Os infostealers estão cada vez mais presentes nos noticiários sobre incidentes de segurança em todo o mundo. Esse tipo de malware, projetado para roubar informações de maneira silenciosa, consolidou-se como uma das principais ferramentas dos cibercriminosos em um cenário digital onde os dados se tornaram um dos ativos mais valiosos.

No Laboratório de Pesquisa da ESET, já analisamos diversas campanhas em que o payload final é um infostealer. Embora o AsyncRAT seja o mais frequente, também observamos o uso de famílias como HoudRAT, Agent Tesla, LummaStealer e FormBook. No entanto, segundo o ESET Threat Report H1 2025, as detecções de uma família em particular vêm crescendo de forma consistente ao longo do primeiro semestre do ano, superando todas as demais: SnakeStealer.

Origens e evolução

A família MSIL/Spy.Agent.AES detectada pelos produtos de segurança da ESET, fez suas primeiras aparições em 2019. Na época, de acordo com uma das primeiras pesquisas registradas sobre a ameaça, seus desenvolvedores a promoviam como 404 Keylogger. Mais tarde, passaria a adotar o nome de SnakeStealer.

snake-stealer-infostealer-robo-contrasenas
Imagem 1. Um dos primeiros anúncios do SnakeStealer, no Hackforums. Fonte: Habr.

Em suas primeiras versões, utilizava a plataforma Discord para hospedar o stealer, que era baixado após a vítima interagir com um arquivo anexado a um e-mail de phishing. Embora hospedar malware em servidores associados a serviços legítimos já fosse uma técnica existente, a popularização dessa plataforma entre os cibercriminosos ocorreria nos anos seguintes.

Entre 2020 e 2021, esse código malicioso registrou seu pico em relação às campanhas associadas a ele, sem demonstrar preferência geográfica. As detecções ocorreram em diversos países ao redor do mundo, mas não houve registros de campanhas completas direcionadas à América Latina.

snake-stealer-infostealer-robo-contrasenas2
Imagem 2. Hashes relacionadas ao SnakeStealer, reportadas por ano. Fonte: MalwareBazaar.

Com o passar dos anos, a forma como o payload chegava até a vítima foi se diversificando, embora o primeiro contato ainda ocorra majoritariamente por meio de um anexo via phishing: desde o próprio payload comprimido com senha, passando por arquivos de tipos menos comuns (como RTF ou ISO) usados como downloaders, ou até mesmo empacotado com outras ameaças. Há alguns casos registrados do SnakeStealer camuflado como cracks ou aplicativos falsos na web, embora pareçam ser situações esporádicas.

Malware as a Service como modelo de negócio

Um fator em comum em todos os anos de existência do SnakeStealer é seu modelo de negócio, baseado no que se conhece como malware-as-a-service (MaaS), no qual os cibercriminosos alugam ou vendem o acesso a um malware pronto para uso, de forma semelhante a um software comercial, mas no mercado clandestino. Isso facilita que até mesmo pessoas com poucos conhecimentos técnicos possam lançar campanhas maliciosas aproveitando a infraestrutura e o suporte de desenvolvedores especializados.

O SnakeStealer voltou a ganhar popularidade no ambiente cibercriminoso, e não por acaso: após a queda do Agent Tesla, outro infostealer bastante conhecido, seus próprios operadores passaram a recomendar o SnakeStealer como substituto nos canais do Telegram, onde era oferecido como MaaS. Esse endosso funcionou como um impulso decisivo, coincidindo com o período em que o Agent Tesla deixou de receber atualizações. Esse cenário pode explicar por que o SnakeStealer rapidamente passou a ocupar o primeiro lugar nas detecções de infostealers, sendo responsável por um em cada cinco casos registrados mundialmente, segundo a telemetria da ESET.

Características principais

O SnakeStealer não é um infostealer que se destaque por características únicas ou inovadoras. Como tantos outros, trata-se de um malware modular, cujas funcionalidades são ativadas ou desativadas no momento da geração do arquivo malicioso pelo cibercriminoso.

Entre as capacidades mais utilizadas pelo SnakeStealer, encontramos:

  • Funcionalidades evasivas, como encerrar processos associados a ferramentas de segurança, análise de malware ou depuradores no sistema vítima, além de verificações de hardware para descartar o uso de máquina virtual.
  • Persistência por meio da modificação de chaves de inicialização do Windows.
  • Roubo de credenciais armazenadas em navegadores, bancos de dados, clientes de e-mail ou de chat (como Discord) e de redes WiFi.
  • Captura da área de transferência e registro de teclas (keylogging).
  • Realização de capturas de tela.

Quanto aos mecanismos de exfiltração, o malware oferece ao cibercriminoso uma variedade de métodos: upload para um servidor usando o protocolo FTP, publicação em um canal do Telegram via HTTP ou envio das informações comprimidas em um anexo por e-mail.

Como se proteger

Em um mundo em que cada dado possui um valor monetário real, seja para empresas, usuários ou cibercriminosos, é importante reduzir o risco de infecção seguindo boas práticas, como:

  • Manter o sistema operacional e os aplicativos atualizados.
  • Utilizar softwares de segurança tanto em computadores quanto em dispositivos móveis.
  • Desconfiar de anexos e links em e-mails ou mensagens não solicitadas. Se vierem de alguma entidade ou marca conhecida, entrar em contato por um meio oficial para verificar a veracidade da mensagem.
  • Ativar a autenticação multifator (MFA) em serviços e programas que permitam, para evitar acessos indevidos caso nossa senha seja roubada.
  • Em caso de suspeita de infecção, alterar todas as senhas a partir de outro dispositivo, revogar sessões já abertas e permanecer atento a movimentos suspeitos nas contas.