🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão cada vez mais transformando enormes coleções de credenciais derivadas de infostealers em serviços clandestinos pesquisáveis, permitindo que os compradores solicitem credenciais para uma empresa, plataforma, domínio, região geográfica ou tipo de conta específico.
Os pesquisadores do Flare analisaram 470 postagens em fóruns clandestinos publicadas entre janeiro de 2025 e junho de 2026, em diferentes fontes, relacionadas a atores que se ofereceram para pesquisar e extrair credenciais roubadas de seus bancos de dados. O conjunto de dados incluía anúncios, republicações, feedback do comprador, referências de preços e disputas sobre qualidade e validade.
As descobertas mostram uma camada de serviço dedicada situada entre infecções por infostealers, negociação de logs brutos e atividades de controle de contas. O perfil dos atores de ameaças que oferecem esses serviços é dividido entre os provedores de Malware como serviço (MaaS) e os consumidores de MaaS.
Em muitos casos, funcionam como corretores de credenciais ou processadores de dados, monetizando o grande número de registos e a sua capacidade de pesquisar, filtrar, formatar e fornecer resultados direcionados a partir de grandes coleções de credenciais roubadas.
Pontos-chave
A análise de 470 postagens clandestinas ilustra um serviço preciso que oferece extração, filtragem, desduplicação, formatação e atualização direcionadas de grandes bancos de dados de infostealers contendo dezenas de bilhões de linhas. Está funcionando como uma alternativa às listas combinadas, onde, em vez de comprar um dump em massa, os compradores consultam os dados existentes do vendedor e recebem apenas os resultados que correspondem ao seu objetivo.
O mercado se sobrepõe ao ecossistema do Initial Access Broker (IAB), mas não é idêntico a ele, quando os formatos de saída comuns incluíam URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE e MAIL:LOGIN.
Curiosamente, o feedback dos compradores mostrou que há uma lacuna entre o que é anunciado e os resultados reais em termos de que, na realidade, o volume é menor, as credenciais são frequentemente inválidas, duplicadas e geralmente utilizáveis.
Como funciona o serviço “Pesquise seu alvo”
O mercado “pesquise seu alvo” fica no meio da cadeia de aquisição de contas.
Primeiro, os infostealers infectam dispositivos e coletam credenciais, cookies, dados de preenchimento automático e artefatos do navegador. Em seguida, os logs são agregados e inseridos em nuvens privadas, bancos de dados ULP, dumps públicos ou coleções baseadas em exchange. Em seguida, os agentes de ameaças do “serviço de pesquisa” extraem linhas com base nas solicitações dos compradores. Os compradores então validam as credenciais e as usam para controle de conta, fraude, spam, phishing, roubo de criptografia ou intrusão corporativa.
Isso significa que os vendedores neste conjunto de dados muitas vezes não são o primeiro nem o último passo. Eles são a camada de processamento que transforma o ruído de credenciais roubadas em material de ataque direcionado.
Figura 1 – o fluxo “pesquise seu alvo”
Do ponto de vista da estrutura de inteligência de ameaças, este modelo de serviço representa um exemplo prático de T1589.001 (Gather Victim Identity Information: Credentials), onde os adversários pesquisam ativamente e adquirem credenciais antes da exploração, e potencialmente T1650 (Acquire Access), dado que alguns vendedores fornecem resultados indistinguíveis do provisionamento de acesso direto.
Ataques à cadeia de suprimentos têm um rastro subterrâneo de documentos
Desde vendas de acesso ao GitHub até repositórios de fornecedores vazados, os sinais de alerta existem – eles estão apenas enterrados em fóruns e mercados que a maioria das equipes não está observando.
O Flare os revela antes que se tornem incidentes.
Comece a monitorar a exposição da cadeia de suprimentos gratuitamente
A economia de mercado “Pesquise seu alvo”
Assim como no mercado DDoS, onde o comprador envia um domínio e o provedor de serviços o ataca, o serviço é duplicado e oferece o mesmo pipeline.
Um comprador envia um alvo
O vendedor retorna credenciais correspondentes
Esse alvo pode ser o domínio de uma empresa, URL de login, site de comércio eletrônico, plataforma de jogos, aplicativo, mercado geográfico ou uma lista de e-mails. A saída geralmente é entregue em formatos como URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE ou outras combinações dependendo da solicitação.
Vários vendedores clandestinos especificam o tamanho de seu banco de dados como argumento de venda. Um ator anunciou um banco de dados “ULP 5kkk+ linhas” (5.000.000.000), acesso rápido em 10 a 15 minutos, atualizações diárias e fontes que supostamente incluíam registros privados, nuvens privadas, fluxos pessoais e dados públicos. Outro ator promoveu uma linha de 10kkk+, banco de dados URL:LOG de 1TB+, enquanto outros reivindicaram acesso a coleções que variam de centenas de milhões a dezenas de bilhões de registros.
Captura de tela retirada da plataforma Flare. Inscreva-se para o teste gratuito para ter acesso se você ainda não for cliente.
O tamanho do banco de dados não é o único argumento de venda. Os atores da ameaça também indicam outros recursos como parte de seu discurso de vendas. Os vendedores também estão anunciando suas capacidades de pesquisa, atualização, formatação e relevância.
Alguns oferecem domínio simples
Os pesquisadores do Flare analisaram 470 postagens em fóruns clandestinos publicadas entre janeiro de 2025 e junho de 2026, em diferentes fontes, relacionadas a atores que se ofereceram para pesquisar e extrair credenciais roubadas de seus bancos de dados. O conjunto de dados incluía anúncios, republicações, feedback do comprador, referências de preços e disputas sobre qualidade e validade.
As descobertas mostram uma camada de serviço dedicada situada entre infecções por infostealers, negociação de logs brutos e atividades de controle de contas. O perfil dos atores de ameaças que oferecem esses serviços é dividido entre os provedores de Malware como serviço (MaaS) e os consumidores de MaaS.
Em muitos casos, funcionam como corretores de credenciais ou processadores de dados, monetizando o grande número de registos e a sua capacidade de pesquisar, filtrar, formatar e fornecer resultados direcionados a partir de grandes coleções de credenciais roubadas.
Pontos-chave
A análise de 470 postagens clandestinas ilustra um serviço preciso que oferece extração, filtragem, desduplicação, formatação e atualização direcionadas de grandes bancos de dados de infostealers contendo dezenas de bilhões de linhas. Está funcionando como uma alternativa às listas combinadas, onde, em vez de comprar um dump em massa, os compradores consultam os dados existentes do vendedor e recebem apenas os resultados que correspondem ao seu objetivo.
O mercado se sobrepõe ao ecossistema do Initial Access Broker (IAB), mas não é idêntico a ele, quando os formatos de saída comuns incluíam URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE e MAIL:LOGIN.
Curiosamente, o feedback dos compradores mostrou que há uma lacuna entre o que é anunciado e os resultados reais em termos de que, na realidade, o volume é menor, as credenciais são frequentemente inválidas, duplicadas e geralmente utilizáveis.
Como funciona o serviço “Pesquise seu alvo”
O mercado “pesquise seu alvo” fica no meio da cadeia de aquisição de contas.
Primeiro, os infostealers infectam dispositivos e coletam credenciais, cookies, dados de preenchimento automático e artefatos do navegador. Em seguida, os logs são agregados e inseridos em nuvens privadas, bancos de dados ULP, dumps públicos ou coleções baseadas em exchange. Em seguida, os agentes de ameaças do “serviço de pesquisa” extraem linhas com base nas solicitações dos compradores. Os compradores então validam as credenciais e as usam para controle de conta, fraude, spam, phishing, roubo de criptografia ou intrusão corporativa.
Isso significa que os vendedores neste conjunto de dados muitas vezes não são o primeiro nem o último passo. Eles são a camada de processamento que transforma o ruído de credenciais roubadas em material de ataque direcionado.
Figura 1 – o fluxo “pesquise seu alvo”
Do ponto de vista da estrutura de inteligência de ameaças, este modelo de serviço representa um exemplo prático de T1589.001 (Gather Victim Identity Information: Credentials), onde os adversários pesquisam ativamente e adquirem credenciais antes da exploração, e potencialmente T1650 (Acquire Access), dado que alguns vendedores fornecem resultados indistinguíveis do provisionamento de acesso direto.
Ataques à cadeia de suprimentos têm um rastro subterrâneo de documentos
Desde vendas de acesso ao GitHub até repositórios de fornecedores vazados, os sinais de alerta existem – eles estão apenas enterrados em fóruns e mercados que a maioria das equipes não está observando.
O Flare os revela antes que se tornem incidentes.
Comece a monitorar a exposição da cadeia de suprimentos gratuitamente
A economia de mercado “Pesquise seu alvo”
Assim como no mercado DDoS, onde o comprador envia um domínio e o provedor de serviços o ataca, o serviço é duplicado e oferece o mesmo pipeline.
Um comprador envia um alvo
O vendedor retorna credenciais correspondentes
Esse alvo pode ser o domínio de uma empresa, URL de login, site de comércio eletrônico, plataforma de jogos, aplicativo, mercado geográfico ou uma lista de e-mails. A saída geralmente é entregue em formatos como URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE ou outras combinações dependendo da solicitação.
Vários vendedores clandestinos especificam o tamanho de seu banco de dados como argumento de venda. Um ator anunciou um banco de dados “ULP 5kkk+ linhas” (5.000.000.000), acesso rápido em 10 a 15 minutos, atualizações diárias e fontes que supostamente incluíam registros privados, nuvens privadas, fluxos pessoais e dados públicos. Outro ator promoveu uma linha de 10kkk+, banco de dados URL:LOG de 1TB+, enquanto outros reivindicaram acesso a coleções que variam de centenas de milhões a dezenas de bilhões de registros.
Captura de tela retirada da plataforma Flare. Inscreva-se para o teste gratuito para ter acesso se você ainda não for cliente.
O tamanho do banco de dados não é o único argumento de venda. Os atores da ameaça também indicam outros recursos como parte de seu discurso de vendas. Os vendedores também estão anunciando suas capacidades de pesquisa, atualização, formatação e relevância.
Alguns oferecem domínio simples
#samirnews #samir #news #boletimtec #um #vislumbre #do #mercado #“pesquise #seu #alvo” #em #busca #de #credenciais #roubadas
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário