silenciosamente. Varre diretórios sensíveis (/home, /root, /opt, .config), extrai credenciais de browsers, copia chaves SSH e tokens. Criptografa tudo com AES-256 + RSA-4096 antes de exfiltrar
  • Estágio 3 — C2 Agent: backdoor persistente instalada como serviço do sistema. Faz polling periódico para o servidor C2, recebe e executa comandos arbitrários. Sobrevive a reinicializações

A exfiltração usa criptografia híbrida: AES-256-CBC para os dados + RSA-4096 para a chave de sessão. Apenas o atacante possui a chave privada RSA para decriptar — mesmo que o tráfego seja capturado, os dados não são legíveis por terceiros.

Vetores de distribuição

Phishing e malvertising

O vetor mais comum: e-mails com anexos maliciosos ou links para downloads de software “crackeado”, atualizações falsas e ferramentas gratuitas trojanizadas. Engenharia social convence o usuário a executar o payload.

Supply chain attack

Infostealers embutidos em pacotes legítimos de repositórios como PyPI, npm e RubyGems. O código malicioso executa durante a instalação (pip install, npm install) — antes mesmo de o desenvolvedor usar a biblioteca. A segurança de supply chain é crítica para mitigar esse vetor.

SEO Poisoning e fake software

  • Sites falsos posicionados no topo do Google para downloads de software popular
  • Versões trojanizadas de ferramentas como OBS, VLC, 7-Zip, Notepad++
  • Resultados patrocinados (Google Ads) apontando para domínios maliciosos

Telegram e Discord como distribuição

Canais de Telegram e servidores Discord distribuem infostealers disfarçados de cheats de jogos, ativadores de software e ferramentas de “hack”. Público jovem e técnico é o alvo principal.

Caso real: infostealer via supply chain

LiteLLM Supply Chain Attack (março 2026)

Versões comprometidas do LiteLLM (v1.82.7-1.82.8) no PyPI continham infostealer em 3 estágios. O LiteLLM é um gateway centralizado para APIs de IA — por design, tem acesso a credenciais de múltiplos provedores cloud.

O dropper executava em memória durante o pip install, coletava chaves SSH, credenciais AWS/GCP/Azure, tokens Kubernetes, configs de CI/CD e carteiras crypto. Em ambientes Kubernetes, criava pods privilegiados para escalar para root no nó físico. O C2 agent se instalava como serviço systemd e fazia polling a cada 50 minutos.

Lição: ferramentas de IA/ML com acesso amplo a credenciais são alvos de alto valor. A verificação de hash do pacote confirma que o arquivo é o publicado no PyPI — não que o conteúdo é seguro.

Famílias de infostealers mais ativas

Principais famílias em 2025-2026

  • Lumma Stealer: MaaS (Malware-as-a-Service) dominante. Foco em credenciais de browser, crypto wallets e 2FA tokens. Distribuído via malvertising e fake CAPTCHA
  • Redline Stealer: um dos mais prolíficos. Rouba credenciais, cookies, autofill, FTP, VPN. Vendido em fóruns por US$100-200/mês
  • Raccoon Stealer v2: retornou após operação do FBI. Extrai dados de 60+ aplicações incluindo browsers, e-mail clients e carteiras crypto
  • Vidar: focado em browsers e gerenciadores de senhas. Usa Telegram e Steam como dead-drop para recuperar endereço do C2
  • Aurora/Stealc: nova geração em Go e Rust, mais difíceis de detectar por EDRs tradicionais

Modelo de negócio: Malware-as-a-Service

A maioria opera como MaaS: o desenvolvedor cria e mantém o malware; “clientes” pagam assinatura mensal (US$100-300) e recebem painel de controle, builder para gerar payloads customizados e suporte. Os dados roubados são organizados em “logs” vendidos em marketplaces especializados.

Impacto nas organizações

Comprometimento de contas corporativas

Um colaborador infectado em máquina pessoal (BYOD) que acessa e-mail e cloud corporativo via browser expõe todas as credenciais salvas. O atacante compra os “logs” e acessa o ambiente corporativo com credenciais válidas — sem disparar alertas de brute force.

Bypass de MFA via cookies

Com cookies de sessão válidos, o atacante ignora completamente MFA. O serviço reconhece a sessão autenticada e não solicita segundo fator. É um dos motivos pelos quais MFA sozinho não é suficiente.

Acesso inicial para ransomware

Credenciais roubadas por infostealers são frequentemente o acesso inicial que leva a ataques de ransomware semanas depois. Os grupos de ransomware compram logs em bulk de IABs (Initial Access Brokers).

80%
dos ataques de ransomware em 2025 começaram com credenciais comprometidas — muitas obtidas por infostealers (Mandiant M-Trends 2025)

Custo financeiro e reputacional

O custo de um vazamento causado por credenciais roubadas inclui resposta a incidentes, rotação massiva de credenciais, investigação forense, notificação à ANPD e perda de confiança de clientes.

Estratégias de defesa

Detecção no endpoint

  • EDR/XDR: detecção comportamental de processos acessando bancos de credenciais do browser, leitura de DPAPI keys, enum de vaults
  • AppLocker/WDAC: controle de execução por whitelist — bloqueia binários não autorizados
  • Credential Guard: isola credenciais em enclave, impedindo extração por malware em user space

Monitoramento de credenciais vazadas

  • Serviços de threat intelligence que monitoram dark web marketplaces por credenciais corporativas
  • Alerts automáticos quando domínios da empresa aparecem em dumps de infostealers
  • Integração com SIEM para correlação: credencial vazada + login anômalo = alerta crítico

Políticas de sessão e acesso

  • Sessões curtas: tokens de sessão com TTL reduzido (1-4h), forçando re-autenticação
  • Binding de sessão: vincular cookie ao device fingerprint (IP, user agent, hardware)
  • MFA resistente a phishing: FIDO2/Passkeys não podem ser extraídos por infostealers
  • Conditional access: bloquear acesso de dispositivos não gerenciados (MDM)

Segurança de supply chain

  • Pinning de versões em requirements.txt / package.json
  • Verificação de integridade além do hash (análise de diff entre versões)
  • Repositórios privados com proxy e scanning (Artifactory, Nexus)
  • SBOM (Software Bill of Materials) para rastrear dependências

Conscientização

Usuários precisam entender que baixar software crackeado, cheats ou ativadores é o vetor #1 de infostealers. Treinamento de conscientização deve cobrir riscos de downloads não oficiais, fake ads no Google e anexos suspeitos.

Resposta a compromisso por infostealer

Playbook de resposta

  • 1. Tratar a máquina infectada como totalmente comprometida — reimaging, não apenas limpeza
  • 2. Rotação imediata de todas as credenciais acessadas pelo browser infectado
  • 3. Invalidar todas as sessões ativas (force logout em todos os serviços)
  • 4. Revogar chaves SSH, tokens de API e certificados
  • 5. Auditar CloudTrail/Activity Logs por acessos anômalos com as credenciais comprometidas
  • 6. Monitorar dark web por logs da organização nas semanas seguintes

Considerações finais

Infostealers são o elo entre um clique descuidado e um incidente corporativo completo. Eles não pedem resgate, não criptografam arquivos, não se anunciam — simplesmente coletam tudo e saem.

A defesa exige camadas: proteção no endpoint, monitoramento de credenciais, políticas de sessão, segurança de supply chain e conscientização. Tratar uma infecção por infostealer como “apenas um malware removido” ignora que todas as credenciais do sistema estão nas mãos do atacante.

Perguntas Frequentes

O que é um infostealer?

É um malware projetado para extrair informações sensíveis: credenciais de browsers, cookies de sessão, tokens, chaves SSH, carteiras crypto e arquivos de configuração. Opera silenciosamente e exfiltra dados para servidores do atacante.

Como infostealers roubam senhas do navegador?

Navegadores Chromium armazenam senhas em SQLite criptografado com DPAPI. Infostealers extraem a master key e decriptam todo o banco. Em alguns casos, copiam os arquivos diretamente e decriptam offline.

Cookies roubados são realmente perigosos?

Sim. Cookies de sessão permitem session hijacking: o atacante acessa contas autenticadas sem senha ou MFA. O serviço vê o cookie válido e concede acesso normalmente. Afeta e-mail, cloud consoles e qualquer SaaS.

Como proteger minha organização?

Combine EDR/XDR com detecção comportamental, monitoramento de credenciais na dark web, sessões curtas com re-autenticação, MFA resistente a phishing (FIDO2), controle de execução, segurança de supply chain e conscientização sobre downloads maliciosos.

Fontes e referências técnicas

  • SpyCloud — Annual Identity Exposure Report 2025
  • Mandiant — M-Trends 2025: Threat Landscape
  • Gutem — Anatomia de um Infostealer Moderno: Três Camadas, Uma Botnet
  • MITRE ATT&CK — T1555 (Credentials from Password Stores), T1539 (Steal Web Session Cookie)
  • MITRE ATT&CK — T1195.002 (Supply Chain Compromise: Software)
  • Group-IB — Infostealer Market Intelligence
  • Recorded Future — Stolen Credentials and Initial Access Brokers

Suas credenciais estão na dark web?

Monitoramos marketplaces, fóruns e canais onde logs de infostealers são vendidos. Detecte compromissos antes que se tornem incidentes.

Solicitar Diagnóstico
Inteligencia Brasil

Inteligencia Brasil

Consultoria especializada em Threat Intelligence, Monitoramento de Ameaças e Resposta a Incidentes.