Um estudo recente da NordVPN revela que o roubo de cookies cresceu 74% em apenas um ano, passando de 54.000 para quase 94.000 milhões de ficheiros roubados por diferentes tipos de malware.

Estes números são resultado de uma investigação realizada por especialistas em cibersegurança, que analisaram dados de canais do Telegram onde os cibercriminosos partilham informações roubadas. Os resultados destacam o aumento deste tipo de ameaças digitais, facilitado pela rápida evolução do malware e pela falta de medidas básicas de proteção entre os utilizadores.

Os dados foram recolhidos entre 23 e 30 de abril de 2025 por investigadores independentes especializados em cibersegurança. As informações foram obtidas de canais do Telegram frequentados por cibercriminosos que comercializam dados roubados, sem que a NordVPN tenha acedido diretamente aos cookies ou ao seu conteúdo.

A análise permitiu identificar o estado ativo ou inativo dos cookies, os tipos de malware envolvidos, o país de origem e os dados associados a cada cookie, incluindo a empresa emissora, o sistema operativo do utilizador e as palavras-chave utilizadas para classificar cada perfil.

Cookies ativos: portas abertas para dados sensíveis

Os cookies, pequenos ficheiros de texto gerados por sites para armazenar informações do utilizador, são elementos essenciais para uma navegação personalizada e eficiente. No entanto, o seu armazenamento prolongado sem controlo pode torná-los uma ferramenta perigosa nas mãos de cibercriminosos.

Os atacantes aproveitam vulnerabilidades nos navegadores para interceptar cookies ativos, que podem conter tokens de sessão, credenciais de acesso, informações pessoais e configurações do utilizador. Ao contrário de uma palavra-passe comprometida, um cookie roubado pode permitir o acesso direto a contas online sem necessidade de iniciar sessão, uma vez que muitos mantêm a sessão ativa mesmo que o navegador seja fechado.

De acordo com o estudo, 20,55% dos cookies roubados em 2025 continuavam ativos, o que representa um risco contínuo de acesso não autorizado a contas pessoais e empresarias. As principais plataformas afetadas foram Google, YouTube, Microsoft e Bing, que somam mais de 8 mil milhões de cookies roubados.

Malware: mais sofisticado, mais numeroso e mais destrutivo

A investigação identificou 38 tipos diferentes de malware responsáveis pelo roubo massivo de cookies, contra os doze registados no ano anterior. Destacam-se Redline, Vidar e LummaC2, que, em conjunto, roubaram dezenas de milhares de milhões de cookies.

O Redline é especialmente eficaz na extração de palavras passe guardadas e dados de preenchimento automático, enquanto o Vidar se caracteriza por guardar malware adicional nos sistemas comprometidos. Por sua vez, o LummaC2 ganhou notoriedade pela sua capacidade evasiva, que lhe permite contornar os sistemas antivírus e permanecer ativo sem ser detetado.

A estas ameaças conhecidas juntaram-se novas variantes como RisePro, Stealc, Nexus e Rhadamanthys, que ampliam o espetro de risco ao incluir funções específicas como o roubo de credenciais bancárias, a emulação de ambientes móveis ou a distribuição dissimulada de software malicioso.

A maioria dos cookies roubados contém nomes, e-mails, endereços e palavras-passe, informações suficientes para realizar ações de phishing, fraudes financeiras ou usurpação de identidade.

Como se proteger contra o roubo de cookies

A NordVPN recomenda adotar medidas básicas para limitar a exposição a este tipo de ataques. Entre elas estão o uso de senhas seguras e únicas, a autenticação multifator (MFA), evitar links suspeitos e manter o software atualizado.

Eliminar periodicamente os cookies armazenados nos navegadores é uma das ações mais eficazes. Embora muitos utilizadores acreditem que fechar o navegador encerra a sessão, os cookies ativos podem continuar válidos durante dias ou semanas, conforme determinado pelo site que os gerou.

Também é aconselhável rever as configurações de privacidade nos serviços online para garantir que as informações partilhadas sejam limitadas ao mínimo necessário e transmitidas apenas a fornecedores confiáveis.