[Segurança] Precisamos falar sobre os Stealers

Os malwares Stealers estão na moda. E não é para menos, pois eles tem um papel muito importante na cadeia do cibercrime: são eles que normalmente roubam as credenciais de usuários que são comercializadas nos mercados underground e são usadas, posteriormente, para diversos ciberataques, invasões e fraudes.

Um relatório recente da SOCRadar apontou o Brasil como o país mais infectado por malwares stealer em todo o mundo, seguido pelo Egito e Índia. Segundo eles, nós lideramos essa lista graças a baixa conscientização dos usuários, alto uso de software pirata (ainda mais quando se trata de jogos) e alto volume de phishing. E, claro, some a isso tudo o fato do Brasil ser o 6o país mais populoso do mundo. Afinal, como os stealers são direcionados a usuários finais em geral, quanto maior a população, mais vítimas em potencial.

Segundo um relatório da empresa de segurança cibernética Flare, dentro de uma base com quase 20 milhões de logs de stealer ela identificou aproximadamente 375 mil acessos a aplicativos de negócios populares como Salesforce, Quickbooks, AWS, Google Cloud, Okta e DocuSign:

• 179 mil credenciais do console AWS
• 2.300 credenciais do Google Cloud
• 64,5 mil credenciais DocuSign
• 15,5 mil credenciais do QuickBooks
• 23 mil credenciais do Salesforce
• 66 mil credenciais de CRM

Recentemente a Apura lançou um relatório em que disseca esse tipo de malware, suas características, seu papel na cadeia do cibercrime e quais são os principais stealers na atualidade: Como os Stealers assolam as organizações.

Os stealers são malwares silenciosos, que uma vez infectado, o computador (ou smartphone) pode permanecer com ele por vários meses ou anos. O malware fica a espreita capturando todas as informações relevantes da vítima, principalmente suas credenciais de acesso (a qualquer site ou aplicativo que seja acessado naquele equipamento comprometido), todas as informações salvas nos navegadores (tais como credenciais de acesso e dados para preenchimento automático de formulários).

Ao analisar os repositórios de stealers, é muito comum encontrar todo tipo de credencial de acesso, desde redes sociais e emails pessoais até mesmo portais na intranet e sites corporativos, como sistemas de help desk, sistemas de compras, cadastro de clientes, etc. Na verdade, tudo que a vítima acessa é capturada pelo stealer. Assustador!

Dentre as várias dicas de proteção, eu destaco 3, que considero mais importantes:

• Use um antivírus e o mantenha atualizado;
• Sempre que for possível, utilize um segundo fator de autenticação (2FA ou MFA). Essa é a melhor defesa caso uma credencial de acesso seja comprometida;
• Nunca salve senhas e dados de formulário em seus navegadores.

Para saber mais, veja essa coletânea de materiais legais sobre os malwares stealer:

• Relatório recente da Apura: Como os Stealers assolam as organizações
• Relatório recente da SOCRadar, que aponta o. Brasil como país mais infectado por Stealers em todo o mundo: Snapshot of 70 million stealer logs
• Stealing the Spotlight: Unraveling the Surge of Stealer Malware in Brazil
• Brazil Threat Landscape Report

• Também do SOCRadar: What is Stealer as a Service?
• 400 mil credenciais corporativas são roubadas por malware
• The Growing Threat from Infostealers

• Info-stealer: Most bang for the buck malware
• Stealers, access sales and ransomware: supply chain and business models in cybercrime
• The Stealer Malware Ecosystem: A Detailed Analysis of How Infected Devices Are Sold and Exploited on the Dark & Clear Web
• Malware Stealer: the silent information theft. Here's how to protect yourself from this threat!
• Top 3 Stealer Malware Activity Research
• Popularity spikes for information stealer malware on the dark web
• Detecting the Undetected: The Risk to Your Info
• Case study de um stealer específico: Nameless malware that stole 1.2 TB of private data

D