Stealers ou infostealers (“ladrões de informações” em tradução livre) é um tipo de malware cuja função consiste em reunir e extrair alguns tipos de informações do dispositivo da vítima e passá-las ao atacante.
Essas informações podem ser dados de cartões de crédito, tokens e cookies de autenticação e, principalmente, credenciais de acesso. Com isso, o malware stealer pode ser usado tanto por atacantes menores de forma independente para aplicar golpes e obter vantagem, quanto por grandes grupos de ransomware e Advanced Persistent Threats (APTs) para conseguir credenciais de acesso a sistemas internos.
As formas dos atacantes disseminarem este tipo de malware são bem variadas, destacando o uso de engenharia social e suas táticas, a fim de fazer a vítima acreditar que está executando um software ou abrindo um arquivo legítimo.
Quando seu dispositivo está infectado, muitas vezes as pessoas pensam que suas informações de login foram expostas pelos aplicativos e serviços que usam. No entanto, não se trata realmente de um vazamento de dados desses aplicativos e serviços. Em vez disso, os criminosos estão obtendo acesso às informações coletadas dos dispositivos infectados.
Outro ponto de grande relevância é que os stealers podem infectar qualquer tipo de sistema operacional, sendo os principais Windows e Android.
Como os dados são roubados?
As informações alvejadas dependem do tipo e da complexibilidade do stealer que infecta o dispositivo. Uma das características mais comuns dos stealers é abusar do fato dos usuários manterem credenciais e dados financeiros, como os de cartões de crédito, salvos em navegadores.
Entretanto, as formas de atuação dos stealers não se limitam a isto. Também há stealers que roubam tokens de sessão, além de stealers baseados em keyloggers. Um keylogger possui como característica capturar todos os inputs (entradas) provenientes do teclado de um dispositivo. Assim, certos stealers utilizam essa técnica para capturar possíveis credenciais que serão inseridas pelo usuário em algum momento.
Resumidamente, a vítima instala inocentemente o malware em seu dispositivo, seja através de táticas de engenharia social usadas por atacantes ou até mesmo baixando softwares sem ser de canais oficiais, que, irá roubar suas informações e enviará essas informações para o servidor do atacante.
Uma vez em posse dos dados desejados, o atacante pode fazer o que quiser com aquela informação, seja distribuindo a informação coletada para outros atacantes ou até mesmo fazendo a utilização delas para interesse próprio.
E o que é feito com esses dados?
Com as informações coletadas, os atacantes podem conseguir acesso não autorizado a contas pessoais ou corporativas dos usuários afetados, ou realizar transações financeiras fraudulentas em nome da vítima.
As informações coletadas por este tipo de malware são distribuídas através de listas, que quando não são utilizadas pelo próprio controlador do stealer, são comumente compartilhadas e comercializadas na darkweb.
Essas listas são frequentemente chamadas como “logs de stealer” e contém apenas a informação que o malware coleta, isto é, em casos de stealers que roubam credenciais por exemplo, a informação que compõe a lista contém URLs, nomes de usuário e senha inseridos no dispositivo infectado.
E como isso pode afetar meu negócio?
Uma grande preocupação por parte das empresas sobre o que é infostealer é o roubo das credenciais de seus colaboradores.
É importante destacar que uma credencial obtida através do stealer não se trata necessariamente de um vazamento de dados, mas sim, de uma ação do usuário que inseriu credenciais em um dispositivo infectado.
Em alguns casos, colaboradores podem ter seus dispositivos corporativos infectados por stealers, ou então utilizar credenciais corporativas em dispositivos infectados, e por consequência, comprometer o ambiente de trabalho por ter sua credencial roubada. Um exemplo que teve uma grande repercussão, foi o incidente em uma empresa de software que teve seu código fonte indevidamente acessado porque um de seus colaboradores teve sua credencial roubada.
Além disso, é comum que grandes empresas que tenham como adversários em seu perfil de ameaça grupos de ransomware ou outras APTs, receberem ataques de engenharia social, como phishing, para fazer seus funcionários realizarem downloads e executarem o malware no ambiente corporativo, e assim, ter suas credenciais corporativas roubadas após inseri-las em dispositivos infectados.
Outra forma comum de infecção em empresas é o uso indiscriminado de softwares, muitas vezes inocentemente obtidos de forma ilegal pelos seus funcionários, e por consequência, ter o dispositivo infectado por stealer.
E como posso proteger meu negócio?
Além da conscientização exercer um papel fundamental na prevenção de incidentes de segurança, existem diversas outras ações que podem proteger seu negócio de roubos de credenciais por parte de stealers, mas destacamos algumas delas:
• Uso de multifator de autenticação sempre que possível;
• Monitoramento dos dispositivos;
• Monitoramento de acessos do ambiente corporativo e sistemas;
• Uso de ferramentas no dispositivo corporativo, como EDR, XDR entre outros, a fim de evitar a possível infecção de malware;
• Elaboração de políticas de segurança, abordando o uso indiscriminado de softwares em dispositivos corporativos e homologando os softwares a serem devidamente utilizados nos ambientes corporativos;
• Elaboração de políticas de senhas, abordando o uso de senhas compartilhadas, evitando que seus funcionários insiram informações corporativas em dispositivos pessoais ou não homologados pela empresa;
• Conscientização de segurança.
Essas ações sendo devidamente aplicadas no ambiente corporativo irá diminuir as chances de seus colaboradores serem infectados por stealers e terem suas credenciais roubadas.
Outro ponto relevante é quando os usuários finais de um serviço oferecido pela empresa são comprometidos por stealers, isto é, o cliente da empresa e não o seu colaborador.
Nesses casos, é comum a aplicação de golpes por parte de atacantes que ameaçam divulgar essas credenciais como se elas tivessem sido obtidas por uma falha da aplicação da empresa, quando na verdade, elas foram obtidas por causa de um stealer no dispositivo da vítima.
Esse tipo de ação muitas vezes é uma arma poderosa nas mãos de atacantes para chantagear as empresas, principalmente para causar algum dano de imagem e abalar a confiança dos seus clientes.
E como posso proteger os usuários do meu negócio?
Nos casos onde o usuário da aplicação é infectado por stealer, existem algumas ações que podem ser feitas pela empresa a fim de mitigar ataques, golpes e fraudes, sendo algumas delas:
• Habilitação de multifator de autenticação na aplicação: pois caso uma credencial válida seja comprometida, o atacante que tentar autenticar precisará do segundo fator para concluir a autenticação. Em casos de aplicações que lidam com informações sensíveis, é importante que o uso do multifator de autenticação seja um requerimento;
• Reset periódico de cookies de sessão: dessa forma, evita que a mesma instância permaneça conectada por longos períodos utilizando o mesmo token;
• Conscientização dos usuários: envios de campanhas públicas de conscientização pelos principais canais de comunicação da empresa, como redes sociais e e-mail, podem ajudar a manter os usuários informados dos perigos envolvendo a infecção por malware.
É importante destacar que senhas expostas por causa de stealers não se trata necessariamente de uma falha na aplicação que permitiu um possível vazamento de credenciais, mas sim, que o usuário final realizou autenticação em um dispositivo infectado, e assim, tendo suas credenciais roubadas.