Mais da metade dos malwares observados pela HP em 2025 têm como foco direto o roubo de dados de acesso: 57% das famílias mais ativas no 3º trimestre são infostealers voltados a credenciais, cookies de sessão e dados financeiros. Ao mesmo tempo, os atacantes estão refinando iscas visuais (animações de “senha única”, barras de instalação falsas) e usando infraestruturas legítimas como Discord para hospedar payloads, o que aumenta a taxa de cliques e dificulta a detecção por filtros tradicionais.
Principais campanhas destacadas pela HP
Uma das campanhas mais relevantes imitava comunicações da Procuradoria da Colômbia, com e‑mails que levavam a um site “oficial” falso exibindo uma animação automática com uma suposta senha de uso único.
A vítima era induzida a abrir um arquivo compactado protegido por senha; ao extrair e executar o programa modificado, o PureRAT era instalado em segundo plano, dando controle remoto completo ao invasor, com apenas cerca de 4% de amostras similares sendo detectadas por antivírus.
Outra campanha usava PDFs com identidade visual da Adobe que redirecionavam a vítima para uma página simulando atualização do leitor de PDF, com barra de instalação animada. O site entregava uma versão adulterada do ScreenConnect, que após instalado se conectava a servidores controlados por criminosos, transformando uma ferramenta legítima de acesso remoto em backdoor persistente.
Discord, Phantom Stealer e “malware como serviço”
Os pesquisadores também observaram uso intensivo do Discord como repositório de malware: os atacantes hospedavam payloads nos servidores da plataforma para aproveitar sua boa reputação e driblar controles baseados em reputação de domínio. Antes de instalar o payload, o malware desativava a proteção “Integridade de Memória” do Windows 11 e depois entregava o Phantom Stealer, um infostealer vendido por assinatura com módulos prontos para roubar credenciais, dados de cartão, carteiras de criptomoedas e cookies.
Esses infostealers “as a service” são atualizados com alta frequência para escapar de assinaturas e heurísticas tradicionais, equiparando seu ciclo de desenvolvimento ao de softwares legítimos. A combinação de plataforma confiável (Discord), abuso de binários assinados e técnicas como DLL sideloading e injeção .NET aumenta a chance de passar por soluções de segurança sem gatilhar alertas imediatos.
Por que 57% dos malwares viraram infostealer
O relatório aponta que 57% das famílias de malware mais ativas no 3º trimestre de 2025 são classificadas como infostealers, com foco em credenciais, cookies de sessão e dados sensíveis de navegação. Para os atacantes, roubar sessão e cookies que mostram que o usuário já está logado é uma forma eficaz de contornar senhas e MFA, acessando contas diretamente sem precisar quebrar o segundo fator.
Essa tendência também alimenta outras fases da cadeia de ataque, como acesso inicial a serviços corporativos, movimentação lateral e fraude financeira, além de abastecer mercados clandestinos de credenciais. Mesmo operações pontuais de phishing passam a ter impacto prolongado quando os cookies roubados garantem acesso persistente a e‑mail, SaaS corporativos e painéis de gestão.
Dados estatísticos do Q3 2025
Entre julho e setembro de 2025, 11% dos e‑mails maliciosos que acabaram bloqueados pelo HP Sure Click haviam passado por pelo menos um gateway de e‑mail sem serem barrados. Arquivos compactados (.zip, .tar, .z) foram o formato de entrega mais popular, respondendo por 45% dos ataques — um aumento de cinco pontos percentuais em relação ao trimestre anterior.
No mesmo período, PDFs representaram 11% das ameaças bloqueadas, três pontos acima do trimestre anterior, reforçando o papel de documentos aparentemente inofensivos como vetor de infecção. Os dados mostram que e‑mail e arquivos de produtividade continuam sendo canais preferenciais, mas agora embalados com visuais ultrarrealistas e fluxos de ataque mais elaborados.
Implicações e defesa: isolamento e visibilidade
A HP destaca que muitas dessas ameaças não são detectadas por camadas tradicionais de segurança, seja por abusarem de plataformas confiáveis, seja por se esconderem em arquivos e fluxos que parecem legítimos para mecanismos baseados em assinatura e reputação. Por isso, a estratégia do HP Wolf Security foca em isolar atividades de alto risco — como abrir anexos, PDFs e arquivos compactados — em contêineres no endpoint, permitindo analisar o comportamento do malware sem que ele tenha impacto no sistema real.
Segundo a empresa, mais de 55 bilhões de anexos, páginas e arquivos já foram abertos em ambientes isolados pelos usuários sem qualquer violação relatada, o que reforça o valor de abordagens baseadas em contenção em vez de detecção pura. Na prática, organizações precisam combinar esse tipo de isolamento com educação de usuários, endurecimento de configurações do Windows (como manter integridade de memória ativa) e monitoramento de sinais de infostealer, como logins suspeitos, roubo de sessão e atividade anômala de navegadores.






