Alerta para a escalada dos infostealers na América Latina
A América Latina vive hoje uma explosão de ataques envolvendo infostealers – malwares especializados em roubar credenciais e dados sensíveis. Um levantamento recente da Vision Cybersecurity, empresa brasileira focada em segurança digital, mostra a dimensão do problema: mais de 5 milhões de credenciais de uso doméstico já foram comprometidas na região, além de quase 100 mil credenciais corporativas expostas em um intervalo relativamente curto de tempo.
Comparando o período de janeiro a junho de 2025 com janeiro a maio de 2026, a Vision identificou um salto de 54% nas detecções de infostealers e um aumento de 56% no volume total de credenciais vazadas. Esses números indicam não apenas um crescimento pontual, mas uma tendência clara de consolidação desse tipo de ameaça como uma das principais portas de entrada para crimes digitais na região.
Entre os malwares mais ativos, o RedLine lidera com folga: ele é responsável por cerca de 50% das infecções mapeadas na América Latina. Em segundo lugar aparece o Lumma, com aproximadamente 15% de participação, mas com uma curva de crescimento muito acentuada – o que chama a atenção dos especialistas. De acordo com a Vision, o Lumma se destaca pela capacidade avançada de evasão de defesas tradicionais e por ter como alvo preferencial credenciais corporativas, essenciais para invasões mais sofisticadas.
O RedLine, por sua vez, continua sendo um dos infostealers mais versáteis e disseminados. Ele é especializado em capturar credenciais de acesso, cookies de sessões, dados de preenchimento automático de navegadores e carteiras de criptomoedas. Sua propagação ocorre principalmente por meio de campanhas de phishing, download de softwares piratas, cracks e keygens, explorando o hábito de muitos usuários de buscar programas gratuitos ou ativadores ilegais, sem considerar os riscos de segurança.
O relatório da Vision descreve uma cadeia operacional bastante estruturada por trás desses ataques. O ciclo costuma seguir esta sequência: primeiro, ocorre a infecção do dispositivo do usuário; em seguida, o malware executa o roubo de credenciais e outros dados; depois, essas informações são exfiltradas e organizadas em bases; então, são colocadas à venda em fóruns clandestinos; criminosos compram os pacotes de dados; utilizam as credenciais para acessar redes corporativas ou contas sensíveis; e, por fim, executam fraudes, implantam ransomware ou praticam extorsão.
O ponto crítico desse modelo é o valor das credenciais corporativas. Segundo a Vision, essas credenciais comprometidas dão acesso direto a VPNs, contas de Microsoft 365, sistemas de gestão como ERPs e CRMs, além de ambientes em nuvem. Uma vez dentro desse ecossistema, os invasores conseguem realizar movimento lateral, escalar privilégios, implantar ransomware em larga escala e cometer fraudes financeiras, muitas vezes sem serem detectados de imediato.
No Brasil, que concentra a maior superfície digital corporativa da América Latina, o cenário é ainda mais delicado. A Vision alerta que os infostealers já figuram entre os principais vetores de acesso inicial para ataques de ransomware e para golpes de tomada de conta (account takeover), em que criminosos assumem o controle de perfis corporativos ou de clientes. Esse tipo de ataque costuma ter forte impacto reputacional, regulatório e financeiro para as empresas vítimas.
Diante desse quadro, a empresa recomenda um conjunto de medidas prioritárias: implementação ampla de autenticação multifator (MFA), monitoramento contínuo de vazamentos e da exposição de credenciais em ambientes clandestinos, adoção de soluções de EDR/XDR para detecção e resposta a ameaças em endpoints e redes, treinamento recorrente de colaboradores sobre phishing e engenharia social, além de uma gestão rigorosa de senhas – com troca periódica e uso de gerenciadores confiáveis.
Para a Vision, o que se observa hoje é um amadurecimento claro das operações criminosas na região. O uso de infostealers deixou de ser esporádico e passou a integrar cadeias de ataque bem planejadas, muitas vezes operadas por grupos especializados em diferentes etapas: desenvolvimento de malware, distribuição, venda de dados, acesso inicial e, por fim, exploração por meio de ransomware ou golpes financeiros. Nesse contexto, ganha importância a existência de times dedicados de Threat Intelligence e de estruturas voltadas à visibilidade da exposição digital das organizações.
Por que os infostealers se expandem tão rápido na região?
A combinação de fatores econômicos, tecnológicos e culturais ajuda a explicar a escalada dos infostealers na América Latina. A popularização do trabalho remoto e híbrido ampliou o uso de dispositivos pessoais para atividades corporativas, criando uma zona cinzenta entre o ambiente doméstico e o corporativo. Muitos desses equipamentos não contam com as mesmas camadas de proteção presentes na infraestrutura da empresa, tornando-se um alvo mais fácil para campanhas de malware.
Além disso, a alta taxa de utilização de softwares não licenciados e soluções “gratuitas” obtidas de fontes não confiáveis cria um terreno fértil para a disseminação de infostealers. Criminosos empacotam o malware junto com instaladores de programas muito procurados – editores de vídeo, suítes de escritório, jogos e ferramentas de produtividade – explorando o apelo econômico em uma região marcada por desigualdade de renda.
Outro ponto relevante é a profissionalização da economia do cibercrime. A venda de pacotes de credenciais roubadas segmentadas por país, setor ou tipo de acesso, aliada a modelos de crime como serviço (em que grupos alugam infraestrutura ou malwares prontos), reduz a barreira de entrada para novos criminosos. Assim, mesmo atores com baixo conhecimento técnico conseguem comprar kits ou serviços completos para realizar ataques usando infostealers como etapa inicial.
Impactos práticos para empresas e usuários
Para empresas, o comprometimento de credenciais não significa apenas o risco de invasão pontual. Um único conjunto de credenciais pode abrir portas para espionagem corporativa, alteração de dados sensíveis, fraudes internas simuladas e, em casos extremos, paralisação de operações inteiras devido à criptografia de sistemas por ransomware. Em setores regulados – como financeiro, saúde e telecom – as consequências se estendem a multas, sanções e perda de confiança do mercado.
Usuários finais também sofrem de forma intensa. Infostealers voltados ao ambiente doméstico capturam logins bancários, acessos a carteiras digitais, contas em lojas virtuais e redes sociais. Isso pode resultar em esvaziamento de contas, compras fraudulentas, chantagem com dados pessoais e uso de perfis para espalhar golpes entre contatos. Como grande parte das pessoas reutiliza senhas em vários serviços, o vazamento em um único site pode comprometer toda a vida digital do indivíduo.
Medidas práticas de proteção para organizações
Além das recomendações já apontadas pela Vision, empresas podem reforçar sua estratégia de defesa contra infostealers com algumas ações adicionais:
– Implementar políticas de Zero Trust, assumindo que nenhum acesso é totalmente confiável por padrão, mesmo vindo da rede interna.
– Segmentar a rede corporativa, limitando o impacto de uma eventual credencial comprometida.
– Habilitar logs detalhados e correlação de eventos de autenticação, de forma a detectar comportamentos anômalos, como logins simultâneos vindos de países diferentes.
– Realizar campanhas periódicas de simulação de phishing para medir o nível de exposição dos colaboradores e ajustar treinamentos.
– Estabelecer processos claros de resposta a incidentes, incluindo revogação rápida de credenciais, bloqueio de acessos suspeitos e comunicação estruturada com clientes e parceiros quando necessário.
Também é essencial revisar com regularidade os privilégios de acesso. Contas com permissões excessivas representam um risco enorme quando comprometidas por infostealers. A adoção do princípio do menor privilégio, em que cada usuário mantém apenas os acessos estritamente necessários para suas funções, reduz consideravelmente o potencial de dano.
O que usuários comuns podem fazer para se proteger
Do lado dos usuários individuais, algumas práticas simples podem reduzir bastante o risco de infecção e de roubo de credenciais:
– Evitar baixar softwares de sites desconhecidos, especialmente versões “crackeadas” ou ativadores.
– Manter sistema operacional, navegador e aplicativos sempre atualizados.
– Utilizar um antivírus ou suíte de segurança confiável com proteção em tempo real.
– Ativar a autenticação em duas etapas em todos os serviços críticos, como e-mail, bancos, redes sociais e nuvens pessoais.
– Usar um gerenciador de senhas e evitar reutilizar a mesma senha em vários serviços.
– Desconfiar de mensagens não solicitadas que peçam instalação de arquivos, atualização urgente de aplicativos ou fornecimento de dados de login.
Outra boa prática é revisar periodicamente as sessões ativas e dispositivos conectados em contas importantes, como serviços de e-mail e plataformas de colaboração. Muitos infostealers exploram justamente o fato de que o usuário não percebe que um invasor está utilizando sua conta em paralelo, mantendo-se invisível por meses.
Perspectivas para os próximos anos
Com o crescimento da digitalização de serviços na América Latina, a tendência é que a atratividade da região para grupos especializados em infostealers continue em alta. A evolução do ecossistema de cibercrime indica que veremos malwares cada vez mais modulares, com capacidade de driblar soluções tradicionais por meio de técnicas de criptografia, ofuscação de código e atualização constante.
Ao mesmo tempo, ferramentas de defesa também devem se tornar mais inteligentes, usando análise comportamental, inteligência artificial e correlação massiva de dados para identificar padrões de infostealers, mesmo quando o código do malware muda. Organizações que anteciparem essa necessidade, investindo em visibilidade, automação e inteligência de ameaças, estarão em posição muito mais favorável para enfrentar a “pandemia” de roubo de credenciais.
Em última análise, o cenário descrito pela Vision Cybersecurity deixa um recado claro: infostealers deixaram de ser uma ameaça secundária e passaram a ocupar o centro da estratégia de muitos grupos criminosos na América Latina. Mitigar esse risco exige não só tecnologia, mas também mudança cultural, processos bem definidos e uma postura de vigilância constante, tanto por parte das empresas quanto dos usuários finais.