Nos últimos anos, o cibercrime evoluiu não apenas em sofisticação técnica, mas em estratégia. A nova tática que vem ganhando força em 2025 é o uso de plataformas legítimas, como serviços de armazenamento em nuvem, repositórios de código, fóruns corporativos e até redes sociais para distribuir malwares de forma furtiva e eficaz.
O grande trunfo dessa abordagem é a quebra de confiança: ao trafegar seus códigos maliciosos por caminhos “seguros”, os criminosos conseguem burlar defesas tradicionais, dificultar a detecção por antivírus e aumentar drasticamente o alcance de seus ataques.
Neste artigo, vamos revelar como essa técnica vem sendo usada por grupos de cibercriminosos, quais os malwares mais recentes que se aproveitam dessa estratégia e, principalmente, como sua empresa pode se proteger com monitoramento contínuo, resposta a incidentes e tecnologias de ponta.
A nova face do cibercrime: Como plataformas legítimas estão sendo exploradas
Um novo vetor: a confiança como arma
Em vez de depender de links suspeitos ou arquivos vindos de canais obscuros, cibercriminosos passaram a explorar o que há de mais familiar no dia a dia corporativo: plataformas legítimas. Elas são confiáveis, amplamente usadas e muitas vezes ignoradas pelas defesas tradicionais, tornando-se terreno fértil para códigos maliciosos.
Plataformas conhecidas, ameaças ocultas
Serviços como Google Drive, Dropbox, GitHub, Discord, Microsoft Teams e Slacl, essenciais para a produtividade e colaboração estão sendo utilizados como canais de distribuição de malwares. A camuflagem é eficaz: arquivos maliciosos se escondem sob a aparência de documentos inofensivos ou links rotineiros.
Exemplos de ameaças atuais: Quando o malware está atrás de um link comum
A sofisticação dessas ameaças não está apenas na técnica de ocultação, mas na personalização e adaptabilidade dos malwares utilizados. O Banshee Stealer, por exemplo, é uma ameaça que se esconde em arquivos compartilhados por Google Drive. Uma vez instalado, ele rouba dados de autenticação, cookies, histórico de navegação e até tokens de acesso bancário.
Já o ResolverRAT foi identificado circulando em comunidades do Discord, disfarçado como ferramentas utilitárias. Seu diferencial está na capacidade de estabelecer controle remoto completo da máquina comprometida, transformando-a em um ponto de espionagem silencioso.
O AsyncRAT, por sua vez, aproveita repositórios públicos do GitHub para disseminação, e já foi utilizado em campanhas direcionadas contra empresas de tecnologia, oferecendo controle persistente e funcionalidades de keylogger e exfiltração de arquivos.
Outro nome relevante é o RedLine Stealer, que circula por Dropbox ou plataformas de compartilhamento de arquivos como payload escondido em executáveis aparentemente inofensivos. Seu foco principal é roubo de dados e exploração de sistemas internos.
Quando o digital rotineiro vira armadilha
Essa nova fase do cibercrime transforma rotinas comuns em potenciais brechas. Plugins duvidosos, links encurtados, arquivos ZIP e extensões mascaradas estão entre os métodos mais usados para disseminar ameaças, exigindo um olhar mais atento e sistemas de defesa mais sofisticados.
O funcionamento desses ataques segue um fluxo meticulosamente planejado. Primeiro, o cibercriminoso escolhe uma plataforma amplamente confiável como Google Drive, GitHub ou Discord para hospedar o malware.
O objetivo é simples: utilizar a reputação positiva desses serviços para mascarar a intenção maliciosa do arquivo.
A seguir, ele distribui o link para esse conteúdo infectado por meio de campanhas de phishing, mensagens em redes sociais, e-mails corporativos ou até via automação em fóruns técnicos. Muitas vezes, a mensagem vem acompanhada de um pretexto legítimo como uma suposta fatura, um convite ou uma colaboração em projeto elevando o índice de cliques.
Quando o arquivo é baixado e executado, o malware inicia sua comunicação com um servidor de comando e controle (C2), permitindo que o atacante acione funcionalidades extras. A partir daí, a infecção pode escalar rapidamente: roubando credenciais, interceptando códigos de autenticação, transformando o endpoint em um proxy residencial para mascarar tráfego criminoso ou até participando de campanhas de DDoS.
Por que a detecção está mais difícil?
A sofisticação dos ataques que usam plataformas legítimas mudou completamente o jogo da cibersegurança. O que antes era facilmente filtrado por antivírus ou políticas básicas de firewall, agora passa despercebido por grande parte das soluções tradicionais.
Camuflagem em ambientes familiares
A confiança é uma arma poderosa e os atacantes sabem disso. Ao explorar plataformas que já fazem parte do dia a dia corporativo, como Google Drive, OneDrive, GitHub e Microsoft Teams, os cibercriminosos conseguem disfarçar o comportamento malicioso. Essas plataformas, por serem amplamente confiáveis e integradas a fluxos operacionais legítimos, muitas vezes escapam dos filtros tradicionais de segurança. Isso permite que arquivos perigosos passem como documentos inofensivos ou que links maliciosos sejam tratados como comunicações rotineiras.
Esse tipo de disfarce reduz drasticamente a suspeita dos usuários e dificulta a ação dos sistemas automatizados, que tendem a confiar em domínios com boa reputação. O resultado? A janela entre infecção e detecção se alarga muitas vezes, com alto custo para a empresa.
Fragmentação da cadeia de infecção
As campanhas de malware de 2025 não são mais simples ou lineares. Hoje, os cibercriminosos criam cadeias fragmentadas e distribuídas de infecção: um e-mail pode conter um link aparentemente confiável, que direciona para um repositório de arquivos como Dropbox ou WeTransfer, onde um script ou arquivo ZIP desencadeia o ataque.
Essa fragmentação torna mais difícil para ferramentas de segurança correlacionarem os eventos. Um alerta isolado pode parecer irrelevante até que, somado a outros, revele a verdadeira ameaça. Enquanto isso, o malware já está ativo, coletando dados ou abrindo portas para outros ataques.
Obfuscação e engenharia de evasão
Para evitar a detecção por sistemas de antivírus, firewalls ou gateways de segurança, os atacantes utilizam técnicas de obfuscação, embaralhando o código malicioso com camadas de codificação, compressão ou encriptação. Isso dificulta a análise estática (antes da execução) e até mesmo a inspeção durante o tráfego.
Além disso, os malwares modernos utilizam técnicas condicionais, nas quais o código malicioso só é ativado em situações específicas como após um clique, em determinados horários, ou dependendo da localização geográfica da vítima. Essa inteligência adaptativa torna a detecção em tempo real ainda mais desafiadora, exigindo mecanismos de sandboxing, análise comportamental e investigação contínua.
Limitações das ferramentas tradicionais
Antivírus convencionais, baseados em assinaturas conhecidas, simplesmente não acompanham o ritmo de evolução dos ataques. Cada nova variante de malware ou novo vetor de ataque exige uma atualização da base de dados, e esse processo não é instantâneo.
Além disso, essas ferramentas raramente conseguem analisar o comportamento de um arquivo ou processo em tempo real. É por isso que o investimento em soluções mais modernas, como EDR (Endpoint Detection and Response), NDR (Network Detection and Response), análise comportamental e integração com feeds de inteligência de ameaças é essencial. Essas ferramentas detectam o “como” e o “porquê” de uma atividade suspeita e não apenas “o que” está sendo executado.
Impactos reais para empresas
O uso de plataformas legítimas como vetores de malware representa um desafio silencioso, porém devastador, para empresas. Quando a ameaça se esconde dentro de ambientes já autorizados, os impactos vão muito além da infecção inicial. Estamos falando de perdas financeiras, paralisia operacional, danos à reputação e comprometimento da confiança tanto interna quanto externa.
Comprometimento da infraestrutura e aumento de tempo de resposta
Ataques que exploram canais confiáveis tendem a permanecer indetectados por mais tempo. Isso afeta diretamente o MTTD (Mean Time to Detect) e o MTTR (Mean Time to Respond), duas métricas cruciais para a saúde da operação de segurança. Quanto maior o tempo até a detecção e resposta, maior o dano: o malware pode se mover lateralmente, comprometer mais sistemas, instalar backdoors e exfiltrar dados sensíveis.
Além disso, o atraso na identificação gera efeito cascata: a investigação se torna mais demorada, a contenção mais complexa e a recuperação mais custosa.
Vazamento de dados e quebra de compliance
Ao infiltrar-se por meio de plataformas legítimas, o malware pode obter acesso a documentos confidenciais, dados de clientes, informações de projetos e propriedade intelectual. Isso é particularmente crítico em setores regulados, como saúde, finanças, jurídico e telecom, onde a perda ou exposição de dados pode gerar penalidades severas sob legislações como LGPD, GDPR, HIPAA, entre outras.
A exposição acidental da empresa como ponto de disseminação de malware também pode prejudicar parcerias, levar à perda de contratos e abrir espaço para litígios.
Reputação abalada e riscos para a marca
Mesmo sem um ataque direcionado, uma organização pode sofrer danos à imagem por ter sido usada como canal de infecção. Quando um malware sai da sua estrutura para atingir terceiros, fornecedores, parceiros ou clientes, a percepção de fragilidade se instala. Isso impacta a confiança do mercado, desvaloriza ativos intangíveis e, em casos extremos, pode refletir diretamente na queda de receita.
Colaboradores como vetores involuntários
Em muitos casos, o elo mais fraco continua sendo o fator humano. Colaboradores desavisados, que compartilham ou clicam em links maliciosos hospedados em plataformas que utilizam diariamente, tornam-se agentes involuntários de propagação. Isso amplia o risco e revela a importância de combinar tecnologia com educação e políticas de segurança claras.
Como se proteger: Estratégias técnicas e de governança
Diante do uso de plataformas legítimas para espalhar malware, proteger sua empresa exige mais do que antivírus e firewalls tradicionais. É necessário adotar uma abordagem integrada, que una tecnologia de ponta, governança de acessos e preparação constante. A seguir, reunimos as estratégias mais eficazes para mitigar esse novo tipo de ameaça.
Defesa em Profundidade: Camadas que se Complementam
Para mitigar os riscos trazidos por malwares escondidos em plataformas confiáveis, é fundamental adotar uma postura de segurança baseada em múltiplas camadas também conhecida como Defesa em Profundidade.
A primeira camada está no perímetro da rede, onde firewalls modernos devem estar equipados com regras de bloqueio e listas de domínios maliciosos baseadas em IOCs atualizados. Soluções de IDS/IPS também são cruciais para detectar tráfego anômalo originado por dispositivos que possam ter sido comprometidos.
Na segunda camada, voltada para endpoints e dispositivos conectados, entram soluções como NGAV (antivírus de nova geração) e EDRs, que monitoram atividades suspeitas em tempo real e impedem a execução de códigos não autorizados. Também é necessário restringir a instalação de dispositivos ou apps não homologados medida especialmente relevante com o aumento do uso de dispositivos pessoais e IoT em ambientes corporativos.
A terceira camada envolve o monitoramento contínuo e resposta a incidentes. Aqui, tecnologias de UEBA (User and Entity Behavior Analytics) ajudam a identificar comportamentos fora do padrão. A análise de logs e a caça proativa a ameaças (threat hunting) complementam esse esforço, oferecendo visibilidade sobre possíveis tentativas de conexão com servidores C2.
Por fim, educação e governança são a base estrutural: manter os colaboradores informados sobre riscos atuais como os representados por TV Boxes não certificadas ou links de repositórios desconhecidos e aplicar políticas rígidas de controle de acesso e inventário de ativos garante que a organização esteja sempre um passo à frente do invasor.
Reforce o monitoramento de tráfego e comportamento
A primeira linha de defesa começa pela visibilidade contínua do que acontece em sua rede e nos seus endpoints. Ferramentas como EDR (Endpoint Detection and Response), NDR (Network Detection and Response) e soluções com análise comportamental (UEBA) são capazes de identificar atividades anômalas mesmo em plataformas confiáveis.
Essas tecnologias detectam variações no comportamento dos usuários, padrões de acesso incomuns e tráfego fora do esperado, elementos críticos quando o malware se disfarça em canais legítimos.
Defina políticas claras para uso de plataformas
Muitas empresas ainda não têm uma política formalizada sobre o uso de ferramentas como Google Drive, Dropbox, GitHub, Slack ou Microsoft Teams. No entanto, é vital definir regras de acesso, tipos de arquivos permitidos e permissões de compartilhamento.
Adoção de autenticação multifator (MFA), controle de downloads e verificação de integridade dos arquivos compartilhados são medidas simples que geram alto impacto na prevenção.
Alimente sua segurança com inteligência de ameaças
A detecção de ameaças hoje depende fortemente da qualidade da informação. Isso significa que sua infraestrutura de segurança deve ser constantemente alimentada com feeds de inteligência de ameaças, IOCs (indicadores de comprometimento) e dados atualizados sobre campanhas ativas.
A integração entre SIEM, EDR e Threat Intelligence permite identificar tendências, antecipar movimentações e bloquear ataques antes que eles avancem. A colaboração com parceiros especializados, como a Asper, é essencial nesse processo.
Estruture um plano de resposta a incidentes realista
Muitas empresas ainda não têm um plano prático e testado para lidar com infecções originadas em plataformas confiáveis. Ter um playbook de resposta estruturado, com papéis definidos, fluxos de comunicação e testes regulares, é o que separa uma contenção eficiente de uma crise reputacional.
Esse plano deve incluir desde isolamento automático de endpoints, até comunicação com stakeholders internos e externos. A capacidade de agir nos primeiros minutos é crítica.
Invista em educação e cultura de segurança
A tecnologia é essencial, mas a maturidade em cibersegurança só é alcançada com envolvimento humano. Treinar continuamente os colaboradores para identificar ameaças disfarçadas. mesmo quando vêm de fontes confiáveis é um diferencial competitivo.
Campanhas de phishing simulado, treinamentos curtos e ações de conscientização são meios eficazes de reduzir o fator humano como vetor de risco.
O papel da Asper: Resposta rápida, monitoramento contínuo e proteção de endpoints
Diante de um cenário onde as ameaças se escondem em plataformas comuns do dia a dia, a atuação reativa já não é suficiente. A Asper oferece uma abordagem moderna, combinando monitoramento proativo, inteligência aplicada e capacidade real de resposta exatamente o que o contexto exige.
Por meio do seu Cyber Fusion Center, a Asper entrega um modelo robusto de segurança 24/7, capaz de identificar comportamentos anômalos mesmo quando disfarçados em tráfego aparentemente legítimo. As soluções operadas pela Asper, como CrowdStrike Falcon Complete, EDRs, SIEMs e NDRs, garantem visibilidade total sobre a superfície de ataque, aliando automação, análise comportamental e ação humana qualificada.
Mais do que identificar, a Asper age. Isso significa:
- Resposta cirúrgica em menos de 10 minutos após a detecção da ameaça.
- Remoção remota de artefatos maliciosos antes que comprometam toda a infraestrutura.
- Hardening contínuo do ambiente com base em aprendizados de ameaças reais.
- Tradução técnica para linguagem de negócio, viabilizando decisões estratégicas por parte da liderança.
Além da tecnologia, há o fator humano: um time consultivo que entende o contexto, orienta a prevenção e adapta as soluções à realidade de cada cliente. Com a Asper, segurança deixa de ser uma promessa para se tornar um ativo estratégico do negócio.
Quer ver como essa estrutura de proteção funcionaria na sua empresa?
Quando o comum vira canal de ataque, a estratégia precisa evoluir
Os ataques cibernéticos deixaram de ser óbvios. Hoje, eles trafegam silenciosamente por plataformas que usamos todos os dias, Google Drive, GitHub, Slack, Teams, Dropbox. Ferramentas legítimas, ambientes confiáveis, agora convertidos em vetores de ameaça. E isso muda tudo.
O que antes era classificado como “riscos externos”, agora se confunde com a operação cotidiana. Os limites entre o seguro e o perigoso se tornaram borrados. A confiança, antes um facilitador de produtividade, virou uma vulnerabilidade explorada por criminosos cada vez mais sofisticados.
Nesse cenário, as empresas que continuam se protegendo apenas com soluções tradicionais baseadas em assinaturas, listas negras e detecção pontual, ficam expostas não apenas a ataques, mas à perda de credibilidade, conformidade e competitividade.
A resposta exige evolução. Exige monitoramento contínuo, inteligência de ameaças, análise comportamental e, principalmente, agilidade na resposta. Mais do que produtos de segurança, é preciso contar com parceiros estratégicos que pensem à frente, ajam rápido e dominem o cenário.
A Asper representa esse novo modelo: um aliado com visão ofensiva e defensiva, que entrega tecnologia de ponta e traduz ameaças em decisões acionáveis. Para empresas que querem se antecipar e não apenas reagir.
Porque no mundo atual, onde até o confiável pode ser o início de um ataque, a sua vantagem competitiva começa com a sua postura de segurança.
