May 8th, 2025

Nos últimos anos, o cibercrime evoluiu não apenas em sofisticação técnica, mas em estratégia. A nova tática que vem ganhando força em 2025 é o uso de plataformas legítimas, como serviços de armazenamento em nuvem, repositórios de código, fóruns corporativos  e até redes sociais para distribuir malwares de forma furtiva e eficaz. O grande trunfo dessa abordagem é a quebra de confiança: ao trafegar seus códigos maliciosos por caminhos “seguros”, os criminosos conseguem burlar defesas tradicionais, dificultar a detecção por antivírus e aumentar drasticamente o alcance de seus ataques. Neste artigo, vamos revelar como essa técnica vem sendo usada por grupos de cibercriminosos, quais os malwares mais recentes que se aproveitam dessa estratégia e, principalmente, como sua empresa pode se proteger com monitoramento contínuo, resposta a incidentes e tecnologias de ponta. A nova face do cibercrime: Como plataformas legítimas estão sendo exploradas Um novo vetor: a confiança como arma Em vez de depender de links suspeitos ou arquivos vindos de canais obscuros, cibercriminosos passaram a explorar o que há de mais familiar no dia a dia corporativo: plataformas legítimas. Elas são confiáveis, amplamente usadas e muitas vezes ignoradas pelas defesas tradicionais, tornando-se terreno fértil para códigos maliciosos. Plataformas conhecidas, ameaças ocultas Serviços como Google Drive, Dropbox, GitHub, Discord, Microsoft Teams e Slacl, essenciais para a produtividade e colaboração estão sendo utilizados como canais de distribuição de malwares. A camuflagem é eficaz: arquivos maliciosos se escondem sob a aparência de documentos inofensivos ou links rotineiros. Exemplos de ameaças atuais: Quando o malware está atrás de um link comum A sofisticação dessas ameaças não está apenas na técnica de ocultação, mas na personalização e adaptabilidade dos malwares utilizados. O Banshee Stealer, por exemplo, é uma ameaça que se esconde em arquivos compartilhados por Google Drive. Uma vez instalado, ele rouba dados de autenticação, cookies, histórico de navegação e até tokens de acesso bancário. Já o ResolverRAT foi identificado circulando em comunidades do Discord, disfarçado como ferramentas utilitárias. Seu diferencial está na capacidade de estabelecer controle remoto completo da máquina comprometida, transformando-a em um ponto de espionagem silencioso. O AsyncRAT, por sua vez, aproveita repositórios públicos do GitHub para disseminação, e já foi utilizado em campanhas direcionadas contra empresas de tecnologia, oferecendo controle persistente e funcionalidades de keylogger e exfiltração de arquivos. Outro nome relevante é o RedLine Stealer, que circula por Dropbox ou plataformas de compartilhamento de arquivos como payload escondido em executáveis aparentemente inofensivos. Seu foco principal é roubo de dados e exploração de sistemas internos. Quando o digital rotineiro vira armadilha Essa nova fase do cibercrime transforma rotinas comuns em potenciais brechas. Plugins duvidosos, links encurtados, arquivos ZIP e extensões mascaradas estão entre os métodos mais usados para disseminar ameaças, exigindo um olhar mais atento e sistemas de defesa mais sofisticados. O funcionamento desses ataques segue um fluxo meticulosamente planejado. Primeiro, o cibercriminoso escolhe uma plataforma amplamente confiável como Google Drive, GitHub ou Discord para hospedar o malware.  O objetivo é simples: utilizar a reputação positiva desses serviços para mascarar a intenção maliciosa do arquivo. A seguir, ele distribui o link para esse conteúdo infectado por meio de campanhas de phishing, mensagens em redes sociais, e-mails corporativos ou até via automação em fóruns técnicos. Muitas vezes, a mensagem vem acompanhada de um pretexto legítimo como uma suposta fatura, um convite ou uma colaboração em projeto elevando o índice de cliques. Quando o arquivo é baixado e executado, o malware inicia sua comunicação com um servidor de comando e controle (C2), permitindo que o atacante acione funcionalidades extras. A partir daí, a infecção pode escalar rapidamente: roubando credenciais, interceptando códigos de autenticação, transformando o endpoint em um proxy residencial para mascarar tráfego criminoso ou até participando de campanhas de DDoS. Por que a detecção está mais difícil? A sofisticação dos ataques que usam plataformas legítimas mudou completamente o jogo da cibersegurança. O que antes era facilmente filtrado por antivírus ou políticas básicas de firewall, agora passa despercebido por grande parte das soluções tradicionais. Camuflagem em ambientes familiares A confiança é uma arma poderosa e os atacantes sabem disso. Ao explorar plataformas que já fazem parte do dia a dia corporativo, como Google Drive, OneDrive, GitHub e Microsoft Teams, os cibercriminosos conseguem disfarçar o comportamento malicioso. Essas plataformas, por serem amplamente confiáveis e integradas a fluxos operacionais legítimos, muitas vezes escapam dos filtros tradicionais de segurança. Isso permite que arquivos perigosos passem como documentos inofensivos ou que links maliciosos sejam tratados como comunicações rotineiras. Esse tipo de disfarce reduz drasticamente a suspeita dos usuários e dificulta a ação dos sistemas automatizados, que tendem a confiar em domínios com boa reputação. O resultado? A janela entre infecção e detecção se alarga muitas vezes, com alto custo para a empresa. Fragmentação da cadeia de infecção As campanhas de malware de 2025 não são mais simples ou lineares. Hoje, os cibercriminosos criam cadeias fragmentadas e distribuídas de infecção: um e-mail pode conter um link aparentemente confiável, que direciona para um repositório de arquivos como Dropbox ou WeTransfer, onde um script ou arquivo ZIP desencadeia o ataque. Essa fragmentação torna mais difícil para ferramentas de segurança correlacionarem os eventos. Um alerta isolado pode parecer irrelevante até que, somado a outros, revele a verdadeira ameaça. Enquanto isso, o malware já está ativo, coletando dados ou abrindo portas para outros ataques. Obfuscação e engenharia de evasão Para evitar a detecção por sistemas de antivírus, firewalls ou gateways de segurança, os atacantes utilizam técnicas de obfuscação, embaralhando o código malicioso com camadas de codificação, compressão ou encriptação. Isso dificulta a análise estática (antes da execução) e até mesmo a inspeção durante o tráfego. Além disso, os malwares modernos utilizam técnicas condicionais, nas quais o código malicioso só é ativado em situações específicas como após um clique, em determinados horários, ou dependendo da localização geográfica da vítima. Essa inteligência adaptativa torna a detecção em tempo real ainda mais desafiadora, exigindo mecanismos de sandboxing, análise comportamental e investigação contínua. Limitações das ferramentas tradicionais Antivírus convencionais, baseados em assinaturas conhecidas, simplesmente