O que é Extended Threat Intelligence (XTI)?

Extended Threat Intelligence (XTI) é uma abordagem de segurança que monitora ameaças fora do perímetro da organização — como dark web, fóruns clandestinos, bases de credenciais vazadas e superfície de ataque externa. Ao contrário de ferramentas tradicionais como SIEM e firewall, que monitoram apenas o ambiente interno, o XTI detecta riscos antes que se tornem incidentes.

Como o BreachFinder monitora credenciais vazadas?

O BreachFinder coleta dados de dark web, fóruns clandestinos, logs de infostealer e bases de credenciais comprometidas — indexando mais de 15 bilhões de registros. Quando credenciais associadas ao domínio da sua organização são detectadas, o sistema gera um alerta priorizado em menos de 1 hora, com contexto de impacto e recomendação de ação.

Quanto tempo leva para detectar uma credencial exposta?

O BreachFinder emite alertas em menos de 1 hora após a detecção de uma credencial exposta. A média do setor para detecção de violações é de 194 dias (IBM 2024). Essa diferença significa que sua equipe pode agir muito antes de um atacante explorar a exposição.

O BreachFinder ajuda com conformidade com a LGPD?

Sim. O BreachFinder gera evidências estruturadas de monitoramento e incidentes que podem ser utilizadas em auditorias de LGPD, ISO 27001 e outros frameworks de conformidade. O histórico de alertas e relatórios executivos fornece documentação pronta para apresentação a reguladores e comitês de auditoria.

Qual a diferença entre o BreachFinder e um SIEM?

Um SIEM monitora logs e eventos internos da organização — endpoints, servidores e redes. O BreachFinder monitora o ambiente externo: dark web, credenciais vazadas, phishing, vulnerabilidades expostas e superfície de ataque. As duas ferramentas são complementares: o SIEM detecta incidentes internos, o BreachFinder detecta exposições externas antes que se tornem incidentes.

O BreachFinder tem programa de parceiros para MSSPs?

Sim. O BreachFinder oferece um programa de parceiros para MSSPs, consultorias de segurança e integradores de TI. O programa inclui entrega white-label, painel multi-tenant para gestão de múltiplos clientes, modelos flexíveis de receita e suporte dedicado da equipe XPSec.

Infostealer: o malware silencioso que está varrendo credenciais corporativas

Em 2023, uma empresa de médio porte no setor financeiro descobriu que credenciais de acesso ao seu sistema de aprovação de pagamentos estavam sendo vendidas em um marketplace da dark web por 300 dólares. O comprador poderia entrar no sistema como se fosse um funcionário legítimo. O problema estava ativo havia semanas. A origem: um infostealer instalado no computador pessoal de um analista que havia baixado um crack de software para uso em casa.

Esse cenário se repete todos os dias em organizações de todos os setores e tamanhos.

O que é um infostealer

Infostealer é uma categoria de malware projetada com um objetivo muito específico: extrair o máximo possível de informações valiosas de um dispositivo infectado no menor tempo possível e com o mínimo de ruído.

Diferente de ransomware, que anuncia sua presença de forma dramática ao criptografar arquivos, o infostealer opera na sombra. A infecção pode durar segundos. O dispositivo continua funcionando normalmente. O usuário não percebe nada. Mas naqueles segundos, o malware já copiou todas as senhas salvas no Chrome, Firefox e Edge, extraiu cookies de sessão que permitem contornar autenticação de dois fatores, coletou dados de preenchimento automático de formulários, buscou por documentos e planilhas em pastas comuns, e varreu carteiras de criptomoedas instaladas no dispositivo.

Tudo isso é compactado em um "log" e enviado ao servidor do operador. Pronto. O malware pode se deletar depois, ou pode permanecer para coletas futuras.

Os principais infostealers em circulação

Redline Stealer

O Redline é um dos infostealers mais usados globalmente desde 2020. É vendido como Malware-as-a-Service, o que significa que qualquer pessoa com poucos dólares pode operar uma campanha de distribuição sem precisar desenvolver o próprio malware. Ele extrai credenciais de praticamente todos os navegadores baseados em Chromium e Firefox, dados de carteiras de criptomoedas, chaves FTP e VPN, e informações do sistema.

Vidar

O Vidar surgiu como fork do Arkei Stealer e foi refinado ao longo dos anos. É especialmente eficiente na coleta de cookies de sessão, o que o torna uma ferramenta preferida para ataques que precisam contornar autenticação multifator. Um detalhe técnico relevante: o Vidar usa canais legítimos como perfis do Telegram para receber endereços de servidores de comando e controle, dificultando o bloqueio por ferramentas de segurança baseadas em listas negras.

Raccoon Stealer

O Raccoon ficou famoso pela facilidade de operação. Seu painel de controle intuitivo permitia que operadores sem experiência técnica rodassem campanhas eficazes. Após uma interrupção em 2022, voltou na versão 2.0 com recursos expandidos. Ele é distribuído principalmente via malvertising, onde anúncios legítimos são envenenados para redirecionar usuários a downloads maliciosos.

Meta Stealer e Lumma Stealer

Mais recentes, esses dois ganharam popularidade em 2023 e 2024. O Lumma em particular se destaca pela capacidade de roubar cookies de sessão do Google de forma a contornar a proteção "Device Binding" que o Google implementou para dificultar o roubo de sessões.

Como os infostealers chegam nas máquinas corporativas

Crack de software e pirataria

Este é o vetor mais comum. Usuários que baixam versões ativadas ilegalmente de softwares pagos recebem junto com o executável um infostealer embutido. Sites de crack, fóruns de pirataria e canais do YouTube que prometem "ativadores" são infraestruturas de distribuição de malware.

Malvertising

Anúncios maliciosos em plataformas como Google Ads são usados para distribuir infostealers de forma muito eficaz. O usuário pesquisa por um software legítimo, o primeiro resultado é um anúncio que aponta para um site falso, e o download que parece ser o instalador oficial contém o malware. Em 2023, campanhas desse tipo distribuíram infostealers se passando por Adobe Acrobat, VLC, AnyDesk e dezenas de outros programas populares.

Phishing com anexo malicioso

Emails com documentos Office que pedem para habilitar macros, arquivos ISO que contêm executáveis disfarçados, e PDFs com links para downloads maliciosos são vetores clássicos que continuam eficazes.

Dispositivos pessoais com acesso corporativo

Em ambientes com BYOD (Bring Your Own Device) ou trabalho remoto sem controles adequados, dispositivos pessoais infectados que acessam recursos corporativos se tornam o caminho de entrada. O infostealer captura as credenciais corporativas salvas no navegador do dispositivo pessoal.

Por que infostealers são particularmente perigosos para empresas

O problema central é que o infostealer compromete credenciais legítimas. Quando um atacante usa essas credenciais para acessar sistemas corporativos, o comportamento parece normal para a maioria dos sistemas de monitoramento. O IP pode ser diferente, mas isso sozinho raramente aciona alertas. O horário pode ser suspeito, mas analistas trabalham em horários variados.

A detecção por comportamento é possível, mas requer uma linha de base bem estabelecida e monitoramento ativo. Muitas organizações não têm essa camada.

Outro agravante: os cookies de sessão capturados pelos infostealers mais avançados permitem que o atacante assuma sessões já autenticadas, ignorando completamente a autenticação multifator. Sua empresa pode ter MFA configurado em todos os sistemas, mas se o cookie de uma sessão já autenticada for roubado, o MFA não protege aquela sessão.

Como o BreachFinder detecta o impacto de infostealers

O BreachFinder monitora os canais onde os logs de infostealer são vendidos e distribuídos. Quando credenciais associadas ao domínio de uma organização monitorada aparecem nesses logs, o alerta é gerado imediatamente.

Isso é especialmente valioso porque:

A detecção acontece antes do uso malicioso. O log pode ter sido coletado ontem e publicado hoje para venda. O BreachFinder detecta essa publicação e o cliente recebe o alerta antes que um comprador use as credenciais.

O contexto do log é preservado. O BreachFinder não apenas identifica que uma credencial foi exposta, mas fornece informações sobre a origem (qual campanha de infostealer, qual fórum, qual data estimada), permitindo que a equipe de segurança entenda o escopo do comprometimento.

A cobertura é ampla. Não apenas senhas, mas também cookies de sessão e outros dados capturados pelos infostealers são rastreados, dando visibilidade sobre o que potencialmente está nas mãos do adversário.

Boas práticas para reduzir o risco de infostealer

Algumas medidas reduzem significativamente a exposição:

Proibir o download de software não autorizado em dispositivos que acessam recursos corporativos. Gerenciadores de endpoint ajudam a enforçar essa política.

Não salvar senhas corporativas em navegadores. Gerenciadores de senha dedicados são mais seguros porque as credenciais não ficam expostas no perfil do navegador.

Usar isolamento de sessão para sistemas críticos. Mesmo que um infostealer capture cookies de sessão, se os sistemas mais sensíveis exigirem reautenticação frequente ou usarem tokens de sessão com vida útil curta, o impacto é limitado.

Implementar monitoramento de comportamento de sessão que detecte logins de IPs ou localizações incomuns e exija verificação adicional.

E acima de tudo, monitorar proativamente se credenciais corporativas estão circulando em canais de distribuição de logs de infostealer.

Conclusão

Infostealers transformaram o roubo de credenciais em uma operação industrial. Eles são baratos para quem os opera, difíceis de detectar pelas vítimas, e produzem resultados imediatos e valiosos. Para organizações, o antídoto não é apenas bloquear a infecção, mas também monitorar se o impacto já aconteceu, mesmo sem saber.

Porque na maioria dos casos de comprometimento por infostealer, a organização só descobre o problema quando o atacante já está dentro.