July 24, 2025
Apesar dos esforços globais, como as operações coordenadas pela Europol e Microsoft para desmantelar infraestruturas de infostealers, a persistência de ameaças como o Lumma Stealer continua a ser um desafio crítico.
Este artigo apresenta uma análise detalhada da presença e do impacto desta ameaça em Portugal, com base em dados de credenciais e sistemas únicos comprometidos entre Maio e Junho de 2025. Para isso, examinámos a atividade de um ator malicioso específico monitorizado pela nossa equipa de cyber threat intelligence, visando quantificar a extensão do problema e alertar para a vulnerabilidade de computadores pessoais e contas profissionais no ambiente digital atual.
Atualmente, o trabalho que viabilizou esta pesquisa está diretamente integrado no modulo Breach Monitoring da plataforma CyberHook, onde detetamos, analisamos e reportamos ameaças relevantes, relacionadas com a proteção de contas. No final deste artigo abordaremos mais detalhadamente o papel do CyberHook no combate ao comprometimento de contas causadas por Info Stealers.
O objetivo não será analisar tecnicamente as capacidades e métodos utilizados por este malware, mas sim examinar os dados recolhidos por este. Com isso, iremos explorar uma perspetiva diferente sobre este problema e obter novos insights sobre o que pode ser considerado uma das maiores ameaças à segurança atualmente.
A nossa análise é baseada em 44 arquivos processados entre Maio e Junho de 2025, totalizando pouco mais de 90GB de dados. Dentro destes arquivos, também conhecidos como Stealer Logs, estão na sua maioria, pastas compactadas. Cada pasta contém os dados furtados de um único computadores, como credenciais guardadas em navegadores, cookies, informação sobre o sistema, entre outros.
Durante a análise destes arquivos, foi determinado que grande parte destes sistemas são de uso pessoal, no entanto encontrámos diversas contas profissionais pertencentes a entidades públicas e privadas. Tendo estas contas acesso a uma vasta gama de aplicações como software de faturação na cloud, homebanking, portais de clientes, entre outras. Aumentando o risco destas entidades a incidentes de segurança.
Durante este período, o número de computadores infetados é 1752. Embora seja um número relativamente baixo de infeções, o número total de credenciais comprometidas é de 122041.
Observou-se algum impacto, no número total de infeções, com disrupção da Europol na infraestrutura deste malware durante o mês de maio onde apenas foram infetados 780 sistemas, contudo voltou rápidamente a aumentar no mês de junho com 931 computadores afetados.
Comparando estes dois períodos, observa-se um aumento significativo de 86,55% no número de credenciais comprometidas:
| Mês | Contas |
|---|---|
| Maio 2025 | 42590 |
| Junho 2025 | 79451 |
Abaixo podemos visualizar este aumento através das barras a azul que representam o número de contas comprometidas.
É importante frisar que é por meio destas credenciais que os atores maliciosos conseguem acessos irrestritos a diversos sistemas, sejam eles governamentais, empresariais ou pessoais.
O Norte destaca-se como a região (NUTS II) mais afetada por este malware em termos de IPs únicos, com 255 infeções, ficando à frente de Grande Lisboa, com 233 infeções até ao momento.
Abaixo está uma tabela com a contagem de infeções das 5 regiões mais afetadas e o número de agregados domésticos privados com ligação à Internet em casa¹ correspondente.
| Região (NUTS II) | Nº IPs únicos | Nº agregados domésticos privados com ligação à Internet |
|---|---|---|
| Norte | 255 | 1104839 |
| Grande Lisboa | 233 | 727794 |
| Centro | 130 | 506258 |
| Península de Setúbal | 57 | 283839 |
| Algarve | 45 | 156774 |
Um dos possíveis motivos para esta tendência é que a região Norte possui maior acesso à internet e tecnologia. Consequentemente, quanto maior o acesso à internet e tecnologia, maior será a exposição a malware e outras ameaças.
Apesar deste destaque em números absolutos, ocupa apenas a 6ª posição na lista de proporção de agregados doméstico privados afetados por região, que é liderada por Grande Lisboa.
| Região (NUTS II) | Proporção agregados domésticos privados afetados |
|---|---|
| Grande Lisboa | 0,032% |
| Algarve | 0,029% |
| R. A. Açores | 0,027% |
| R. A. Madeira | 0,027% |
| Centro | 0,026% |
Embora a região Norte não figure nesta segunda tabela, o que se destaca em números absolutos, mas não em proporção, reforça a ideia de que tanto o tamanho populacional quanto o nível de acesso digital são fatores importantes na distribuição de infeções por malware.
Para ilustrar de forma mais visual e completa a distribuição regional de infeções, apresentamos um mapa de calor, no qual as regiões mais afetadas estão destacadas a vermelho.
1: Dados INE
O LummaStealer continua a ser uma ameaça persistente e significativa em Portugal, como evidenciado pelos mais de 100 mil credenciais comprometidas em apenas dois meses. Apesar dos esforços internacionais para desmantelar a sua infraestrutura, a sua capacidade de rápida recuperação e o impacto generalizado em computadores pessoais e, preocupantemente, em contas profissionais, sublinham a urgência de uma defesa robusta.
A análise geográfica revela que regiões com maior acesso digital, como o Norte e a Grande Lisboa, são particularmente visadas, embora a proporção de lares afetados indique que o problema é transversal a várias áreas do país. A facilidade com que as credenciais roubadas permitem acessos irrestritos a sistemas críticos, sejam eles governamentais, empresariais ou pessoais, torna este tipo de infostealer numa das maiores ameaças à segurança digital da atualidade.
Existem diversas maneiras de se proteger contra Info Stealers e credenciais comprometidas. A educação, consciencialização e sensibilização de cibersegurança e a adoção de medidas preventivas são essenciais. No entanto, para uma defesa completa, é fundamental implementar mecanismos de monitorização e resposta que o mantenham constantemente informado sobre possíveis incidentes causados por estas ameaças.
Ferramentas como o CyberHook da SUCURILABS representam um passo fundamental nessa direção. Para além de transformar os colaboradores de potenciais vulnerabilidades numa firewall humana contra as táticas de engenharia social que frequentemente pavimentam o caminho para ameaças como o LummaStealer, o CyberHook também dispõe de um módulo de Breach Monitoring. Este módulo monitoriza e alerta ativamente sobre credenciais expostas, permitindo uma resposta rápida e informada a incidentes.