O site de produtos da grife associada ao diretor do FBI, Kash Patel, foi retirado do ar na sexta-feira, depois que vieram à tona relatos de que a página havia sido sequestrada por hackers — que a usavam para tentar infectar os visitantes com malware. A informação foi divulgada inicialmente pelo Straight Arrow News.

Até o fechamento desta reportagem, o site da Based Apparel permanecia offline. Na quinta-feira, uma usuária do X que se identifica como "Debbie" publicou que a página da marca aparentemente continha um programa malicioso — mais especificamente, um infostealer, uma categoria de malware projetada para infectar as vítimas e roubar suas credenciais e senhas. Em seguida, um pesquisador de segurança analisou a amostra para confirmar a natureza da ameaça.

O que é um infostealer — e por que ele é tão perigoso

Para entender a gravidade do episódio, vale explicar o tipo de praga envolvida. Um infostealer (ou "ladrão de informações") é um software malicioso cujo objetivo não é travar o computador ou exibir um pedido de resgate, e sim coletar silenciosamente tudo o que tiver valor dentro da máquina infectada: senhas salvas no navegador, dados de preenchimento automático, cookies e tokens de sessão, históricos, e — em muitos casos — credenciais de carteiras de criptomoedas.

O detalhe técnico que torna esses programas especialmente nocivos são os tokens de sessão. Ao roubá-los, o invasor consegue, em muitos casos, entrar diretamente nas contas da vítima sem precisar da senha e até contornar a autenticação em duas etapas (2FA), já que assume uma sessão que o próprio usuário já havia validado. Na prática, basta um visitante desavisado ser infectado para que e-mails, redes sociais, contas bancárias e cofres de senha fiquem ao alcance do criminoso.

Como um site de e-commerce vira arma contra seus próprios visitantes

Embora os relatos não tenham detalhado publicamente o vetor exato de infecção, o padrão é bem conhecido por quem acompanha esse tipo de incidente. Em ataques desse gênero, os hackers primeiro comprometem o site — normalmente explorando vulnerabilidades na plataforma de e-commerce, em plugins desatualizados ou usando credenciais administrativas roubadas. Com acesso, injetam código malicioso nas páginas.

A partir daí, a entrega do infostealer costuma seguir uma de duas rotas. A primeira é o "drive-by", em que apenas visitar a página já dispara a tentativa de infecção. A segunda — hoje cada vez mais comum — é a engenharia social embutida no próprio site: páginas falsas de verificação que pedem ao usuário para "provar que não é um robô" e, nesse processo, induzem a vítima a colar e executar um comando que, sem que ela perceba, baixa e roda o malware. Essa técnica, conhecida no meio como "ClickFix" ou "fake CAPTCHA", explora a confiança do usuário e driblas defesas automáticas, porque é a própria vítima quem aciona a infecção.

Independentemente da rota, o resultado é o mesmo e particularmente perverso: um site legítimo, com a marca de uma figura pública, transformado em ponto de distribuição de malware. A confiança que o visitante deposita no domínio é exatamente o que o ataque explora.

Uma engrenagem maior: a economia dos dados roubados

O caso não é um evento isolado, mas parte de uma das tendências que mais crescem no cibercrime: a indústria dos infostealers. Esses malwares hoje funcionam em larga escala dentro do modelo de malware como serviço (Malware-as-a-Service), no qual desenvolvedores alugam ferramentas prontas para operadores menos sofisticados, mediante assinatura.

O produto final desse ecossistema são os chamados "logs" — pacotes com as credenciais e os tokens roubados das vítimas, vendidos em massa em canais do Telegram e em fóruns clandestinos. Esses dados alimentam a etapa seguinte da cadeia criminosa: corretores de acesso inicial (initial access brokers) que revendem o ingresso em redes corporativas para grupos hackers, muitas vezes os mesmos responsáveis por ataques de ransomware. Ou seja, a infecção de um visitante curioso em um site de camisetas pode, na ponta, virar matéria-prima para um ataque muito maior.

Uma semana ruim para os negócios ligados ao movimento MAGA

O episódio da Based Apparel se soma a outro tropeço de segurança envolvendo empreendimentos associados ao universo MAGA na mesma semana.

Na sexta-feira, a operadora de celular do presidente Trump e fabricante do Trump Mobile confirmou ter deixado informações pessoais de clientes expostas na internet, incluindo nomes, endereços de e-mail, endereços de correspondência, números de celular e identificadores de pedido. A confirmação veio dias depois de um pesquisador alertar dois youtubers que haviam comprado o telefone da Trump Mobile de que seus dados pessoais estavam acessíveis na rede.

Em conjunto, os dois casos desenham um quadro preocupante: marcas de grande visibilidade política, com bases de seguidores fiéis e dispostos a comprar, mas com operações digitais que não acompanham o nível de exposição — e de risco — que esse público representa. Para o consumidor, o recado é direto: a notoriedade de um nome estampado num produto não é, nem de longe, garantia de que o site por trás dele esteja seguro.