O roubo de informações por infostealers tem alimentado um intrincado e lucrativo esquema criminoso. Essas informações geralmente são vendidas em fóruns na dark web e, mais recentemente, passaram a ser negociadas também em lojas descentralizadas e plataformas de mídia social, como Telegram e outras. De acordo com levantamento recente, no último trimestre de 2023 o Brasil ocupava o segundo lugar no ranking de países mais afetados por ocorrências do gênero nas Américas, ficando atrás apenas dos Estados Unidos. Setores financeiro, governo, educação, tecnologia e saúde têm sido os mais afetados por esse tipo de ameaça.
Para quem ainda não está familiarizado com o termo, infostealer é uma classe de software malicioso que coleta e extrai dados de sistemas ou redes, representando riscos significativos tanto para indivíduos quanto para organizações. Esse malware foi detectado pela primeira vez em 2007 e era conhecido como ZeuS ou Zbot. O principal objetivo era roubar credenciais bancárias online, o que fez com que se tornasse rapidamente um dos trojans bancários mais difundidos e sofisticados já vistos. Em 2011, quando seu código-fonte foi aberto publicamente, inúmeras variantes surgiram.
Os infostealers estão espalhados por vários canais, incluindo phishing, spear phishing e malvertising. Outros métodos de distribuição do malware incluem anúncios falsos no Google, software falso e postagens públicas em redes sociais.
As informações coletadas pelos infostealers são direcionadas a objetivos específicos. Por um lado, visam adquirir dados sensíveis, como credenciais de acesso a redes corporativas, portais bancários, carteiras de criptomoedas, detalhes de contas de e-mail, credenciais de redes sociais ou qualquer informação que possa ser explorada no futuro. Por outro, também reúnem detalhes técnicos sobre o sistema comprometido, incluindo cookies de sessão, UserAgents, especificações da máquina e arquivos de log. Isso permite que os invasores simulem o ambiente das contas visadas, evitando medidas de segurança tradicionais para efetuar ataques cibernéticos.
Como é comum a outros tipos de software malicioso, os infostealers também migraram para o modelo as a service, permitindo que atacantes com experiência mínima consigam se infiltrar em sistemas e extrair informações, frequentemente no formato de logs, que posteriormente são vendidos em fóruns na dark web.
Para além de sua finalidade original, os infostealers estão sendo cada vez mais usados como porta de entrada para ataques cibernéticos mais sofisticados, destacando seu papel como importante vetor de ameaça.
Quanto mais informações os atacantes possuem sobre uma empresa, maior é a possibilidade de se infiltrarem em sua infraestrutura. O que mostram as estatísticas é que as as medidas de segurança tradicionais têm se mostrado insuficientes para diminuir a superfície de ataque e acabam sendo contornadas, permitindo que os criminosos comprometam as organizações facilmente.
Para lidar com mais esse desafio, as organizações devem adotar estratégias modernas para avaliar sua infraestrutura exposta e determinar sua necessidade em termos de operações comerciais. As estratégias devem facilitar o bloqueio automático e em tempo real dos atacantes, e contar com métodos de privilégio mínimo em redes e sistemas de autenticação.
Ao mesmo tempo, as organizações precisam estar preparadas para detectar o adversário quando há tentativa de comunicação com a infraestrutura corporativa. Nesse contexto, é crucial dispor de ferramentas de monitoramento modernas para acompanhar os serviços de seus dispositivos, detectando qualquer comportamento suspeito em tempo real. Se a empresa possui um EDR, é essencial mantê-lo atualizado.
A discrição e a sofisticação dos infostealers representam um perigo claro para a cibersegurança global, e muitas companhias ainda desconhecem o fato de que as credenciais de seus funcionários e outras informações sensíveis podem estar sendo negociadas no mercado paralelo, o que é uma chave para os cibercriminosos promoverem ataques em grande escala. Priorizar a detecção e mitigação de infostealers faz parte de uma estratégia abrangente de cibersegurança que objetiva reduzir significativamente o risco imposto por essas ameaças silenciosas.
Reflita: sua organização conta com as ferramentas certas para detectar a presença de infostealers em sua infraestrutura?
Germán Patiño, vice-presidente de vendas para a América Latina da Lumu Technologies.
CYBERSECURITY FORUM 2024
A TI INSIDE promove no dia 24 de abril, no WTC-SP, a 3a edição do Cybersecurity Forum. Veja a grade e faça sua inscrição no site https://cybersecurityforum.com.br/
