Na primeira edição deste ano do Boletim do Centro Nacional de Cibersegurança, o destaque vai para os infostealers, ou stealers, um tipo de código malicioso desenvolvido para recolher dados sensíveis de forma dissimulada em sistemas informáticos. “Os infostealers recolhem dados extremamente delicados tais como palavras-passe, cookies, detalhes bancários, carteiras de criptomoedas, emails e outros documentos”, alerta o CNCS. “Este código malicioso representa um desafio elevado, pois permite contornar algumas das boas práticas clássicas na proteção de dados”.

Este tipo de ameaça não é novo, identificado pelo menos desde 2007, quando o Worm Zeus começou a fazer estragos. Como também sublinha o Boletim, o nível de ameaça deste tipo de malware foi crescendo ao longo dos anos, com o desenvolvimento de múltiplas variantes mais sofisticadas. Nestas novas variantes destacam-se a capacidade de recolher dados sensíveis de forma massiva e a habilidade para perpetrar ciberataques de larga escala, de que é exemplo o ataque à Uber em 2022.

A contribuir para a consolidação deste tipo de ameaças está “um ecossistema comercial composto por fóruns online que operam como mercados”, onde se destacam atores que vendem o acesso a infostealers, numa lógica de malware as a service e os atores que vendem logs com dados recolhidos por infostealers.

Recorrendo aos dados da matriz MITRE ATT&CK Enterprise, que monitoriza 30 variantes deste tipo de malware, o CNCS sublinha que a técnica de acesso inicial mais usada nestes esquemas é o spearphishing com anexo, presente em 43% das variantes. O spearphishing com link é a segunda técnica mais usada (em 30% dos casos). Foram também identificadas técnicas de “replication through removable media”, que permitem a distribuição do malware através de dispositivos USB e de drive-by compromise, ou seja, que favorecem a distribuição durante a visita a um website comprometido.

CNCS - Infostealers
créditos: CNCS

Na recolha de dados e acesso a credenciais, destacam-se as “técnicas de captura de input, como o keylogging, presente em 60% das variantes”, revela o CNCS, bem como técnicas para captura de ecrã (36%), ou captura de áudio e de vídeo (10%). Em 46% das variantes utilizadas detetaram-se também técnicas para a recolha direta de credenciais em browsers, gestores de palavras-passe e ficheiros, ou em cookies.

Utilizadores pessoais e profissionais têm sido os alvos deste tipo de ataques. Com a pandemia e a ascensão do trabalho remoto, o nível de risco e a forma de tirar partido dele para estes dois tipos de alvos aproximou-se. Em muitas empresas, o teletrabalho impôs a utilização de equipamentos pessoais e facilitou o acesso dos atacantes a sistemas que passaram a estar mais vulneráveis ao acesso por terceiros.

Em contexto de utilização pessoal, os esquemas de phishing, smishing e vishing são muitas vezes o primeiro passo para ser vítima deste tipo de malware. O ataque à Uber em 2022, reclamado pelo grupo Lapsus$, mostra isso mesmo. A análise posterior revelou que a intrusão terá sido possível na sequência da aquisição na dark web de credenciais de um colaborador da empresa subcontratado. A informação foi recolhida do seu computador que tinha sido infetado por malware.

O Boletim do CNCS deixa algumas recomendações às empresas, que passam pela sensibilização dos colaboradores para estas ameaças e pela implementação de processos para lidar com situações de credenciais roubadas. Recomendam-se ainda políticas de autenticação que privilegiem a combinam de dois ou mais fatores.