article Blog PurpleHat

Credenciais corporativas na dark web: o risco estrutural para empresas brasileiras

Publicado em
Capa do artigo Credenciais corporativas na dark web: o risco estrutural para empresas brasileiras

Um bilhão de credenciais — o custo silencioso da exposição

Operações de inteligência de ameaças recuperaram mais de 1 bilhão de credenciais associadas a indivíduos e organizações brasileiras em fóruns da dark web, canais Telegram e marketplaces clandestinos. Esse número — que inclui combinações de e-mail/senha, tokens de sessão e cookies de autenticação — posiciona o Brasil entre os países com maior exposição de identidades digitais do mundo.

A gravidade não está apenas no volume, mas na qualidade das credenciais expostas: grande parte inclui acesso a VPNs corporativas, portais de RDP, plataformas de ERP e contas de e-mail institucional.

Como as credenciais chegam à dark web

O ecossistema dos infostealers

Infostealers são malwares especializados em coletar credenciais armazenadas em navegadores, clientes de e-mail e aplicações. Entre os mais ativos no Brasil em 2024–2025, destacam-se:

LummaC2 — O stealer mais distribuído globalmente. Opera sob modelo MaaS (Malware-as-a-Service), com painel web para afiliados e capacidade de extrair carteiras de criptomoedas, cookies de autenticação e senhas de 2FA de aplicativos como Google Authenticator.

RedLine Stealer — Veterano do mercado, ainda amplamente utilizado por sua simplicidade. Foco em navegadores Chromium-based (Chrome, Edge, Brave), coletando senhas salvas, preenchimento automático e histórico de navegação.

Meduza Stealer — Desenvolvido por grupo russo, com crescente presença em campanhas direcionadas ao Brasil. Especializado em ferramentas de desenvolvimento (VS Code, IntelliJ), clientes de banco de dados e chaves SSH.

Stealc — Variante leve focada em sistemas Windows, capaz de capturar credenciais de mais de 75 extensões de navegador.

Canais de distribuição no Brasil

Os infostealers chegam às vítimas brasileiras principalmente através de:

  1. Software crackeado — Downloads de versões piratas de Adobe, AutoCAD, Microsoft Office e jogos distribuídos em sites brasileiros de pirataria frequentemente vêm com stealer embutido.

  2. Malvertising — Anúncios no Google e YouTube que simulam páginas de download de softwares legítimos (AnyDesk, TeamViewer, Zoom). Usuários que pesquisam “baixar AnyDesk” frequentemente encontram resultados patrocinados falsos.

  3. Phishing com temática brasileira — E-mails com faturas, cobranças SERASA, notificações de entrega e alertas da Receita Federal que induzem o download de anexos maliciosos.

  4. Pacotes npm/pip maliciosos — Risco crescente para desenvolvedores. Pacotes com nomes similares aos de bibliotecas populares coletam credenciais de CI/CD, tokens do GitHub e chaves da AWS.

O caminho até a dark web

Após a coleta, as credenciais seguem um ciclo bem definido:

Infostealer → Operador MaaS → Logs brutos

Parsing e categorização por País/Empresa

Venda em lotes (bulk) em fóruns como RAMP, BreachForums, XSS

Initial Access Brokers (IABs) compram acesso de alto valor

Revenda para grupos de ransomware / espionagem

O preço varia significativamente: credenciais de acesso a redes VPN de empresas financeiras brasileiras podem ser vendidas entre US$ 500 e US$ 5.000, enquanto logs brutos são comercializados em lotes de milhares por centavos cada.

O mercado PT-BR na dark web

Um diferencial crítico para organizações brasileiras: existe um ecossistema criminoso em português que opera com conhecimento profundo do contexto local. Canais Telegram brasileiros especializados em:

  • Compartilhamento de logs de infostealers com filtro por “.com.br”
  • Venda de dados de CPF, CNPJ e informações bancárias
  • Tutoriais em PT-BR sobre fraudes financeiras específicas do Brasil (Pix, boleto, TED)
  • Coordenação de ataques a e-commerce brasileiros

Esse ecossistema exige monitoramento em português, com analistas que compreendem o contexto regulatório e cultural brasileiro — algo que plataformas internacionais genéricas tendem a não oferecer.

Impacto prático para empresas

Cenário 1: Credenciais de VPN

Um colaborador usa a senha corporativa em um serviço pessoal comprometido, ou instala software crackeado em casa. O infostealer coleta as credenciais do cliente VPN corporativo. Semanas depois, um Initial Access Broker vende esse acesso. O comprador — um grupo de ransomware — entra na rede silenciosamente, mapeia o ambiente por semanas e criptografa servidores críticos no fim de semana.

Cenário 2: Tokens de sessão

Mesmo com MFA ativado, tokens de sessão válidos coletados por infostealers permitem acesso autenticado sem necessidade de senha ou segundo fator. Ferramentas como “pass-the-cookie” permitem que atacantes assumam sessões do Google Workspace, Microsoft 365 ou Salesforce sem disparar alertas de autenticação.

Cenário 3: Chaves de API e segredos

Credenciais de desenvolvedores — chaves AWS, tokens GitHub e segredos de CI/CD — são especialmente valiosas. Elas podem abrir acesso a ambientes de produção, repositórios de código e infraestrutura em nuvem. O custo de um vazamento desse tipo pode incluir contas de cloud infladas em milhões e exfiltração de propriedade intelectual.

Como detectar antes do impacto

Monitoramento de credenciais expostas

O primeiro sinal muitas vezes aparece na dark web antes de qualquer indicador interno. Um sistema de CTI efetivo monitora:

  • Logs de infostealers com filtro por domínio corporativo (@empresa.com.br)
  • Fóruns e marketplaces onde credenciais são anunciadas
  • Canais Telegram de distribuição de logs brasileiros
  • Serviços de compartilhamento de pastas onde dumps de dados são publicados

Resposta rápida à detecção

Ao identificar uma credencial corporativa exposta:

  1. Resetar imediatamente — invalidar a senha e encerrar todas as sessões ativas
  2. Investigar o endpoint — verificar se o dispositivo do colaborador está comprometido
  3. Verificar acessos — auditoria de logs para identificar acessos com a credencial comprometida
  4. Notificar o colaborador — orientar sobre higiene de segurança pessoal
  5. Avaliar escopo — verificar se outras credenciais do mesmo usuário ou departamento estão expostas

Métricas de exposição: o que monitorar

MétricaBenchmark Saudável
Credenciais corporativas expostas0 (monitoramento contínuo)
Tempo até detecção de exposição< 48 horas
Tempo de resposta ao alerta< 4 horas
Cobertura de MFA em acessos remotos> 95%
Frequência de treinamento anti-phishingTrimestral

O Deep Web Monitor da PurpleHat rastreia continuamente fóruns, canais de Telegram e marketplaces da dark web para identificar credenciais corporativas expostas antes que se tornem vetor de ataque. Solicite uma demonstração.