No último semestre de 2024, foram observadas mudanças no panorama dos infostealers. Esses malwares "silenciosos", projetados para roubar informações confidenciais, apresentaram um aumento na atividade no segundo semestre e se posicionam para 2025 como ameaças perigosas à segurança digital das organizações, especialmente daquelas que não implementam a autenticação em duas etapas.

Segundo os dados apresentados no ESET Threat Report do segundo semestre do ano passado, o aumento da atividade dos infostealers foi impulsionado, entre outros fatores, pelo crescimento da atividade do Formbook. Entre os infostealers já conhecidos, o Lumma Stealer surpreendeu com um aumento recorde de detecções, o que pode estar relacionado ao fato de ter ocupado o espaço deixado pelo RedLine após sua desativação.

Esses infostealers utilizam o modelo MaaS ("malware as a service"), em que os cibercriminosos oferecem um pacote de malware em mercados ilegais, incluindo ferramentas e plataformas, geralmente em troca de uma assinatura. Esse modelo permite que cibercriminosos com menos habilidades técnicas lancem ataques e se expandam rapidamente.

Formbook

O Formbook desbancou o Agent Tesla, que por longos períodos ocupou a primeira posição - neste caso, a atividade do Agent Tesla caiu 26% no período reportado. Embora seja conhecido pelo menos desde 2016, esse malware escalou no ranking de detecções no final do ano passado e se posicionou como a principal ameaça de infostealer, com um aumento de 200% nas suas detecções na telemetria da ESET.

Também conhecido como XLoader - embora a ESET continue utilizando o nome original para diferenciá-lo de sua versão para macOS -, ele se propaga principalmente por meio de anexos maliciosos em e-mails de phishing. Trata-se de um infostealer que coleta dados da área de transferência, registros de digitação, capturas de tela e caches de navegadores web.

infostealers-threat-report-formbook-phishing
Imagem 1. E-mail de phishing para propagação do Formbook.  

Lumma Stealer

Outra ameaça digital que apresentou um comportamento marcante e em ascensão foi o Lumma Stealer, que conseguiu se posicionar pela primeira vez no top 10 de detecções da ESET no segundo semestre de 2024. Nesse período, mostrou um crescimento recorde de 395%, com mais de 50 mil detecções registradas. O maior número de detecções foi concentrado no Peru, Polônia, Espanha, México e Eslováquia.

infostealers-threat-report-lummastealer
Imagem 2. Detecções de telemetria ESET onde se observa o crescimento de Lumma Stealer.

Este infostealer tem como alvo as extensões de navegador para autenticação em duas etapas, credenciais de usuário e, assim como o RedLine Stealer, carteiras de criptomoedas. Alguns dos métodos de distribuição foram através de repositórios no GitHub, se passando por um editor de imagens IA EditPro, ou por meio de arquivos e instaladores patchados, principalmente os KMS de cópias ilegítimas do Windows.

Em um estudo do Laboratório de Pesquiusa da ESET, de outubro, foi descoberto que vários cryptors continham esse infostealer, prontos para infectar dispositivos de jogadores que buscavam bots de fazenda ou autoclickers (melhorias para o jogo) do popular jogo Hamster Kombat, em repositórios do GitHub.

hamster-kombat-infostealers-threat-report-lummastealer
Imagem 3. Lumma Stealer sendo propagado em um repositório do GitHub.   

RedLine em declínio após operação de desativação

O RedLine, ativo desde 2020, após a Operação Magnus de outubro de 2024, apresentou um declínio em sua atividade, embora não tenha desaparecido completamente. Foram observadas campanhas de phishing passivas que entregam RedLine em comentários no YouTube ou em repositórios no GitHub, e o vazio deixado foi ocupado, sendo provável que continue sendo preenchido pelo Lumma Stealer.

Si bien el creador de este malware no fue arrestado, los expertos estiman que no habrá un intento de resucitarlo. "Si bien podría, en teoría, comprar o alquilar nuevos servidores y usar el código existente para configurar nueva infraestructura y distribuir paneles a los afiliados, ha sido identificado y acusado por las fuerzas del orden, por lo que probablemente querrá mantener un perfil bajo … Podemos esperar que el vacío de poder dejado por el desmantelamiento de RedLine conduzca a un aumento en la actividad de otros infostealer MaaS", advierte Alexandre Côté Cyr, malware researcher de ESET en el reporte.

Apesar do criador desse malware não tenha sido preso, os especialistas estimam que não haverá uma tentativa de reativá-lo. "Embora, em teoria, ele possa comprar ou alugar novos servidores e usar o código existente para configurar uma nova infraestrutura e distribuir painéis para os afiliados, ele foi identificado e processado pelas autoridades, por isso provavelmente tentará manter um perfil mais discreto… Podemos esperar que o vácuo deixado pela desativação do RedLine conduza a um aumento na atividade de outros infostealers MaaS", alerta Alexandre Côté Cyr, pesquisador de malware da ESET no ESET Threat Report.

O impacto dos infostealers até o final de 2025

Os infostealers seguirão sendo uma ameaça central nos vazamentos de dados, como destacado no relatório "Cybersecurity Forecast 2025" do Google. O documento ressalta que esses malwares terão um papel crucial no roubo de credenciais, especialmente em ambientes que não adotam a autenticação de dois fatores, expondo ainda mais as organizações a riscos de segurança.

O modelo MaaS (Malware as a Service) facilita o acesso a essas ferramentas até mesmo para atacantes com pouca experiência, o que amplifica significativamente o risco de ataques.

Como se manter protegido

Para mitigar essa ameaça digital, é crucial que as organizações adotem medidas proativas, como:

  • Implementar a autenticação multifatorial em todos os acessos;
  • Educar os colaboradores sobre os riscos de e-mails de phishing;
  • Monitorar e restringir o acesso a repositórios não confiáveis.
  • Investir em soluções de segurança que detectem e previnam malwares avançados.