Phishing

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing chamada PhantomCaptcha, que visa organizações envolvidas em esforços de ajuda à Ucrânia. O ataque, ocorrido em 8 de outubro de 2025, afetou membros da Cruz Vermelha Internacional, do Conselho Norueguês para Refugiados, da UNICEF e administrações regionais ucranianas. Os e-mails de phishing se disfarçaram como comunicações do Escritório do Presidente da Ucrânia, contendo um PDF malicioso que redirecionava as vítimas para um site falso do Zoom. Ao clicar, os usuários eram induzidos a executar um comando PowerShell malicioso através de uma página falsa de verificação de navegador. O malware resultante, um trojan de acesso remoto (RAT) baseado em WebSocket, permite a execução de comandos remotos e exfiltração de dados. A infraestrutura do ataque foi registrada em março de 2025, demonstrando planejamento sofisticado. Embora não tenha sido atribuído a um grupo específico, a técnica utilizada tem semelhanças com ataques de grupos de hackers associados à Rússia. A campanha destaca a necessidade de vigilância contínua e medidas de segurança robustas para organizações que operam em contextos de crise.

A Meta lançou um conjunto de novas ferramentas de segurança para o Messenger e WhatsApp, com o objetivo de proteger contas e ajudar especialmente os idosos a evitar fraudes comuns. Essas funcionalidades foram introduzidas durante o Mês de Conscientização sobre Cibersegurança e fazem parte de uma campanha global contra fraudes. Desde o início do ano, as equipes de segurança da Meta identificaram e interromperam quase 8 milhões de contas no Facebook e Instagram ligadas a centros de fraudes que visam pessoas em todo o mundo, incluindo idosos. Os novos recursos permitirão que os usuários relatem mensagens suspeitas com mais facilidade e bloqueiem automaticamente contas que apresentem comportamentos fraudulentos. Além disso, a Meta firmou parceria com o National Elder Fraud Coordination Center, uma organização sem fins lucrativos que reúne bancos, autoridades policiais e grupos de defesa para combater fraudes direcionadas a idosos. As fraudes mais comuns incluem serviços de reforma de casas falsos e serviços de recuperação de dinheiro que imitam sites oficiais, como o do FBI. O relatório de Crimes na Internet de 2024 do FBI revelou que americanos com 60 anos ou mais perderam cerca de 4,8 bilhões de dólares devido a fraudes no ano passado. As novas ferramentas e dicas visam tornar o Messenger e o WhatsApp mais seguros, especialmente para os idosos, que são mais vulneráveis a esses golpes.

No dia 21 de outubro de 2025, a Meta anunciou novas ferramentas para proteger os usuários do Messenger e do WhatsApp contra possíveis fraudes. No WhatsApp, serão introduzidos avisos quando os usuários tentarem compartilhar a tela com contatos desconhecidos durante chamadas de vídeo, prevenindo a exposição de informações sensíveis, como dados bancários e códigos de verificação. No Messenger, uma nova configuração chamada ‘Detecção de Fraudes’ permitirá que os usuários recebam alertas sobre mensagens suspeitas de contatos desconhecidos. A detecção ocorre no dispositivo do usuário, garantindo que as conversas com criptografia de ponta a ponta permaneçam seguras. Caso uma mensagem seja identificada como potencialmente fraudulenta, os usuários poderão optar por enviar as mensagens para uma revisão por inteligência artificial, embora isso desative a criptografia. A Meta também relatou ter tomado medidas contra mais de 21 mil páginas e contas no Facebook que se passavam por suporte ao cliente, além de ter desativado cerca de 8 milhões de contas associadas a centros de fraudes. Esses esquemas, frequentemente relacionados a fraudes de investimento, manipulam emocionalmente as vítimas, levando-as a perder grandes quantias de dinheiro. A empresa continua a trabalhar para combater esses crimes, especialmente aqueles que visam populações vulneráveis, como os idosos.

Um novo relatório do Cofense Phishing Defense Center revela que criminosos estão explorando a confiança que os usuários depositam na marca Microsoft para realizar fraudes. A campanha começa com um e-mail que simula uma comunicação legítima de uma empresa, como uma locadora de veículos, prometendo um reembolso. Ao clicar no link, o usuário é redirecionado para uma página falsa que imita um sistema de verificação CAPTCHA. Essa etapa visa enganar ferramentas de segurança automatizadas e criar uma sensação de autenticidade.

Recentemente, usuários de gerenciadores de senhas, como LastPass e Bitwarden, estão sendo alvo de uma nova campanha de phishing. Os golpistas enviam e-mails fraudulentos que se passam por atualizações de segurança dos aplicativos, mas na verdade, contêm um software malicioso que permite o acesso remoto aos dados da vítima. Embora as empresas tenham confirmado que não sofreram invasões, a engenharia social utilizada pelos hackers tem se tornado cada vez mais sofisticada, tornando as mensagens mais convincentes. Além disso, a Cloudflare, uma empresa de segurança cibernética, bloqueou alguns links maliciosos, ajudando a proteger os usuários. Para evitar cair nesse tipo de golpe, recomenda-se não abrir links de e-mails suspeitos e sempre verificar diretamente no site oficial do serviço. A desconfiança é fundamental para se proteger contra essas ameaças.

Uma pesquisa realizada pelo Reclame AQUI revelou que 63% dos consumidores brasileiros não conseguem identificar golpes digitais que utilizam inteligência artificial (IA), uma vulnerabilidade preocupante especialmente com a aproximação da Black Friday. O estudo, que ouviu mais de 3.300 pessoas, destaca que 79% dos entrevistados planejam comprar online durante a Black Friday, mas apenas 43% verificam links e ofertas com ferramentas de segurança. A pesquisa também aponta que 20% dos consumidores já foram vítimas de fraudes em edições anteriores do evento. O uso crescente de IA por cibercriminosos para criar campanhas de phishing mais sofisticadas torna essencial que os consumidores estejam informados e preparados. O relatório, intitulado “Black Friday na era da Inteligência Artificial”, serve como um guia tanto para consumidores quanto para marcas, enfatizando a importância da segurança nas compras online.

No dia 19 de outubro de 2025, a Europol anunciou a desarticulação de uma plataforma sofisticada de cibercrime como serviço (CaaS), conhecida como Operation SIMCARTEL. A operação resultou em 26 buscas e na prisão de sete suspeitos, incluindo cinco cidadãos letões. Foram apreendidos 1.200 dispositivos de SIM box, que continham 40.000 cartões SIM ativos, além de cinco servidores e dois sites que promoviam o serviço. A operação envolveu autoridades de países como Áustria, Estônia, Finlândia e Letônia, e revelou que a rede criminosa estava ligada a mais de 1.700 casos de fraudes cibernéticas na Áustria e 1.500 na Letônia, totalizando perdas de cerca de €4,5 milhões e €420.000, respectivamente. A infraestrutura da plataforma permitia a criação de números de telefone registrados em mais de 80 países, facilitando atividades criminosas como phishing, fraudes financeiras e extorsão. Além disso, a plataforma promovia a monetização de cartões SIM, atraindo usuários com promessas de renda passiva. A operação destaca a crescente complexidade e sofisticação das redes de cibercrime, que utilizam tecnologias avançadas para ocultar identidades e realizar fraudes em larga escala.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um novo golpe de phishing, analisado pelo Cofense Phishing Defense Center, explora a confiança dos usuários na marca Microsoft para aplicar fraudes de suporte técnico. O ataque começa com um e-mail que se passa por uma empresa chamada ‘Syria Rent a Car’, prometendo um reembolso em troca da verificação do e-mail do usuário. Ao clicar no link, a vítima é direcionada a um desafio CAPTCHA falso, que visa enganar tanto o usuário quanto ferramentas de detecção de phishing. Após essa etapa, a vítima é levada a uma página que simula mensagens de segurança da Microsoft, criando uma falsa sensação de urgência ao afirmar que o sistema foi comprometido. O navegador parece travado, e pop-ups insistem que o usuário entre em contato com um número de suporte que, na verdade, conecta a engenheiros sociais que tentam obter credenciais ou instalar ferramentas de acesso remoto. Este golpe destaca como a confiança nas marcas pode ser manipulada para intensificar os métodos tradicionais de phishing, exigindo que as empresas adotem treinamentos de conscientização e respostas integradas a tentativas de phishing.

Pesquisadores da Sublime Security alertaram sobre um novo golpe de phishing que utiliza falsas ofertas de emprego no Google para roubar credenciais de usuários do Microsoft 365 e Google Workspace. Os e-mails fraudulentos, que imitam comunicações do Google Careers, começam com mensagens que perguntam se a vítima está disponível para uma conversa sobre uma vaga. Os golpistas têm como alvo especialmente contas de e-mail corporativas, filtrando alvos que não pertencem ao ambiente profissional.

Uma nova campanha de phishing está atacando usuários do LastPass, disfarçando-se como alertas de segurança urgentes para disseminar malware. Especialistas em segurança identificaram e-mails fraudulentos enviados de domínios como ‘hello@lastpasspulse[.]blog’ e ‘hello@lastpassgazette[.]blog’, com linhas de assunto alarmantes como ‘Fomos Hackeados - Atualize Seu Aplicativo LastPass Desktop para Manter a Segurança do Cofre’. Apesar das alegações, a equipe de segurança do LastPass confirmou que não houve violação. Os e-mails direcionam os usuários a domínios maliciosos, como ’lastpassdesktop[.]com’, que foram sinalizados como sites de phishing ativos. A análise técnica dos cabeçalhos dos e-mails revela táticas de ofuscação agressivas, reforçando a ilusão de legitimidade. A campanha coincide com um feriado nos EUA, um momento estratégico em que as equipes de segurança podem estar menos atentas. O LastPass enfatiza que nunca solicitará a senha mestra ou exigirá atualizações imediatas por meio de links enviados por e-mail. Os usuários são aconselhados a verificar todas as comunicações inesperadas e a encaminhar e-mails suspeitos para investigação.

Uma nova campanha de phishing está atacando clientes do GMO Aozora Bank, no Japão, utilizando uma técnica antiga chamada Autenticação Básica para disfarçar URLs maliciosas. Pesquisadores da Netcraft identificaram várias URLs de phishing que imitam sites bancários legítimos, redirecionando os usuários para domínios maliciosos que coletam credenciais de login. A Autenticação Básica, um protocolo web obsoleto, permite que atacantes insiram o nome de um domínio confiável na seção de nome de usuário, fazendo com que o verdadeiro destino do link apareça após o símbolo ‘@’. Essa manobra engana os usuários, especialmente em dispositivos móveis, onde os URLs podem ser truncados. Durante a investigação, foram encontrados 214 URLs de phishing únicas, com 71,5% direcionadas a usuários ou empresas japonesas. A campanha destaca como a compatibilidade com recursos web desatualizados pode ser explorada por grupos de phishing modernos. A Netcraft recomenda que as organizações eduquem os usuários sobre os riscos de URLs com credenciais embutidas e implementem políticas de inspeção de URLs para sinalizar a presença do símbolo ‘@’.

Uma análise recente sobre a infraestrutura relacionada à campanha ClickFix revelou a existência de mais de 13.000 domínios maliciosos, utilizados em operações de phishing e entrega de malware. As campanhas ClickFix exploram a capacidade dos navegadores de escrever diretamente na área de transferência do usuário, enganando as vítimas a executar scripts maliciosos sob a aparência de verificação CAPTCHA. Um exemplo é o site greenblock[.]me, que solicita aos usuários que executem um comando PowerShell para baixar e executar um script Visual Basic, frequentemente resultando em infecções por malware.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

A ‘Operação Hércules’, realizada pela polícia alemã em colaboração com autoridades da Bulgária e a Europol, resultou na desativação de mais de 1.400 sites fraudulentos que enganavam vítimas com promessas de investimentos em criptomoedas. Os golpistas utilizaram inteligência artificial para criar sites convincentes, simulando retornos financeiros significativos. Após o fechamento das páginas, foram registradas mais de 860.000 tentativas de acesso, evidenciando a popularidade dessas plataformas de investimento falsas. Os usuários eram induzidos a registrar contas e a investir, sendo inicialmente permitidos a retirar pequenas quantias, o que os levava a acreditar na legitimidade dos sites. Quando tentavam retirar valores maiores, eram informados sobre taxas ou impostos, e, em muitos casos, os sites simplesmente saíam do ar. Apesar da magnitude da operação, não houve prisões, o que sugere que os golpistas podem retomar suas atividades rapidamente. Especialistas alertam para a crescente incidência de fraudes relacionadas a criptomoedas, especialmente em um ambiente regulatório fraco, e recomendam cautela ao considerar investimentos em plataformas online.

O lançamento do Sora 2 AI provocou um aumento nas atividades maliciosas, com cibercriminosos criando domínios falsos que imitam os serviços oficiais da OpenAI para roubar credenciais de usuários e realizar fraudes em criptomoedas. Relatórios de inteligência de ameaças indicam que páginas clonadas do Sora estão sendo utilizadas para coletar dados de login, roubar carteiras de criptomoedas e acessar planos de API pagos sem autorização. Os ataques exploram a empolgação dos usuários em relação ao novo lançamento de IA, distribuindo malware e capturando dados financeiros.

Um novo ataque de phishing, descoberto em outubro de 2025, revela uma evolução preocupante no abuso da cadeia de suprimentos dentro do ecossistema de código aberto. Diferente dos compromissos tradicionais do NPM, que visam infectar desenvolvedores durante a instalação de pacotes, esta campanha utiliza o registro do NPM e a CDN confiável unpkg.com para entregar JavaScript que rouba credenciais através de iscas em HTML com temas empresariais. Pesquisadores da Socket identificaram mais de 175 pacotes NPM descartáveis, cada um com o padrão de nomenclatura redirect-[a-z0-9]{6}, que servem como contêineres para um script de phishing chamado beamglea.js. A campanha, codinome “Beamglea”, afetou mais de 135 organizações nos setores de tecnologia, industrial e energético, principalmente na Europa. A análise da Snyk revelou um novo grupo de pacotes suspeitos que imitam o comportamento da campanha original, indicando uma possível expansão da infraestrutura maliciosa. Este ataque representa um novo tipo de abuso em nível de ecossistema, explorando a confiança entre registros de código aberto e CDNs, o que pode ter implicações sérias para a segurança das identidades empresariais.

Uma nova campanha de phishing tem se espalhado na América Latina, utilizando notificações judiciais em espanhol para disseminar o trojan de acesso remoto AsyncRAT. Pesquisadores de segurança identificaram que os hackers estão escondendo seus códigos maliciosos dentro de arquivos de imagem SVG, uma técnica que permite que scripts maliciosos evitem a detecção por gateways de e-mail tradicionais e antivírus.

O ataque, que visa especificamente usuários na Colômbia, começa com um e-mail disfarçado como uma comunicação legítima do ‘Juzgado 17 Civil Municipal del Circuito de Bogotá’, que apresenta um arquivo anexo chamado ‘Fiscalia General De La Nacion Juzgado Civil 17.svg’. Ao abrir o arquivo, um script JavaScript malicioso é ativado, levando a uma série de downloads que culminam na instalação do AsyncRAT, que permite controle remoto ao atacante.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.

No contexto da economia digital do Reino Unido, a confiança é fundamental para operações como bancos online e comunicações do NHS. No entanto, essa confiança está sendo ameaçada por domínios semelhantes, que imitam endereços legítimos e são usados em ataques de impersonação via e-mail. Um exemplo notável envolve um domínio falso que se assemelhava a uma plataforma de logística conhecida, resultando em perdas financeiras significativas, estimadas entre £40.000 e £160.000 por incidente. Os atacantes exploram variações sutis nos nomes de domínio, como troca de caracteres ou alteração de domínios de nível superior, para contornar defesas tradicionais. Esses ataques são particularmente perigosos em setores como logística e finanças, onde a comunicação por e-mail é comum e urgente. Além disso, os domínios semelhantes são utilizados em fraudes de faturas e na impersonação de executivos, levando a transferências de fundos não autorizadas. A detecção desses domínios é desafiadora, pois muitas vezes não acionam filtros de segurança convencionais. Para mitigar esses riscos, as empresas precisam adotar uma postura proativa, investindo em inteligência de ameaças e promovendo a conscientização entre os funcionários sobre a verificação de solicitações inesperadas.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

Pesquisadores de cibersegurança identificaram 175 pacotes maliciosos no registro npm, utilizados em uma campanha de coleta de credenciais chamada Beamglea. Esses pacotes, que foram baixados 26.000 vezes, servem como infraestrutura para um ataque de phishing direcionado a mais de 135 empresas dos setores industrial, tecnológico e energético ao redor do mundo. Os pacotes, com nomes aleatórios, dificultam a instalação acidental por desenvolvedores, mas as contagens de download incluem pesquisadores de segurança e scanners automáticos. Os pacotes hospedam scripts de redirecionamento que levam as vítimas a páginas de captura de credenciais. Um arquivo Python, chamado “redirect_generator.py”, é utilizado para criar pacotes npm com URLs de phishing personalizadas. Quando as vítimas abrem arquivos HTML maliciosos, o JavaScript redireciona automaticamente para páginas de phishing, preenchendo o campo de e-mail com o endereço da vítima, aumentando assim a credibilidade do ataque. Essa situação destaca a evolução das táticas de cibercriminosos, que abusam de infraestruturas legítimas para realizar ataques em larga escala.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

A Microsoft emitiu um alerta sobre um grupo de hackers, conhecido como Storm-2657, que está realizando campanhas de roubo de salários em organizações dos Estados Unidos, especialmente no setor de educação superior. Esses ataques ocorrem através da violação de contas de funcionários, permitindo acesso não autorizado a plataformas de recursos humanos como o Workday. Os hackers utilizam e-mails de phishing altamente personalizados para enganar os alvos, muitas vezes se passando por autoridades de saúde do campus. Uma vez que as credenciais e os códigos de autenticação multifator (MFA) são coletados, os atacantes conseguem redirecionar os pagamentos salariais para contas bancárias controladas por eles. A falta de controles de autenticação robustos, como MFA resistente a phishing, é um fator crítico que facilita esses ataques. Para mitigar esses riscos, as organizações são aconselhadas a adotar métodos de autenticação sem senha e a monitorar logs de auditoria de sistemas como o Exchange Online e o Workday para detectar atividades suspeitas. A situação destaca a necessidade urgente de fortalecer as defesas contra engenharia social e melhorar a segurança das informações financeiras dos funcionários.

Pesquisadores em cibersegurança identificaram uma campanha de quishing sofisticada que utiliza técnicas avançadas de manipulação de códigos QR para atacar usuários da Microsoft, conseguindo evadir sistemas tradicionais de detecção de segurança. Essa nova abordagem representa uma evolução significativa nas táticas de phishing baseadas em QR codes, empregando múltiplas estratégias de evasão que desafiam as defesas cibernéticas convencionais.

Os atacantes implementaram três mecanismos distintos para evitar a detecção: a primeira técnica envolve a divisão dos códigos QR em dois arquivos de imagem separados, dificultando a análise por ferramentas automatizadas. Além disso, abandonaram os esquemas de cores padrão, utilizando combinações não convencionais que podem confundir sistemas de reconhecimento óptico. A técnica mais sofisticada consiste em desenhar os códigos QR diretamente através da manipulação do fluxo de conteúdo, permitindo que o código malicioso exista dentro do documento, contornando sistemas de detecção baseados em imagens.

Um ator de ameaças alinhado à China, codinome UTA0388, tem realizado campanhas de spear-phishing direcionadas à América do Norte, Ásia e Europa, com o objetivo de implantar um malware conhecido como GOVERSHELL. As campanhas utilizam mensagens personalizadas que se fazem passar por pesquisadores e analistas de organizações fictícias, induzindo as vítimas a clicarem em links que levam a arquivos maliciosos. O GOVERSHELL, um backdoor em desenvolvimento ativo, possui várias variantes, cada uma com capacidades específicas, como execução de comandos via PowerShell. Os ataques têm explorado serviços legítimos como Netlify e OneDrive para hospedar os arquivos maliciosos. Além disso, o UTA0388 tem utilizado o OpenAI ChatGPT para gerar conteúdo das campanhas, o que demonstra um uso inovador de inteligência artificial em operações de ciberespionagem. A campanha também se alinha a interesses geopolíticos da China, especialmente em relação a Taiwan. A atividade do grupo foi observada em setembro de 2025, com um foco em instituições governamentais e setores críticos na Europa.

Recentemente, um sofisticado ataque de phishing tem utilizado notificações de documentos do Zoom para enganar candidatos a emprego e roubar credenciais do Gmail. O ataque começou com um e-mail que parecia legítimo, passando por verificações de segurança como SPF, DKIM e DMARC, e que parecia vir de um endereço confiável. Os destinatários recebiam uma notificação do Zoom informando que ‘departamentos de RH’ os convidavam a visualizar documentos. Ao clicar no link, os usuários eram redirecionados para um domínio falso, onde um ‘gate de proteção contra bots’ os induzia a acreditar que estavam em um site seguro. Após uma breve interação, eram levados a uma página de login falsa do Gmail, onde suas credenciais eram capturadas em tempo real. Os atacantes utilizavam uma conexão WebSocket para transferir as informações imediatamente para seus servidores. Para se proteger, os usuários devem mudar suas senhas e ativar a autenticação em duas etapas. Além disso, é crucial que as organizações monitorem e bloqueiem domínios maliciosos e eduquem seus funcionários sobre os riscos de phishing.

O iFood, um dos principais aplicativos de delivery do Brasil, está enfrentando um ataque coordenado de espionagem corporativa, conforme relatado pelo CEO Diego Barreto. Nos últimos meses, mais de 170 mensagens foram enviadas a funcionários da empresa, principalmente executivos das áreas de Negócio, Tecnologia e Comercial, com ofertas de pagamento que variavam de US$ 250 a R$ 5,5 mil em troca de informações sensíveis. As comunicações, que se apresentavam como consultas de mercado, rapidamente se transformaram em solicitações de dados críticos, como faturamento e estratégias de precificação. Barreto enfatizou que essas abordagens são antiéticas e ilegais, levando o iFood a implementar novos protocolos de segurança e a notificar as autoridades. Concorrentes como Ketta e 99Food negaram envolvimento em espionagem, enquanto a Rappi não comentou o caso. O incidente destaca a vulnerabilidade das empresas a ataques de engenharia social e a necessidade de reforço nas medidas de segurança interna.

Com a aproximação do Amazon Prime Day, os cibercriminosos estão intensificando suas atividades fraudulentas, criando sites falsos para roubar dados dos usuários. Um estudo da Check Point Software revelou que, nas três primeiras semanas de setembro, foram registrados 727 novos domínios relacionados à Amazon, com 1 a cada 18 sendo classificado como malicioso. Entre esses, 1 a cada 36 continha a expressão ‘Amazon Prime’. Dois casos de phishing foram destacados: um e-mail que simula um ‘Pagamento não autorizado’, redirecionando para um site de login falso, e um PDF com o título ‘Assinatura Suspensa’, que leva a um portal de pagamentos fraudulento. Para se proteger, os especialistas recomendam verificar os domínios, evitar anexos suspeitos, ativar a autenticação multifator e usar soluções de segurança em camadas. A situação é alarmante, pois as fraudes já começaram antes mesmo do evento oficial, exigindo atenção redobrada dos consumidores.

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

Um novo relatório da Cisco Talos revela uma técnica crescente de ataque cibernético chamada ‘hidden text salting’, que utiliza propriedades de CSS para injetar códigos maliciosos em e-mails, tornando-os invisíveis para os destinatários. Essa técnica foi observada entre março de 2024 e julho de 2025, especialmente em campanhas de phishing e spear phishing, onde os atacantes inserem trechos de texto irrelevantes ou maliciosos em partes dos e-mails, como cabeçalhos e anexos, sem que os usuários percebam. Os hackers manipulam propriedades de CSS, como ‘font-size: 0’ e ‘display: none’, para ocultar o texto malicioso, dificultando a detecção por sistemas de segurança. Além disso, essa abordagem tem sido utilizada para confundir filtros de spam, aumentando a taxa de entrega de e-mails maliciosos. A Cisco recomenda estratégias de mitigação, como a sanitização de HTML e a análise de características visuais, para melhorar a segurança dos e-mails. Diante da evolução dessas táticas, é crucial que as equipes de segurança se adaptem e busquem padrões de texto oculto em todos os componentes dos e-mails.

A Rede Amazônica, maior afiliada da Globo, enfrentou um incidente de fraude por e-mail que expôs suas vulnerabilidades em cibersegurança. Em 2023, 94% das empresas relataram incidentes de segurança de e-mail, com 79% tendo contas comprometidas por phishing. A falta de um sistema unificado e a ausência de autenticação em dois fatores aumentavam os riscos. Após o ataque, a equipe de TI decidiu migrar para o Zoho Workplace, uma plataforma que centraliza e-mail, chat e armazenamento em nuvem. Essa mudança trouxe benefícios significativos, como login unificado, autenticação multifator e criptografia ponta a ponta, permitindo um monitoramento mais eficaz de logins suspeitos e uma gestão centralizada de acessos. Além da segurança, a migração resultou em redução de custos e aumento da produtividade, com comunicação unificada e menos burocracia. O suporte da Zoho também se destacou, proporcionando um atendimento rápido e eficiente. A experiência da Rede Amazônica ilustra a importância de uma infraestrutura digital robusta e integrada para proteger dados e garantir a continuidade dos negócios.

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

Uma pesquisa realizada pela Yubico revelou que quase metade dos entrevistados interagiu com e-mails de phishing no último ano, com a geração Z sendo a mais vulnerável, apresentando 62% de engajamento com esses golpes. Apesar do reconhecimento generalizado de que senhas são inseguras, elas ainda são o método de autenticação mais utilizado, com menos da metade das empresas adotando autenticação multifator (MFA) em todas as aplicações. Além disso, 40% dos funcionários afirmaram não ter recebido treinamento em cibersegurança. A pesquisa destaca que, embora os ataques de phishing tenham evoluído para se tornarem mais convincentes, a adoção de soluções de autenticação resistentes ao phishing, como chaves de segurança, está começando a aumentar, especialmente na França, onde a adoção de MFA para contas pessoais saltou de 29% para 71% em um ano. A desconexão entre a conscientização sobre segurança e a implementação de práticas eficazes deixa tanto indivíduos quanto organizações vulneráveis a ataques cada vez mais sofisticados.

Pesquisadores alertam sobre uma nova ferramenta chamada MatrixPDF, que transforma arquivos PDF comuns em armadilhas para usuários desavisados. Essa tecnologia permite que hackers insiram prompts enganosos, sobreposições e scripts em documentos aparentemente inofensivos, tornando-os veículos para malware e campanhas de phishing. O estudo da Varonis destaca que, ao combinar o MatrixPDF com motores de phishing em larga escala como o SpamGPT, a eficácia e o alcance desses ataques podem ser multiplicados. Os PDFs, frequentemente confiáveis, podem contornar filtros de e-mail e abrir diretamente em serviços como o Gmail sem levantar suspeitas. Os atacantes podem incluir ações maliciosas que redirecionam usuários para sites externos ou fazem o download automático de arquivos prejudiciais. Além disso, a execução de scripts JavaScript embutidos nos PDFs pode permitir que os hackers conectem-se a servidores maliciosos, levando a downloads indesejados. A pesquisa enfatiza a necessidade de soluções de segurança baseadas em IA que analisem anexos em busca de estruturas incomuns e links ocultos, já que a adaptação constante das táticas dos cibercriminosos representa um desafio contínuo para a segurança cibernética.

Uma nova campanha de spear phishing foi descoberta pela Blackpoint Cyber, visando executivos e funcionários de alto escalão. Os hackers exploram a confiança dos usuários em documentos sensíveis, como passaportes e arquivos de pagamento, utilizando documentos certificados falsos. Um dos métodos utilizados envolve o envio de arquivos ZIP que, ao serem abertos, revelam atalhos do Windows disfarçados. Esses atalhos ativam um script PowerShell que baixa malware de um site controlado pelos atacantes. O malware se camufla como uma apresentação de PowerPoint, evitando a detecção. Além disso, ele verifica a presença de antivírus no sistema, adaptando seu comportamento conforme a segurança encontrada. Esse tipo de ataque, conhecido como ’living off the land’, permite que os hackers contornem ferramentas de segurança, estabelecendo uma conexão com um servidor de comando e controle, o que possibilita o acesso remoto ao computador da vítima. A engenharia social utilizada torna o ataque ainda mais convincente, exigindo que os usuários sejam cautelosos ao abrir anexos, mesmo que pareçam legítimos.

O grupo de hackers SideWinder, associado a atividades de espionagem patrocinadas por estados, intensificou suas operações na Ásia do Sul com a campanha denominada “Operação SouthNet”. Este ataque envolve a criação de mais de 50 domínios de phishing para roubar credenciais de login de entidades governamentais e militares, especialmente no Paquistão e no Sri Lanka, mas também com atividades colaterais em Nepal, Bangladesh e Mianmar. Os atacantes utilizam serviços de hospedagem gratuitos para criar portais falsos do Outlook e Zimbra, focando em setores marítimos, aeroespaciais e de telecomunicações. A taxa de criação de novos domínios é alarmante, ocorrendo a cada 3 a 5 dias. Além disso, foram identificados documentos maliciosos disfarçados como PDFs, que visam enganar as vítimas. A pesquisa também revelou que o grupo recicla infraestrutura de comando e controle, aumentando a dificuldade de rastreamento. As medidas de mitigação recomendadas incluem monitoramento proativo de plataformas de hospedagem e treinamento em cibersegurança para reconhecer iscas documentais. A colaboração entre CERTs regionais é essencial para interromper as campanhas de espionagem do SideWinder e proteger redes sensíveis.

Com a Copa do Mundo FIFA 2026 se aproximando, cibercriminosos já estão ativos, criando mais de 4.300 sites fraudulentos relacionados ao evento. Pesquisadores da Check Point Software identificaram que cerca de 20% desses sites têm conexão com o Brasil, seja por hospedagem em IPs brasileiros ou por conteúdo em português. Os golpes mais comuns incluem a venda de ingressos falsos, mercadorias falsificadas e fraudes de streaming. No Brasil, os cibercriminosos focam em três áreas principais: mercadorias falsificadas (35-40% dos golpes), fraudes com ingressos (30-35%) e streaming ilegal (20-25%). Os sites fraudulentos imitam lojas legítimas, utilizando boletos bancários, um método de pagamento popular no Brasil, para enganar as vítimas. Os boletos são visualmente semelhantes aos verdadeiros, dificultando a identificação do golpe. Para se proteger, os torcedores devem comprar apenas em canais oficiais da FIFA e desconfiar de preços muito baixos ou ofertas que parecem boas demais para ser verdade.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

O Google, através de seu Grupo de Inteligência de Ameaças (GTIG), divulgou novas diretrizes técnicas para combater o grupo de ameaças UNC6040, que utiliza phishing por voz (vishing) para comprometer ambientes Salesforce. Em vez de explorar vulnerabilidades de aplicativos, os atacantes têm se baseado em engenharia social convincente para induzir funcionários a autorizarem aplicativos maliciosos conectados, obtendo acesso a dados corporativos valiosos. As operações do UNC6040 geralmente começam com chamadas que se fazem passar por suporte técnico, persuadindo os funcionários a autorizar ferramentas que parecem legítimas, como uma versão modificada do aplicativo Data Loader. Uma vez dentro, os atacantes podem acessar dados sensíveis rapidamente, incluindo informações de clientes e dados financeiros. O Google recomenda a implementação de autenticação multifatorial resistente a phishing, centralização de acessos via plataformas de Single Sign-On e verificação rigorosa em procedimentos de help desk. Além disso, sugere configurações rigorosas no Salesforce, como restrições de IP e permissões limitadas. O monitoramento em tempo real é essencial para detectar atividades suspeitas, e a correlação de dados entre plataformas como Salesforce, Okta e Microsoft 365 pode ajudar a identificar movimentos laterais de atacantes. Com a mudança de foco dos atacantes para manipulação baseada em confiança, as organizações são incentivadas a modernizar sua postura de segurança em SaaS.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

Em 25 de setembro de 2025, a unidade de resposta a ameaças da eSentire identificou uma operação de spear phishing sofisticada que visava o e-mail de suporte Zendesk de um cliente do setor de manufatura. Os atacantes enviaram um e-mail com tema bancário, intitulado ‘Swift Message MT103 Addiko Bank ad: FT2521935SVT’, que continha um anexo ZIP malicioso. Ao ser extraído, o arquivo implantou o malware DarkCloud, um ladrão de informações que coleta uma ampla gama de dados sensíveis, como senhas armazenadas em navegadores, detalhes de cartões de crédito, credenciais de FTP e até mesmo arquivos de carteiras de criptomoedas. O DarkCloud se destaca por suas características de evasão, utilizando técnicas de criptografia de strings e detecção de ambientes de análise. A exfiltração de dados ocorre por múltiplos canais, incluindo API do Telegram e SMTP. A eSentire conseguiu interceptar os e-mails de spam e evitar a execução do malware, recomendando políticas de segurança de e-mail e treinamento de conscientização sobre phishing para os funcionários. Este incidente ressalta a necessidade de defesas em camadas para proteger as organizações contra campanhas de malware furtivas.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

Com a popularização dos serviços da Amazon, muitos usuários brasileiros enfrentam o risco de terem suas contas hackeadas. O artigo orienta sobre as ações a serem tomadas em caso de invasão. Se a Amazon bloquear sua conta, é essencial verificar e-mails e SMS para seguir as instruções de desbloqueio. Caso você perceba atividades suspeitas, deve acessar sua conta e seguir o caminho indicado para proteger seus dados, como mudar a senha e ativar a verificação em duas etapas. Sinais de que sua conta pode estar comprometida incluem tentativas de login falhadas, compras não autorizadas e alterações em métodos de pagamento. Para prevenir ataques, recomenda-se o uso de senhas fortes, a ativação de chaves de acesso e a cautela com links suspeitos. O artigo destaca que a segurança da conta é crucial, especialmente em um cenário onde a Amazon é amplamente utilizada no Brasil.

O doxxing é a prática criminosa de expor informações pessoais de indivíduos na internet sem seu consentimento, frequentemente com objetivos maliciosos como assédio e intimidação. O termo deriva da expressão ‘dropping documents’ e ganhou notoriedade com o vazamento de dados de figuras públicas, como streamers e criadores de conteúdo. Os doxxers geralmente não precisam ser hackers; muitas vezes, eles coletam informações disponíveis publicamente em redes sociais, registros públicos e por meio de engenharia social. Para se proteger, é essencial auditar as configurações de privacidade nas redes sociais, realizar buscas periódicas sobre suas informações na internet e usar senhas fortes e autenticação de dois fatores. Caso alguém se torne vítima de doxxing, é crucial documentar o incidente, denunciar nas plataformas afetadas e notificar amigos e familiares. O doxxing representa uma ameaça real no ambiente digital, e a prevenção é a melhor defesa contra essa prática.

A Python Software Foundation alertou sobre uma nova onda de ataques de phishing direcionados a desenvolvedores que utilizam a linguagem Python, especificamente através do Python Package Index (PyPI). Os golpistas estão enviando e-mails fraudulentos solicitando que os usuários verifiquem suas contas sob a ameaça de suspensão, levando-os a um site falso, pypi-mirror.org, que imita a página oficial do PyPI. Ao clicar no link, as vítimas podem ter suas credenciais de acesso roubadas. O PyPI é uma plataforma amplamente utilizada, hospedando mais de 681.400 projetos e 15 milhões de arquivos, tornando-se um alvo atrativo para ataques cibernéticos. O risco é significativo, pois os hackers podem não apenas roubar projetos, mas também injetar malwares em pacotes existentes ou publicar novos projetos maliciosos, afetando usuários e comprometendo dados sensíveis, como credenciais e informações financeiras. A fundação recomenda que os desenvolvedores alterem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas. Este ataque é parte de uma campanha mais ampla que já afetou a cadeia de suprimentos de software, com incidentes semelhantes ocorrendo no ecossistema npm.

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.