Infostealer: o que é, como funciona e como proteger sua empresa

Passo a passo — o que fazer

1. 1

   Mude todas as senhas de outro dispositivo limpo

   Se suspeitar de infecção, NUNCA redefina senhas no dispositivo comprometido — o malware pode capturar as novas senhas no ato. Use um celular ou computador que não tenha tocado nos mesmos arquivos/links suspeitos. Priorize e-mail, banco, VPN corporativa e qualquer sistema com acesso a dados de clientes.

2. 2

   Encerre todas as sessões ativas remotamente

   Acesse as configurações de segurança do Google, Microsoft, GitHub, Slack e demais serviços e clique em 'Encerrar todas as sessões' ou 'Revogar todos os tokens'. Isso invalida os cookies de sessão já roubados, impedindo que o atacante continue acessando sua conta mesmo sem a senha.

3. 3

   Isole o dispositivo da rede corporativa imediatamente

   Desconecte o equipamento suspeito do Wi-Fi e da VPN. Se for uma máquina corporativa, acione o time de TI antes de qualquer outra ação. A contenção evita que o malware use a rede para se espalhar lateralmente ou exfiltrar mais dados.

4. 4

   Execute uma varredura com antivírus atualizado ou EDR

   Use uma ferramenta com assinaturas recentes — soluções desatualizadas não reconhecem variantes novas de RedLine, Lumma ou Raccoon. Em ambiente corporativo, prefira uma solução EDR (Endpoint Detection and Response) capaz de identificar comportamento malicioso mesmo em variantes ainda sem assinatura conhecida.

5. 5

   Verifique seus dados em bases de vazamento

   Consulte o HaveIBeenPwned (haveibeenpwned.com) com seu e-mail corporativo e pessoal. Se sua empresa usa o plano gratuito de Gestão de Ameaças da Decripte, acesse o painel — ele monitora automaticamente domínios e e-mails corporativos em bases de stealer logs e notifica quando credenciais aparecem expostas.

6. 6

   Habilite autenticação multifator resistente a phishing (FIDO2/passkey)

   Após trocar as senhas, ative MFA em todos os serviços críticos. Prefira chaves de hardware (YubiKey) ou passkeys, que não podem ser interceptadas por malware de session hijacking. SMS e TOTP são melhores do que nada, mas podem ser contornados por cookie theft.

7. 7

   Notifique a equipe e documente o incidente

   Se a máquina comprometida tinha acesso a sistemas corporativos, avise o time de segurança e documente: quando o dispositivo foi usado pela última vez, quais sistemas acessou, quais credenciais estavam salvas no navegador. Essa linha do tempo é essencial para avaliar o impacto e, se necessário, comunicar clientes ou reguladores (LGPD, art. 48).

8. 8

   Formate ou reimageie o dispositivo

   Não confie apenas na remoção do malware pelo antivírus. Infostealers modernos instalam persistência via registro, tarefas agendadas ou extensões de navegador. A forma mais segura de garantir a limpeza é reinstalar o sistema operacional a partir de uma mídia confiável e restaurar dados de backups verificados.

O que é um infostealer e por que ele é diferente de outros malwares

O infostealer é uma categoria de malware cujo objetivo exclusivo é a coleta silenciosa de informações valiosas armazenadas no dispositivo da vítima. Enquanto um ransomware anuncia sua presença com uma tela de resgate, o infostealer trabalha invisível: abre arquivos de banco de dados do navegador (como o Login Data do Chrome, que armazena senhas em SQLite), lê cookies de sessão, captura carteiras de criptomoedas e extrai tokens de autenticação salvos em aplicativos de desktop.

A diferença crítica em relação a outros malwares está no modelo de negócio. Infostealers são frequentemente operados como MaaS (Malware as a Service): criminosos alugam o painel de controle por assinaturas mensais, recebem os dados coletados automaticamente em painéis organizados por país, tipo de dado e valor estimado. As famílias mais ativas atualmente — RedLine Stealer, Lumma Stealer e Raccoon Stealer — têm documentação de uso, suporte técnico via Telegram e preços que variam de US$ 150 a US$ 1.000 por mês.

O MITRE ATT&CK cataloga as técnicas usadas por infostealers principalmente sob T1555 (Credentials from Password Stores) e T1539 (Steal Web Session Cookie). Esses identificadores permitem que equipes de segurança mapeiem a ameaça a controles específicos e priorizem defesas com base em inteligência verificada.

Como o infostealer chega ao seu dispositivo

O vetor mais comum de distribuição é o software pirata ou crackeado. Ferramentas como Adobe Photoshop, Microsoft Office, jogos desbloqueados e geradores de licença são empacotados com o infostealer e distribuídos em fóruns, torrents e até resultados patrocinados de buscadores. O usuário instala o que parece ser um programa legítimo e, em segundo plano, o malware executa sua rotina de coleta.

Extensões de navegador maliciosas representam um vetor crescente. A Chrome Web Store e lojas de add-ons de terceiros já hospedaram extensões que simulavam bloqueadores de anúncios, ferramentas de produtividade ou utilitários de PDF, mas na prática monitoravam e exfiltravam cookies e credenciais em tempo real. O CERT.br documenta regularmente campanhas desse tipo direcionadas a usuários brasileiros.

Phishing com anexos maliciosos (documentos Office com macros, arquivos ZIP com executáveis disfarçados de PDF) e malvertising (anúncios falsos em buscadores que redirecionam para páginas de download envenenadas) completam os vetores mais frequentes. Em ambientes corporativos, um único colaborador que baixa um instalador suspeito no notebook da empresa pode comprometer credenciais de dezenas de sistemas internos — VPN, ERP, repositórios de código, e-mail corporativo.

Por que roubar o cookie de sessão é mais perigoso do que roubar a senha

Uma senha roubada pode ser inutilizada se a vítima a troca rapidamente e tem MFA ativado. Um cookie de sessão válido, por outro lado, representa uma sessão já autenticada — incluindo o segundo fator. O atacante não precisa saber sua senha nem passar pelo SMS ou pelo aplicativo autenticador: ele importa o cookie no navegador e entra na conta como se fosse você, a partir do mesmo estado de autenticação.

Esse mecanismo, conhecido como session hijacking ou pass-the-cookie, é documentado pelo MITRE ATT&CK sob T1539 e foi o vetor por trás de comprometimentos de contas de alto perfil em plataformas como YouTube, GitHub e redes corporativas nos últimos anos. O relatório DBIR 2024 da Verizon aponta uso de credenciais roubadas (categoria que inclui cookies exfiltrados por stealers) como o vetor de acesso inicial em mais de 77% dos ataques a aplicações web.

Cookies de sessão têm validade variável — alguns expiram em horas, outros duram semanas ou meses. Em serviços que não implementam validação de IP ou User-Agent vinculados à sessão, o atacante tem uma janela ampla para operar antes que o cookie expire ou seja revogado. Por isso, encerrar todas as sessões ativas remotamente é a ação mais urgente após a suspeita de comprometimento.

Do dispositivo pessoal ao ransomware corporativo: a ponte que poucos veem

Stealer logs — os arquivos com os dados coletados por infostealers — são vendidos em pacotes em mercados como Russian Market, Genesis Market (desativado por operação policial em 2023) e fóruns no Telegram. Compradores especializados vasculham esses logs em busca de credenciais de VPN corporativa, painéis de administração, repositórios de código e ferramentas de acesso remoto.

O caminho do ataque é documentado e repetido: colaborador infecta o notebook pessoal com infostealer ao baixar um software pirata em casa → credenciais da VPN corporativa são exfiltradas → log é vendido por US$ 10 a US$ 200 em fórum clandestino → comprador especializado usa a credencial para acesso inicial à rede corporativa → movimento lateral, escalonamento de privilégios, exfiltração de dados e, frequentemente, implantação de ransomware.

Esse padrão está documentado em incidentes reais de grandes empresas brasileiras nos últimos dois anos e é consistente com o que o Verizon DBIR classifica como 'ataques com credenciais válidas'. A distinção entre segurança pessoal e segurança corporativa é uma ilusão: qualquer dispositivo com acesso a sistemas da empresa é parte da superfície de ataque, independentemente de ser de propriedade da organização ou do colaborador.

Como detectar se sua empresa está exposta em stealer logs

A detecção passiva começa pelo monitoramento de bases de dados de comprometimento. O HaveIBeenPwned (haveibeenpwned.com), mantido pelo pesquisador Troy Hunt, permite verificar se e-mails corporativos aparecem em vazamentos conhecidos. Serviços como DeHashed e Flare oferecem monitoramento contínuo com alertas em tempo real, mas exigem assinatura.

Para empresas, a abordagem mais eficaz é o monitoramento automatizado de domínios corporativos em feeds de threat intelligence que incluem stealer logs. A Decripte oferece esse monitoramento no plano gratuito de Gestão de Ameaças: ao cadastrar o domínio da empresa, o sistema verifica continuamente se credenciais associadas àquele domínio aparecem em bases de stealer logs e notifica o time de segurança com o contexto necessário para resposta — qual conta foi comprometida, quais sistemas podem estar em risco e quais ações tomar.

Em nível técnico, equipes de segurança podem monitorar logs de autenticação em busca de anomalias: logins de geolocalização improvável, user-agents incomuns, autenticações fora do horário de expediente ou múltiplas tentativas de acesso de IPs residenciais sem histórico. Ferramentas de SIEM e UEBA são projetadas exatamente para esse tipo de detecção comportamental.

O que a Decripte faz por empresas expostas a infostealers

A Decripte é uma empresa brasileira de cibersegurança que atende exclusivamente organizações — de MEIs e startups a corporações com mais de 100 mil colaboradores. Não atendemos pessoas físicas sem vínculo com uma empresa, porque nossa atuação é estrutural: identificar, conter e resolver ameaças no nível organizacional, com responsabilidade técnica e jurídica pelo processo.

O plano gratuito de Gestão de Ameaças da Decripte inclui monitoramento de domínios corporativos em bases de stealer logs e credenciais comprometidas. Quando o sistema identifica que e-mails ou senhas da sua empresa aparecem em um log de infostealer, você recebe um alerta com o contexto completo: qual conta, qual tipo de dado, qual a provável origem — para que a resposta seja imediata e cirúrgica, não reativa e genérica.

Para empresas que precisam ir além do monitoramento — resposta a incidentes, investigação forense, hardening de endpoints e treinamento de colaboradores —, os planos pagos da Decripte cobrem toda a cadeia, desde a detecção até a contenção e o relatório final para reguladores. Se sua empresa ainda não monitora sua exposição em stealer logs, o ponto de partida mais direto é ativar o plano gratuito hoje.

Termos importantes

Infostealer

Categoria de malware projetada para extrair silenciosamente informações sensíveis de um dispositivo comprometido — incluindo senhas salvas em navegadores, cookies de sessão autenticada, carteiras de criptomoedas, tokens de aplicativos e dados de preenchimento automático — e enviá-las para servidores controlados por atacantes, geralmente sem deixar sintomas visíveis no sistema infectado.

Stealer log

Arquivo ou pacote de dados produzido por um infostealer após uma infecção bem-sucedida, contendo todas as informações coletadas do dispositivo da vítima. Stealer logs são vendidos em mercados clandestinos e monitorados por plataformas de threat intelligence para identificar credenciais corporativas expostas antes que sejam usadas em ataques.

Cookie de sessão

Token criptográfico temporário armazenado no navegador que comprova que um usuário já completou a autenticação em um serviço web, incluindo eventuais verificações de segundo fator. Quando roubado por um infostealer, permite que o atacante acesse a conta da vítima sem conhecer a senha e sem precisar passar pelo processo de autenticação — técnica chamada de session hijacking ou pass-the-cookie.

Credential stuffing

Ataque automatizado em que credenciais obtidas em vazamentos ou stealer logs — combinações de e-mail e senha — são testadas em grande escala contra múltiplos serviços web, explorando o hábito de reutilização de senhas. Ferramentas como Sentry MBA e OpenBullet automatizam esse processo, testando milhões de pares de credenciais por hora contra alvos como bancos, e-commerces e sistemas corporativos.

Perguntas frequentes