2026-06-22 00:00
← VoltarOs agentes de ameaças estão cada vez mais transformando enormes coleções de credenciais derivadas de infostealers em serviços clandestinos pesquisáveis, permitindo que os compradores solicitem credenciais para uma empresa, plataforma, domínio, região geográfica ou tipo de conta específico. Os pesquisadores do Flare analisaram 470 postagens em fóruns clandestinos publicadas entre janeiro de 2025 e junho de 2026, em diferentes fontes, relacionadas a atores que se ofereceram para pesquisar e extrair credenciais roubadas de seus bancos de dados. O conjunto de dados incluía anúncios, republicações, feedback do comprador, referências de preços e disputas sobre qualidade e validade. As descobertas mostram uma camada de serviço dedicada situada entre infecções por infostealers, negociação de logs brutos e atividades de controle de contas. O perfil dos atores de ameaças que oferecem esses serviços é dividido entre os provedores de Malware como serviço (MaaS) e os consumidores de MaaS. Em muitos casos, funcionam como corretores de credenciais ou processadores de dados, monetizando o grande número de registos e a sua capacidade de pesquisar, filtrar, formatar e fornecer resultados direcionados a partir de grandes coleções de credenciais roubadas. Pontos-chave A análise de 470 postagens clandestinas ilustra um serviço preciso que oferece extração, filtragem, desduplicação, formatação e atualização direcionadas de grandes bancos de dados de infostealers contendo dezenas de bilhões de...
Os agentes de ameaças estão cada vez mais transformando enormes coleções de credenciais derivadas de infostealers em serviços clandestinos pesquisáveis, permitindo que os compradores solicitem credenciais para uma empresa, plataforma, domínio, região geográfica ou tipo de conta específico. Os pesquisadores do Flare analisaram 470 postagens em fóruns clandestinos publicadas entre janeiro de 2025 e junho de 2026, em diferentes fontes, relacionadas a atores que se ofereceram para pesquisar e extrair credenciais roubadas de seus bancos de dados. O conjunto de dados incluía anúncios, republicações, feedback do comprador, referências de preços e disputas sobre qualidade e validade. As descobertas mostram uma camada de serviço dedicada situada entre infecções por infostealers, negociação de logs brutos e atividades de controle de contas. O perfil dos atores de ameaças que oferecem esses serviços é dividido entre os provedores de Malware como serviço (MaaS) e os consumidores de MaaS. Em muitos casos, funcionam como corretores de credenciais ou processadores de dados, monetizando o grande número de registos e a sua capacidade de pesquisar, filtrar, formatar e fornecer resultados direcionados a partir de grandes coleções de credenciais roubadas. Pontos-chave A análise de 470 postagens clandestinas ilustra um serviço preciso que oferece extração, filtragem, desduplicação, formatação e atualização direcionadas de grandes bancos de dados de infostealers contendo dezenas de bilhões de linhas. Está funcionando como uma alternativa às listas combinadas, onde, em vez de comprar um dump em massa, os compradores consultam os dados existentes do vendedor e recebem apenas os resultados que correspondem ao seu objetivo.
O mercado se sobrepõe ao ecossistema do Initial Access Broker (IAB), mas não é idêntico a ele, quando os formatos de saída comuns incluíam URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE e MAIL:LOGIN. Curiosamente, o feedback dos compradores mostrou que há uma lacuna entre o que é anunciado e os resultados reais em termos de que, na realidade, o volume é menor, as credenciais são frequentemente inválidas, duplicadas e geralmente utilizáveis. Como funciona o serviço “Search Your Target” O mercado “search your target” fica no meio da cadeia de aquisição de contas. Primeiro, os infostealers infectam dispositivos e coletam credenciais, cookies, dados de preenchimento automático e artefatos do navegador. Em seguida, os logs são agregados e inseridos em nuvens privadas, bancos de dados ULP, dumps públicos ou coleções baseadas em exchange. Em seguida, os agentes de ameaças do “serviço de pesquisa” extraem linhas com base nas solicitações dos compradores. Os compradores então validam as credenciais e as usam para controle de conta, fraude, spam, phishing, roubo de criptografia ou intrusão corporativa. Isso significa que os vendedores neste conjunto de dados muitas vezes não são o primeiro nem o último passo.
Eles são a camada de processamento que transforma o ruído de credenciais roubadas em material de ataque direcionado. Figura 1 – o fluxo "pesquise seu alvo" Do ponto de vista da estrutura de inteligência de ameaças, este modelo de serviço representa um exemplo prático de T1589.001 (Gather Victim Identity Information: Credentials), onde os adversários pesquisam ativamente e adquirem credenciais antes da exploração, e potencialmente T1650 (Adquirir Acesso), dado que alguns vendedores fornecem resultados indistinguíveis do provisionamento de acesso direto. Ataques à cadeia de suprimentos têm um rastro subterrâneo de documentos Desde vendas de acesso ao GitHub até repositórios de fornecedores vazados, os sinais de alerta existem — eles estão apenas enterrados em fóruns e mercados que a maioria das equipes não está observando. O Flare os revela antes que se tornem incidentes. Comece a monitorar gratuitamente a exposição da cadeia de suprimentos A economia de mercado “Busque seu alvo” Assim como no mercado DDoS, onde o comprador envia um domínio e o provedor de serviços o ataca, o serviço é duplicado e oferece o mesmo pipeline. Um comprador envia um alvo O vendedor retorna credenciais correspondentes Esse alvo pode ser um domínio de empresa, URL de login, site de comércio eletrônico, plataforma de jogos, aplicativo, mercado geográfico ou uma lista de e-mails. A saída geralmente é entregue em formatos como URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE ou outras combinações dependendo da solicitação. Vários vendedores no underground especificam o tamanho de seus d atabase como ponto de venda.
Um ator anunciou um banco de dados “ULP 5kkk+ linhas” (5.000.000.000), acesso rápido em 10 a 15 minutos, atualizações diárias e fontes que supostamente incluíam registros privados, nuvens privadas, fluxos pessoais e dados públicos. Outro ator promoveu uma linha de 10kkk+, banco de dados URL:LOG de 1TB+, enquanto outros reivindicaram acesso a coleções que variam de centenas de milhões a dezenas de bilhões de registros. Captura de tela tirada da plataforma Flare. Inscreva-se para o teste gratuito para ter acesso, caso ainda não seja um cliente. O tamanho do banco de dados não é o único argumento de venda. Os atores da ameaça também indicam outras capacidades, como parte do seu discurso de vendas. Os vendedores também estão anunciando suas capacidades de pesquisa, atualização, formatação e relevância. Alguns oferecem extração simples de domínio, enquanto outros oferecem serviços mais personalizados, como extração de contas de e-mail para uma loja, site, aplicativo ou jogo solicitado.
De facto, os atacantes estão a publicitar as suas capacidades técnicas de indexação de dados dentro de bases de dados, atualizando e permitindo pesquisas rápidas e convenientes. Por exemplo, um dos vendedores anunciou que os clientes poderiam enviar uma solicitação por apenas US$ 20 por solicitação e adicionar pagamento adicional com base nos resultados retornados. Captura de tela retirada do fórum de uma das postagens do conjunto de dados O conjunto de dados também mostrou formas mais avançadas de enriquecimento de credenciais. Um ator reivindicou acesso a coleções separadas de e-mail, senha, login, telefone e URL:Login e descreveu como esses registros poderiam ser combinados. Por exemplo, um comprador com apenas uma lista de e-mail pode solicitar pares de login correspondentes, ou um comprador que procura uma região geográfica específica pode receber resultados criados a partir de códigos de países, domínios, URLs, cidades e padrões de senha. Isto indica ainda que os agentes de ameaças estão a utilizar as melhores práticas de dados (por exemplo, rotulagem, fatiamento), tal como as empresas legítimas comuns em todo o mundo. O feedback dos clientes mostra uma lacuna entre os anúncios e a realidade O feedback dos clientes indica que os vendedores estão prometendo demais e entregando pouco. Eles afirmam que alguns vendedores não são confiáveis.
Alguns afirmam que as credenciais são inválidas e os vendedores respondem que nunca verificaram se as credenciais eram válidas. Alguns disseram que estes são os mesmos dados que aparecem em grandes listas combinadas publicadas gratuitamente no underground. Outros afirmam que estas bases de dados contêm muitas duplicações (um chegou a afirmar que de 3.000 registos apenas 200 eram únicos). Embora o conceito de grandes listas combinadas ou arquivos de credenciais agregados não seja novo. Este serviço ainda é algo único que pode eventualmente, se operado corretamente, colocar em risco muitas empresas e organizações. Desenvolvido junto com o mercado de infostealers Nos últimos anos, famílias de infostealers e mercados de log produziram enormes quantidades de registros que incluem credenciais armazenadas no navegador, cookies, dados de preenchimento automático e informações do dispositivo. Essas coleções estão em constante crescimento e criam um desafio para os compradores resolvê-las com fins lucrativos. A operação para extrair valor com mais facilidade foi uma oportunidade de comercialização.
Portanto, um comprador que normalmente tem um objetivo específico definido pode economizar tempo e dinheiro com este serviço. Comparação entre o mercado “Pesquise seu alvo” e o mercado IAB O mercado “pesquise seu alvo” geralmente está vinculado a uma pesquisa geral por um e-mail, empresa ou pessoa, a validade e a “atualidade” do acesso não são garantidas e você está basicamente pagando pela pesquisa, localização e resultados. Este mercado se sobrepõe parcialmente ao mercado do corretor de acesso inicial (IAB). Quando os compradores procuram acesso a VPNs corporativas, plataformas SaaS, contas de e-mail, ambientes de nuvem, painéis de administração ou sistemas de acesso remoto, o resultado pode ser o acesso inicial se esses mercados se sobrepuserem. No entanto, o mercado IAB é muitas vezes mais caro, prestigiado e funciona como um “serviço de luvas brancas” quando vende acesso validado, o que muitas vezes pode contornar a MFA e, em última análise, entrar numa organização. O que Os defensores devem aprender O mercado de “pesquisar seu alvo” mostra que os invasores não precisam mais processar manualmente despejos massivos para descobrir o que importa. Eles podem terceirizar esse trabalho para vendedores especializados em transformar coleções barulhentas de credenciais em listas de alvos específicos. Para os defensores, o desafio é identificar e fechar esses caminhos expostos antes que um comprador os transforme em acesso.
O Flare ajuda dando às equipes de segurança visibilidade sobre esses mercados clandestinos e monitorando credenciais expostas de funcionários, domínios corporativos, portais de login, aplicativos SaaS e indicadores relacionados em fontes da deep e dark web. Isso permite que as organizações detectem quando seus pontos de acesso aparecem em coleções de credenciais ou anúncios de serviços de pesquisa, priorizem as exposições mais relevantes e respondam mais rapidamente com redefinições de senha, revogação de sessões, aplicação de MFA e investigação de possível uso indevido de contas. Patrocinado e escrito por Flare.