Infostealers e o Modelo MaaS: A nova economia do Cibercrime

Uma ameaça em expansão que redefine risco, exposição e resiliência digital nas organizações

A nova economia do cibercrime tornou‑se um dos principais riscos económicos da era digital. Impulsionada pela rápida digitalização, pela profissionalização do crime online e pela consolidação de modelos de crime‑as‑a‑service (CaaS), esta indústria ilegal opera hoje à escala global.

Segundo o CNCS, os Infostealers já representam mais de 80% da atividade de malware observada no terceiro trimestre de 2025, sendo a variante Agent Tesla responsável por cerca de um terço de todo o código malicioso registado em 2024, um indicador claro da sofisticação e da recorrência das ameaças cibernéticas. Neste contexto, ransomware, roubo e comercialização de dados alimentam mercados ilegais altamente lucrativos, com impactos diretos na continuidade dos negócios, na confiança digital e na segurança da informação, tornando a cibersegurança, a gestão do risco empresarial e a regulação digital prioridades estratégicas para empresas e decisores.

Neste artigo, a PwC explica de forma clara o que são os Infostealers, como se propagam e porque se tornaram uma das principais ameaças de cibersegurança, técnicas de evasão e modelos mais comuns, bem como um conjunto de recomendações para empresas e utilizadores individuais.
 

Antes de analisar o impacto nos negócios e na segurança, importa perceber o que são os Infostealers e como chegam aos sistemas.

Os Information Stealer Malware (“Infostealers”) são um tipo de software malicioso que se infiltra nos endpoints com o objetivo de extrair informação sensível, como credenciais (user/password), histórico de navegação, informações de cartões de crédito, ou cookies, podendo ainda servir como vetor inicial de ataques de ransomware.

Os principais meios de propagação deste tipo de malware incluem anexos de email maliciosos e campanhas de phishing, software pirateado ou sem licença (onde entram sob a forma de trojan), Search Engine Poisoning, malvertising, técnicas de engenharia social como Clickfixing, e ainda a navegação em websites maliciosos.

Embora os Infostealers não sejam um malware recente, a sua presença em ciberataques tornou-se particularmente evidente a partir de meados de 2023, registando um crescimento exponencial de utilização que atingiu cerca de 600% num período de três anos, segundo a Kaspersky. Em 2024 tornaram-se o malware mais prevalente, com estimativas que apontam para o roubo de aproximadamente 2,1 mil milhões de credenciais apenas nesse ano. Em 2025 tornaram-se a categoria de malware com crescimento mais rápido.
 

A eficácia dos Infostealers reside, em grande parte, nas técnicas de evasão que lhes permitem operar de forma silenciosa.

Hoje, os Infostealers tiram partido de ferramentas nativas e serviços legítimos, induzindo o utilizador a executar determinadas ações ou comandos. Desta forma, o atacante procura recolher credenciais e dados operando de forma oculta, camuflado por comportamentos legítimos do utilizador e por ferramentas nativas que não levantam suspeitas.

Uma característica particularmente preocupante é a capacidade de recolha de cookies e tokens de sessão do navegador, que podem permitir ao atacante assumir o controlo da sessão ativa do utilizador ou contornar a segurança fornecida pela autenticação duplo/múltiplo fator.

Além da eventual monetização pela venda de credenciais e dados ilicitamente obtidos, através da informação recolhida, os Infostealers permitem, frequentemente, a apropriação indevida de acesso a contas legítimas (Account Takeover) conduzindo a violações de segurança corporativas que podem ser difíceis de detetar em tempo útil. A posse de credenciais legítimas válidas permite, muitas vezes, o acesso inicial necessário para desencadear um ataque cibernético mais complexo – por exemplo, um ataque de ransomware, exposição de dados sensíveis ou outras iniciativas maliciosas com impacto direto no negócio e na reputação da organização.

Os Infostealers não são uma ameaça exclusiva às organizações, também representam um risco significativo para utilizadores individuais, permitindo acesso a dados pessoais, contas digitais e dispositivos domésticos, que podem servir de porta de entrada “válida” em redes corporativas.
 

O modelo MaaS reduz significativamente a barreira de entrada no cibercrime, permitindo que atacantes com baixos conhecimentos técnicos propaguem campanhas eficazes de Infostealing.

Atualmente, este tipo de ciberataques representa uma ameaça crescente, não só devido ao aumento do número de variantes disponíveis no mercado clandestino e pela facilidade de acesso a este tipo de malware, mas também pelo seu elevado grau de eficácia, pela capacidade de distribuir malware adicional, e pela evolução das técnicas de evasão, misturando-se com o comportamento legítimo do utilizador, tornando-se cada vez mais difíceis de detetar até mesmo por soluções Endpoint Detection and Response (EDR).

Entre as técnicas de evasão mais comuns encontram-se a injeção de processos (ocultação do código em aplicações legítimas), a execução exclusivamente em memória (fileless) ou o polimorfismo (alteração contínua do código para evitar reconhecimento através de assinaturas). Frequentemente, após concluírem a sua ação, os Infostealers conseguem autoapagar-se dificultando a obtenção de evidências e o rastreamento da sua atuação.

O modelo MaaS facilita o acesso a kits de Infostealing através da dark web, mediante subscrição, contribuindo significativamente para a “popularização” deste tipo de ataques.
 

Nos últimos anos, um conjunto restrito de Infostealers dominou o ecossistema de ataques, destacando‑se pela sua adoção em larga escala, integração com modelos MaaS e ligação crescente a campanhas de ransomware e comprometimento de identidades.

Entre as variantes mais conhecidas de Infostealers, destacam-se RedLine, LummaC2 e StealC:

Num contexto nacional, os Infostealers mais predominantes são o “Agent Tesla” – que em 2024 representou cerca de um terço das deteções – Lumma Stealer, JS/Agent e Magecart. Os setores mais visados incluem administração pública, indústria, educação, saúde e serviços financeiros.
 

A mitigação do risco associado a Infostealers exige uma abordagem preventiva e em múltiplas camadas, combinando boas práticas de cibersegurança, controlo de identidades e soluções técnicas adequadas para utilizadores e organizações.

Os Infostealers deixaram de ser uma ameaça técnica para se tornarem um risco estratégico. O modelo Malware‑as‑a‑Service acelerou a sua disseminação e eficácia, permitindo que atacantes operem com baixo custo, elevada escala e grande capacidade de evasão. As organizações enfrentam agora um cenário onde a perda de credenciais, o acesso indevido e o compromisso de identidades representam um impacto real no negócio, na continuidade operacional e na confiança dos clientes.

Num contexto de economia do cibercrime cada vez mais industrializada, os Infostealers tornaram‑se um catalisador de ataques complexos, exigindo uma resposta estruturada, contínua e alinhada com a gestão do risco empresarial.

Se a sua organização quer reforçar a proteção contra Infostealers ou outras ameaças emergentes, fale connosco, podemos ajudar a avaliar riscos, fortalecer capacidades e elevar a sua resiliência digital.
Fale com um especialista