Login
Close Menu
    35% das infecções por infostealers começam em pastas temporárias
    Cibersegurança Destaques Notícias

    35% das infecções por infostealers começam em pastas temporárias

    By 5 Mins Read

    Uma nova pesquisa da Kaspersky DFI revelou que mais de um terço das infecções por infostealers começa quando usuários executam arquivos diretamente a partir de pastas temporárias

    Hábitos de risco, como baixar programas de fontes não confiáveis e desativar ferramentas de segurança, seguem entre os principais fatores por trás do roubo de credenciais

    Uma nova pesquisa da Kaspersky Digital Footprint Intelligence (DFI) revelou que mais de um terço das infecções por infostealers começa quando usuários executam arquivos diretamente a partir de pastas temporárias. O dado mostra que o comportamento do usuário continua sendo um fator central no roubo de credenciais. Apenas 32% dos ataques com infostealers utilizam técnicas de injeção de processos e ataques living-off-the-land, comportamento típico de famílias de malware mais avançadas. Veja como se proteger.

    Os pesquisadores da Kaspersky DFI analisaram 5 milhões de arquivos de registro (logs) de infostealers encontrados na dark web em 2025. Esses registros, que contêm dados roubados de dispositivos comprometidos, como credenciais de contas, cookies de navegador e metadados do sistema, também indicaram onde os arquivos maliciosos estavam armazenados originalmente nas máquinas infectadas.

    O local mais comum foi o diretório temporário do Windows, C:\Users\AppData\Local\Temp\, responsável por aproximadamente 35% de todos os casos observados. Essa pasta é normalmente usada para armazenar arquivos baixados da internet antes que o usuário escolha onde salvá-los. Uma parcela significativa das infecções ocorre quando os usuários executam diretamente os arquivos baixados, sem exigir dos cibercriminosos técnicas sofisticadas para escapar da detecção.

    Na sequência, com cerca de 32% dos casos, aparece o caminho C:\Windows\Microsoft.NET\Framework\. Esse caminho está associado a técnicas de injeção de processos e ataques living-off-the-land, nas quais o malware faz uso indevido de processos legítimos do sistema para evitar a detecção. Esse comportamento é observado com frequência em famílias de infostealers mais avançadas, incluindo o Lumma.

    A análise indica que as infecções frequentemente estão ligadas a dois comportamentos de risco por parte dos usuários: baixar software de fontes não confiáveis e tentar ativar programas de forma ilegal. Em muitos casos, as vítimas seguem instruções fornecidas pelos cibercriminosos e desativam o software de segurança antes de executar arquivos maliciosos. Segundo a pesquisa, muitos desses arquivos estavam disfarçados como instaladores de software legítimo, ativadores ou modificações de jogos (mods). Embora os mods de jogos continuem sendo uma isca comum, os atacantes adaptam com frequência as mesmas técnicas para distribuir praticamente qualquer tipo de software.

    Os infostealers ganharam força em 2025, com alta de 59% nas infecções em comparação com o ano anterior. Nossa análise mostra que o comportamento do usuário continua sendo um fator determinante em muitos desses comprometimentos. O volume de infostealers executados a partir de pastas temporárias de download sugere que os usuários frequentemente os iniciam imediatamente após o download. Em muitos casos, os cibercriminosos não precisam de técnicas sofisticadas: basta convencer o usuário a executar um arquivo”, afirma João Brandão, analista do time Digital Footprint Intelligence da Kaspersky.

    Além dos padrões comportamentais, também foram observados padrões distintos de nomenclatura entre diferentes famílias de infostealers. O Lumma tende a usar nomes genéricos de instaladores, ofuscação em .NET e injeção de processos. O Vidar, por sua vez, aparece normalmente como variantes de Bootstrapper.exe, dependentes de loaders convencionais. Já o Stealc adota uma estratégia mista, utilizando tanto nomes descritivos, como Licence_Version_Loader.exe, quanto nomes de arquivos gerados aleatoriamente. O RisePro, por outro lado, se destaca por convenções recorrentes, como MPGPH.exe e MSIUpdater.exe.

    Para reduzir o risco de infecções por infostealers, a Kaspersky recomenda que as empresas adotem as seguintes medidas:

    • Adotar um serviço abrangente de proteção contra riscos digitais, capaz de monitorar os ativos digitais das organizações e detectar ameaças na web aberta, deep web ou dark web, como o Kaspersky Digital Footprint Intelligence.
    • Oferecer às equipes de InfoSec ampla visibilidade sobre as ciberameaças direcionadas à organização. O Kaspersky Threat Intelligence fornece contexto amplo e relevante ao longo de todo o ciclo de gestão de incidentes e ajuda a identificar ciberriscos com rapidez.

    Para se manterem seguros, as recomendações aos usuários são:

    • Baixar software apenas de fontes oficiais e confiáveis, evitando programas piratas, cracks, ativadores e instaladores não oficiais.
    • Utilizar uma solução de segurança robusta em todos os computadores e dispositivos móveis, como o Kaspersky Premium. A solução alerta sobre possíveis ameaças e ajuda a evitar infecções.
    • Gerenciar dados sensíveis de forma segura: evitar armazenar senhas ou frases de recuperação na galeria de fotos ou em aplicativos de notas e, em vez disso, utilizar um gerenciador de senhas dedicado e confiável, como o Kaspersky Password Manager.
    • Nunca desativar o antivírus nem ferramentas de segurança para instalar software, além de ter cautela ao baixar mods de jogos, cheats ou utilitários de terceiros.
    • Manter sistemas operacionais e aplicativos atualizados, utilizar senhas fortes e únicas e habilitar a autenticação multifator sempre que possível.

    Sobre a Kaspersky 

    A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. Com mais de um bilhão de dispositivos protegidos até o momento contra ciberameaças emergentes e ataques direcionados, a profunda expertise em inteligência e segurança de ameaças da Kaspersky são constantemente transformadas em soluções e serviços inovadores para proteger pessoas, empresas, infraestruturas críticas e governos ao redor do mundo. O portfólio completo de segurança da empresa inclui a proteção líder para dispositivos pessoais, produtos e serviços de segurança especializados para empresas, assim como soluções de ciberimunidade para combater ameaças digitais sofisticadas e em evolução. Ajudamos milhões de pessoas e cerca de 200.000 clientes corporativos a proteger o que mais valorizam.

    O ChatGPT não te conhece! E isso é um problema de negócio

    O que o ransomware Sorry Worm, o trojan Grandoreiro e a IA têm em comum?

    ID Talk | Karina Miranda, do Demarest, analisa impactos da IA na arbitragem durante evento do Conima

    ID Talk | CertForum-ID 2026: Innovatrics apresenta soluções biométricas para segurança pública, investigação forense e onboarding digital

    Gartner identifica quatro ameaças críticas que exigem melhorias urgentes por parte dos líderes em segurança cibernética

    O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.

    Conheça a coluna Cibersegurança.

    Cibersegurança

    Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!

    Compartilhe:

    Produzido por: Insania

    © 2014  CryptoID. Todos os direitos reservados.

    Fique sempre informado sobre tudo o que acontece.

      Área de atuação*

      Nível de experiência*

      Isso vai fechar em 0 segundos