O que é malspam e como se proteger?

Enquanto você lê este artigo, talvez você receba um e-mail na sua caixa de entrada que pareça inofensivo — uma notificação de entrega, uma fatura em anexo, um link para redefinir uma senha. Tenha cuidado: você pode estar diante de uma mensagem falsa, cuidadosamente arquitetada para te enganar.

Esse cenário é comum para praticamente todos os usuários de e-mail, já que, em 2025, quase metade de todo o tráfego global de e-mail continha mensagens não solicitadas, phishing ou malware. Só no Brasil, foram bloqueados 553 milhões de ataques por phishing nos últimos 12 meses — uma média de 1,5 milhão por dia.

Neste artigo, vamos entender o que é o malspam, como ele funciona, quais ameaças ele carrega e como proteger os dispositivos da sua empresa.

O que é malspam?

Malspam é uma palavra criada a partir da junção de "malware" e "spam", em tradução livre, spam malicioso. É uma mensagem de e-mail não solicitada cujo objetivo não é apenas incomodar, como é comum no spam, mas enganar o destinatário a interagir com o conteúdo e entregar algum tipo de software malicioso, o malware, que pode ser passar como legítimo no dispositivo do usuário.

Diferente do spam convencional — aquele e-mail de promoção de uma loja que você nunca se cadastrou que provavelmente conseguiu seu endereço de e-mail em um banco de dados vazado — o malspam carrega uma intenção clara de comprometimento de informações. O conteúdo malicioso pode estar em um anexo, em um link embutido no corpo da mensagem ou até na própria estrutura do e-mail em HTML.

Pense no e-mail como o envelope, um pacote que chega até você. O texto é a carta de dentro, e o malware é uma substância tóxica escondida nesse envelope. Você só é afetado quando abre e mexe no pacote.

Malspam, spam e phishing: quais são as diferenças? 

Os três conceitos estão relacionados e costumam causar confusão entre os usuários, mas têm objetivos distintos. Confira o quadro comparativo:

Na prática, as linhas entre os três se cruzam com frequência, muitas vezes sendo um "combo" para a enganação. Um e-mail de phishing pode também distribuir malware, assim como um malspam bem elaborado vai usar técnicas de phishing para convencer o destinatário a abrir o anexo. O que os diferencia é a intenção: no phishing, o objetivo é enganar para extrair dados; no malspam, o objetivo é infectar o dispositivo. 

Como o malspam funciona?

Apesar de conectados por uma única intenção, os invasores diversificam o método de distribuição dos arquivos maliciosos, confira: 

Anexos maliciosos

A forma mais comum de distribuição de malware por e-mail é o anexo. O arquivo pode se disfarçar de documento do Word, planilha Excel, PDF, arquivo compactado, código de automação (script) ou executável — qualquer formato que pareça normal para o contexto da mensagem.

Segundo uma pesquisa feita por uma empresa de segurança, na primeira metade de 2025, quase metade (44,5%) dos arquivos nocivos enviados em anexos eram códigos de automação (scripts), seguidos por programas executáveis, que representaram 24,2%.

Na prática, isso significa que esses arquivos chegam disfarçados de documentos esperados — um relatório, uma proposta, um instalador de atualização — e é exatamente esse disfarce que é perigoso para o usuário.

Um exemplo comum: um colaborador do financeiro recebe um e-mail com o assunto "Nota fiscal em atraso — vencimento hoje" e um arquivo .zip em anexo. Ao extrair e abrir o conteúdo, executa um script que instala um malware em segundo plano, sem nenhum sinal visível na tela.

Em contas corporativas, é muito comum aparecer um arquivo de currículo em PDF de um interessado em alguma vaga da empresa. Com muitas pessoas se inscrevendo para a oportunidade, o funcionário de RH pode iniciar o download de todos os arquivos sem verificar a origem, instalando um malware e deixando a porta aberta para o acesso a dados sensíveis empresariais. 

Links maliciosos

Como algumas caixas de e-mail já trabalham com filtros para bloquear arquivos possivelmente maliciosos, o link é a alternativa para os invasores. A mensagem direciona o destinatário para uma página externa, que pode ser uma cópia idêntica de um site legítimo, onde o download do malware acontece ou as credenciais são capturadas.

O link pode estar disfarçado de botão ("Clique aqui para acessar o documento"), de texto âncora ("Acesse sua fatura") ou até encurtado para ocultar o destino real. Em alguns casos, a página de destino só ativa o malware após verificar que o visitante é um humano real, dificultando a detecção por sistemas automatizados de segurança.

Engenharia social

Nem sempre a ameaça está no anexo ou no link, às vezes está no conteúdo do e-mail em si. A engenharia social no contexto do malspam é a técnica de manipular o destinatário para que ele tome uma ação específica: abrir um arquivo, clicar em um link, fornecer credenciais ou transferir dados.

As mensagens costumam apelar para ações urgentes como "Sua conta será bloqueada em 24 horas", ou autoridade como "Departamento Jurídico: ação necessária" ou até mesmo familiaridade como "Conforme conversamos na reunião de ontem, segue o documento". Quanto mais personalizada e contextualizada ao perfil do destinatário for a mensagem, maior a chance dele agir sem questionar.

Neste cenário, é muito comum e-mails com remetentes que personificam entidades como bancos e instituições governamentais, já que estes costumam passar mais credibilidade e necessidade de regularização urgente, instigando o destinatário a interagir com o conteúdo.

Tipos de malware distribuídos por malspam

Além dos diferentes métodos de distribuição, existem diferentes tipos de malware que podem infectar a máquina do destinatário, todos com objetivos diferentes para utilização dos dados. Confira:

Ransomware 

No ransomware, o invasor consegue acessar os arquivos de um dispositivo infectado e criptografá-los, bloqueando o acesso do usuário e exigindo pagamento para liberação

Um colaborador abre um anexo que parece uma proposta comercial; em minutos, todos os arquivos da rede compartilhada estão bloqueados e uma mensagem exige pagamento em criptomoeda (menos rastreável) para a descriptografia.

É o tipo de malware de maior impacto operacional: empresas podem ter sistemas inteiros paralisados por dias, principalmente se o dispositivo infectado for um banco de dados, por exemplo. 

Trojans 

O trojan, ou cavalo de Troia, é um malware disfarçado de software legítimo. É um dos malwares mais conhecidos e aquele que sempre ouvimos a principal recomendação para evitar: faça downloads de programas originais em sites de origem segura.

O destinatário acredita estar baixando algo útil, como um instalador de programa, uma atualização de sistema ou um arquivo de trabalho. A maioria das vezes, é um software falsificado ou hospedado em um site não legítimo.

Com o conteúdo esperado, vem o malware. Uma vez instalado, o trojan pode abrir portas para outros ataques, criar backdoors ou baixar componentes adicionais em segundo plano, além de comprometer o funcionamento do hardware, deixando-o mais lento. 

Spyware 

Com o spyware, o invasor opera silenciosamente, coletando informações do dispositivo infectado sem que o usuário perceba, atuando como um verdadeiro espião. Capturas de tela, histórico de navegação, teclas digitadas — tudo pode ser enviado para o invasor. Ele consegue ver tudo o que é realizado pelo usuário, inclusive dados confidenciais e acessos a sistemas críticos.

O sinal mais comum de infecção é o computador ficando progressivamente mais lento, sem causa aparente, já que o spyware funciona em segundo plano. Muitas empresas descobrem a infecção meses depois, durante uma auditoria ou investigação de incidente causado pelos dados obtidos pela espionagem. Quanto mais lenta é a descoberta de um spyware, maior é o risco e prejuízo para as organizações.

Credential Stealers 

O credential stealers, assim como o de keylogger, faz o monitoramento secreto de cada tecla digitada pelo usuário, mas este malware em específico foca em coletar informações de login, e envia os dados para servidores externos. Diferente do spyware que tem acesso a todas as ações do usuário, este é focado em capturar especificamente credenciais de acesso.

Uma vez com as credenciais de um colaborador, o invasor pode acessar sistemas corporativos como e-mails e plataformas de gestão, além de extrair dados sensíveis sem disparar alertas imediatos, já que o acesso parece legítimo.

Por que o malspam é uma ameaça crescente?

Com o advento de aplicativos de mensagem, alguns dizem que o e-mail não é mais tão relevante para aplicação de golpes, mas os números não mentem: ele ainda é o principal vetor de ataques cibernéticos. Ataques baseados em e-mail cresceram 197% no segundo semestre de 2024, segundo um relatório de cibersegurança do mesmo ano. Foram detectados 500.000 arquivos maliciosos por dia em 2025 — 7% a mais do que em 2024.

No Brasil, o cenário é especialmente preocupante. Em dezembro de 2024, o país ocupou o 2º lugar mundial em percentual de URLs maliciosas bloqueadas, com 13,2%.

O uso de inteligência artificial por parte dos invasores é um dos fatores que explica esse crescimento. Mensagens geradas por IA são mais convincentes, mais personalizadas e mais parecidas com as verdadeiras, tornando-as mais difíceis de identificar como maliciosas — o que aumenta a taxa de clique e a efetividade dos ataques.

Além disso, com o aumento de golpes realizados por aplicativos de mensagem, muitos usuários esqueceram que tudo começou no e-mail e agora acreditam não existir mais perigo por lá, ou seja, o que recebem tende a ser "verdadeiro".

Como se proteger do malspam?

A proteção contra malspam começa com boas práticas individuais:

  • Desconfie de e-mails com urgência excessiva, remetentes desconhecidos ou anexos não solicitados, mesmo que pareçam vir de contatos conhecidos ou de credibilidade;

  • Verifique o endereço de e-mail completo do remetente, não apenas o nome exibido. Procure por caracteres parecidos com os originais, mas ligeiramente diferentes, usados para parecerem autênticos aos olhos desatentos;

  • Antes de clicar em qualquer link, passe o cursor sobre ele para visualizar o destino real;

  • Evite clicar diretamente no link embedado no e-mail. Exemplo: recebeu um e-mail de uma organização específica? Abra uma nova aba e vá para o site da organização por conta própria;

  • Nunca forneça credenciais em páginas acessadas por links de e-mail sem verificar a URL com atenção.

Boas práticas individuais reduzem o risco, mas não eliminam, principalmente quando falamos de proteção corporativa. Quando se precisa de eficiência em escala, é preciso ir além da conscientização, com o uso de ferramentas. A maioria procura antivírus tradicionais, mas em um cenário onde os malwares são criados com agilidade e não catalogados, é necessária uma solução que vai além, mais robusta e madura. 

Como a ManageEngine pode te ajudar na proteção contra o malspam?

OEndpoint Central da ManageEngine, com o add-on Malware Protection Plus, oferece uma camada avançada de proteção contra ameaças como as distribuídas por malspam. Diferente de antivírus convencionais que combatem ameaças conhecidas em catálogo, o Malware Protection Plus utiliza machine learning e inteligência artificial para identificar comportamentos suspeitos para detectar até malwares ainda não catalogados.

Na prática, isso significa que, se um anexo malicioso for executado em um endpoint, o sistema analisa o comportamento do arquivo em tempo real, verificando se o que ele está fazendo é considerado padrão para aquele dispositivo ou se há anomalias que precisam de atenção.

Com base nessa análise forense de comportamento nativo da solução, ela decide automaticamente como reagir de acordo com a configuração programada pela equipe de TI: de uma postura mais agressiva, com bloqueio e quarentena imediatos, a uma postura mais passiva, com alertas para análise da equipe de TI.

Os incidentes detectados são classificados em verdadeiros positivos e falsos positivos, e dispositivos comprometidos podem ser isolados em uma quarentena de rede — impedindo a propagação do malware para outros endpoints, ainda mantendo o dispositivo infectado disponível para avaliação e investigação dos técnicos.

Além disso, com a tecnologia Anti-ransomware, o Malware Protection Plus, guarda o backup do sistema anterior a infecção, assim, em caso de um incidente, é possível reestabelecer o ambiente em poucas horas, diminuindo todo o impacto da operação.

Tudo isso dentro de um console unificado do Endpoint Central, onde a equipe de TI já gerencia os demais aspectos dos endpoints, sem precisar alternar entre ferramentas.

O Malware Protection Plus também pode ser adquirido separadamente, como uma ferramenta independente, para empresas que desejam focar exclusivamente na proteção contra os diferentes tipos de malware.

Os invasores estão sempre procurando novas maneiras de inovar os ataques cibernéticos. A proteção precisa acompanhar esse ritmo. Clique e saiba mais sobre o Endpoint Central e o Malware Protection Plus.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.