No final do último ano, o megavazamento de e-mails corporativos e senhas expostas em fóruns clandestinos reacendeu o alerta no setor de segurança digital

A origem do problema não foi uma falha monumental em um servidor crítico, tampouco um ataque sofisticado de força bruta. A porta de entrada foi mais discreta: infostealers, ou seja, malwares especializados em capturar credenciais diretamente nos dispositivos das vítimas.

Para entender a evolução desse tipo de ameaça e como empresas de segurança de dados podem agir para preveni-la, entrevistamos Douglas Lopes da Silva, doutor em Engenharia Eletrônica e de Telecomunicações e CTO da Heronpay. 

Ele afirma que os infostealers deixaram de ser ferramentas rudimentares e passaram a operar como engrenagens de cadeias inteiras de ataques, contribuindo para fraudes financeiras, acessos indevidos a sistemas internos e até campanhas de engenharia social em larga escala.

Veja mais sobre como eles funcionam e de que forma se proteger!

A anatomia de um ataque silencioso

Segundo Douglas, infostealers “são programas cujo objetivo é roubar informações do usuário atacado para uso em fraudes ou para obter acesso a outros sistemas”. 

A sutileza é parte da força desses malwares. Enquanto ransomwares chamam atenção pelo bloqueio de máquinas e mensagens de resgate, infostealers atuam de forma furtiva. “O que os diferencia é justamente a aparência de normalidade”, explica o CTO. 

Ele complementa dizendo que: “Eles não alteram o dispositivo de imediato e, sem sintomas aparentes, um usuário comum dificilmente percebe que foi comprometido”.

Esse comportamento invisível explica por que se tornaram protagonistas em casos de vazamento de credenciais e acessos não autorizados em múltiplas plataformas. 

O dispositivo infectado pode servir como trampolim para ataques maiores, ampliando o risco de exposição de dados sensíveis em empresas de qualquer porte.

Dois cadeados digitais azuis e brilhantes flutuam sobre um fundo de rede neural azul e verde, simbolizando a cibersegurança, a proteção de dados e a segurança da informação.

Monitoramento de endpoints: a linha de frente da defesa

A adoção de soluções de monitoramento de endpoints, como EDR e XDR, é uma das principais estratégias de proteção contra malware que operam abaixo do radar. 

Douglas reforça que, em empresas com grande número de colaboradores e dispositivos diversos, essa camada de visibilidade é indispensável.

Ferramentas de EDR analisam comportamento local do dispositivo, identificando ações suspeitas antes que o malware exfiltre credenciais. 

Já o XDR integra dados de múltiplas fontes, permitindo correlações e respostas automatizadas.

“As ferramentas de XDR não só oferecem visão do todo, mas permitem atuação sistemática contra ameaças”, explica o especialista.

Além disso, “elas dão suporte a auditorias e ajudam a entender melhor um evento adverso depois do ocorrido”.

Essa detecção de ameaças antecipada reduz o tempo de permanência do invasor e impede que ele escale privilégios dentro da rede.

Dark web e rastreamento de credenciais comprometidas

Uma vez expostos, dados roubados circulam rapidamente pela dark web, ambiente em que são revendidos entre grupos criminosos. Para Douglas, monitorar credenciais vazadas é parte essencial da resposta a incidentes.

O especialista comenta que “após o vazamento não é possível reverter o processo”. Porém, as ações como troca periódica de senhas, escaneamento de dados vazados e compartimentalização de informações internas ajudam a mitigar o impacto.

A combinação de varreduras automáticas em fóruns clandestinos, alertas sobre credenciais envolvidas e integração com sistemas de Identity and Access Management (IAM) pode acelerar decisões preventivas, como rotacionar chaves e redefinir políticas de acesso.

Leia mais sobre Cibersegurança
A imagem apresenta uma ilustração 3D de cibersegurança, com diversos dispositivos ou estações de trabalho conectados em rede, representados por telas alinhadas, cada uma com um cadeado, simbolizando acesso protegido e comunicação segura.
Cibersegurança Como fazer uma auditoria de segurança para redes 5G privativas?
A imagem mostra um data center com racks de servidores ao fundo, iluminados por luzes azuis, representando um ambiente de infraestrutura de TI corporativa.
Cibersegurança Guia: como implementar o Zero Trust na sua indústria?

Threat intelligence: antecipar campanhas e reduzir danos

Com o avanço de técnicas de automação e inteligência artificial, os infostealers estão ganhando capacidades mais sofisticadas. 

Segundo Douglas, a associação desses malwares com IA torna-os ainda mais adaptáveis e eficientes.

Nas palavras do especialista: “O desafio é maior quando essas ameaças contam com ferramentas inteligentes capazes de analisar vulnerabilidades em tempo real e escolher a melhor estratégia para movimentação lateral”.

Nesses cenários, os processos de threat intelligence exercem papel central. Os dados sobre campanhas emergentes, padrões de ataque e indicadores de comprometimento permitem que equipes de segurança ajustem regras de detecção.

Além disso, possibilita o bloqueio de domínios maliciosos e reforça controles antes do início de novas ondas de infecções. A integração entre bases globais de inteligência, machine learning e automação reduz a dependência de ações reativas — e torna a cibersegurança avançada mais alinhada ao ritmo dos atacantes.

Segmentação de redes e contenção de danos

Mesmo com defesas robustas, a possibilidade de um dispositivo ser comprometido nunca desaparece. Por isso, as estratégias que limitam movimentos laterais são decisivas para reduzir o alcance dos invasores.

Douglas destaca a segmentação de redes como prática fundamental. “É possível evitar que credenciais de acesso de um funcionário sejam utilizadas além do escopo de sua função. Assim, mesmo se comprometidas, não permitem acesso amplo à infraestrutura”, afirma.

Separar ambientes críticos, aplicar políticas de acesso baseadas em função e revisar permissões periodicamente reduz a superfície de ataque e impede que um infiltrado se mova livremente pela organização.

MFA e novas camadas de autenticação

A autenticação multifator continua eficaz, mas não deve ser tratada como solução única. 

Por isso, Douglas recomenda ampliar o leque: “Além do MFA, chaves físicas, fluxos de aprovação e políticas limitadas ao papel do operador ajudam a diminuir os danos quando o dispositivo é comprometido”, diz o especialista.

A combinação de fatores contribui para impedir login indevido mesmo quando as credenciais já foram roubadas, interrompendo a cadeia típica dos ataques de infostealers.

Resposta a incidentes e cultura de segurança

Douglas ainda ressaltou que ferramentas são apenas parte da equação. Para ele, os processos bem definidos e a cultura organizacional são tão importantes quanto tecnologias de última geração.

“A identificação de irregularidades e pontos fracos pode ser complexa, mas é essencial. A modelagem de ameaças, procedimentos de resposta a incidentes, planos de contingência e treinamentos devem ser contínuos”.

A educação digital corporativa complementa a estratégia. Isso porque funcionários conscientes tratam a segurança de dados como uma variável a ser considerada em cada decisão, da escolha de uma senha ao uso de dispositivos pessoais para trabalho.

“Quando todos percebem que podem ser vítimas, passam a considerar riscos e cenários adversos com naturalidade. É assim que se constrói uma cultura capaz de enfrentar o número crescente de ameaças”, finaliza o entrevistado.

Gostou? Continue acompanhando o Futurecom Digital, canal oficial da Feira Futurecom, para ficar por dentro das notícias e tendências do setor!