Phishing

A Microsoft emitiu um alerta sobre fraudes no Microsoft Teams, onde hackers estão se passando por funcionários de TI para obter acesso remoto a sistemas corporativos. Os atacantes utilizam a funcionalidade de chat entre locatários para se comunicar com as vítimas, mesmo não pertencendo à organização. Eles convencem os usuários a conceder acesso remoto por meio de ferramentas legítimas, como o Quick Assist, que permite suporte técnico remoto. Após obter acesso, os criminosos podem executar códigos maliciosos disfarçados de programas confiáveis, movendo-se lateralmente pela rede da empresa e coletando dados sensíveis. Essa técnica é eficaz porque se disfarça de atividades normais de suporte de TI, não acionando alarmes de segurança. A Microsoft observou que os atacantes também instalam ferramentas de gerenciamento remoto, como o Rclone, para exfiltrar dados para armazenamento em nuvem. O alerta destaca a importância de conscientizar os usuários sobre esses tipos de ataques, que podem passar despercebidos devido à sua natureza camuflada.

Uma nova campanha de phishing tem afetado usuários de iPhone, conforme reportado pelo BleepingComputer. O golpe inicia com o envio de um e-mail que simula um alerta de segurança da Apple, informando sobre uma suposta alteração na conta do usuário. Os criminosos utilizam servidores da Apple para enviar mensagens que parecem legítimas, contornando filtros de spam e aumentando a confiança das vítimas. O e-mail menciona uma compra de iPhone no valor de US$ 899, feita via PayPal, e orienta o usuário a entrar em contato com um número de telefone para cancelar a transação. Ao ligar, a vítima é submetida a um ataque de vishing, onde os golpistas tentam convencê-la a instalar um software de acesso remoto, alegando que a conta foi comprometida. Para dar credibilidade ao golpe, os hackers criam um ID Apple e manipulam as informações de envio do e-mail. Especialistas recomendam cautela com alertas inesperados e nunca permitir acesso remoto a desconhecidos.

O Google anunciou a ampliação do uso da ferramenta de inteligência artificial Gemini para combater anúncios maliciosos em suas plataformas. A IA já foi responsável por interromper e remover aproximadamente 8,3 bilhões de anúncios fraudulentos e suspender 24,9 milhões de contas de anunciantes em 2025. A prática de hackers que compram anúncios para se passar por marcas legítimas é um problema recorrente no Google Ads, e a nova abordagem do Gemini visa detectar e bloquear essas fraudes em tempo real. A tecnologia agora analisa bilhões de sinais, como o comportamento do anunciante e o histórico da conta, permitindo uma identificação mais precisa de anúncios legítimos versus fraudulentos. O Google planeja expandir ainda mais o uso do Gemini para outros formatos de anúncios, visando bloquear anunciantes fraudulentos já no momento do envio. Essa iniciativa é crucial para proteger os usuários de golpes digitais e melhorar a segurança do ecossistema publicitário.

Tyler Robert Buchanan, um britânico de 24 anos, se declarou culpado nos Estados Unidos por fraudes eletrônicas e roubo de identidade agravado. Ele é considerado o líder do coletivo de cibercrime Scattered Spider, que, entre setembro de 2021 e abril de 2023, teria roubado pelo menos 8 milhões de dólares em criptomoedas ao realizar ataques de phishing via SMS em diversas empresas. As organizações afetadas abrangem setores como entretenimento, telecomunicações e tecnologia. Os ataques consistiam no envio de mensagens de texto que se passavam por comunicações legítimas das empresas, levando os funcionários a fornecer informações confidenciais. Com esses dados, os criminosos conseguiram sequestrar contas de e-mail e realizar ataques de troca de SIM, transferindo milhões para carteiras que controlavam. Buchanan foi preso em junho de 2024 na Espanha e enfrenta uma pena máxima de 22 anos de prisão. Outros três cúmplices também foram acusados e podem enfrentar até 20 anos de prisão. O grupo Scattered Spider é conhecido por suas táticas de engenharia social e parcerias com gangues de ransomware, aumentando a preocupação sobre a segurança cibernética em nível global.

A Microsoft emitiu um alerta sobre um aumento nos ataques cibernéticos que abusam da colaboração externa no Microsoft Teams. Os invasores se fazem passar por funcionários de TI ou suporte técnico, contatando os colaboradores por meio de chats interorganizacionais e convencendo-os a conceder acesso remoto, o que facilita o roubo de dados. A empresa observou uma cadeia de ataque em nove etapas, começando com a comunicação inicial e culminando na exfiltração de dados sensíveis utilizando ferramentas legítimas, como o Quick Assist e o Rclone. Essa abordagem torna difícil a detecção de atividades maliciosas, pois se misturam com operações normais de suporte de TI. A Microsoft recomenda que os usuários tratem contatos externos no Teams como não confiáveis e sugere que administradores restrinjam o uso de ferramentas de assistência remota e monitorem o uso do Windows Remote Management (WinRM). O alerta destaca a necessidade de vigilância constante e a implementação de medidas de segurança para proteger as redes corporativas contra essas ameaças.

Recentemente, notificações de mudança de conta da Apple estão sendo exploradas por golpistas para enviar e-mails de phishing que simulam compras fraudulentas de iPhones. Um leitor compartilhou um e-mail que parecia uma notificação de segurança legítima da Apple, informando sobre uma atualização de informações da conta. No entanto, o e-mail continha um alerta falso sobre a compra de um iPhone de $899 via PayPal, acompanhado de um número de telefone para cancelar a transação. Esses e-mails são projetados para enganar os destinatários, fazendo-os acreditar que suas contas foram comprometidas, levando-os a ligar para o número do golpista. Ao fazer isso, os golpistas tentam convencer as vítimas a instalar software de acesso remoto ou fornecer informações financeiras. A campanha destaca como os criminosos cibernéticos estão evoluindo suas táticas, utilizando recursos legítimos de sites para realizar ataques. Os e-mails são enviados a partir da infraestrutura da Apple, passando por verificações de autenticação, o que aumenta sua legitimidade. Os usuários devem ser cautelosos com alertas inesperados sobre compras e números de suporte, especialmente se não tiverem realizado alterações recentes em suas contas.

Com a aproximação da Copa do Mundo de 2026, especialistas em cibersegurança da Proofpoint alertam sobre os riscos cibernéticos associados ao evento. A pesquisa revelou que 36% dos patrocinadores e parceiros da FIFA não possuem medidas de segurança adequadas para proteger seus e-mails, tornando-os vulneráveis a ataques como roubo de identidade e fraudes. O estudo analisou 25 domínios relacionados ao evento e constatou que, embora 96% deles utilizem o protocolo DMARC, apenas 64% têm políticas robustas para prevenir ataques. Preocupantemente, 32% dos domínios estavam configurados apenas em modo de monitoramento, o que não impede o envio de e-mails falsificados. Esses dados indicam que os clientes podem ser alvos de cibercriminosos que se passam por marcas renomadas para aplicar golpes. Diante desse cenário, é essencial que os usuários adotem medidas de proteção e mantenham uma higiene digital adequada para evitar cair em armadilhas cibernéticas.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs) e empresas. O phishing se destaca como um dos principais motores do cibercrime moderno. Em um webinar programado para 14 de maio de 2026, a BleepingComputer, em parceria com especialistas da Kaseya, discutirá a necessidade de uma abordagem integrada entre segurança e estratégias de recuperação. O evento abordará como ataques impulsionados por inteligência artificial, como phishing e ransomware, estão se tornando mais direcionados e difíceis de detectar, frequentemente burlando controles de segurança tradicionais. Mesmo quando as ameaças são identificadas, atrasos na resposta ou lacunas no planejamento de recuperação podem transformar um incidente contido em uma interrupção em larga escala. A Kaseya, conhecida por suas soluções de segurança e backup focadas em MSPs, enfatiza a importância de combinar prevenção, detecção e recuperação rápida para proteger melhor os ambientes dos clientes e garantir a continuidade dos negócios. O webinar também abordará como os atacantes exploram infraestruturas confiáveis e plataformas SaaS para contornar defesas, destacando a importância de backups e planejamento de recuperação de desastres (BCDR) para a resiliência cibernética.

O mercado clandestino de dados de cartões de crédito tem se tornado cada vez mais volátil, com criminosos enfrentando fraudes, desconfiança interna e pressão das autoridades. Um guia encontrado em um fórum underground, intitulado ‘The Underground Guide to Legit CC Shops’, revela como os atores do crime tentam mitigar riscos nesse ambiente instável. O documento enfatiza a importância de avaliar fornecedores e a qualidade dos dados roubados, destacando que a legitimidade de uma loja não é definida pela marca, mas pela sua capacidade de operar de forma contínua. Além disso, o guia sugere práticas de segurança operacional, como o uso de criptomoedas focadas em privacidade e a adoção de protocolos técnicos para verificar a confiabilidade das lojas. A transparência nos modelos de preços e a validação comunitária são fundamentais para construir confiança em um mercado onde a desconfiança é predominante. Essa mudança de foco para uma abordagem mais disciplinada e estruturada reflete a evolução do crime cibernético, onde a sobrevivência e a qualidade dos dados são cruciais para o sucesso das operações.

A plataforma de cibercrime ATHR está revolucionando os ataques de phishing e vishing ao permitir a coleta automatizada de credenciais através de chamadas telefônicas. Oferecida em fóruns underground por US$ 4.000 e uma comissão de 10% sobre os lucros, a ATHR é capaz de roubar dados de login de serviços populares como Google, Microsoft e Coinbase. A operação é totalmente automatizada, abrangendo desde a atração de vítimas por e-mail até a engenharia social via voz, utilizando agentes de IA. Os ataques começam com um e-mail que simula um alerta de segurança, levando a vítima a ligar para um número que conecta a um agente de voz que simula um suporte técnico. Este agente é programado para extrair um código de verificação de seis dígitos, permitindo o acesso à conta da vítima. A plataforma também oferece um painel de controle que permite aos operadores gerenciar ataques em tempo real, reduzindo a necessidade de uma equipe técnica grande. Com a ascensão de plataformas como a ATHR, espera-se que ataques de vishing se tornem mais frequentes e difíceis de identificar, exigindo novas abordagens de defesa, como a modelagem do comportamento de comunicação normal dentro das organizações.

Um novo golpe de phishing está atingindo usuários do iCloud, com e-mails fraudulentos que ameaçam a exclusão de dados armazenados na nuvem. Os e-mails, que se apresentam como alertas de armazenamento, afirmam que a conta do usuário foi bloqueada ou que o limite de armazenamento foi excedido, com prazos urgentes para a suposta resolução do problema. Muitas vezes, esses e-mails contêm erros gramaticais e endereços de remetentes suspeitos, o que pode ajudar os usuários a identificá-los como fraudes. Ao clicar em links contidos nesses e-mails, os usuários são redirecionados para páginas falsas que visam coletar informações pessoais e bancárias, aumentando o risco de roubo de identidade e transações não autorizadas. Especialistas recomendam que os usuários verifiquem o status de armazenamento diretamente nas configurações do dispositivo e evitem interagir com e-mails suspeitos. Além disso, é importante relatar esses e-mails para limitar sua disseminação e manter práticas de segurança atualizadas, como o uso de firewalls adequadamente configurados.

Pesquisadores da Cisco Talos identificaram que atores maliciosos estão explorando a plataforma de automação de workflows n8n para conduzir campanhas de phishing sofisticadas. Utilizando a infraestrutura confiável da n8n, esses atacantes conseguem contornar filtros de segurança tradicionais, transformando ferramentas de produtividade em veículos para acesso remoto persistente. A plataforma permite que usuários criem webhooks, que são URLs expostas e que têm sido utilizadas em ataques de phishing desde outubro de 2025. Um exemplo observado inclui e-mails que prometem documentos compartilhados, mas que, ao serem clicados, redirecionam para uma página que ativa o download de um payload malicioso. Além disso, os atacantes também estão utilizando n8n para rastrear dispositivos através de pixels invisíveis em e-mails, permitindo a coleta de informações como endereços de e-mail. O volume de e-mails contendo essas URLs aumentou em 686% entre janeiro e março de 2026, evidenciando a gravidade da situação. A flexibilidade e a facilidade de integração da n8n, que são vantajosas para desenvolvedores, agora estão sendo usadas para automatizar a entrega de malware, o que representa um desafio significativo para as equipes de segurança.

A Microsoft anunciou novas proteções no Windows para combater ataques de phishing que utilizam arquivos de conexão Remote Desktop Protocol (RDP). Esses arquivos são frequentemente usados em ambientes corporativos para conectar sistemas remotos, mas têm sido explorados por grupos de hackers, como o APT29, para roubar dados e credenciais. Com as atualizações cumulativas de abril de 2026 para Windows 10 e 11, a Microsoft introduziu um aviso educativo que aparece na primeira vez que um usuário abre um arquivo RDP, alertando sobre os riscos associados. Além disso, ao tentar abrir arquivos RDP, os usuários agora verão um diálogo de segurança que informa se o arquivo é assinado por um editor verificado e lista as redireções de recursos locais, todas desativadas por padrão. Se o arquivo não for assinado, um aviso de ‘Cuidado: Conexão remota desconhecida’ será exibido. Essas medidas visam proteger os usuários de acessos não autorizados e roubo de informações. A Microsoft recomenda que administradores mantenham essas proteções ativadas, dada a história de abusos associados a arquivos RDP.

Um aplicativo malicioso do Ledger Live para macOS, disponível na Apple App Store, causou perdas de aproximadamente US$ 9,5 milhões em criptomoedas para 50 vítimas em poucos dias. Os usuários que baixaram o aplicativo falso foram enganados a inserir suas frases de recuperação, permitindo que os atacantes acessassem totalmente suas carteiras e transferissem ativos digitais para endereços externos sob seu controle. O investigador de blockchain ZachXBT relatou que os atacantes utilizaram diversos endereços de carteira para receber fundos em várias blockchains, incluindo Bitcoin, Ethereum, Tron, Solana e Ripple. Os valores roubados foram lavados através de mais de 150 endereços de depósito na KuCoin, uma plataforma de câmbio, que está sob suspeita de violar leis de combate à lavagem de dinheiro. Embora a Apple tenha removido o aplicativo após múltiplos relatos de usuários, 50 pessoas já haviam perdido suas criptomoedas. É importante ressaltar que a Ledger oferece um aplicativo para Mac em seu site, mas não na App Store, onde apenas uma versão compatível com iOS está disponível. Esse incidente destaca a vulnerabilidade dos usuários a aplicativos maliciosos e a necessidade de cautela ao baixar softwares relacionados a criptomoedas.

O Escritório do FBI em Atlanta, em colaboração com autoridades indonésias, desmantelou a plataforma global de phishing conhecida como W3LL, resultando na apreensão de infraestrutura e na prisão do suposto desenvolvedor. A W3LL Store era um kit de phishing e um mercado online que permitia a cibercriminosos roubar milhares de credenciais, resultando em tentativas de fraude que ultrapassaram 20 milhões de dólares. O kit, que era vendido por 500 dólares, possibilitava a criação de réplicas convincentes de portais de login corporativos, permitindo a captura de tokens de sessão de autenticação e a elisão de autenticações multifatoriais. Entre 2019 e 2023, o marketplace facilitou a venda de mais de 25 mil contas comprometidas. Mesmo após o fechamento da W3LL Store, as operações continuaram através de plataformas de mensagens criptografadas. O FBI destacou que a plataforma não se limitava ao phishing, mas funcionava como um serviço completo de cibercrime, com implicações sérias para a segurança cibernética global.

Em um cenário de eleições em 2026 no Brasil, golpistas estão utilizando mensagens fraudulentas para enganar cidadãos, simulando cobranças para regularização eleitoral. O Tribunal Superior Eleitoral (TSE) alertou sobre campanhas de phishing que se aproveitam da urgência do processo eleitoral. As mensagens, que chegam principalmente pelo WhatsApp, informam sobre supostas irregularidades no título de eleitor, exigindo um pagamento para regularização. Os criminosos se passam pelo TSE, utilizando uma linguagem alarmante e links fraudulentos que levam a armadilhas financeiras. O TSE reforça que não realiza cobranças por mensagens e que a regularização é um serviço gratuito, acessível apenas por canais oficiais. Para se proteger, os cidadãos devem evitar clicar em links desconhecidos e nunca fornecer dados pessoais ou financeiros. A consulta sobre a situação eleitoral deve ser feita exclusivamente através do site ou do aplicativo e-Título, garantindo assim a segurança das informações pessoais.

O FBI, em colaboração com a Polícia Nacional da Indonésia, desmantelou uma operação global de phishing que utilizava um kit chamado W3LL para roubar credenciais de contas de milhares de vítimas, resultando em tentativas de fraude que ultrapassam US$ 20 milhões. A operação levou à prisão do suposto desenvolvedor, identificado como G.L., e à apreensão de domínios-chave associados ao esquema. O kit W3LL permitia que criminosos criassem páginas de login falsas, enganando as vítimas para que entregassem suas credenciais. Vendido por cerca de US$ 500, o kit oferecia uma plataforma completa de cibercrime, incluindo ferramentas personalizadas de phishing e listas de e-mails. Desde 2017, o operador do W3LL Store, que atendia cerca de 500 cibercriminosos, facilitou a venda de mais de 25.000 contas comprometidas. O FBI destacou que a operação não apenas visava credenciais do Microsoft 365, mas também utilizava técnicas avançadas para contornar autenticações multifatoriais. Apesar do fechamento do W3LL Store em 2023, a operação continuou a operar por meio de plataformas de mensagens criptografadas, atingindo mais de 17.000 vítimas em um ano.

O Pix, sistema de pagamento instantâneo implementado pelo Banco Central em 2020, trouxe agilidade nas transações financeiras, mas também aumentou a vulnerabilidade a fraudes digitais. O vazamento de chaves Pix pode ocorrer devido a violações de segurança em sistemas de empresas, expondo dados como nome, CPF, instituição bancária e informações da conta. Embora a exposição não signifique que a conta foi invadida, aumenta o risco de fraudes, como golpes de engenharia social e solicitações de devolução de valores indevidos. Para se proteger, é crucial agir rapidamente: acompanhar comunicações oficiais do banco, ignorar contatos não oficiais, revisar senhas e monitorar movimentações da conta. Além disso, recomenda-se o uso de chaves aleatórias, revisão de limites de transação e ativação de notificações para detectar atividades suspeitas. O artigo destaca a importância de estar atento a sinais de golpes, como urgência exagerada e pedidos de confirmação de dados, para evitar prejuízos financeiros.

Uma ação internacional de combate à fraude, liderada pela Agência Nacional do Crime do Reino Unido (NCA), revelou mais de 20.000 vítimas de fraudes com criptomoedas no Canadá, Reino Unido e Estados Unidos. A operação, chamada ‘Operação Atlantic’, ocorreu no mês passado e envolveu a NCA, o Serviço Secreto dos EUA, a Polícia Provincial de Ontário e a Comissão de Valores Mobiliários de Ontário, além de parceiros do setor privado. Durante a operação, foram congelados mais de 12 milhões de dólares em lucros criminosos provenientes de ataques de ‘phishing de aprovação’, onde golpistas enganam as vítimas para obter acesso às suas carteiras de criptomoedas. Também foram identificados mais de 45 milhões de dólares em criptomoedas roubadas relacionadas a esquemas de fraude em todo o mundo. A NCA destacou que a colaboração entre o setor público e privado foi fundamental para o sucesso da operação, que ajudou a proteger milhares de vítimas e interromper redes de fraude. Além disso, o FBI, em uma operação paralela chamada ‘Operação Level Up’, identificou mais de 8.000 vítimas de fraudes de investimento em criptomoedas, com perdas estimadas em mais de 511 milhões de dólares. O relatório de crimes na internet de 2025 do FBI revelou um aumento significativo nas queixas relacionadas a fraudes com criptomoedas, totalizando 61.559 reclamações e perdas de 7,228 bilhões de dólares em 2024.

O grupo de cibercriminosos conhecido como Storm-2755 está realizando ataques direcionados a funcionários canadenses, roubando seus pagamentos salariais após sequestrar suas contas. Os atacantes utilizam páginas de login maliciosas do Microsoft 365 para roubar tokens de autenticação e cookies de sessão, redirecionando as vítimas para domínios que hospedam formulários falsos. Essa técnica permite que eles contornem a autenticação multifatorial (MFA) ao reproduzir tokens de sessão roubados, evitando a necessidade de reautenticação. Após acessar as contas, os criminosos criam regras de caixa de entrada para ocultar mensagens de recursos humanos relacionadas a depósitos diretos, dificultando a percepção das vítimas. Em seguida, enviam e-mails fraudulentos para a equipe de RH, solicitando a atualização das informações bancárias. Caso as táticas de engenharia social falhem, os atacantes acessam diretamente plataformas de software de RH, como o Workday, para alterar manualmente os dados de depósito. Para mitigar esses ataques, a Microsoft recomenda bloquear protocolos de autenticação legados e implementar MFA resistente a phishing. O FBI registrou mais de 24.000 queixas de fraudes relacionadas a compromissos de e-mail empresarial (BEC) no ano passado, resultando em perdas superiores a US$ 3 bilhões, evidenciando a gravidade dessa ameaça.

Um novo grupo de cibercriminosos está utilizando uma plataforma de phishing como serviço (PhaaS) chamada VENOM, que visa coletar credenciais de executivos de alto escalão, como CEOs e CFOs, em diversas indústrias. A operação, que está ativa desde novembro do ano passado, se destaca por sua abordagem direcionada e personalizada, utilizando e-mails que imitam notificações do Microsoft SharePoint. Esses e-mails são elaborados com detalhes que aumentam a credibilidade, incluindo códigos QR que redirecionam as vítimas para páginas de captura de credenciais.

Uma campanha de hack-for-hire, supostamente ligada ao governo indiano, visou jornalistas, ativistas e oficiais do governo no Oriente Médio e Norte da África (MENA). Entre os alvos estavam os jornalistas egípcios Mostafa Al-A’sar e Ahmed Eltantawy, que sofreram ataques de spear-phishing em 2023 e 2024, tentando comprometer suas contas da Apple e Google. Os ataques incluíram mensagens fraudulentas que redirecionavam os alvos a páginas falsas para coletar credenciais e códigos de autenticação de dois fatores (2FA). Um jornalista libanês também foi alvo de uma campanha de phishing em 2025, que resultou na violação total de sua conta Apple. Embora os ataques não tenham conseguido comprometer as contas dos jornalistas egípcios, a evidência sugere que os atores de ameaça podem usar essas táticas para entregar malwares e exfiltrar dados sensíveis. A análise da Lookout atribui essas atividades a um grupo de espionagem conhecido como Bitter, que tem estado ativo desde 2022, levantando preocupações sobre a vigilância regional e a segurança de dados pessoais. A campanha destaca a crescente utilização de malware móvel como uma ferramenta de espionagem contra a sociedade civil.

O grupo de ameaças conhecido como UNC6783 está atacando provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em diversos setores. Segundo o Google Threat Intelligence Group, essa tática tem sido utilizada para exfiltrar dados sensíveis e extorquir as vítimas. O analista principal da GTIG, Austin Larsen, destaca que o grupo geralmente utiliza engenharia social e campanhas de phishing para comprometer os BPOs. Além disso, há relatos de que os hackers têm contatado diretamente funcionários de suporte e helpdesk das organizações-alvo para obter acesso direto. O grupo pode estar vinculado a um ator conhecido como Raccoon, que já atacou vários BPOs. As táticas incluem direcionar funcionários de suporte a páginas de login falsas do Okta, que imitam os domínios das empresas-alvo. O kit de phishing utilizado pode roubar conteúdos da área de transferência, permitindo que os atacantes contornem a autenticação multifator (MFA). Após o roubo de dados, os atacantes exigem pagamentos através de endereços ProtonMail. O Google recomenda a implementação de chaves de segurança FIDO2 para MFA, monitoramento de chats ao vivo e auditorias regulares das inscrições de dispositivos MFA como medidas de defesa contra esses ataques.

A Kaspersky identificou 61 sites fraudulentos que imitam o sistema da Receita Federal, visando aplicar golpes durante o período de declaração do Imposto de Renda 2026. Os golpistas utilizam táticas de phishing para coletar credenciais do Gov.br e disseminar fraudes financeiras. A campanha começou em março, aproveitando o aumento da procura por informações sobre a declaração. Os criminosos criam domínios que exploram palavras-chave relacionadas ao Imposto de Renda, como ‘IRPF’ e ‘regularização’, e enviam e-mails falsos que simulam notificações da Receita Federal, alegando pendências e oferecendo descontos em multas. Para se proteger, especialistas recomendam o uso de canais oficiais da Receita Federal e a ativação da autenticação em duas etapas nas contas do Gov.br. Além disso, é fundamental desconfiar de mensagens suspeitas e acessar diretamente o site da Receita pelo navegador, evitando links de e-mails ou SMS.

O Federal Bureau of Investigation (FBI) dos Estados Unidos reportou que as vítimas de crimes cibernéticos perderam quase US$ 21 bilhões em 2025, um aumento de 26% em relação ao ano anterior, quando as perdas foram de US$ 16,6 bilhões. O número de queixas recebidas pelo Internet Crime Complaint Center (IC3) também cresceu, superando 1 milhão de reclamações. As fraudes de investimento foram responsáveis por 49% dos incidentes, resultando em perdas de US$ 8,6 bilhões, enquanto os crimes relacionados a criptomoedas causaram a maior perda individual, ultrapassando US$ 11 bilhões. Os ataques de phishing, extorsão e fraudes de investimento foram os mais comuns. O FBI também destacou que os cidadãos com mais de 60 anos foram os mais afetados, com perdas de US$ 7,7 bilhões. Além disso, pela primeira vez, o relatório incluiu fraudes relacionadas à inteligência artificial, que resultaram em 22.300 queixas e perdas de US$ 893 milhões. O FBI intensificou suas ações para bloquear ataques e notificar vítimas, tendo congelado US$ 679 milhões de transações fraudulentas em 2025.

Hackers estão utilizando notificações falsas do LinkedIn, disfarçadas como alertas de emprego, para enganar usuários e obter informações sensíveis de login. Pesquisas da Cofense revelam que esses ataques se aproveitam da urgência e curiosidade dos destinatários, levando-os a clicar em links maliciosos. Os e-mails fraudulentos frequentemente imitam comunicados de recrutadores de empresas respeitáveis, utilizando logotipos e formatações convincentes. Domínios como ‘inedin[.]digital’ são criados para parecerem legítimos, aumentando a confiança dos usuários. Além disso, os atacantes personalizam as mensagens com dados pessoais disponíveis publicamente, como endereços residenciais, para aumentar a credibilidade. A análise rápida desses ataques é crucial, pois atrasos podem resultar em credenciais comprometidas. Especialistas recomendam que os usuários verifiquem a autenticidade das notificações do LinkedIn e evitem clicar em links suspeitos. A implementação de softwares antivírus atualizados e a verificação cuidadosa de URLs são medidas essenciais para proteger contra esses ataques.

Recentemente, uma nova modalidade de golpe, conhecida como vishing, tem enganado usuários do aplicativo Caixa Tem, utilizado para serviços sociais e transações bancárias. Os criminosos realizam ligações simulando ser funcionários da Caixa Econômica Federal, informando que a conta da vítima está bloqueada ou com problemas. Durante a conversa, eles solicitam que a vítima compartilhe a tela do celular, altere seu e-mail e senha, ou envie códigos de verificação, permitindo que os golpistas acessem a conta e transfiram o dinheiro via Pix para contas de laranjas. Essa operação foi identificada pelo pesquisador de segurança Clandestine e é alimentada por vazamentos de dados de beneficiários. Além disso, há um esquema de comercialização de pacotes de vishing, que inclui ferramentas para camuflar a origem das ligações e realizar chamadas automáticas. Para se proteger, os usuários devem desconfiar de ligações que solicitam informações pessoais de forma urgente.

Uma nova campanha de phishing direcionada a usuários do LinkedIn tem utilizado notificações falsas para roubar credenciais de login e dados profissionais. Segundo o Cofense Phishing Defense Center, os criminosos criam e-mails que imitam alertas legítimos da plataforma, enganando até mesmo os usuários mais cautelosos. Esses e-mails, que apresentam um design semelhante ao do LinkedIn, informam sobre mensagens urgentes de representantes de empresas renomadas, levando as vítimas a clicar em links maliciosos. Ao clicar, o usuário é redirecionado para uma página de login fraudulenta, onde suas informações de acesso são capturadas. O domínio utilizado pelos golpistas, que se assemelha ao verdadeiro, é uma tática para enganar os desavisados. A campanha destaca a importância da conscientização sobre segurança digital, especialmente em plataformas profissionais, onde informações sensíveis são frequentemente compartilhadas.

Um grupo de hackers associado ao Irã, conhecido como Charming Kitten, tem utilizado táticas de engenharia social para comprometer usuários de plataformas da Apple e Microsoft. Em vez de explorar vulnerabilidades técnicas, os atacantes criam identidades falsas e estabelecem relações de confiança com as vítimas, levando-as a revelar credenciais ou instalar softwares maliciosos. Essa abordagem, reminiscentes das estratégias de espionagem da Guerra Fria, permite que os hackers operem de forma eficaz em um ambiente digital, afetando usuários em todo o mundo.

Recentemente, golpistas têm enviado mensagens de texto falsas, se passando por tribunais estaduais dos EUA, alertando sobre supostas infrações de trânsito. Essas mensagens, que incluem um QR code, pressionam os destinatários a realizar um pagamento de $6,99 em um site de phishing, onde informações pessoais e financeiras são coletadas. A nova campanha, que começou há algumas semanas, já afetou residentes de vários estados, incluindo Nova York, Califórnia e Texas. Ao contrário de campanhas anteriores, que apenas incluíam links, esta nova abordagem utiliza uma imagem de um aviso judicial falso com um QR code embutido. Após escanear o código, a vítima é direcionada a um site que imita agências governamentais, onde é solicitado que forneça dados pessoais e informações de cartão de crédito. Especialistas alertam que, ao receber mensagens de números desconhecidos solicitando pagamentos, é fundamental ignorá-las, já que agências estatais não utilizam esse método para solicitar informações pessoais. Essa prática representa um risco significativo de roubo de identidade e fraudes financeiras.

O artigo aborda a crescente preocupação com chats falsos de suporte que visam roubar dados pessoais dos usuários. Muitas vezes, esses chats se disfarçam como atendimentos legítimos, levando os usuários a baixar a guarda. O texto destaca a importância de verificar como o usuário chegou até o chat, enfatizando que links recebidos por e-mail, SMS ou redes sociais são frequentemente armadilhas. Além disso, é ressaltado que atendimentos verdadeiros nunca pedem informações sensíveis, como senhas ou dados de cartão, e que sinais de alerta incluem urgência excessiva, erros de digitação e insistência em canais de comunicação alternativos. Para garantir a segurança, recomenda-se acessar o suporte diretamente pelo site oficial do serviço. Caso o usuário já tenha compartilhado informações, o artigo orienta a interromper a conversa, alterar senhas e notificar instituições financeiras. A mensagem central é que a confiança digital deve ser construída com verificação rigorosa, não apenas com base na aparência.

Os ataques de phishing que abusam do fluxo de autorização de dispositivo do OAuth 2.0 aumentaram mais de 37 vezes em 2023. Nesse tipo de ataque, o criminoso envia um pedido de autorização de dispositivo a um provedor de serviços e recebe um código, que é enviado à vítima sob diversos pretextos. A vítima é enganada a inserir o código em uma página de login legítima, autorizando assim o dispositivo do atacante a acessar sua conta. Essa técnica, documentada pela primeira vez em 2020, tem sido amplamente adotada por cibercriminosos, incluindo hackers estatais e motivados financeiramente. A Push Security observou um aumento significativo na detecção de páginas de phishing relacionadas a esses ataques, com o kit EvilTokens se destacando como um dos principais responsáveis por essa tendência. Outros kits, como VENOM e SHAREFILE, também estão emergindo no mercado, oferecendo ferramentas para cibercriminosos de baixa habilidade. Para mitigar esses ataques, recomenda-se que os usuários desativem o fluxo de autorização de dispositivo quando não necessário e monitorem logs em busca de eventos de autenticação inesperados.

Um novo kit malicioso chamado EvilTokens foi identificado, integrando capacidades de phishing por código de dispositivo, permitindo que atacantes sequestrassem contas da Microsoft e realizassem ataques avançados de comprometimento de e-mail corporativo (BEC). Vendido a cibercriminosos via Telegram, o kit está em constante desenvolvimento, com planos de suporte para páginas de phishing do Gmail e Okta. Os ataques de phishing por código de dispositivo abusam do fluxo de autorização de dispositivo do OAuth 2.0, onde os atacantes enganam a vítima para autorizar um dispositivo malicioso. Pesquisadores da Sekoia observaram que as vítimas recebiam e-mails com documentos que continham QR codes ou links para templates de phishing do EvilTokens, disfarçados como conteúdo empresarial legítimo. Ao clicar, a vítima é redirecionada para uma página de phishing que imita serviços confiáveis, levando à autenticação em uma URL legítima da Microsoft. Isso permite que os atacantes obtenham tokens de acesso e refresh, garantindo acesso imediato aos serviços da conta da vítima. As campanhas têm um alcance global, com os Estados Unidos, Canadá e França entre os países mais afetados. O kit também oferece recursos avançados para automatizar ataques BEC, indicando que já está sendo utilizado em larga escala por atores de ameaças.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de phishing em que os atacantes se passaram pela própria agência para disseminar uma ferramenta de administração remota chamada AGEWHEEZE. Nos dias 26 e 27 de março de 2026, e-mails foram enviados a diversas organizações, incluindo instituições estatais e financeiras, com um arquivo ZIP protegido por senha, que supostamente continha um ‘software especializado’. O arquivo, intitulado ‘CERT_UA_protection_tool.zip’, na verdade, baixa um trojan de acesso remoto. O malware, desenvolvido em Go, se comunica com um servidor externo e permite uma série de operações maliciosas, como captura de tela e controle de processos. Embora a campanha tenha visado 1 milhão de caixas de entrada, o CERT-UA relatou que o impacto foi limitado, com poucos dispositivos infectados. A análise do site falso sugere que foi criado com ferramentas de inteligência artificial, e o grupo responsável, denominado Cyber Serp, afirma que não visa prejudicar cidadãos ucranianos. A situação destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância contínua.

A clonagem de voz por meio da inteligência artificial (IA) está se tornando uma tática alarmante entre criminosos digitais, permitindo que eles imitem vozes humanas de forma convincente em questão de segundos. Um estudo da McAfee revelou que 25% dos adultos já foram vítimas ou conhecem alguém que sofreu esse tipo de golpe. As perdas financeiras decorrentes dessas fraudes podem alcançar até US$ 40 bilhões até 2027, segundo a Deloitte. Os hackers utilizam ferramentas de IA acessíveis para replicar timbres, sotaques e emoções, tornando os golpes mais persuasivos. Os sinais de alerta incluem ligações de números desconhecidos, pedidos urgentes de dinheiro e vozes que soam artificiais. Para se proteger, é recomendável criar palavras de segurança com pessoas próximas e desconfiar de contatos que solicitam dinheiro de forma apressada.

Uma nova campanha de phishing está atacando usuários de língua espanhola em organizações na América Latina e na Europa, visando a entrega de trojans bancários do Windows, como o Casbaneiro, através de um malware chamado Horabot. A atividade foi atribuída a um grupo de cibercrime brasileiro conhecido como Augmented Marauder e Water Saci, que foi documentado pela Trend Micro em outubro de 2025.

Os ataques começam com e-mails de phishing que usam mensagens de convocação judicial para enganar os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link embutido no documento, a vítima é redirecionada para um link malicioso que inicia o download automático de um arquivo ZIP, levando à execução de scripts VBS que realizam verificações de ambiente e anti-análise. Esses scripts, então, baixam cargas úteis adicionais que incluem loaders baseados em AutoIt, que extraem e executam arquivos criptografados.

Os arquivos ZIP são frequentemente utilizados para enviar documentos importantes, mas também podem ser uma porta de entrada para malwares. O artigo destaca a importância de verificar a origem e o contexto de envio desses arquivos antes de abri-los. É fundamental analisar o remetente, o conteúdo do e-mail e sinais visuais que possam indicar uma tentativa de phishing, como nomes genéricos de arquivos ou mensagens com erros de gramática. O artigo também menciona que erros ao tentar extrair arquivos ZIP podem ser um sinal de malware, e recomenda o uso de antivírus para escanear os arquivos antes de abri-los. Além disso, sugere que os usuários evitem abrir arquivos desconhecidos em máquinas corporativas e sempre confirmem a natureza do documento com o remetente. A cautela é essencial, pois hackers podem invadir contas de conhecidos para enviar arquivos infectados. O principal objetivo é promover uma abordagem proativa e informada na identificação de arquivos ZIP suspeitos.

O aumento de sites falsos de viagens, especialmente durante períodos de alta demanda, representa um risco significativo para os consumidores. Cibercriminosos utilizam táticas de engenharia social para criar páginas que imitam companhias aéreas e agências de viagens, atraindo vítimas com ofertas de preços extremamente baixos. Para evitar fraudes, é essencial que os usuários verifiquem cuidadosamente o domínio do site, buscando por erros de digitação e variações suspeitas. Além disso, é importante prestar atenção a textos genéricos, falta de informações claras sobre atendimento e inconsistências nos preços. Os anúncios patrocinados podem ser uma armadilha, pois sites fraudulentos frequentemente aparecem no topo das buscas. Antes de realizar um pagamento via Pix, os consumidores devem confirmar se o nome do recebedor corresponde à empresa e verificar a reputação do site em plataformas como o Reclame Aqui. Caso uma fraude seja identificada, é crucial agir rapidamente, contatando o banco e registrando um boletim de ocorrência. O artigo destaca a importância da cautela e da verificação de informações para evitar cair em golpes.

O fenômeno conhecido como MFA fatigue, ou fadiga de autenticação multifatorial, refere-se à exploração do cansaço dos usuários diante de repetidas solicitações de autenticação em seus dispositivos. Os golpistas utilizam essa técnica de engenharia social para induzir os usuários a aprovar acessos indevidos, especialmente em momentos de distração. A autenticação de dois fatores (2FA) é uma medida de segurança importante, pois, mesmo que a senha de um usuário seja comprometida, o acesso ainda requer um código enviado ao celular. No entanto, os hackers têm desenvolvido métodos para contornar essa proteção, como o bombardeio de solicitações de autenticação e a criação de mensagens falsas de suporte. Isso pode levar os usuários a aprovar acessos fraudulentos sem perceber. Para se proteger, é essencial que os usuários estejam sempre atentos a notificações inesperadas e nunca compartilhem seus códigos de autenticação. A conscientização sobre esses ataques é crucial, pois a segurança não depende apenas da tecnologia, mas também do comportamento do usuário.

A fraude financeira, impulsionada por tecnologias de inteligência artificial (IA), se tornou uma atividade global de alto volume, com perdas estimadas em mais de $400 bilhões em um único ano. Um relatório da Vyntra de 2026 revela que quase dois terços das fraudes são bem-sucedidas no primeiro dia de contato, o que dificulta a intervenção. A IA generativa tem acelerado a criação de campanhas de phishing, reduzindo o tempo necessário para montá-las de mais de 16 horas para menos de 5 minutos. Isso permite que milhares de interações personalizadas ocorram simultaneamente, aumentando tanto o alcance quanto as taxas de sucesso. As fraudes incluem impersonificação de executivos, invasões de contas via phishing e golpes de recrutamento, frequentemente utilizando conteúdo gerado por IA. A combinação de clonagem de voz, vídeos deepfake e credenciais falsificadas fortalece a credibilidade das operações fraudulentas. Além disso, as fraudes de pagamento por transferência autorizada estão crescendo, pois as vítimas iniciam transferências sob condições manipuladas, tornando a detecção mais difícil. A integração da IA nesses esquemas não cria o problema, mas aumenta a eficiência e a escala, complicando os esforços de aplicação da lei. Instituições financeiras estão tentando responder com análises comportamentais e monitoramento em tempo real, mas a necessidade de compartilhamento de inteligência entre fronteiras se torna cada vez mais evidente.

Uma nova campanha de cibersegurança está atacando desenvolvedores no GitHub, utilizando alertas falsos de segurança do Visual Studio Code (VS Code) para induzir usuários a baixar malware. Os posts, que aparecem na seção de Discussões de vários projetos, são elaborados como avisos de vulnerabilidade e apresentam títulos alarmantes, como “Vulnerabilidade Severa - Atualização Imediata Necessária”, frequentemente incluindo IDs de CVE falsos. Os atacantes se passam por mantenedores de código reais, criando uma falsa sensação de legitimidade. A empresa de segurança Socket identificou que essa atividade é parte de uma operação bem organizada, com posts automatizados de contas recém-criadas ou com pouca atividade, que geram notificações por e-mail para um grande número de usuários. Os links nos alertas direcionam para versões supostamente corrigidas de extensões do VS Code, hospedadas em serviços externos como o Google Drive, o que pode enganar os usuários apressados. Ao clicar, os usuários são redirecionados para um site que coleta informações sobre o sistema da vítima. Este incidente destaca a necessidade de cautela ao lidar com alertas de segurança e a importância de verificar a legitimidade das fontes antes de agir.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

A Polícia Nacional da Holanda (Politie) confirmou um incidente de segurança resultante de um ataque de phishing, que teve impacto limitado e não afetou os dados dos cidadãos. O Centro de Operações de Segurança da polícia detectou rapidamente o ataque e bloqueou o acesso dos invasores aos sistemas comprometidos. Embora a investigação sobre o impacto continue, a polícia assegurou que dados de cidadãos e informações de investigações não foram expostos ou acessados. O incidente está sendo investigado por especialistas em segurança da agência, e uma investigação criminal foi iniciada. Detalhes sobre a data da detecção do ataque e se dados de funcionários foram comprometidos ainda não foram divulgados. Este ataque ocorre em um contexto de crescente preocupação com a segurança cibernética, especialmente após um vazamento de dados em setembro de 2024, que envolveu informações de contato de policiais, atribuído a um ‘ator estatal’. Após o incidente, a polícia implementou medidas de segurança mais rigorosas, incluindo a autenticação de dois fatores para o acesso a contas. O ataque ressalta a necessidade de vigilância contínua e a implementação de práticas de segurança robustas para proteger informações sensíveis.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

Pesquisadores da Kaspersky identificaram uma nova técnica de phishing que utiliza a plataforma de criação de aplicativos sem código, Bubble, para gerar e hospedar aplicativos maliciosos. Esses aplicativos são hospedados em um domínio legítimo (*.bubble.io), o que dificulta a detecção por soluções de segurança de e-mail. Os criminosos cibernéticos redirecionam os usuários para páginas de phishing que imitam portais de login da Microsoft, frequentemente ocultas por verificações do Cloudflare. As credenciais inseridas nessas páginas falsas são capturadas pelos atacantes, que podem acessar dados sensíveis de contas do Microsoft 365. A plataforma Bubble, que permite a criação de aplicativos por meio de uma interface intuitiva, gera códigos complexos que não são facilmente analisados por ferramentas automatizadas de segurança. Os pesquisadores alertam que essa técnica pode ser adotada por plataformas de phishing como serviço (PhaaS), aumentando a furtividade dos ataques. A Kaspersky entrou em contato com a Bubble para discutir as descobertas, mas não obteve resposta até o momento da publicação.

O phishing por voz, conhecido como vishing, está se tornando uma tática cada vez mais comum entre os criminosos digitais. De acordo com o relatório M-Trends da Mandiant, subsidiária de cibersegurança do Google, o vishing foi responsável por 11% dos ataques digitais em 2025, tornando-se o segundo método mais utilizado para obter acesso ilegal a sistemas. Em contraste, os golpes por e-mail, que tradicionalmente dominaram o cenário de phishing, caíram para apenas 6% dos casos.

Ferramentas de Inteligência Artificial (IA) estão se tornando parte integrante do cotidiano, sendo amplamente utilizadas em criação de conteúdo, desenvolvimento de software e fluxos de trabalho empresariais. No entanto, essa popularidade também atraiu a atenção de cibercriminosos, que estão explorando um mercado negro crescente para a venda de acessos a plataformas de IA. Pesquisas indicam que contas premium estão sendo revendidas em grupos do Telegram, com métodos de aquisição que incluem roubo de credenciais, criação em massa de contas e abuso de programas promocionais. O acesso a essas ferramentas permite que atores maliciosos automatizem fraudes, criem mensagens de phishing e realizem campanhas de engenharia social de forma mais eficiente. A análise sugere que a venda de contas de IA se tornou um produto valioso no mercado negro, com ofertas que prometem acesso ilimitado ou menos restrições. Para as organizações, isso representa um risco significativo, pois a exploração dessas ferramentas pode resultar em fraudes mais sofisticadas e personalizadas. A necessidade de monitoramento e proteção de contas de IA é mais urgente do que nunca, à medida que a dependência dessas tecnologias cresce.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.

Uma nova campanha de phishing está atacando ambientes corporativos francófonos, utilizando currículos falsos para implantar mineradores de criptomoedas e ferramentas de roubo de informações. Os pesquisadores da Securonix, Shikha Sangwan, Akshay Gaikwad e Aaron Beardslee, relataram que a campanha, chamada FAUX#ELEVATE, utiliza arquivos VBScript altamente ofuscados disfarçados como documentos de currículos, entregues por meio de e-mails de phishing. Ao serem executados, esses arquivos ativam um kit de ferramentas multifuncional que combina roubo de credenciais, exfiltração de dados e mineração de criptomoedas Monero. A campanha se destaca pelo uso de serviços legítimos, como Dropbox e sites WordPress, para hospedar e distribuir os payloads. O dropper inicial mostra uma mensagem de erro em francês, enganando os usuários e executando um código ofuscado que contorna mecanismos de defesa. Após obter privilégios administrativos, o malware desativa controles de segurança e realiza a exfiltração de dados através de contas de e-mail comprometidas. A rapidez da execução, que leva apenas 25 segundos do início ao fim da cadeia de infecção, e o foco em máquinas corporativas tornam essa ameaça particularmente perigosa para a segurança das empresas.