Ir para conteúdo

Contexto atual - Infostealers

Infostealers: uma ameaça silenciosa para os dados das pessoas e organizações


Versão 1.0
Data de Publicação: 04.11.2025


1. Enquadramento

O CNCS tem detetado um aumento muito significativo de incidentes envolvendo infostealers. Estes representam mais de 80% da atividade do tipo código malicioso (malware) observada no terceiro trimestre de 2025, com uma variante conhecida por Agent Tesla a representar um terço do total do código malicioso observado em 2024.

Os infostealers são um tipo de código malicioso desenvolvido para recolher dados sensíveis em dispositivos informáticos (p. ex. computadores, telemóveis), incluindo credenciais de acesso a contas pessoais ou profissionais (p. ex. credenciais de acesso a serviços de homebanking, serviços de governo eletrónico ou mesmo credenciais de acesso a contas profissionais), dados armazenados nos browsers (p. ex. cookies, tokens, histórico de navegação do utilizador), mas também emails e outros documentos.

Este tipo de código malicioso representa um desafio considerável, pois a sua utilização reduz significativamente o custo inicial de intrusão na infraestrutura da vítima para posterior realização de ataques mais rentáveis para o criminoso, como por exemplo o ransomware. Uma vez obtidas as credenciais de acesso a uma conta de uma potencial vítima, os atacantes não necessitam de utilizar outras metodologias de ataque, mais complexas ou morosas, para obterem o acesso inicial a um sistema.

Esta crescente ameaça é suportada por um vasto ecossistema comercial composto por fóruns online que operam como mercados. Aqui encontramos atores criminosos a venderem o acesso aos dados recolhidos por estes infostealers (Malware-as-a-service), bem como atores criminosos a curarem e venderem na darkweb os dados recolhidos por este malware.

É importante relembrar que os infostealers representam uma ameaça tanto para a vida pessoal do indivíduo cujo dispositivo informático se encontra infetado como para as organizações para quem este indivíduo trabalha e possui credenciais profissionais furtadas.

Acresce o facto da fronteira entre o risco individual e o risco para as organizações se ter diluído com a popularização do trabalho remoto. Neste contexto, alguns funcionários podem ser levados a utilizar os mesmos dispositivos tanto para o contexto profissional como para fins pessoais.

Todas as entidades públicas e privadas, em particular aquelas que facilitam o acesso remoto à suas redes e sistemas de informação, precisam estar cientes dos riscos associados aos infostealers e proteger-se contra esta ameaça que potencia outros ciberataques de maior impacto nas redes e sistemas de informação. As organizações afetadas por infostealers podem ser vítimas de ransomware, exflitração de dados, comprometimento de contas de email da organização, furto de propriedade intelectual e industrial e outras informações sensíveis.

Caso seja identificado a presença deste tipo de código malicioso, importa salientar que as entidades não se devem limitar a forçar a alteração das palavras-passe capturadas, pois os dispositivos eletrónicos podem ainda estar infetados com o infostealer.



2. Vetores de Ataque Frequentes

A. Distribuição dos infostealers

  • Phishing com outras formas de engenharia social: os atacantes tentam enganar as vítimas através do envio de mensagens, por correio eletrónico ou diretamente via mensagens em redes sociais e outras plataformas de comunicação, para que estas abram os anexos maliciosos, cliquem em links inseguros e, assim, descarreguem para os seus dispositivos eletrónicos ficheiros contendo o infostealer.
  • Técnicas de otimização de resultados em motores de pesquisa: durante a utilização de um motor de pesquisa, as vítimas são dirigidas para páginas de internet artificialmente colocadas no topo do ranking de pesquisa, sendo estas páginas configuradas para distribuir o infostealer com intervenção mínima por parte da vítima (p. ex. pelo simples facto de a visitar).
  • Malvertising: Os atacantes promovem conteúdo publicitário com aparência legítima em páginas de internet de utilização comum, sendo o infostealer instalado no dispositivo automaticamente com a simples interação de um clique por parte da vítima;
  • Programas e jogos pirateado: Descarregamento de programas e jogos de vídeo pirateados, para computadores e telemóveis, através de páginas de internet pouco fiáveis ou de plataformas em linha de distribuição de conteúdos vídeo que contêm links maliciosos na sua descrição ou comentários;
  • Publicações em redes sociais: O atacante publica conteúdo nas redes sociais que alicia as vítimas a descarregarem inadvertidamente infostealers para o seu dispositivo, muitas vezes com a promessa de acesso a produtos gratuitos ou promoções.
  • Através da técnica de engenharia social ClickFix: esta técnica tem como principal propósito enganar a vítima fazendo-a instalar código malicioso na sua própria máquina, através da execução de código na sua linha de comandos, sob o pretexto da resolução de um problema técnico, preenchimento de um CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) [1] ou atualização de software, tipicamente motivado por publicação enganosa, em particular através de janelas pop-up que simulam falhas técnicas ou desafios CAPTCHA.

[1] Refere-se aos métodos de autenticação que validam os utilizadores como humanos, distinguindo-os de bots, através a apresentação de um desafio simples a resolver ao utilizador.

B. Recolha de dados

Uma vez instalados no dispositivo eletrónico da vítima, os infostealers começam rapidamente a recolha de dados sensíveis para um servidor sob controlo dos atacantes sem que a vítima se aperceba, em particular os seguintes dados:

  • Nomes de utilizador e palavras-passe, em especial aqueles armazenados nas sessões de utilizador dos browsers;
  • Cookies de autenticação do browser que mantêm o utilizador conectado durante vários dias, caso estes sejam furtados é possível contornar a autenticação multifator (MFA);
  • Informações de formulários de preenchimento automático nos browsers;
  • Histórico de navegação na internet guardados nos browsers;
  • Dados do cartão de crédito, nomeadamente aqueles previamente guardados no browser e que permitem o preenchimento automático nas páginas de internet de compras;
  • Registos de conversas e mensagens instantâneas enviadas através de aplicações instaladas no dispositivo;
  • Carteiras de moedas criptográficas;
  • Credenciais de autenticação para aceder a redes virtuais privadas (VPN) ou credenciais de autenticação para aceder ao arquivo de um servidor conectado por protocolo de transferência de ficheiros (FTP);
  • Outros documentos do utilizador, conteúdos e contactos de correio eletrónico;

 



3.    Recomendações

Os infostealers devem ser considerados como uma ameaça sistémica que requer uma vigilância permanente e a implementação de medidas preventivas por parte das entidades públicas e privadas e uma atenção especial por parte dos indivíduos em geral.

A. Recomendações para entidades:

  1. Recomendações técnicas:
  • Implementar MFA, em particular para acesso à conta de email, VPNs e contas com acessos privilegiados;
  • Utilização de software antimalware com proteção em tempo real;
  • Bloquear funções que permitem ao utilizador copiar dados (texto, imagens, etc.) de uma aplicação para interfaces de linha de comando dos seus dispositivos eletrónicos;
  • Utilizar o browser em modo de navegação anónimo por defeito, remover automaticamente cookies e tokens de forma periódica, limitar funções de autopreenchimento e evitar guardar credenciais de acesso a contas no browser;
  • Remover extensões dos browsers de origem desconhecida ou duvidosa;
  • Manter o sistema operativo, o browser e o antimalware devidamente atualizados;
  1. Recomendações de natureza organizacional:
  • Desativar contas de utilizadores obsoletas;
  • Restringir privilégios de acesso de administrador;
  • Rever as passwords periodicamente;
  • Estabelecer uma política organizacional que limite a utilização de equipamentos pessoais em contexto laboral;
  • Sensibilizar os utilizadores para os riscos da procura de programas, aplicações e jogos pirateados, clickfix e outros tipos de engenharia social, para que não descarreguem anexos de emails desconhecidos, assim como para a necessidade de não ignorarem alertas e notificações dos programas de segurança.
B. Recomendações para indivíduos:

  • Não clicar em links suspeitos, janelas pop-up ou descarregar ficheiros ou software a partir de páginas de internet de origem desconhecida ou duvidosa;
  • Utilizar palavras-chave distintas para as contas de utilizador profissionais e pessoais. Utilize MFA sempre que possível.
  • Não guardar credenciais de contas profissionais num gestor de palavras-chave pessoal;
  • Não iniciar sessões em contas profissionais a partir de dispositivos eletrónicos públicos ou partilhados;
  • Utilizar o browser em modo de navegação anónimo por defeito ou terminar todas as sessões e remover cookies no final de cada sessão de utilização;
  • Evitar guardar dados sensíveis, como dados de cartões de crédito e credenciais de acesso a contas, no navegador com preenchimento automático, privilegiando a inserção manual desses dados quando necessário;
  • Utilização de software antimalware com proteção em tempo real.
Última atualização em 04-11-2025