Numa ação internacional sem precedentes, designada "Operação Secure", as forças policiais de 26 países, sob a liderança da Interpol, desferiram um duro golpe contra a infraestrutura de malware do tipo "infostealer". A operação, que decorreu entre janeiro e abril de 2025, resultou em dezenas de detenções e no desmantelamento de servidores cruciais para o cibercrime.
O objetivo principal era desarticular grupos de cibercriminosos especializados no roubo de dados financeiros e pessoais através de infeções em massa. Este tipo de malware é particularmente perigoso, pois foca-se em extrair credenciais de contas, cookies de navegadores e detalhes de carteiras de criptomoedas. Estes dados são depois compilados nos chamados "logs" e vendidos em mercados negros ou usados para lançar ataques mais direcionados contra alvos de alto valor.
Um duro golpe no cibercrime global
Os resultados da "Operação Secure" são impressionantes e demonstram o alcance da colaboração internacional. As autoridades conseguiram:
- Desativar mais de 20.000 IPs e domínios maliciosos ligados a atividades de infostealers.
- Apreender 41 servidores que suportavam as operações deste tipo de malware.
- Deter 32 suspeitos em várias geografias.
- Confiscar mais de 100 GB de dados roubados.
- Notificar mais de 216.000 vítimas cujos dados foram comprometidos.
Durante a investigação, as autoridades identificaram ainda um enorme aglomerado de 117 servidores em Hong Kong, que eram utilizados como infraestrutura de comando e controlo (C2) para campanhas de phishing, fraude online e esquemas em redes sociais. Um dos destaques da ação veio da polícia vietnamita, que deteve 18 suspeitos, incluindo o líder de um grupo dedicado à venda de contas empresariais comprometidas.
A colaboração público-privada foi a chave do sucesso
A "Operação Secure" contou com o apoio fundamental de parceiros privados de cibersegurança, incluindo a Kaspersky, a Group-IB e a Trend Micro.
Num relatório partilhado com o BleepingComputer, a Group-IB especifica que a ação impactou severamente a infraestrutura associada aos malwares Lumma, RisePro e META Stealer. Os investigadores forneceram informações críticas às autoridades sobre a atividade dos operadores e a localização dos seus servidores. A empresa de cibersegurança também monitorizou as contas de Telegram e da dark web que os criminosos usavam para publicitar o malware e vender os dados roubados.
Lumma e META Stealer: alvos recorrentes
Esta não é a primeira vez que estes grupos de malware sentem o peso da lei. O Lumma Stealer sofreu uma interrupção significativa em maio de 2025, após um esforço internacional liderado pelo Departamento de Justiça dos EUA, o FBI e a Microsoft, que resultou na apreensão de 2.300 domínios associados a esta operação de "malware-as-a-service". O acesso a esta ferramenta era vendido a outros cibercriminosos por subscrições que variavam entre 250 e 1.000 dólares (cerca de 230 a 920 euros).
O META Stealer também já tinha sido alvo de uma operação em outubro de 2024. A "Operação Magnus" apreendeu na altura infraestrutura e dados associados a esta plataforma de cibercrime.
Infostealers: a ameaça silenciosa por trás de grandes ataques
Os "infostealers" tornaram-se numa das maiores ameaças à cibersegurança nos últimos anos, servindo como ponto de partida para muitas das fugas de informação mais mediáticas. Os dados roubados através destas infeções de malware foram já associados a incidentes de segurança em grandes empresas como a UnitedHealth, PowerSchool, HotTopic, CircleCI e, mais recentemente, a Snowflake.
Nenhum comentário
Seja o primeiro!