Malware é um conceito que surge da abreviação de malicious software (em português, software malicioso). Trata-se de um tipo de programa ou código projetado para executar ações maliciosas em um sistema informático sem o consentimento do usuário.

Assim como outras ameaças digitais, o malware evoluiu ao longo das décadas no mesmo ritmo da sofisticação do cibercrime. Seus alvos também mudaram: primeiro foram as pessoas usuárias, depois as empresas e, por fim, as infraestruturas críticas.

No contexto do Antimalware Day, celebrado em 3 de novembro e que ressalta a importância de se proteger contra essa ameaça, proporemos uma linha do tempo focada na evolução do malware por meio de ataques que marcaram época, analisando o contexto, as características das ameaças e seus impactos.

Primeiros vírus: Brain e o início de tudo

Falar sobre os primórdios do malware é voltar à década de 1980, quando o cibercrime ainda era embrionário e experimental, sem fins econômicos por trás. O Brain surgiu em 1986 e marcou dois acontecimentos-chave: foi o primeiro vírus para IBM PC e o pioneiro em usar mecanismos para se ocultar no sistema. Seu objetivo era infectar o setor de boot dos disquetes.

Por trás desse software malicioso estavam dois irmãos paquistaneses, Basit e Amjad Farooq Alvi, donos de uma loja de informática em Lahore, que perceberam a circulação de uma cópia ilegal de um software criado por eles. A solução encontrada foi introduzir o Brain apenas nos disquetes das cópias ilegais.

Eles incluíram uma mensagem de alerta informando ao usuário que um programa pirata estava em execução e até deixaram seus nomes, número de telefone e o endereço da loja no código, já que o Brain não tinha fins destrutivos, mas caráter educativo e de defesa de direitos autorais.

A iniciativa saiu do controle: apesar da disseminação lenta, dependente de disquetes, o malware alcançou diversos países. A primeira ligação que receberam veio dos Estados Unidos, confirmando que o Brain havia se espalhado pelo mundo.

E isso seria apenas o começo. Poucos anos depois, em 1988, surgiu o worm Morris. Esse malware explorava vulnerabilidades em sistemas UNIX, especificamente em conexões TCP e SMTP, para enviar comandos sem autenticação, afetando universidades e instituições como a NSA e o MIT e expondo o quão vulnerável estava a nascente internet.

Worms de rede: LoveLetter na era do e-mail

A chegada dos anos 2000 foi marcada pela massificação da Internet e pelo uso do Outlook. Embora o cibercrime da época buscasse mais notoriedade por meio de ataques massivos e globais, soube aproveitar o boom do e-mail para distribuir malware.

Um dos exemplos mais emblemáticos foi o LoveLetter. Em 5 de maio de 2000, usuários começaram a receber uma mensagem com o assunto "I Love You" e, no corpo do e-mail, o texto: "Abra a carta de amor que te enviei". O e-mail trazia o anexo Love-Letter-For-You.TXT.VBS e, movidas pela curiosidade, muitas pessoas acabaram executando o arquivo, infectando-se com esse worm desenvolvido nas Filipinas por dois estudantes de ciência da computação. A consequência? O código sobrescrevia arquivos do sistema com cópias de si mesmo e alterava entradas do Registro do Windows.

A eficácia do ataque se deveu à engenharia social: o e-mail malicioso parecia vir de um contato conhecido, já que o worm acessava a lista de endereços da vítima para se autoenviar aos contatos. Estima-se que o LoveLetter tenha infectado quase 55 milhões de computadores no mundo, causando prejuízos próximos a 10 bilhões de dólares.

Trojans bancários: Zeus e a profissionalização do cibercrime

Vamos voltar mentalmente a 2007, época em que as transações on-line e o internet banking estavam em plena ascensão. O cibercrime vivia uma fase de forte profissionalização, a ponto de o delito digital se industrializar com o "malware como serviço". Nesse contexto surge o Zeus, um trojan bancário cujo objetivo era roubar credenciais por meio de injeção no navegador.

Esse trojan foi projetado para furtar informações bancárias e confidenciais de computadores infectados, como nome de usuário, senhas e até dados financeiros da vítima. Além disso, as máquinas comprometidas podiam ser controladas por um servidor de comando e controle, permitindo que bots baixassem ou executassem arquivos e alterassem configurações do sistema.

O Zeus se disseminava em campanhas que imitavam organizações conhecidas, como o Facebook, levando a vítima a visitar um site e, então, infectar o equipamento. Também circulava por meio de e-mails de phishing, com anexos maliciosos ou links para páginas comprometidas.

A divulgação do código malicioso ampliou enormemente seu impacto. Um relatório do FBI de 2010 estimou perdas financeiras próximas de 70 milhões de dólares.

Ataques direcionados: Stuxnet e o malware como arma geopolítica

Intervenção estatal, espionagem e até sabotagem digital. Não se trata de um filme de Hollywood, mas do cenário do cibercrime em 2010. O malware começou a se transformar em arma geopolítica, com foco sobretudo em infraestruturas críticas.

Um dos casos mais emblemáticos foi o Stuxnet, que teve contornos cinematográficos e desempenhou um papel central no que é considerado um dos ataques mais sofisticados da história.

O objetivo da operação era afetar o programa nuclear do Irã, e conseguiu: o Stuxnet desacelerou o enriquecimento de urânio em Natanz, o que retardou o desenvolvimento de armas nucleares pelo país.

O Stuxnet era um worm direcionado, com instruções para realizar ataques específicos a sistemas de controle industrial SCADA (Supervisory Control And Data Acquisition), particularmente aos produtos SIMATIC WinCC e SIMATIC STEP 7 da Siemens.

Para além do caso do Irã, onde se registrou cerca de 60% dos ataques, o Stuxnet também apresentou atividade na Indonésia, nos Estados Unidos, na Índia e no Paquistão. Ele abriu caminho para ameaças que viriam nos anos seguintes, como o Industroyer, que também mirou infraestruturas críticas como redes de energia, água e gás.

Ransomware: WannaCry e a globalização do sequestro digital

Em 2017, a cibersegurança virou manchete nos principais portais do mundo. O motivo foi o WannaCryptor, mais conhecido como WannaCry.

A disseminação desse ransomware, que combinava técnicas de worm, foi massiva. Ele explorou uma falha grave no SMB (Server Message Block) do Windows, procurando máquinas desatualizadas na rede para se propagar sem interação do usuário. Depois, criptografava em massa os arquivos das vítimas e exigia resgate em bitcoins.

O ataque afetou mais de 200 mil computadores em 150 países. No Reino Unido, paralisou parte relevante do sistema de saúde, enquanto na Espanha a Telefónica teve a maior parte de seus equipamentos comprometidos.

Esse surto ocorreu em um cenário em que o cibercrime passou a usar ataques automatizados, alavancados por ferramentas de ciberespionagem desenvolvidas por agências de inteligência e posteriormente vazadas, como EternalBlue e DoublePulsar. Assim, atores maliciosos impulsionaram a extorsão em larga escala, com grande impacto em empresas e serviços públicos.

O episódio também marcou um ponto de inflexão: foi a primeira vez que uma ferramenta criada para operações de inteligência caiu nas mãos erradas em escala global, evidenciando as graves consequências dessa exposição. O ransomware deixou de ser uma ameaça isolada e se consolidou como um negócio mundial, fomentando o surgimento de grupos organizados.

Malware móvel: Joker e a fraude na palma da mão

Há alguns anos, a vida cabe na palma da mão: cada dispositivo móvel concentra informações sensíveis e confidenciais (de saúde, trabalho e finanças), fotos, arquivos, credenciais de acesso a contas e serviços, além de dinheiro. Isso ajuda a explicar tanto a massificação do uso de smartphones quanto o surgimento de apps de terceiros sem auditoria de segurança e/ou não oficiais.

Entre permissões excessivas concedidas pelos usuários na instalação e a falta de revisão adequada até mesmo em lojas oficiais, o risco de infecção por malware cresceu sensivelmente. O Joker é um dos casos que exemplificam esse cenário.

Esse malware para Android, cuja atividade principal ocorreu entre 2019 e 2023, se encaixa no contexto de um cibercrime focado em fraudes automatizadas e monetização direta no ecossistema móvel. O Joker ficava oculto em aplicativos falsos e, depois, assinava serviços premium sem o consentimento da pessoa usuária.

Quanto ao impacto do Joker, vale destacar dois pontos. Em 2020, o Google informou ter removido da Google Play mais de 1.700 aplicativos que continham esse malware. Além disso, um dos apps contaminados, chamado PDF Reader Scanner, foi baixado mais de 5.000 vezes antes de ser excluído da loja oficial.

E embora o Joker tenha sido desativado, seu legado permanece: inspirou novas variantes que exploram as mesmas fragilidades do ecossistema móvel. Hoje, combinam engenharia social, malvertising e até aplicativos clonados para roubar dinheiro e/ou dados pessoais com apenas um toque de um usuário desavisado.

A era da IA: malware turbinado e polimórfico

Vivemos a era da Inteligência Artificial, e não há dúvida de que a IA também vem sendo aproveitada pelo cibercrime para ampliar e sofisticar ataques. Esse cenário, naturalmente, se aplica ao malware.

Uma descoberta da equipe de pesquisa da ESET reforça o ponto: o PromptLock é considerado "o primeiro ransomware impulsionado por IA" e apresenta capacidades de filtrar, criptografar e até destruir dados (esta última aparentemente ainda não implementada no código observado).

Embora o PromptLock não tenha sido detectado em ataques reais e se trate de uma prova de conceito, ele demonstra como o uso malicioso de ferramentas de IA disponíveis publicamente pode potencializar o ransomware e outras ameaças disseminadas.

Independentemente da intenção por trás de sua criação, o PromptLock confirma como ferramentas de IA podem automatizar várias fases de ataques de ransomware, do reconhecimento à exfiltração de dados, em velocidade e escala impensáveis até pouco tempo atrás.

Assim, a perspectiva de um malware movido por IA capaz de se adaptar ao ambiente e mudar táticas em tempo real pode representar um novo ponto de virada no campo da cibersegurança.

A evolução do malware

O percurso das últimas quatro décadas mostra como o malware se transformou de forma contínua e nítida: deixou de ser um simples experimento informático para se tornar uma ferramenta complexa de espionagem, extorsão e sabotagem digital.

Essa evolução caminhou lado a lado com o avanço tecnológico e com a ampliação das superfícies de ataque.

Esse cenário também exigiu a reinvenção das soluções de segurança. O antivírus tradicional deu lugar a plataformas antimalware capazes de detectar comportamentos anômalos, analisar grandes volumes de dados em tempo real e se antecipar aos ataques.

No contexto do Antimalware Day, este percurso pela história do malware serve de lembrete: por trás de cada ameaça neutralizada existem investigação, desenvolvimento e trabalho colaborativo de toda uma indústria dedicada a proteger pessoas usuárias no mundo inteiro.

Comemorar esta data é reconhecer a importância da tecnologia e também da consciência: somente combinando ferramentas, conhecimento e boas práticas será possível manter o ambiente digital mais seguro.