A cadeia que derrubou um sistema nacional
O ataque misantropia, que disparou alertas falsos para milhões de celulares no Brasil em junho de 2026, não começou com um gênio do crime. Começou com um malware barato e uma senha que ninguém trocou. A sequência é a mesma em quase todo incidente de 2026:
- Infostealer infecta a máquina de alguém com acesso.
- As senhas do navegador são roubadas em segundos.
- Os dados são revendidos em mercados de "stealer logs" na deep web.
- Um atacante reusa essas credenciais (credential stuffing) num painel ou login.
- Sem MFA, o acesso entra — e o estrago começa.
Entender cada elo é entender como fechar a porta.
Elo 1 — O infostealer
Infostealer é malware especializado em roubar dados salvos: senhas do navegador, cookies de sessão, tokens, carteiras. Famílias como RedLine, Lumma, Vidar e StealC são alugadas por assinatura em canais de Telegram — qualquer pessoa com pouco conhecimento técnico opera. RedLine sozinho responde por quase metade dos casos na nossa região.
O vetor de infecção costuma ser banal: um instalador pirata, um anexo, uma extensão falsa, um "crack". A vítima nem percebe — o malware coleta e sai.
Elo 2 — A revenda
As credenciais roubadas viram um produto. Mercados de stealer logs vendem pacotes com login, senha, cookies e o site de origem — organizados, pesquisáveis. 1,8 bilhão de credenciais foram roubadas só no primeiro semestre de 2025, um salto de 800% sobre o período anterior, vindas de 5,8 milhões de dispositivos infectados.
É por isso que "minha senha é forte" não basta: a força da senha não importa quando ela é entregue inteira ao atacante.
Elo 3 — O credential stuffing
De posse das credenciais, o atacante automatiza: testa os pares login/senha em vários serviços, contando com o reuso de senha entre contas. Foi assim no IDAP da Defesa Civil — a credencial vazada funcionou porque a senha nunca foi trocada e não havia MFA. 54% das vítimas de ransomware tiveram suas credenciais à venda antes do ataque: a cadeia é o aviso prévio que quase ninguém lê.
Como quebrar cada elo
| Elo | Defesa |
|---|---|
| Infostealer | EDR/antivírus atualizado, bloquear software pirata, não salvar senha sensível no navegador, gerenciador de senhas com cofre |
| Revenda | Monitorar credenciais corporativas em stealer logs e dark web; rotacionar ao detectar |
| Credential stuffing | MFA resistente a phishing, bloqueio de senha vazada, rate-limit, captcha forte, detecção de login anômalo |
| Reuso | Senha única por serviço (gerenciador), nunca reaproveitar entre pessoal e corporativo |
O ponto-chave: a defesa decisiva é o MFA. Mesmo que os elos 1, 2 e 3 aconteçam, um segundo fator resistente a phishing impede o acesso. Foi o que faltou na Defesa Civil.
O que isso significa para o seu SaaS
Se você roda um produto com login, painel admin, pagamento ou dado de cliente, essa cadeia é a forma mais provável de você ser invadido em 2026 — não um ataque exótico. A boa notícia é que cada elo tem defesa conhecida e barata. A RET revisa exatamente isso: onde uma credencial vazada entraria no seu produto, e o que falta para barrá-la — em Risk Review e em pentest manual.
Fontes usadas
Infostealer rouba, deep web revende, credential stuffing reusa. A cadeia é barata, automatizada e domina 2026 — e quebra no MFA. Sem segundo fator, sua senha já é do atacante.
