Por que confiar no Greenbot
Um poderoso novo malware chamado Acreed rapidamente conquistou domínio no mercado de senhas roubadas depois que autoridades desmontaram seu predecessor em maio, alertam pesquisadores de cibersegurança.
O surgimento segue operação policial global que apreendeu mais de 2.300 domínios ligados ao Lumma Stealer, que controlava 92% dos registros de roubo de credenciais vendidos no Russian Market, a principal plataforma da dark web para senhas roubadas. Em poucos dias após a derrubada do Lumma, o Acreed carregou mais de 4.000 pacotes de credenciais roubadas na mesma plataforma.
“Acreed é provavelmente a próxima grande ameaça infostealer, superando muitos outros stealers estabelecidos no primeiro trimestre de 2025”, declararam pesquisadores da ReliaQuest em seu relatório mais recente examinando operações do Russian Market.
Essa transição rápida expõe como ecossistemas criminosos cibernéticos se adaptam velozmente à pressão policial. O Russian Market continua operando normalmente, vendendo credenciais de login roubadas por apenas US$ 2 por pacote. Cada pacote pode conter centenas ou milhares de senhas, cookies e dados financeiros coletados de computadores infectados.
Análise da ReliaQuest de 1,6 milhão de postagens do marketplace revela a natureza cíclica dessas ameaças. O Raccoon Stealer anteriormente dominava antes que ação policial abrisse caminho para a ascensão do Lumma em 2024.
Credenciais roubadas alimentam uma economia subterrânea próspera mirando empresas mundialmente. Contas corporativas na nuvem se tornaram alvos principais, com 61% dos registros roubados contendo credenciais de software como serviço de plataformas como Google Workspace e Zoom. Credenciais de login único apareceram em 77% dos registros analisados.
“A popularidade do Russian Market deriva de sua simplicidade, conveniência e longevidade – e com registros infostealer custando apenas US$ 2, permanece favorito entre cibercriminosos”, observou o relatório da ReliaQuest.
Empresas de serviços profissionais e técnicos enfrentam maior risco. Elas representaram 30% de todos os alertas de roubo de credenciais em 2024. O setor de informação ficou em segundo lugar com 28% dos incidentes.
Como infostealers típicos, o Acreed opera mirando navegadores Chrome e Firefox para roubar senhas salvas, detalhes de cartão de crédito e informações de carteiras de criptomoedas. Criminosos espalham o vírus através de emails falsos, tutoriais de software fraudulentos no YouTube e TikTok, e anúncios maliciosos.
O sucesso rápido do malware demonstra como redes de distribuição estabelecidas e infraestrutura de marketplace permitem escalabilidade rápida. O Russian Market opera desde 2019, sobrevivendo a concorrentes como Genesis Market, que autoridades fecharam em 2023.
Durante 2024, a ReliaQuest rastreou mais de 136.000 alertas de roubo de credenciais ligados ao Russian Market. Até maio de 2025, alertas já haviam alcançado 50.000, indicando atividade de ameaça acelerada.
Especialistas em segurança recomendam que organizações monitorem marketplaces da dark web por credenciais vazadas vinculadas a seus domínios. Mecanismos de autenticação aprimorados e treinamento de funcionários sobre reconhecimento de phishing podem ajudar a reduzir infecções bem-sucedidas.
Provavelmente o ciclo continuará conforme criminosos desenvolvem novas ferramentas para substituir aquelas interrompidas pela polícia. Apesar de derrubadas repetidas, a infraestrutura fundamental do marketplace que possibilita esses crimes permanece amplamente intacta.
