Relatório HP: 57% dos malwares em 2025 são infostealers

Mais da metade dos malwares observados pela HP em 2025 têm como foco direto o roubo de dados de acesso: 57% das famílias mais ativas no 3º trimestre são infostealers voltados a credenciais, cookies de sessão e dados financeiros. Ao mesmo tempo, os atacantes estão refinando iscas visuais (animações de “senha única”, barras de instalação falsas) e usando infraestruturas legítimas como Discord para hospedar payloads, o que aumenta a taxa de cliques e dificulta a detecção por filtros tradicionais.

Principais campanhas destacadas pela HP

Uma das campanhas mais relevantes imitava comunicações da Procuradoria da Colômbia, com e‑mails que levavam a um site “oficial” falso exibindo uma animação automática com uma suposta senha de uso único.
A vítima era induzida a abrir um arquivo compactado protegido por senha; ao extrair e executar o programa modificado, o PureRAT era instalado em segundo plano, dando controle remoto completo ao invasor, com apenas cerca de 4% de amostras similares sendo detectadas por antivírus.

Outra campanha usava PDFs com identidade visual da Adobe que redirecionavam a vítima para uma página simulando atualização do leitor de PDF, com barra de instalação animada.​ O site entregava uma versão adulterada do ScreenConnect, que após instalado se conectava a servidores controlados por criminosos, transformando uma ferramenta legítima de acesso remoto em backdoor persistente.

Discord, Phantom Stealer e “malware como serviço”

Os pesquisadores também observaram uso intensivo do Discord como repositório de malware: os atacantes hospedavam payloads nos servidores da plataforma para aproveitar sua boa reputação e driblar controles baseados em reputação de domínio.​ Antes de instalar o payload, o malware desativava a proteção “Integridade de Memória” do Windows 11 e depois entregava o Phantom Stealer, um infostealer vendido por assinatura com módulos prontos para roubar credenciais, dados de cartão, carteiras de criptomoedas e cookies.

Esses infostealers “as a service” são atualizados com alta frequência para escapar de assinaturas e heurísticas tradicionais, equiparando seu ciclo de desenvolvimento ao de softwares legítimos.​ A combinação de plataforma confiável (Discord), abuso de binários assinados e técnicas como DLL sideloading e injeção .NET aumenta a chance de passar por soluções de segurança sem gatilhar alertas imediatos.

Por que 57% dos malwares viraram infostealer

O relatório aponta que 57% das famílias de malware mais ativas no 3º trimestre de 2025 são classificadas como infostealers, com foco em credenciais, cookies de sessão e dados sensíveis de navegação.​ Para os atacantes, roubar sessão e cookies que mostram que o usuário já está logado é uma forma eficaz de contornar senhas e MFA, acessando contas diretamente sem precisar quebrar o segundo fator.

Essa tendência também alimenta outras fases da cadeia de ataque, como acesso inicial a serviços corporativos, movimentação lateral e fraude financeira, além de abastecer mercados clandestinos de credenciais.​ Mesmo operações pontuais de phishing passam a ter impacto prolongado quando os cookies roubados garantem acesso persistente a e‑mail, SaaS corporativos e painéis de gestão.

Dados estatísticos do Q3 2025

Entre julho e setembro de 2025, 11% dos e‑mails maliciosos que acabaram bloqueados pelo HP Sure Click haviam passado por pelo menos um gateway de e‑mail sem serem barrados.​ Arquivos compactados (.zip, .tar, .z) foram o formato de entrega mais popular, respondendo por 45% dos ataques — um aumento de cinco pontos percentuais em relação ao trimestre anterior.

No mesmo período, PDFs representaram 11% das ameaças bloqueadas, três pontos acima do trimestre anterior, reforçando o papel de documentos aparentemente inofensivos como vetor de infecção.​ Os dados mostram que e‑mail e arquivos de produtividade continuam sendo canais preferenciais, mas agora embalados com visuais ultrarrealistas e fluxos de ataque mais elaborados.

Implicações e defesa: isolamento e visibilidade

A HP destaca que muitas dessas ameaças não são detectadas por camadas tradicionais de segurança, seja por abusarem de plataformas confiáveis, seja por se esconderem em arquivos e fluxos que parecem legítimos para mecanismos baseados em assinatura e reputação.​ Por isso, a estratégia do HP Wolf Security foca em isolar atividades de alto risco — como abrir anexos, PDFs e arquivos compactados — em contêineres no endpoint, permitindo analisar o comportamento do malware sem que ele tenha impacto no sistema real.

Segundo a empresa, mais de 55 bilhões de anexos, páginas e arquivos já foram abertos em ambientes isolados pelos usuários sem qualquer violação relatada, o que reforça o valor de abordagens baseadas em contenção em vez de detecção pura.​ Na prática, organizações precisam combinar esse tipo de isolamento com educação de usuários, endurecimento de configurações do Windows (como manter integridade de memória ativa) e monitoramento de sinais de infostealer, como logins suspeitos, roubo de sessão e atividade anômala de navegadores.