Infostealers-as-a-Service levam hacks de identidade a níveis recordes

De acordo com pesquisadores de segurança cibernética da eSentire, malware infostealer e kits de ferramentas avançadas de phishing estão por trás de um aumento enorme de 156% em ataques cibernéticos direcionados a logins de usuários e informações de identidade, impactando trabalhadores de escritório e remotos.

O relatório da eSentire, compartilhado com o Hackread.com, também observou que os invasores estão se concentrando cada vez mais em roubar detalhes de login e cookies de sessão, que eles então usam para cometer crimes financeiros, como comprometimento de e-mail comercial ( BEC ) e roubo de criptomoedas.

Um fator-chave que impulsiona esse aumento, segundo o relatório (PDF), é a disponibilidade de plataformas de phishing como serviço (PhaaS), que reduzem a habilidade técnica e o custo necessários para os criminosos lançarem ataques. Plataformas como a Tycoon 2FA , por exemplo, oferecem páginas de phishing pré-criadas para plataformas populares como Microsoft 365 e Google Workspace por apenas US$ 200 a US$ 300 por mês.

Esses serviços utilizam técnicas inteligentes de Adversary-in-the-Middle ( AitM ), atuando como intermediários para capturar credenciais de login e até tokens de autenticação em tempo real, muitas vezes contornando a autenticação multifator (MFA) em minutos. Os casos de BEC, especificamente, tiveram um aumento de 60% em relação ao ano anterior, representando 41% de todos os ataques no primeiro trimestre de 2025.

Um recente Relatório sobre o Estado da Segurança de Navegadores da Menlo Security identificou mais de 752.000 ataques de phishing baseados em navegadores em mais de 800 empresas, um aumento de 140% em relação ao ano anterior, destacando como os navegadores se tornaram um alvo importante. Essa tendência também inclui um infostealer emergente chamado Acreed, visto pela primeira vez em fevereiro de 2025, que agora compete nesses mercados online obscuros, especialmente depois que as autoridades policiais interromperam a infraestrutura de outro infostealer proeminente, o Lumma Stealer , em maio de 2025.

A rápida mudança de ataques oportunistas para operações sistemáticas e orientadas a serviços significa que os criminosos estão migrando do roubo de credenciais para a prática de fraudes em poucas horas. Com 78% das operações PhaaS identificadas originando-se dos Estados Unidos (embora isso frequentemente reflita o local de hospedagem, e não a verdadeira base do invasor), o alcance global dessas ameaças é significativo.

Recomenda-se fortemente que organizações e indivíduos aprimorem sua segurança cibernética. Isso inclui a adoção de métodos de autenticação resistentes a phishing, o monitoramento contínuo de tentativas ou alterações incomuns de login e a manutenção de alerta sobre e-mails e anexos não solicitados. A velocidade e a sofisticação desses ataques baseados em identidade tornam as medidas de defesa proativas mais cruciais do que nunca.

“ Este relatório reflete efetivamente as tendências observadas pelo Centro de Defesa Cibernética da Ontinue no último ano. Com a ascensão de uma lucrativa economia subterrânea impulsionada por plataformas de Phishing como Serviço (PhaaS) como a Tycoon2FA, até mesmo agentes de ameaças pouco qualificados agora podem obter acesso inicial sem explorar vulnerabilidades técnicas ” , disse Will Bailey , Analista Sênior de SOC da Ontinue.

“ Como resultado, phishing e ataques baseados em identidade se tornaram um jogo de gato e rato persistente entre invasores e defensores ” , alertou Will. “ Isso ressalta a necessidade crítica de um serviço de Detecção e Resposta Gerenciadas (MDR) 24 horas por dia, 7 dias por semana, que inclua detecção e resposta a ameaças de identidade, permitindo que as organizações revoguem tokens de sessão e encerrem sessões ativas em tempo real ” , aconselhou.