Os agentes maliciosos estão transformando grandes coleções de credenciais derivadas de infostealers em serviços pesquisáveis no submundo, permitindo que compradores solicitem dados de acesso de uma empresa, plataforma, domínio, região geográfica ou tipo de conta específicos.
Pesquisadores da Flare analisaram 470 publicações em fóruns clandestinos, divulgadas entre janeiro de 2025 e junho de 2026, em diferentes fontes, relacionadas a atores que oferecem busca e extração de credenciais roubadas a partir de suas bases.
O conjunto reuniu anúncios, republicações, comentários de compradores, referências de preço e disputas sobre qualidade e validade dos dados.
Os resultados mostram uma camada de serviço dedicada que fica entre infecções por infostealer, comércio de logs brutos e atividades de tomada de conta.
O perfil dos agentes maliciosos que oferecem esses serviços se divide entre provedores de Malware-as-a-Service (MaaS) e consumidores de MaaS.
Em muitos casos, eles atuam como intermediários de credenciais ou processadores de dados, monetizando o grande volume de logs e a capacidade de pesquisar, filtrar, formatar e entregar resultados direcionados a partir de grandes coleções de credenciais roubadas.
A análise das 470 publicações no submundo ilustra um serviço altamente direcionado que oferece extração, filtragem, deduplicação, formatação e atualização de dados em bases de infostealers com dezenas de bilhões de linhas.
Na prática, ele funciona como uma alternativa às combo lists, em que, em vez de comprar um volume bruto, o comprador consulta os dados já existentes do vendedor e recebe apenas os resultados que correspondem ao alvo.
Esse mercado se sobrepõe ao ecossistema de Initial Access Broker (IAB), mas não é exatamente o mesmo, já que os formatos de saída mais comuns incluíam URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE e MAIL:LOGIN.
De forma interessante, o retorno dos compradores mostrou uma diferença entre o que é anunciado e o que de fato é entregue.
Na prática, o volume costuma ser menor, as credenciais frequentemente são inválidas ou duplicadas e a utilidade geral dos dados é limitada.
O mercado de “pesquise seu alvo” fica no meio da cadeia de tomada de conta.
Primeiro, os infostealers infectam dispositivos e coletam credenciais, cookies, dados de preenchimento automático e artefatos do navegador.
Depois, os logs são agregados e inseridos em clouds privadas, bases ULP, dumps públicos ou coleções em canais de troca.
Em seguida, os agentes de “serviço de busca” extraem linhas com base nas solicitações dos compradores.
Por fim, os compradores validam as credenciais e as usam para tomada de conta, fraude, spam, phishing, roubo de criptomoedas ou invasão corporativa.
Isso significa que os vendedores desse conjunto muitas vezes não são nem o primeiro nem o último elo.
Eles são a camada de processamento que transforma o ruído das credenciais roubadas em material direcionado para ataque.
Do ponto de vista de inteligência de ameaças, esse modelo de serviço representa um exemplo prático de T1589.001, Gather Victim Identity Information: Credentials, em que os adversários pesquisam e obtêm credenciais antes da exploração, e possivelmente de T1650, Acquire Access, já que alguns vendedores entregam resultados indistinguíveis do fornecimento direto de acesso.
Assim como no mercado de DDoS, em que o comprador informa um domínio e o prestador do serviço ataca o alvo, o serviço é replicado e segue o mesmo fluxo.
Um comprador envia um alvo.
O vendedor retorna credenciais correspondentes.
Esse alvo pode ser um domínio corporativo, uma URL de login, um site de comércio eletrônico, uma plataforma de jogos, um aplicativo, um mercado geográfico ou uma lista de e-mails.
A saída normalmente é entregue em formatos como URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE ou outras combinações, dependendo da solicitação.
Diversos vendedores no submundo destacam o tamanho da base como diferencial comercial.
Um ator anunciou uma base “ULP 5kkk+ lines” com 5.000.000.000 de linhas, acesso rápido em 10 a 15 minutos, atualizações diárias e fontes que supostamente incluíam logs privados, clouds privadas, fluxos pessoais e dados públicos.
Outro promoveu uma base de 10kkk+ lines, com mais de 1 TB, em formato URL:LOG, enquanto outros afirmaram ter acesso a coleções que variavam de centenas de milhões a dezenas de bilhões de registros.
O tamanho da base não é o único argumento de venda.
Os agentes maliciosos também destacam outras capacidades como parte da oferta.
Os vendedores promovem recursos de busca, atualização, formatação e relevância dos dados.
Alguns oferecem apenas a extração simples por domínio, enquanto outros disponibilizam serviços mais personalizados, como a extração de contas de e-mail para uma loja, site, aplicativo ou jogo específico.
Na prática, os atacantes anunciam sua capacidade técnica de indexar dados dentro das bases, atualizá-los e permitir uma busca rápida e conveniente.
Como exemplo, um dos vendedores anunciou que os clientes poderiam enviar uma solicitação por apenas US$ 20 por pedido, com cobrança adicional conforme os resultados retornados.
O conjunto também mostrou formas mais avançadas de enriquecimento de credenciais.
Um ator afirmou ter acesso a coleções separadas de e-mail, senha, login, telefone e URL:Login, e descreveu como esses registros poderiam ser combinados.
Por exemplo, um comprador com apenas uma lista de e-mails poderia solicitar pares de login correspondentes, ou um comprador interessado em uma região específica poderia receber resultados montados a partir de códigos de país, domínios, URLs, cidades e padrões de senha.
Isso reforça que os agentes maliciosos estão usando práticas comuns de organização de dados, como rotulagem e segmentação, de forma semelhante ao que empresas legítimas fazem em todo o mundo.
O retorno dos compradores indica que os vendedores prometem mais do que entregam.
Há relatos de que alguns não são confiáveis.
Outros afirmam que as credenciais são inválidas, e os vendedores respondem que nunca verificaram se elas eram válidas.
Alguns dizem que se trata do mesmo material que aparece em grandes combo lists distribuídas gratuitamente pelo submundo.
Outros relatam que essas bases têm muitas duplicações, e um deles afirmou que, de 3.000 registros, apenas 200 eram únicos.
Embora o conceito de grandes combo lists ou arquivos agregados de credenciais não seja novo, esse serviço ainda é algo singular e que, se operado corretamente, pode colocar muitas empresas e organizações em risco.
Nos últimos anos, famílias de infostealer e mercados de logs produziram quantidades enormes de registros com credenciais armazenadas no navegador, cookies, dados de preenchimento automático e informações do dispositivo.
Essas coleções crescem continuamente e criam um desafio para os compradores, que precisam organizá-las para obter lucro.
A possibilidade de extrair valor com mais facilidade abriu espaço para a comercialização.
Assim, um comprador que normalmente tem um objetivo específico e bem definido pode economizar tempo e dinheiro com esse serviço.
O mercado de “pesquise seu alvo” costuma estar ligado à busca por um e-mail, empresa ou pessoa.
A validade e a “atualidade” do acesso não são garantidas, e o comprador basicamente paga pela busca, pela localização e pelos resultados.
Esse mercado se sobrepõe, em parte, ao de Initial Access Broker (IAB).
Quando os compradores buscam acesso a VPNs corporativas, plataformas SaaS, contas de e-mail, ambientes em cloud, painéis administrativos ou sistemas de acesso remoto, o resultado pode se transformar em acesso inicial caso esses mercados se cruzem.
Ainda assim, o mercado de IAB costuma ser mais caro, mais prestigiado e operar como um serviço premium, ao vender acessos validados que muitas vezes contornam MFA e, no fim, permitem a entrada em uma organização.
O mercado de “pesquise seu alvo” mostra que os atacantes não precisam mais processar manualmente enormes dumps para encontrar o que importa.
Eles podem terceirizar esse trabalho para vendedores especializados em transformar coleções ruidosas de credenciais em listas de alvos focados.
Para os defensores, o desafio é identificar e fechar esses caminhos expostos antes que um comprador os transforme em acesso.
A Flare ajuda ao dar às equipes de segurança visibilidade sobre esses mercados clandestinos e ao monitorar credenciais expostas de funcionários, domínios corporativos, portais de login, aplicações SaaS e indicadores relacionados em fontes da deep web e da dark web.
Isso permite que as organizações detectem quando seus pontos de acesso aparecem em coleções de credenciais ou em anúncios de serviço de busca, priorizem as exposições mais relevantes e reajam mais rápido com redefinição de senhas, revogação de sessões, aplicação de MFA e investigação de possível uso indevido de contas.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...