Phishing

Em 25 de setembro de 2025, a unidade de resposta a ameaças da eSentire identificou uma operação de spear phishing sofisticada que visava o e-mail de suporte Zendesk de um cliente do setor de manufatura. Os atacantes enviaram um e-mail com tema bancário, intitulado ‘Swift Message MT103 Addiko Bank ad: FT2521935SVT’, que continha um anexo ZIP malicioso. Ao ser extraído, o arquivo implantou o malware DarkCloud, um ladrão de informações que coleta uma ampla gama de dados sensíveis, como senhas armazenadas em navegadores, detalhes de cartões de crédito, credenciais de FTP e até mesmo arquivos de carteiras de criptomoedas. O DarkCloud se destaca por suas características de evasão, utilizando técnicas de criptografia de strings e detecção de ambientes de análise. A exfiltração de dados ocorre por múltiplos canais, incluindo API do Telegram e SMTP. A eSentire conseguiu interceptar os e-mails de spam e evitar a execução do malware, recomendando políticas de segurança de e-mail e treinamento de conscientização sobre phishing para os funcionários. Este incidente ressalta a necessidade de defesas em camadas para proteger as organizações contra campanhas de malware furtivas.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

Com a popularização dos serviços da Amazon, muitos usuários brasileiros enfrentam o risco de terem suas contas hackeadas. O artigo orienta sobre as ações a serem tomadas em caso de invasão. Se a Amazon bloquear sua conta, é essencial verificar e-mails e SMS para seguir as instruções de desbloqueio. Caso você perceba atividades suspeitas, deve acessar sua conta e seguir o caminho indicado para proteger seus dados, como mudar a senha e ativar a verificação em duas etapas. Sinais de que sua conta pode estar comprometida incluem tentativas de login falhadas, compras não autorizadas e alterações em métodos de pagamento. Para prevenir ataques, recomenda-se o uso de senhas fortes, a ativação de chaves de acesso e a cautela com links suspeitos. O artigo destaca que a segurança da conta é crucial, especialmente em um cenário onde a Amazon é amplamente utilizada no Brasil.

O doxxing é a prática criminosa de expor informações pessoais de indivíduos na internet sem seu consentimento, frequentemente com objetivos maliciosos como assédio e intimidação. O termo deriva da expressão ‘dropping documents’ e ganhou notoriedade com o vazamento de dados de figuras públicas, como streamers e criadores de conteúdo. Os doxxers geralmente não precisam ser hackers; muitas vezes, eles coletam informações disponíveis publicamente em redes sociais, registros públicos e por meio de engenharia social. Para se proteger, é essencial auditar as configurações de privacidade nas redes sociais, realizar buscas periódicas sobre suas informações na internet e usar senhas fortes e autenticação de dois fatores. Caso alguém se torne vítima de doxxing, é crucial documentar o incidente, denunciar nas plataformas afetadas e notificar amigos e familiares. O doxxing representa uma ameaça real no ambiente digital, e a prevenção é a melhor defesa contra essa prática.

A Python Software Foundation alertou sobre uma nova onda de ataques de phishing direcionados a desenvolvedores que utilizam a linguagem Python, especificamente através do Python Package Index (PyPI). Os golpistas estão enviando e-mails fraudulentos solicitando que os usuários verifiquem suas contas sob a ameaça de suspensão, levando-os a um site falso, pypi-mirror.org, que imita a página oficial do PyPI. Ao clicar no link, as vítimas podem ter suas credenciais de acesso roubadas. O PyPI é uma plataforma amplamente utilizada, hospedando mais de 681.400 projetos e 15 milhões de arquivos, tornando-se um alvo atrativo para ataques cibernéticos. O risco é significativo, pois os hackers podem não apenas roubar projetos, mas também injetar malwares em pacotes existentes ou publicar novos projetos maliciosos, afetando usuários e comprometendo dados sensíveis, como credenciais e informações financeiras. A fundação recomenda que os desenvolvedores alterem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas. Este ataque é parte de uma campanha mais ampla que já afetou a cadeia de suprimentos de software, com incidentes semelhantes ocorrendo no ecossistema npm.

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

Um novo golpe digital está circulando no Brasil, onde golpistas se passam pelo iFood para enganar usuários com a oferta de um cupom de R$ 2 mil. Mensagens de texto com um link encurtado estão sendo enviadas a diversas pessoas, direcionando-as a uma página falsa que imita o site oficial do iFood. Ao acessar, os usuários são incentivados a baixar um aplicativo malicioso em formato APK, que pode comprometer a segurança de seus dispositivos. O aplicativo, que se apresenta como ‘ifood.apk’, pode ser utilizado para bombardear os celulares com anúncios, roubar dados pessoais ou até mesmo permitir acesso remoto aos aparelhos. O iFood já se manifestou, alertando que não realiza sorteios ou promoções dessa natureza e que todas as comunicações legítimas são feitas por canais oficiais. Para se proteger, os usuários devem evitar clicar em links suspeitos, não compartilhar informações pessoais e denunciar mensagens como spam. O golpe destaca a importância da conscientização sobre segurança digital e a necessidade de cautela ao lidar com ofertas que parecem boas demais para ser verdade.

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

A DigiCert anunciou a aquisição da Valimail, ampliando sua plataforma DigiCert ONE com tecnologia de autenticação de e-mail de confiança zero. Essa aquisição visa fortalecer a segurança contra fraudes por e-mail, como phishing e spoofing, que continuam a ser uma das principais ameaças cibernéticas globalmente. A Valimail é reconhecida por suas soluções DMARC patenteadas, essenciais para autenticar remetentes legítimos e bloquear mensagens falsificadas. O CEO da DigiCert, Amit Sinha, destacou que a autenticação de e-mail é um passo lógico para a expansão da plataforma, enquanto Alex Garcia-Tobar, CEO da Valimail, enfatizou a importância da parceria para acelerar a missão de autenticar comunicações. A integração das capacidades da Valimail permitirá a implementação em larga escala do DMARC, crucial para a proteção de empresas e agências governamentais. No entanto, a eficácia dessas tecnologias depende da adoção completa por parte das empresas e da educação dos usuários sobre as ameaças em evolução. Apesar do fortalecimento da posição da DigiCert, não há garantias de uma redução rápida nos incidentes de phishing e spoofing, que ainda são facilitados por erros humanos e a adoção inconsistente de padrões de segurança.

Recentemente, as empresas de cibersegurança PRODAFT e Netcraft revelaram a existência de serviços de phishing-as-a-service (PhaaS) conhecidos como Lighthouse e Lucid, que estão facilitando a realização de ataques cibernéticos em larga escala. Esses serviços, que podem ser adquiridos por valores que começam em R$ 465, oferecem ferramentas para a criação de campanhas de phishing personalizadas, atingindo 316 marcas em 74 países. Os ataques incluem smishing, que é o phishing realizado via SMS, utilizando plataformas como iMessage e RCS. A plataforma Lucid, por exemplo, permite que hackers montem campanhas direcionadas a setores como pedágios, correios e instituições financeiras, com a capacidade de monitorar as vítimas em tempo real. Além disso, os criminosos estão voltando a usar e-mails para coletar dados roubados, o que torna a detecção mais difícil. Os pesquisadores também identificaram técnicas avançadas, como o uso de caracteres homóglifos para criar URLs enganosas. Esses desenvolvimentos destacam a evolução das táticas de phishing e a necessidade urgente de medidas de segurança mais robustas.

Desde abril de 2025, um grupo de hackers desconhecido chamado ComicForm tem realizado uma campanha de phishing direcionada a organizações na Bielorrússia, Cazaquistão e Rússia, conforme análise da empresa de cibersegurança F6. Os alvos incluem setores industriais, financeiros, de turismo, biotecnologia, pesquisa e comércio. Os ataques são realizados por meio de e-mails com assuntos como ‘Aguardando documento assinado’ e ‘Fatura para pagamento’, que incentivam os destinatários a abrir arquivos compactados contendo executáveis maliciosos disfarçados de documentos PDF. Esses executáveis, projetados para evitar a detecção, instalam um malware chamado Formbook, que é utilizado para roubo de dados. Além disso, a análise revelou que o grupo também direcionou ataques a uma empresa no Cazaquistão e a um banco bielorrusso. A F6 identificou e bloqueou e-mails de phishing enviados a empresas de manufatura na Rússia, que redirecionavam os usuários para páginas falsas de login, visando roubar credenciais. O uso de e-mails em inglês sugere que o grupo pode estar mirando organizações em outros países, aumentando a preocupação com a segurança cibernética na região.

Pesquisadores da Netcraft revelaram duas grandes campanhas de phishing associadas às plataformas Lucid e Lighthouse, que permitem que cibercriminosos se façam passar por centenas de empresas globais. Desde a identificação dessas campanhas, foram detectados mais de 17.500 domínios de phishing visando 316 marcas em 74 países, evidenciando a crescente industrialização do cibercrime por meio de serviços de phishing baseados em assinatura.

A plataforma Lucid se destaca por seus controles avançados de anti-monitoramento, que dificultam a detecção por ferramentas de segurança. Os ataques utilizam URLs específicas que exigem condições de acesso, como parâmetros de caminho válidos e geolocalização forçada. Por outro lado, a plataforma Lighthouse, focada no roubo de credenciais de múltiplos fatores, oferece kits de phishing que variam de $88 por semana a $1.588 por ano, com templates constantemente atualizados.

O SpamGPT é uma nova ferramenta de cibercrime que utiliza inteligência artificial para automatizar campanhas de phishing e ransomware, tornando esses ataques mais simples e eficientes. Desenvolvido para criminosos, o SpamGPT oferece uma interface semelhante a painéis de marketing legítimos, permitindo que até mesmo indivíduos com pouca experiência técnica possam criar, agendar e monitorar operações de spam em larga escala. A plataforma integra ferramentas de IA que geram conteúdo convincente para phishing, otimizam linhas de assunto e sugerem melhorias para os golpes, transformando o phishing em um processo acessível a criminosos de baixo nível.

Uma colaboração entre a Microsoft e a Cloudflare resultou na desarticulação de uma operação de phishing conhecida como RaccoonO365, que vendia ferramentas para roubo de credenciais do Microsoft 365. A operação, realizada em setembro de 2025, levou ao controle de 338 sites e contas associadas ao grupo hacker Storm-2246, que desde julho de 2024 havia comprometido pelo menos 5.000 credenciais de usuários em 94 países. Os atacantes utilizavam kits de phishing que combinavam páginas de CAPTCHA e técnicas antibot para simular legitimidade e evitar a detecção. Uma campanha específica focada em impostos atingiu 2.300 organizações nos EUA, resultando em tentativas de fraude financeira e extorsão. O grupo operava principalmente via Telegram, oferecendo pacotes de phishing a preços que variavam de US$ 335 a US$ 999, pagos em criptomoedas. A operação revelou que o líder do grupo, Joshua Ogundipe, residente na Nigéria, tinha um histórico em programação e foi identificado como o principal responsável pelos códigos maliciosos. A Microsoft estima que o grupo arrecadou cerca de US$ 100 mil em criptomoedas até o momento, e as autoridades internacionais já foram notificadas sobre as acusações contra Ogundipe.

Desde janeiro de 2025, a Trend Micro identificou um aumento significativo em campanhas de phishing que utilizam plataformas de desenvolvimento impulsionadas por IA, como Lovable.app, Netlify.app e Vercel.app, para hospedar páginas falsas de CAPTCHA. Os atacantes aproveitam os níveis gratuitos de hospedagem e a credibilidade dessas plataformas para criar armadilhas sofisticadas que conseguem evitar a detecção de scanners automáticos. Os e-mails de phishing frequentemente apresentam temas urgentes, como ‘Redefinição de Senha Necessária’ ou ‘Notificação de Mudança de Endereço do USPS’. Ao clicar nos links, os usuários são levados a uma interface de CAPTCHA que parece legítima, mas que, na verdade, redireciona silenciosamente para sites que coletam credenciais, como Microsoft 365 e Google Workspace. A Trend Micro observou que a atividade aumentou entre fevereiro e abril, coincidindo com a adoção crescente do trabalho remoto, e novamente em agosto. Para combater essas táticas, as organizações devem implementar medidas de segurança avançadas e treinar os funcionários para reconhecer sinais de phishing, especialmente em relação a prompts de CAPTCHA. A combinação de controles técnicos e vigilância informada dos usuários é essencial para mitigar esses riscos.

Um novo relatório da Netcraft revela que as ofertas de Phishing-as-a-Service (PhaaS), como Lighthouse e Lucid, estão associadas a mais de 17.500 domínios de phishing que visam 316 marcas em 74 países. Esses serviços operam com uma taxa mensal e oferecem kits de phishing com templates que imitam diversas marcas. O grupo XinXin, de língua chinesa, é apontado como o responsável por essas operações, utilizando também outros kits como Darcula. As campanhas de phishing são altamente personalizadas, permitindo que apenas alvos específicos acessem os links fraudulentos, enquanto usuários não-alvo são redirecionados para páginas genéricas. Além disso, houve um aumento de 25% nos ataques de phishing via e-mail, com criminosos utilizando serviços como EmailJS para coletar credenciais. A pesquisa também destaca o uso de domínios semelhantes, como ataques homoglíficos, que enganam usuários ao imitar URLs legítimas. Recentemente, marcas americanas foram alvo de fraudes que prometiam ganhos financeiros em troca de depósitos em criptomoedas. Este cenário evidencia a evolução e a colaboração entre grupos de cibercriminosos, tornando a detecção e mitigação de tais ameaças cada vez mais desafiadoras.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

Pesquisadores das empresas Red Canary e Zscaler identificaram novas táticas de phishing que utilizam atualizações falsas do navegador Chrome para disseminar ransomware. Essas campanhas têm se tornado cada vez mais sofisticadas, explorando não apenas mensagens enganosas sobre atualizações, mas também convites para reuniões em plataformas como Zoom e Teams, além de formulários de imposto de renda que parecem legítimos até para funcionários do governo. Uma das táticas mais comuns envolve a instalação de um instalador ITarian ao clicar em um botão de atualização falso, permitindo que os hackers tenham acesso administrativo aos sistemas. Alex Berninger, da Red Canary, destaca que a educação dos usuários é crucial, mas não suficiente, pois as técnicas de phishing estão em constante evolução. Para se proteger, as empresas devem implementar monitoramento de redes, detecção de endpoints e controles de ferramentas de gerenciamento remoto (RMM). Além disso, recomenda-se que os usuários instalem softwares apenas de fontes oficiais e utilizem serviços como VirusTotal para verificar arquivos suspeitos.

Um grupo de ciberespionagem alinhado à China, conhecido como TA415, foi identificado como responsável por campanhas de spear-phishing que visam o governo dos EUA, think tanks e organizações acadêmicas. Utilizando iscas relacionadas à economia entre EUA e China, o grupo se disfarçou como o presidente do Comitê de Seleção sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês, além do Conselho Empresarial EUA-China. As atividades ocorreram entre julho e agosto de 2025, em um contexto de negociações comerciais entre os dois países. A Proofpoint, empresa de segurança cibernética, relatou que os ataques focaram em especialistas em comércio internacional e política econômica, enviando e-mails falsificados que convidavam os alvos para uma suposta reunião fechada sobre assuntos EUA-Taiwan e EUA-China. Os e-mails continham links para arquivos protegidos por senha, que, ao serem abertos, executavam um script em Python chamado WhirlCoil, estabelecendo um acesso remoto persistente ao sistema comprometido. Este ataque representa uma ameaça significativa, especialmente em um cenário de crescente tensão entre as potências globais.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

A Unidade de Crimes Digitais da Microsoft, em colaboração com a Cloudflare, desmantelou uma rede de phishing conhecida como RaccoonO365, que operava um kit de ferramentas de phishing como serviço (Phaas). Desde julho de 2024, essa rede foi responsável pelo roubo de mais de 5.000 credenciais do Microsoft 365 em 94 países. A operação, que envolveu a apreensão de 338 domínios, foi realizada com uma ordem judicial do Distrito Sul de Nova York e visou interromper a infraestrutura técnica utilizada pelos criminosos. O RaccoonO365 é comercializado sob um modelo de assinatura, permitindo que até mesmo indivíduos com pouca experiência técnica realizem ataques em larga escala. Os ataques frequentemente imitam marcas confiáveis, como Microsoft e Adobe, e utilizam técnicas avançadas para contornar proteções de autenticação multifatorial. A Microsoft identificou Joshua Ogundipe, um indivíduo baseado na Nigéria, como o principal responsável pela operação, que arrecadou mais de $100.000 em criptomoedas. A Cloudflare, por sua vez, destacou que a desativação dos domínios visa aumentar os custos operacionais dos criminosos e enviar um aviso a outros atores maliciosos. Após a ação, os operadores do RaccoonO365 anunciaram mudanças em sua infraestrutura, indicando que a luta contra o cibercrime continua em evolução.

O grupo de cibercriminosos norte-coreano Lazarus está por trás da campanha hacker chamada Contagious, que utiliza falsas entrevistas de emprego para roubar dados e dinheiro de indivíduos em diversos países. Desde 2023, o grupo tem como alvo candidatos nas indústrias de criptomoedas e blockchain, visando financiar o governo da Coreia do Norte. Os hackers empregam técnicas de engenharia social, como a criação de situações em que as câmeras dos usuários não funcionam, levando-os a baixar malwares disfarçados de atualizações de software. A ferramenta utilizada, chamada ContagiousDrop, é capaz de identificar o sistema operacional do usuário e enviar o malware apropriado. Durante a investigação realizada entre março e junho de 2025, foi revelado que até 230 pessoas foram afetadas por esses ataques, com os criminosos utilizando plataformas de comunicação como Slack para coordenar suas atividades. A pesquisa também indicou que os hackers estão construindo uma base de dados com informações pessoais das vítimas, o que aumenta a gravidade da situação. A conscientização e a vigilância em relação a ofertas de emprego suspeitas são fundamentais para mitigar esses ataques.

Hackers da Coreia do Norte, identificados como Kimsuky, utilizaram o ChatGPT para criar uma identificação militar falsa, que foi empregada em ataques de spear-phishing contra instituições de defesa da Coreia do Sul. O Genians Security Center (GSC) reportou que, apesar das restrições implementadas pela OpenAI para evitar a geração de conteúdo malicioso, os criminosos conseguiram contornar essas barreiras ao solicitar um ‘design de amostra’ ou ‘mock-up’. O uso de imagens disponíveis publicamente facilitou a manipulação do modelo de IA. A criação de documentos de identificação falsos é ilegal e representa um risco significativo, especialmente em contextos de segurança nacional. O ataque destaca a vulnerabilidade das instituições de defesa a métodos inovadores de engenharia social, que podem comprometer informações sensíveis e a segurança nacional. O GSC não revelou o nome da instituição alvo, mas enfatizou a necessidade de cautela ao lidar com ferramentas de IA, que podem ser exploradas para fins ilícitos.

Pesquisadores em cibersegurança alertaram sobre uma nova campanha que utiliza uma variante da tática de engenharia social chamada FileFix para disseminar o malware StealC, um ladrão de informações. A campanha se destaca por empregar um site de phishing multilíngue altamente convincente, como uma página falsa de segurança do Facebook, que utiliza técnicas de anti-análise e ofuscação avançada para evitar a detecção. O ataque começa com um e-mail que alerta os usuários sobre a possível suspensão de suas contas do Facebook, levando-os a um site de phishing onde são induzidos a clicar em um botão para apelar da decisão. Ao clicar, os usuários são instruídos a copiar e colar um caminho para um documento em uma barra de endereços do File Explorer, mas na verdade, estão executando um comando malicioso que baixa e executa um script PowerShell. Este script, por sua vez, baixa um carregador que descompacta o código shell responsável por ativar o StealC. A técnica FileFix se diferencia de outras abordagens, como ClickFix, ao explorar uma funcionalidade comum dos navegadores, tornando a detecção mais difícil. A complexidade e o investimento na infraestrutura de phishing demonstram a sofisticação dos atacantes, que buscam maximizar o impacto e a evasão das defesas de segurança.

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

Um novo ataque de ameaça persistente avançada (APT) atribuído ao grupo Kimsuky, vinculado à Coreia do Norte, destaca o uso de ferramentas de IA generativa, como o ChatGPT, para aprimorar campanhas de spear-phishing. Em julho de 2025, a campanha explorou imagens deepfake de crachás de funcionários militares sul-coreanos para infiltrar entidades relacionadas à defesa. Os atacantes enviaram e-mails de phishing que imitavam domínios de instituições de defesa da Coreia do Sul, contendo arquivos maliciosos disfarçados. A análise revelou que o ChatGPT foi manipulado para gerar documentos falsificados, contornando restrições de replicação de ID. Os arquivos maliciosos, uma vez executados, utilizavam scripts ofuscados para se conectar a servidores de comando e controle, permitindo o roubo de dados e o controle remoto de dispositivos infectados. A campanha ilustra uma tendência crescente de atores patrocinados por estados que utilizam IA para engenharia social e entrega de malware, destacando a ineficácia das soluções antivírus tradicionais contra comandos ofuscados e conteúdo gerado por IA. A detecção e resposta em endpoints (EDR) foi identificada como essencial para neutralizar essas ameaças, evidenciando a necessidade de monitoramento proativo para evitar que organizações sejam vítimas de estratégias APT habilitadas por IA.

Nos últimos anos, os ataques cibernéticos que visam usuários em navegadores da web aumentaram de forma alarmante. Esses ataques, conhecidos como ‘browser-based attacks’, têm como objetivo comprometer aplicativos empresariais e dados, explorando a vulnerabilidade dos usuários. O phishing, por exemplo, evoluiu para um modelo multi e cross-channel, utilizando mensagens instantâneas, redes sociais e até mesmo serviços SaaS para enganar os usuários e coletar credenciais. Além disso, técnicas como ClickFix e consent phishing têm se tornado comuns, onde os atacantes induzem as vítimas a executar comandos maliciosos ou a autorizar integrações com aplicativos controlados por eles. Outro vetor preocupante são as extensões de navegador maliciosas, que podem capturar logins e credenciais. A crescente complexidade do ambiente de trabalho moderno, com a utilização de aplicativos descentralizados, torna a detecção e prevenção desses ataques ainda mais desafiadoras. As organizações precisam estar cientes dessas ameaças e implementar medidas de segurança robustas para proteger seus dados e sistemas.

Nos últimos meses, campanhas de phishing que se passam por PayPal e Spotify têm crescido de forma alarmante, especialmente após um vazamento de dados que afetou até 15,8 milhões de contas do PayPal. Os cibercriminosos estão utilizando informações obtidas para enganar usuários e roubar dados bancários. Os golpes geralmente se apresentam na forma de e-mails que solicitam a atualização de informações de pagamento, com mensagens de urgência que ameaçam a interrupção do serviço caso a ação não seja realizada rapidamente. Os e-mails maliciosos frequentemente começam com saudações impessoais, como ‘Caro usuário’, e incluem links que, ao serem clicados, podem comprometer a conta do usuário. Para se proteger, é fundamental verificar a procedência dos e-mails, evitando clicar em links suspeitos e sempre acessando diretamente os sites oficiais dos serviços. O PayPal e o Spotify oferecem orientações sobre como identificar comunicações legítimas e sugerem que os usuários mudem suas senhas ao suspeitar de atividades estranhas. A conscientização e a cautela são essenciais para evitar cair em tais armadilhas.

Pesquisadores de segurança da DomainTools identificaram uma nova onda de infraestrutura maliciosa associada ao ator de ameaça PoisonSeed, com 21 domínios registrados desde 1º de junho de 2025. A campanha visa principalmente clientes do SendGrid e ambientes empresariais, representando uma continuação das operações de phishing sofisticadas semelhantes ao grupo de cibercrime SCATTERED SPIDER. Os domínios recém-descobertos seguem as táticas, técnicas e procedimentos (TTPs) estabelecidos pelo PoisonSeed, utilizando intersticiais de CAPTCHA falsos da Cloudflare para adicionar legitimidade antes de redirecionar as vítimas para páginas de coleta de credenciais. Os pesquisadores observaram que esses domínios maliciosos exibem dados falsificados de Ray ID da Cloudflare, imitando processos de verificação de segurança legítimos. A infraestrutura maliciosa demonstra padrões de registro e hospedagem consistentes com campanhas anteriores do PoisonSeed, sendo todos os domínios registrados através do NiceNIC International Group Co. e hospedados em endereços IP específicos. A análise sugere que as operações do PoisonSeed podem estar conectadas ao coletivo de cibercrime “The Com”, que inclui jovens envolvidos em ataques motivados financeiramente desde 2022. Organizações que utilizam SendGrid devem implementar monitoramento aprimorado para solicitações de autenticação suspeitas e verificar comunicações através de canais oficiais antes de fornecer credenciais.

O Departamento do Tesouro dos EUA impôs sanções a várias organizações de cibercrime localizadas na Birmânia e no Camboja, que foram responsáveis por fraudes que resultaram em perdas de mais de US$ 10 bilhões para cidadãos americanos em 2024. Essas organizações operavam principalmente por meio de golpes românticos e oportunidades de investimento falsas, além de estarem envolvidas em trabalho forçado e tráfico humano. As sanções congelam os ativos das entidades afetadas e bloqueiam seu acesso ao sistema financeiro dos EUA, dificultando suas operações globais. O governo dos EUA destacou que as perdas devido a esses golpes aumentaram 66% em relação ao ano anterior, ressaltando a gravidade da situação. Entre os alvos das sanções estão indivíduos que controlam propriedades que abrigam centros de fraude, além de fornecedores de energia e redes de lavagem de dinheiro. O impacto das sanções é significativo, pois impede que cidadãos e empresas dos EUA façam negócios com os indivíduos sancionados, além de desencorajar instituições financeiras internacionais de se envolverem com eles.

Um novo ataque de phishing tem utilizado a plataforma AppSheet do Google para roubar credenciais de usuários. Os hackers registram contas no AppSheet e enviam notificações automatizadas que imitam alertas legítimos de sistemas, utilizando e-mails que parecem autênticos e que passam por verificações de segurança como SPF, DKIM e DMARC. Os e-mails contêm links encurtados que redirecionam as vítimas para uma cópia falsa do portal de login do Google Workspace. Uma vez que as credenciais são inseridas, elas são imediatamente coletadas pelos atacantes. Em março de 2025, 10,88% dos e-mails de phishing globalmente utilizaram a infraestrutura do AppSheet. As defesas tradicionais falham em detectar esses ataques, pois confiam na reputação da infraestrutura do Google. Para mitigar esses riscos, é necessário implementar análises contextuais que possam identificar discrepâncias entre o remetente e o conteúdo da mensagem, além de políticas dinâmicas que monitorem interações típicas entre serviços e usuários.

O Salty2FA é um novo kit de phishing que tem se destacado por sua capacidade de contornar métodos de autenticação de dois fatores (2FA), colocando em risco diversas indústrias, especialmente nos setores financeiro, energético e de telecomunicações. Identificado em campanhas nos EUA e na Europa, o kit utiliza uma cadeia de execução em múltiplas etapas e infraestrutura evasiva para interceptar credenciais e códigos 2FA. A análise de um caso real revelou que um funcionário recebeu um e-mail disfarçado de solicitação de correção de pagamento, levando-o a uma página de login falsa da Microsoft. A partir daí, as credenciais foram roubadas e, se a conta tivesse 2FA, o kit poderia interceptar os códigos de verificação. Para mitigar os riscos associados ao Salty2FA, as equipes de segurança devem focar na detecção de comportamentos, realizar análises em sandbox e reforçar políticas de autenticação multifatorial, priorizando tokens de aplicativo ou hardware em vez de SMS. A adoção de sandboxes interativas, como o ANY.RUN, pode aumentar a eficiência das operações de segurança, permitindo investigações mais rápidas e precisas.

Um novo ataque de phishing foi identificado, utilizando convites do Calendário iCloud da Apple para enganar usuários. Os criminosos enviam e-mails maliciosos disfarçados como notificações de compra, utilizando o endereço noreply@email.apple.com, que é legítimo, para evitar filtros de spam. O golpe alerta sobre um pagamento de US$ 599, levando as vítimas a acreditarem que foram vítimas de uma fraude. Ao ligarem para os números fornecidos, os usuários são convencidos a instalar softwares que permitem o acesso remoto aos seus computadores, possibilitando o roubo de dados pessoais e financeiros. O ataque é tecnicamente simples, mas eficaz, pois utiliza ferramentas autênticas para ganhar credibilidade. Especialistas recomendam cautela ao receber convites inesperados e a verificação da procedência antes de qualquer ação.

Recentemente, pesquisadores da ReliaQuest identificaram uma nova técnica de phishing que utiliza ferramentas de cliente HTTP, como Axios, em conjunto com a funcionalidade Direct Send da Microsoft. Essa combinação tem permitido que atacantes formem um ‘pipeline de ataque altamente eficiente’, resultando em um aumento de 241% na atividade do agente de usuário Axios entre junho e agosto de 2025. As campanhas de phishing têm se aproveitado do Direct Send para simular usuários confiáveis e garantir que suas mensagens evitem os gateways de segurança, alcançando uma taxa de sucesso de 70% em algumas operações. Os ataques visam principalmente executivos e gerentes de setores como finanças e saúde, mas rapidamente se expandiram para todos os usuários. Os criminosos utilizam Axios para interceptar e modificar requisições HTTP, capturando tokens de sessão e códigos de autenticação multifatorial em tempo real. Além disso, os e-mails fraudulentos frequentemente contêm documentos PDF com QR codes maliciosos que redirecionam para páginas de login falsas, facilitando o roubo de credenciais. Para mitigar esses riscos, as organizações devem considerar desabilitar o Direct Send, implementar políticas de anti-spoofing e treinar funcionários para reconhecer e-mails de phishing.

O SpamGPT é uma nova ferramenta de cibercrime que combina inteligência artificial com plataformas de marketing por e-mail, facilitando a execução de campanhas de phishing em larga escala. Comercializada em fóruns clandestinos como uma solução de “spam como serviço”, a ferramenta reduz drasticamente a barreira técnica para criminosos. Com uma interface que imita softwares de marketing legítimos, o SpamGPT automatiza quase todas as etapas de uma operação de e-mail fraudulenta. Seu núcleo é um framework criptografado que inclui um assistente de IA, o “KaliGPT”, que gera textos persuasivos e personaliza conteúdos para alvos específicos, eliminando a necessidade de habilidades de escrita. Além disso, oferece painéis em tempo real para monitoramento de entregabilidade e métricas de engajamento, características normalmente restritas a grandes empresas. O SpamGPT permite que até iniciantes lancem operações de spam em massa, utilizando técnicas avançadas de spoofing para contornar verificações de segurança. Essa evolução no cibercrime torna os ataques de phishing mais escaláveis e convincentes, exigindo que as organizações adotem medidas robustas de segurança por e-mail, como políticas DMARC, SPF e DKIM, além de soluções de segurança baseadas em IA para detectar padrões de phishing gerados por IA.

Pesquisadores de cibersegurança da Wiz descobriram uma campanha de phishing sofisticada que explora o Amazon Simple Email Service (SES) para realizar ataques em larga escala. Identificada em maio de 2025, a campanha começou com chaves de acesso da AWS roubadas, um vetor de ataque comum. O que a tornou particularmente perigosa foi a capacidade do atacante de escalar suas permissões de envio de e-mails, passando do modo ‘sandbox’ restrito para acesso de produção sem limitações.

Uma nova variante do golpe conhecido como ‘golpe das entregas’ está circulando no Brasil, desta vez utilizando o nome da transportadora Jadlog. Os cibercriminosos têm se aproveitado da crescente movimentação do e-commerce, enviando mensagens que alegam que encomendas estão retidas e exigindo o pagamento de taxas inexistentes via Pix. O diferencial desta versão é a utilização de códigos de rastreamento válidos, que conferem um nível de credibilidade à fraude. No entanto, pequenos detalhes, como a apresentação de pacotes com etiquetas dos Correios, revelam a natureza fraudulenta do golpe. Os golpistas utilizam dados reais das vítimas, obtidos de vazamentos anteriores, para criar uma comunicação convincente. A abordagem é feita em horários estratégicos, como de madrugada, para explorar a vulnerabilidade cognitiva das pessoas. Apesar da sofisticação técnica, a falta de atenção a detalhes básicos e a reutilização de imagens para diferentes vítimas são falhas que podem ser percebidas por usuários mais atentos. Especialistas alertam que a combinação de dados vazados e técnicas de engenharia social torna esses golpes cada vez mais eficazes, exigindo cautela dos consumidores.

Um grupo de ciberespionagem vinculado ao Irã foi identificado como responsável por uma campanha de spear-phishing coordenada, visando embaixadas e consulados na Europa e em outras regiões do mundo. A empresa de cibersegurança israelense Dream atribuiu a atividade a operadores alinhados ao Irã, conectados a um esforço mais amplo de espionagem cibernética. Os ataques utilizaram e-mails que se disfarçavam como comunicações diplomáticas legítimas, explorando tensões geopolíticas entre o Irã e Israel. Os e-mails continham documentos do Microsoft Word maliciosos que, ao serem abertos, solicitavam aos destinatários que habilitassem macros, permitindo a execução de um código VBA que implantava um malware. Os alvos incluíram embaixadas, consulados e organizações internacionais em várias partes do mundo, com foco particular na Europa e na África. A campanha foi realizada a partir de 104 endereços de e-mail comprometidos, incluindo um que pertencia ao Ministério das Relações Exteriores de Omã. O objetivo final dos ataques era estabelecer persistência no sistema da vítima, contatar um servidor de comando e controle e coletar informações do sistema. A ClearSky, outra empresa de cibersegurança, também observou que técnicas semelhantes foram usadas em ataques anteriores, sugerindo uma continuidade nas táticas dos atores de ameaça iranianos.

Recentemente, circularam rumores de que o Google havia enviado um alerta de segurança urgente a todos os usuários do Gmail. No entanto, a empresa confirmou que não houve tal notificação em massa. O Gmail utiliza uma estratégia de defesa em camadas, que inclui autenticação de remetente através de protocolos como SPF, DKIM e DMARC, além de análise de conteúdo para detectar anexos maliciosos e URLs embutidos. O sistema de detecção de anomalias, apoiado por modelos de aprendizado de máquina, analisa bilhões de sinais anônimos para identificar comportamentos incomuns. Essa abordagem impede que mais de 99,9% das ameaças de phishing e malware cheguem às caixas de entrada dos usuários. O Google também recomenda que os usuários adotem métodos de autenticação modernos, como Passkeys, que eliminam os riscos associados ao roubo de senhas. Além disso, o Gmail oferece avisos de phishing e incentiva os usuários a reportarem mensagens suspeitas, contribuindo para a melhoria contínua dos algoritmos de detecção. Para aumentar a segurança, o Google sugere que os usuários verifiquem cuidadosamente os endereços dos remetentes e mantenham seus dispositivos atualizados.

Uma nova campanha de phishing sofisticada está afetando usuários do WhatsApp, onde mensagens enganosas de contatos, como “Oi, encontrei sua foto por acaso!”, são utilizadas para induzir cliques em links maliciosos. Ao clicar, as vítimas são redirecionadas para uma página falsa de login do Facebook, onde, ao inserir suas credenciais, os hackers conseguem explorar a funcionalidade de vinculação de dispositivos do WhatsApp. Isso permite que os atacantes assumam o controle total das conversas, mídias e contatos da vítima.

Pesquisadores de cibersegurança da Trustwave SpiderLabs identificaram um aumento alarmante em ataques de phishing, onde criminosos cibernéticos estão explorando plataformas de marketing por e-mail e serviços em nuvem legítimos para contornar controles de segurança e enganar vítimas. O sistema de escaneamento de URLs da empresa detectou um aumento significativo em campanhas sofisticadas que utilizam a reputação de plataformas populares para evitar detecções e roubar credenciais corporativas.

Os atacantes estão abusando de serviços de marketing por e-mail, como o domínio de rastreamento ‘klclick3.com’, para criar e-mails de phishing que disfarçam URLs maliciosos como notificações de correio de voz. Além disso, a infraestrutura da Amazon Web Services (AWS) está sendo utilizada para hospedar conteúdo malicioso, explorando a confiança inerente à plataforma. As campanhas recentes incluem e-mails com temas de “Pagamento” que redirecionam para sites de phishing que imitam serviços legítimos, como o Roundcube Webmail.

Uma operação de phishing em larga escala está atacando a indústria de hospitalidade por meio de anúncios maliciosos em motores de busca. Os cibercriminosos estão se passando por pelo menos treze provedores de serviços de hotéis e aluguel de férias para roubar credenciais e invadir sistemas de gerenciamento de propriedades baseados em nuvem. A campanha utiliza malvertising, enganando usuários que buscam empresas legítimas. Anúncios patrocinados aparecem acima dos resultados autênticos, direcionando as vítimas para domínios que imitam sites legítimos. As páginas de phishing apresentam formulários de login falsos projetados para coletar nomes de usuário, endereços de e-mail, números de telefone e senhas. Os atacantes demonstram táticas avançadas para contornar a autenticação multifatorial (MFA), solicitando códigos de “senha única” e oferecendo opções de “Login com Código SMS” e “Código de E-mail” para capturar tokens de autenticação em tempo real. A análise técnica sugere que os responsáveis pela campanha têm origens russas, utilizando uma infraestrutura sofisticada para monitorar o engajamento das vítimas. A operação representa riscos significativos para a indústria, expondo informações pessoais e dados de pagamento dos hóspedes. Especialistas recomendam que as organizações priorizem métodos de autenticação resistentes a phishing e monitorem registros de domínios suspeitos.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

A Engenharia Social é uma técnica de manipulação psicológica utilizada por golpistas para obter informações pessoais e financeiras de suas vítimas. Ao invés de depender de tecnologia complexa, esses criminosos exploram a confiança e a urgência, criando cenários que induzem as pessoas a agir rapidamente, como mensagens que alertam sobre contas bloqueadas ou prêmios inesperados. Os métodos mais comuns incluem phishing, spear phishing, vishing, smishing, baiting e pretexting, cada um com suas particularidades. Para se proteger, é fundamental estar atento a sinais de alerta, como erros de gramática, endereços de e-mail suspeitos e solicitações de informações sensíveis. Além disso, recomenda-se a ativação da autenticação de dois fatores e a verificação de comunicações através de canais oficiais. A conscientização sobre esses golpes é crucial, pois mesmo pessoas experientes em tecnologia podem ser enganadas. Compartilhar informações sobre Engenharia Social pode ajudar a proteger amigos e familiares, especialmente os mais vulneráveis, como crianças e idosos.

O phishing é uma técnica de ataque cibernético que utiliza engenharia social para enganar usuários e roubar informações sensíveis, como dados bancários e pessoais. Os criminosos criam mensagens falsas, geralmente via e-mail ou SMS, que parecem legítimas, induzindo as vítimas a clicar em links ou fornecer informações. Os ataques de phishing podem ser classificados em várias categorias, incluindo phishing tradicional, spear phishing, whaling, smishing e vishing, cada um com diferentes níveis de sofisticação e alvo. Para se proteger, é essencial ativar a autenticação de dois fatores, usar senhas fortes e únicas, e manter softwares atualizados. Além disso, é importante educar amigos e familiares sobre os riscos e sinais de alerta, como remetentes suspeitos e erros de gramática em comunicações. Caso alguém caia em um golpe, é fundamental agir rapidamente para minimizar os danos.

Os golpes de impersonação utilizando inteligência artificial (IA) estão em ascensão alarmante em 2025, com um aumento de 148% em comparação ao ano anterior, segundo especialistas em segurança. Esses golpes se aproveitam de tecnologias como clonagem de voz e deepfake para imitar com precisão a voz e a aparência de pessoas de confiança, como amigos, familiares e executivos de empresas. Os criminosos utilizam essas técnicas para realizar chamadas, reuniões por vídeo e enviar mensagens, criando um senso de urgência que pode levar as vítimas a agir rapidamente sem verificar a identidade do suposto remetente.

Um novo golpe no TikTok está chamando a atenção por vender dispositivos que imitam a AirTag da Apple, prometendo rastreamento indetectável de pessoas. Esses localizadores GPS, que custam cerca de US$ 10 (R$ 55), são promovidos em vídeos que incentivam a perseguição a parceiros supostamente infiéis. No entanto, o dispositivo não funciona como anunciado e é detectável pela ferramenta ‘Buscar’ da Apple, além de emitir alertas quando se afasta do proprietário. A Apple já advertiu que acessórios que utilizam sua rede não devem ser usados para rastrear pessoas sem consentimento. O TikTok, por sua vez, possui políticas que proíbem a promoção de atividades criminosas, mas muitos vídeos ainda estão disponíveis na plataforma, com mais de 100 mil unidades vendidas até o momento. A situação levanta preocupações sobre a segurança e privacidade dos usuários, além de evidenciar a necessidade de uma maior fiscalização sobre conteúdos que promovem comportamentos de stalking, que é crime em diversos países.

No dia 29 de agosto de 2025, a Amazon anunciou a interrupção de uma campanha de phishing conhecida como “watering hole”, atribuída ao grupo de hackers APT29, vinculado à inteligência russa. Essa campanha utilizou sites comprometidos para redirecionar visitantes a uma infraestrutura maliciosa, enganando usuários a autorizarem dispositivos controlados pelos atacantes através do fluxo de autenticação de código de dispositivo da Microsoft. APT29, também conhecido como Cozy Bear, tem sido ativo em ataques direcionados a entidades ucranianas e na coleta de dados sensíveis. Recentemente, o grupo adotou métodos de phishing, como o phishing de código de dispositivo, para obter acesso não autorizado a contas do Microsoft 365. A campanha da Amazon destacou a evolução das táticas do APT29, que agora inclui técnicas de evasão, como a codificação Base64 para ocultar código malicioso. Apesar das tentativas do grupo de mudar para novas infraestruturas, a equipe de inteligência da Amazon continuou a rastrear e interromper suas operações, evidenciando a persistência da ameaça. O ataque redirecionou cerca de 10% dos visitantes de sites legítimos para domínios controlados pelos atacantes, que imitavam páginas de verificação da Cloudflare, visando coletar códigos de dispositivo legítimos dos usuários.