O incidente de ransomware na Aegis Logistics nem sequer devia ter sido possível. A equipa de IT garantia que cada posto de trabalho tinha o antivírus atualizado. Mesmo assim, bastou um único anexo de fatura malicioso para passar, cifrar 12 terabytes de dados operacionais e parar os envios durante cinco dias. O relatório forense foi impiedoso: a variante de malware tinha apenas 36 horas, estava empacotada para parecer inofensiva, e escapou por todos os controlos tradicionais.
Se o antivírus já não chega para travar as ameaças modernas, o que é que chega? É a pergunta que tira o sono aos CISO. A resposta começa por perceber como funciona realmente um antivírus, porque é que os atacantes já seguiram em frente há muito, e onde é que a isolation e as defesas em camadas fazem a diferença.
Como funciona o antivírus clássico
Durante décadas o antivírus foi a primeira linha de defesa em dispositivos pessoais e em ambiente empresarial. O seu sucesso assentava em reconhecer ficheiros já conhecidos como maliciosos antes da execução. Para perceber onde está a falhar, vale a pena rever os três principais métodos de deteção.
O signature matching compara hashes de ficheiros com uma base mantida pelo vendor. Se o hash coincidir, o ficheiro é bloqueado. Rápido e preciso em ameaças conhecidas, inútil no momento em que o malware muda.
A análise heurística olha para a estrutura do ficheiro e para o seu comportamento. Um documento que tenta iniciar o PowerShell ou mexer no registry faz disparar um alerta. É o equivalente a tentar identificar um comportamento suspeito no meio da multidão, e produz um fluxo constante de falsos positivos.
O sandboxing comportamental faz detonar os ficheiros suspeitos numa sandbox local e observa as ações maliciosas. Eficaz contra ameaças novas, mas pesado para a CPU, e regularmente contornado por malware que deteta as condições de sandbox.
Estas técnicas eram formidáveis enquanto os autores de malware reciclavam as mesmas payloads. Os atacantes de hoje veem o antivírus como um obstáculo básico para contornar, não como uma barreira a sério. Iteram mais depressa do que os defensores conseguem atualizar as assinaturas.
Porque é que o antivírus falha em 2025
O malware moderno foi pensado para passar ao lado das proteções focadas em ficheiros e em comportamentos conhecidos. Os atacantes transformam o browser em veículo de entrega, encostam-se a payloads fileless e exploram zero-days que os vendors ainda nem viram.
A janela zero-day e N-day. Segundo a Mandiant, o intervalo médio entre a divulgação de uma vulnerabilidade e a sua exploração em massa caiu para 6 dias em 2024. A maior parte das organizações demora semanas a aplicar patches. Os autores de malware vivem dentro dessa fresta. O zero-day do Chrome de maio de 2025 (CVE-2025-1023) apareceu em campanhas de phishing 48 horas depois da descoberta. O antivírus não assinalou as páginas maliciosas, simplesmente porque ainda não existiam assinaturas.
Malware polimórfico. Os kits de malware já chegam com motores polimórficos que mudam o hash da payload a cada download. Uma única campanha de phishing pode gerar 10 000 executáveis únicos num só dia. A deteção signature-based desmorona quando deixa de existir uma impressão digital estável para reconhecer. A IBM X-Force regista um aumento de 300% em famílias de ransomware polimórfico entre 2023 e 2025.
Ataques fileless e living-off-the-land. Em vez de largarem um EXE malicioso, os atacantes usam ferramentas legítimas que já estão no sistema (PowerShell, WMI, macros do Office). A payload vive em memória e aproveita processos de confiança. A FIN7 passou para ataques fileless em 2024 e viu as taxas de sucesso a subir, porque a segurança endpoint raramente examina em detalhe as ferramentas legítimas de admin.
Junta a isto o fator humano (colaboradores a clicar em faturas urgentes, analistas a investigar links duvidosos, programadores a sacar ferramentas de terceiros) e tens a tempestade perfeita. O antivírus ainda apanha as ameaças de ontem. Os atacantes já estão a construir as de amanhã.
Por dentro do panorama de ameaças moderno
Para os cibercriminosos, o browser é a porta de entrada universal. É a camada onde o utilizador e a web se cruzam, e portanto terreno fértil para engenharia social, drive-by downloads e scripts maliciosos que fazem arrancar processos invisíveis.
novos samples maliciosos (AV-TEST, Q3 2025). A maior parte nunca chega a ter assinatura.
dos incidentes de ransomware começam numa sessão de browser (Verizon DBIR 2025)
tempo médio para aplicar patches críticos do browser em toda a empresa (Gartner 2025)
dos incidentes de segurança envolvem um elemento humano (Verizon DBIR 2025)
O antivírus continua a fazer parte do stack, mas os seus limites são gritantes. Os responsáveis de segurança procuram formas de tirar o browser (a aplicação mais visada) da linha de fogo sem atrapalhar o trabalho das pessoas. É aí que entra a isolation.
Porque é que a isolation fecha a brecha
O antivírus tenta reconhecer e travar código malicioso. A isolation do browser muda as regras do jogo: parte do princípio de que o código pode ser malicioso e mantém-no afastado do teu dispositivo. Em vez de confiares na deteção, confias na arquitetura.
Essa arquitetura tem quatro peças. Execução remota: cada site, cada script e cada download corre dentro de um contentor isolado na cloud, e ao teu dispositivo chega apenas um fluxo de render seguro. As sessões efémeras são descartáveis, por isso depois de fechadas não sobram cookies, histórico nem footholds.
O zero-trust browsing parte do princípio de que qualquer separador pode ser hostil e limita o blast radius, para que um zero-day nunca chegue à tua máquina local. O manuseamento seguro de ficheiros abre os downloads suspeitos primeiro dentro do browser isolado, o que mantém o ransomware fora do endpoint mesmo quando o utilizador carrega.
Em vez de depender das atualizações de threat intelligence, a isolation levanta um muro à volta dos teus colaboradores. O antivírus continua a ter o seu papel (sobretudo nos riscos por USB e nas aplicações legacy), mas deixa de ser o teu ponto único de falha. A comparação ajuda: pensa no antivírus como o cinto de segurança e na isolation como o airbag. A eficácia é máxima quando estão os dois.
Estudo de caso: a reconstrução da Aegis Logistics
Lembras-te da Aegis Logistics, a empresa que ficou paralisada pela fatura maliciosa? A análise pós-incidente que fizeram serve de manual para aprender com a falha.
A causa raiz era das mais comuns. Um email de phishing passou ao lado do secure email gateway, e o anexo entregou um loader polimórfico que contornou o antivírus endpoint ao mudar o hash durante o download. Os fatores de contexto agravaram o estrago. As assinaturas do antivírus estavam 24 horas atrasadas por causa de um rollout faseado. Na área financeira, os postos eram partilhados, tinham privilégios elevados e unidades de rede mapeadas. Não existia um fluxo seguro de inspeção para links suspeitos, e os analistas acabavam por abri-los localmente.
A resposta pós-incidente foi estrutural, não cosmética. Finanças, compras e segurança passaram as investigações de phishing para o Browser.lol. O antivírus continuou a correr ao lado do EDR, agora com políticas de isolation obrigatórias. Todos os workflows de alto risco passam obrigatoriamente por sessões virtuais descartáveis antes de tocar na rede. O tempo médio de deteção de tentativas de phishing caiu de 9 horas para 45 minutos. A empresa já vai com 11 meses sem um único incidente de contenção com origem no browser. O antivírus ficou no sítio, mas já ninguém conta só com ele.
Um plano de ação a 30 dias
Segue este roteiro para alinhar os stakeholders, lançar a isolation e mostrar resultados rápidos.
Semana 1: avaliar e comunicar
Junta os últimos 12 meses de incidentes em que o antivírus falhou ou alertou demasiado tarde. Mapeia os workflows que passam pelo browser nas áreas de finanças, RH, segurança e produto. Faz um briefing à liderança sobre a brecha que o antivírus deixa, usando os números acima como ponto de partida.
Semana 2: lançar um piloto
Provisiona sessões Browser.lol para os papéis de alto risco (aprovadores financeiros, analistas SOC). Cria no Slack ou no Teams um atalho «link seguro» que encaminha URLs para sessões isoladas. Regista o tempo poupado e os incidentes contidos, para depois partilhares com os stakeholders.
Semana 3: integrar e automatizar
Liga o Browser.lol ao teu identity provider, ao logging SIEM e aos sistemas de ticketing. Automatiza a triagem de phishing para que os anexos abram em isolation por defeito. Atualiza os runbooks de incident response para incluírem os passos de investigação em isolamento.
Semana 4: alargar a cobertura
Forma mais departamentos com as demos gravadas durante o piloto. Define objetivos trimestrais para reduzir os incidentes com origem no browser. Leva à administração um relatório curto com os ganhos, para garantir a continuidade do investimento.
Começa hoje a construir uma defesa em camadas
Para as defesas tradicionais, o malware moderno não é um combate justo. Os atacantes iteram mais depressa, transformam os browsers em arma e camuflam-se no tráfego normal. O antivírus continua a contar, mas precisa de reforços, sobretudo na linha da frente, onde as pessoas carregam em links e abrem anexos.
A isolation do browser traz uma filosofia nova: parte do princípio de que vai haver compromisso e mantém-no contido. As organizações que se estão a dar bem em 2025 são as que desenham a segurança em torno da maneira como as pessoas trabalham mesmo, isto é, curiosas, colaborativas e por vezes distraídas. Dá-lhes uma rede de segurança que não dependa de adivinhar qual é o ficheiro malicioso.
Pronto para teres um desktop completo em qualquer dispositivo?
Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.
Abrir o meu navegador desktopSem instalações • Funciona em qualquer dispositivo
