Os cibercriminosos estão escondendo tráfego malicioso da web à vista de todos

6 de junho de 2025, 15h05

Em um esforço para evitar a detecção, os criminosos cibernéticos estão cada vez mais recorrendo a serviços de “proxy residencial” que encobrem seus rastros, fazendo com que pareçam atividades online cotidianas.

Durante anos, serviços do mercado cinza, conhecidos como hosts "à prova de balas", foram uma ferramenta essencial para cibercriminosos que buscavam manter a infraestrutura da web anonimamente, sem questionamentos. Mas, à medida que as autoridades policiais globais se esforçam para reprimir as ameaças digitais , desenvolveram estratégias para obter informações de clientes desses hosts e têm cada vez mais acusado os responsáveis pelos serviços. Na conferência Sleuthcon, focada em crimes cibernéticos, realizada hoje em Arlington, Virgínia, o pesquisador Thibault Seret descreveu como essa mudança impulsionou tanto as empresas de hospedagem à prova de balas quanto os clientes criminosos a adotar uma abordagem alternativa.

Em vez de depender de provedores de hospedagem para encontrar maneiras de operar fora do alcance das autoridades, alguns provedores de serviços passaram a oferecer VPNs e outros serviços de proxy específicos como forma de rotacionar e mascarar os endereços IP dos clientes, além de oferecer uma infraestrutura que intencionalmente não registra o tráfego ou mistura o tráfego de várias fontes. E embora a tecnologia não seja nova, Seret e outros pesquisadores enfatizaram à WIRED que a transição para o uso de proxies entre os cibercriminosos nos últimos anos é significativa.

“O problema é que, tecnicamente, não é possível distinguir qual tráfego em um nó é ruim e qual é bom”, disse Seret, pesquisador da empresa de inteligência de ameaças Team Cymru, à WIRED antes de sua palestra. “Essa é a mágica de um serviço de proxy — você não consegue dizer quem é quem. É bom em termos de liberdade na internet, mas é extremamente difícil analisar o que está acontecendo e identificar atividades ruins.”

O principal desafio de lidar com a atividade de cibercriminosos oculta por proxies é que os serviços também podem, mesmo principalmente, estar facilitando tráfego legítimo e inofensivo. Criminosos e empresas que não querem perdê-los como clientes têm recorrido, em especial, aos chamados "proxies residenciais", um conjunto de nós descentralizados que podem ser executados em dispositivos de consumo — até mesmo celulares Android antigos ou laptops de baixo custo —, oferecendo endereços IP reais e rotativos atribuídos a residências e escritórios. Esses serviços oferecem anonimato e privacidade, mas também podem proteger contra tráfego malicioso.

Ao fazer com que o tráfego malicioso pareça vir de endereços IP confiáveis de consumidores, os invasores dificultam muito a detecção de atividades suspeitas por scanners e outras ferramentas de detecção de ameaças das organizações. E, crucialmente, proxies residenciais e outras plataformas descentralizadas que rodam em hardwares de consumidores distintos reduzem a visibilidade e o controle de um provedor de serviços, dificultando a obtenção de informações úteis por parte das autoridades policiais.

“Os invasores têm intensificado o uso de redes residenciais para ataques nos últimos dois a três anos”, afirma Ronnie Tokazowski, pesquisador veterano de golpes digitais e cofundador da organização sem fins lucrativos Intelligence for Good. “Se os invasores vêm da mesma área residencial que, digamos, funcionários de uma organização alvo, fica mais difícil rastreá-los.”

O uso criminoso de proxies não é novidade. Em 2016, por exemplo, o Departamento de Justiça dos EUA afirmou que um dos obstáculos em uma investigação de anos sobre a notória plataforma cibercriminosa "Avalanche" era o uso, pelo serviço, de um método de hospedagem de "fluxo rápido" que ocultava a atividade maliciosa da plataforma usando endereços IP de proxy em constante mudança. Mas a ascensão dos proxies como um serviço de mercado paralelo, em vez de algo que os invasores precisam desenvolver internamente, é uma mudança importante.

“Ainda não sei como podemos melhorar a questão do proxy”, disse Seret, da Equipe Cymru, à WIRED. “Acho que a polícia poderia atacar provedores de proxy maliciosos conhecidos, como fizeram com hosts à prova de balas. Mas, em geral, proxies são serviços de internet inteiros usados por todos. Mesmo que você derrube um serviço malicioso, isso não resolve o problema maior.”