Quando o “vazamento” não vem da empresa: o perigo silencioso dos infostealers nos endpoints dos clientes.
Por Allan Kovalscki
Nos últimos meses, um padrão tem se repetido entre equipes de TI, DPOs e áreas de segurança: empresas sendo alertadas sobre supostos vazamentos de credenciais ligadas aos seus serviços, quando, na verdade, a origem do incidente está muito longe da infraestrutura corporativa.
Um exemplo que vivenciei recente em um cliente reforça a importância de compreender como funcionam os infostealers, um tipo de malware que atua silenciosamente no computador do usuário final, capturando tudo o que ele digita ou acessa, inclusive senhas de portais legítimos. É comum que organizações recebam notificações de entidades como CERTs, parceiros de threat intelligence ou provedores de segurança informando que credenciais relacionadas aos seus domínios foram identificadas em bases de incidentes globais. A reação natural é imaginar que houve um vazamento interno. Mas, na esmagadora maioria dos casos, não houve qualquer invasão nos sistemas da empresa.
A origem está no ponto mais frágil do ecossistema digital: o endpoint (equipamento) do usuário.
Malwares como RedLine, Vidar, Lumma, Rhadamanthys e outros estão entre as principais ameaças de 2024 e 2025. Eles não exploram falhas no servidor da empresa, mas sim, infectam o computador pessoal do cliente, monitorando tudo o que é digitado, capturando logins e senhas usados em sites legítimos e enviando esses dados para servidores dos criminosos.
Quando o usuário acessa o site da empresa enquanto está infectado, o malware registra, normalmente:
- o endereço da página de login,
- o nome de usuário,
- a senha digitada,
- hashes da senha,
- e até o nome do computador infectado.
Essas credenciais acabam circulando em operações de combate ao cibercrime, como no caso recente da Operação Endgame, coordenada por Europol, FBI e parceiros globais. As entidades de resposta a incidentes repassam essas listas para os domínios envolvidos — e a empresa recebe um aviso contendo relatos como:
“Credenciais relacionadas ao seu domínio foram encontradas.”
O que muitas empresas não percebem é que isso, na grande maioria das vezes, não significa vazamento interno. Um alerta de credenciais vazadas só indica responsabilidade da empresa quando há evidências como:
- extração massiva de dados da base interna,
- exploração de vulnerabilidades conhecidas no servidor,
- múltiplos usuários afetados simultaneamente,
- logs de acessos suspeitos no backend,
- dados sensíveis que o usuário não digitou manualmente.
De outra banda, quando o aviso contém:
- nomes de computadores pessoais (ex.: DESKTOP-XXXX),
- senhas digitadas parcialmente mascaradas,
- apenas um ou dois usuários afetados,
- apenas URLs que o cliente acessou,
- hashes gerados pelo malware,
então a causa é quase certamente o endpoint do usuário, não a empresa. Esse é o tipo de análise que precisa ser feito antes de acionar equipes internas, gerar pânico ou comunicar incidentes à Agência Nacional de Proteção de Dados – ANPD.
Mas, mesmo quando a falha está no dispositivo do cliente, a empresa deve seguir boas práticas para garantir boa fé, segurança, transparência e conformidade. A seguir, listo as ações que as empresas devem fazer ao receber um alerta desse tipo:
- Revisar logs e acessos dos usuários afetados
- Identificar atividade incomum
- Verificar tentativas de login suspeitas
- Considerar forçar a troca de senha
- Notificar diretamente os titulares envolvidos
Explicando que:
- há indícios de infecção no dispositivo do usuário,
- a senha precisa ser alterada imediatamente,
- ele deve executar varredura de segurança no computador.
A comunicação deve ser clara, técnica e sem gerar pânico.
- Avaliar se há risco sistêmico para a plataforma
Geralmente não há, mas é prudente:
- checar mecanismos antifraude,
- revisar autenticação multifator,
- reforçar monitoramento comportamental.
- Registrar internamente o ocorrido
O DPO/encarregado deve manter:
- evidências recebidas,
- análise técnica,
- ações adotadas,
- justificativa da conclusão (endpoint infectado).
Esse registro é essencial caso haja questionamento futuro.
Me encaminhando para o final, é importante gizar que alertas de credenciais vazadas são extremamente importantes, mas também precisam ser interpretados corretamente. Na maioria dos casos, não estamos diante de falhas internas, mas sim de comprometimento do endpoint do usuário, que acessou o serviço enquanto estava com malware ativo. O importante é que as empresas ajam com diligência e mantenham uma comunicação eficaz e clara com os titulares, a fim de reduzir riscos, evitar alarmismo e manter a confiança entre empresa e titulares.
