Desde cedo, sempre quis jogar os lançamentos mais empolgantes, como FIFA, Zelda e Red Alert.
Hoje, para as crianças, os jogos da vez são Roblox, Minecraft e Call of Duty.
Lembro que não era fácil convencer os pais a comprar esses jogos novos com frequência.
A saída era buscar no Google algo como “Free FIFA 2003 download”.
Embora hoje eu saiba que isso é ilegal, para muitas crianças o processo começa de forma inocente.
Elas querem apenas melhorar o desempenho, desbloquear uma função ou instalar um mod que os amigos estão usando.
A busca no Google ou YouTube por termos como “NEW Roblox FPS Booster 2025 – FREE”, o clique em um link do Discord, o download de um arquivo ZIP e a execução de um programa chamado algo como RobloxExecutor.exe parecem inofensivos.
O jogo abre normalmente, sem nenhum sinal de problema.
Porém, em segundo plano, algo grave acaba de acontecer.
O “mod” não é um mod, e sim um malware do tipo infostealer.
Em questão de segundos, esse malware rouba todas as senhas salvas no navegador, cookies de sessão e tokens de autenticação do sistema: Gmail, Discord, Steam, Microsoft, além de VPN corporativo, Okta, Slack e GitHub.
A infecção ocorre na sua casa, mas a violação acontece na empresa, e nem você nem seu filho perceberão até ser tarde demais.
Isso não é ficção científica.
Acontece diariamente.
Pesquisas em threat intelligence mostram que gamers são um dos maiores e mais confiáveis vetores de infecções por infostealers.
Uma análise recente revelou que mais de 40% das infecções por infostealer têm origem em arquivos relacionados a jogos, como cheats, mods, jogos piratas e “performance boosters”.
Do ponto de vista dos atacantes, gamers são alvos perfeitos:
- A maioria é criança ou adolescente
- Baixam constantemente arquivos de terceiros
- Desativam antivírus para “fazer mods funcionarem”
- Confiam em links do Discord e repositórios do GitHub
- Buscam atalhos, cheats e formas de burlar o sistema
- Executam arquivos desconhecidos sem hesitar
O mais importante: estão acostumados a rodar códigos não confiáveis.
Esse comportamento é exatamente o que os operadores de infostealers exploram.
Um exemplo típico de infecção no Roblox é o seguinte:
A criança busca termos como "Roblox FPS unlocker", "Roblox executor free" ou "Roblox script injector".
Encontra um vídeo no YouTube, um servidor no Discord, um repositório no GitHub ou um link no Google Drive.
Baixa um arquivo chamado RobloxMod.zip, que contém um executável chamado install.exe.
Ao executar, não está rodando um mod, mas sim um malware conhecido como Lumma, RedLine, Vidar ou Raccoon – alguns dos infostealers mais comuns no mundo.
Não há exploração de vulnerabilidades nem hacking envolvido.
Apenas um mecanismo psicológico: o usuário, geralmente uma criança, clica duas vezes num arquivo.
Confesso que pensei estar exagerando, imaginando: “Crianças baixando malware? Não pode ser”.
Então busquei no Google “Roblox mod free” e me deparei com links recentes, alguns com malwares sinalizados em sites como o VirusTotal.
Ao ser executado, um infostealer moderno começa a coletar imediatamente dados como:
- Senhas salvas no navegador
- Cookies de sessão
- Dados de autofill
- Tokens OAuth e Discord
- Credenciais de VPN e carteiras de criptomoedas
- Logins na nuvem
- Chaves SSH e credenciais FTP
Esses dados são extraídos de aplicações como Chrome, Edge, Firefox, Brave, clientes de e-mail, gerenciadores de senha, VPNs e ferramentas para desenvolvedores.
Todo esse processo leva apenas segundos.
As informações são organizadas em um arquivo chamado “stealer log”, que representa um instantâneo completo da identidade digital da vítima.
Esse log é enviado para canais no Telegram, marketplaces da dark web, mercados russos e painéis de SaaS criminosos, onde é vendido e reutilizado.
Se você usa um laptop corporativo seguindo as políticas internas, é provável que seu filho não consiga baixar nada nesse dispositivo.
O ponto que muitos não percebem é que o laptop do seu filho não é apenas uma máquina para jogos, e os gamers não são os únicos alvos.
Os cibercriminosos armam armadilhas em tudo que é gratuito na internet, como:
- Softwares ilegais
- Ferramentas falsas de inteligência artificial
- Extensões de navegadores
- Instaladores falsos de programas legítimos
- Ferramentas para cripto e web3
- Documentos maliciosos e anexos de e-mail
- Conteúdo adulto e de relacionamentos
- Utilitários de sistema falsos
Basicamente, tudo que pode ser baixado de graça na rede torna-se um potencial cenário de risco.
Caso você tenha baixado algum arquivo suspeito e realize ações como:
- Checar e-mail corporativo
- Acessar Slack
- Logar em Okta
- Conectar VPN
- Aprovar autenticação multifator (MFA)
- Acessar GitHub
- Abrir dashboards internos
Os infostealers não se importam com quem clicou no arquivo.
O que importa são as identidades presentes na máquina.
Assim, um mod malicioso de Roblox pode roubar:
- Credenciais de SSO corporativo
- Senhas do Active Directory
- Cookies de sessão que contornam MFA
- Acesso a plataformas SaaS internas
E sua empresa fica comprometida — não por uma vulnerabilidade técnica, mas por um download feito em um momento de lazer.
Nos mercados do crime cibernético, criminosos compram tudo: desde logs brutos de infostealer até tutoriais detalhados e até serviços gerenciados de “Stealer-as-a-Service”.
Alguns anúncios oferecem acesso a malwares como o Exodus stealer por US$ 500 mensais ou US$ 2.000 para acesso vitalício.
Apesar de existirem golpes que tentam enganar até mesmo os criminosos, ofertas legítimas circulam na dark web.
Os logs roubados incluem endereços IP, domínios, cartões de crédito, além de SSO, cookies, tokens e senhas.
O verdadeiro perigo dos infostealers não está no malware em si, mas no que eles roubam: a identidade digital.
Eles transformaram credenciais na principal superfície de ataque.
Em vez de explorar vulnerabilidades, escrever exploits ou invadir sistemas, os atacantes:
- Colhem credenciais em larga escala
- Compram identidades em massa
- Acessam sistemas de forma legítima
- Burlam MFA com tokens de sessão
- Se misturam a comportamentos comuns de usuários
Por isso, cada vez mais os incidentes começam com: “Credenciais válidas foram usadas”, e não com: “Uma vulnerabilidade foi explorada”.
Os infostealers substituíram silenciosamente os exploits como principal porta de entrada.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...