Engenharia Social

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Um aplicativo que imitava o oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser removido. Segundo a INGENI, divisão da Redbelt Security, durante a temporada de Imposto de Renda 2026, foram identificadas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos relacionados ao tema fiscal. Wagner Farias, engenheiro de ameaças da INGENI, destaca que o volume de downloads não reflete diretamente o número de vítimas, mas indica a amplitude da campanha. Os criminosos evitam lojas oficiais, como Google Play e App Store, que utilizam inteligência artificial para detectar comportamentos suspeitos. A engenharia social é o principal gatilho do golpe, aproveitando a urgência da entrega da declaração. A inteligência artificial também tem facilitado a criação de aplicativos falsos com alta fidelidade visual. O malware pode atuar como infostealer, roubando credenciais, ou como trojan de acesso remoto, permitindo controle do dispositivo. Para quem caiu no golpe, recomenda-se restaurar o dispositivo e trocar credenciais em outro aparelho. A prevenção envolve desconfiar de domínios que não terminam em gov.br.

O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.

O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

O grupo de hackers iranianos MuddyWater disfarçou suas operações como um ataque de ransomware Chaos, utilizando engenharia social via Microsoft Teams para obter acesso e estabelecer persistência em sistemas. O ataque envolveu roubo de credenciais, acesso remoto, exfiltração de dados e envio de e-mails de extorsão, mas a Rapid7 acredita que o componente de ransomware foi uma estratégia para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição do ataque. A análise sugere que o objetivo principal não era o ganho financeiro, mas sim a espionagem. A Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo associado ao Ministério da Inteligência e Segurança do Irã, com base em sobreposição de infraestrutura e técnicas operacionais. O ataque começou com engenharia social no Microsoft Teams, onde os hackers iniciaram chats com funcionários, manipularam configurações de autenticação multifator e implantaram ferramentas de acesso remoto. Após comprometer contas, os atacantes utilizaram um loader de malware para implantar um backdoor disfarçado, que possui funcionalidades avançadas para execução de comandos e acesso persistente. Este incidente destaca a convergência entre atividades de intrusão patrocinadas por estados e técnicas criminosas.

O grupo de hackers iraniano MuddyWater, também conhecido como Mango Sandstorm, foi responsabilizado por um ataque de ransomware que se caracteriza como uma operação de “falsa bandeira”. Observado pela Rapid7 no início de 2026, o ataque utilizou técnicas de engenharia social através do Microsoft Teams para iniciar a infecção. Embora inicialmente parecesse um ataque típico de ransomware-as-a-service (RaaS), as evidências sugerem que se tratou de um ataque direcionado, disfarçado de extorsão oportunista. Os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifatorial (MFA). Em vez de criptografar arquivos, o grupo optou pela exfiltração de dados e persistência a longo prazo usando ferramentas de gerenciamento remoto como DWAgent. O uso de ferramentas disponíveis no submundo do cibercrime, como CastleRAT e Tsundere, indica uma tentativa de dificultar a atribuição do ataque. O grupo Chaos, que opera sob um modelo de dupla extorsão, também foi mencionado, destacando a convergência entre atividades patrocinadas por estados e táticas de cibercrime. Este incidente ressalta a necessidade de atenção redobrada por parte das empresas, especialmente em setores críticos, devido ao potencial impacto na segurança e conformidade com a LGPD.

Atuantes em fóruns e grupos de chat underground, criminosos estão desenvolvendo métodos estruturados de fraude que visam explorar as fraquezas nos processos de trabalho das instituições financeiras. Em vez de golpes isolados, essas discussões revelam uma abordagem organizada que combina dados de identidade roubados, engenharia social e conhecimento dos fluxos financeiros. Pequenas e médias cooperativas de crédito são frequentemente mencionadas como alvos preferenciais devido a lacunas percebidas em seus sistemas de verificação e recursos limitados de prevenção de fraudes. Pesquisadores identificaram um método detalhado de fraude em empréstimos que permite que atacantes naveguem por verificações de crédito e processos de aprovação de empréstimos usando identidades roubadas, evitando os gatilhos de segurança tradicionais. A abordagem se concentra em contornar os processos legítimos de integração e empréstimo, utilizando dados pessoais suficientes para se passar por um tomador de empréstimo legítimo. A fraude começa antes mesmo da submissão do primeiro formulário, com atacantes adquirindo identidades roubadas e informações financeiras de mercados underground. O foco na exploração de instituições menores, que dependem de métodos tradicionais de verificação, destaca a evolução das fraudes financeiras, que agora se concentram mais nos processos do que nas vulnerabilidades de software.

Um novo relatório da KnowBe4 revela que 86% dos ataques de phishing são agora gerados por inteligência artificial (IA), tornando-os mais sofisticados e difíceis de detectar. O estudo aponta um aumento significativo na automação dos ataques, com um crescimento de 49% em convites de calendário e 41% em ataques no Microsoft Teams nos últimos seis meses. A IA permite que os cibercriminosos criem mensagens de phishing personalizadas e realistas, aumentando a eficiência dos ataques em até sete vezes em comparação com métodos manuais. Além disso, a utilização de deepfakes, tanto em áudio quanto em vídeo, está se tornando uma preocupação crescente, com 30% dos ataques envolvendo a impersonação de funcionários internos, como gerentes. O relatório destaca que a engenharia social está se tornando mais direcionada, dificultando a distinção entre comunicações legítimas e maliciosas. A KnowBe4 também menciona a ascensão do phishing como serviço, que democratiza o acesso a essas técnicas, permitindo que até mesmo indivíduos sem conhecimento técnico realizem ataques. Para mitigar esses riscos, é essencial que as organizações adotem uma abordagem holística, utilizando análises comportamentais profundas e inteligência de ameaças em tempo real, além de treinar seus funcionários para reconhecer e evitar ataques de phishing.

Um novo golpe de cibersegurança, conhecido como CAPTCHA falso, tem enganado usuários ao solicitar o envio de mensagens SMS para números internacionais. Identificado por pesquisadores da Infoblox, esse esquema malicioso está ativo desde junho de 2020 e utiliza engenharia social para induzir as vítimas a enviarem mensagens de texto, resultando em cobranças que podem chegar a R$ 150. O golpe opera através de sites fraudulentos que exibem mensagens pedindo para que o usuário confirme que é humano, levando-o a enviar SMS para múltiplos números. A natureza desse golpe dificulta sua denúncia, uma vez que as cobranças podem demorar semanas para aparecer nas contas telefônicas das vítimas. Além disso, as operadoras de telecomunicações também são impactadas, pois precisam dividir os lucros com os golpistas e lidar com estornos. A Infoblox alerta que nenhum CAPTCHA legítimo exige o envio de mensagens SMS, recomendando que os usuários não respondam a tais solicitações.

Um jovem de 19 anos, cidadão dos Estados Unidos e da Estônia, foi preso na Finlândia sob acusações federais nos EUA, sendo acusado de ser um membro ativo do coletivo de hackers Scattered Spider. De acordo com documentos judiciais, o suspeito, que usava o pseudônimo ‘Bouquet’, teria ajudado a extorquir milhões de dólares de grandes corporações ao redor do mundo. Ele foi detido no aeroporto de Helsinque enquanto tentava embarcar para o Japão. As acusações incluem fraude eletrônica, conspiração e invasão de computadores. O coletivo Scattered Spider, que surgiu em 2022, é conhecido por suas táticas de engenharia social e ataques de phishing, visando roubar credenciais de usuários e documentos sensíveis. Entre as vítimas estão empresas renomadas como Caesars e MGM Resorts. O caso destaca a crescente ameaça de grupos de hackers jovens e a necessidade de medidas de segurança robustas para proteger dados corporativos.

Recentemente, o cenário de cibersegurança tem sido marcado pelo retorno de técnicas antigas e a introdução de novas ameaças. Um malware chamado fast16, desenvolvido antes do famoso Stuxnet, foi identificado como uma ameaça que pode manipular softwares de cálculos de alta precisão, potencialmente causando falhas em sistemas críticos. Além disso, o grupo UNC6692 tem utilizado engenharia social para implantar um malware personalizado chamado Snow, visando roubar dados sensíveis. Outro incidente relevante envolve a descoberta do backdoor FIRESTARTER, que comprometeu um dispositivo da Cisco em uma agência federal dos EUA. No setor energético, o malware Lotus Wiper foi utilizado em ataques na Venezuela, destruindo sistemas essenciais. O grupo de ransomware The Gentlemen tem se destacado por suas operações, enquanto a Bitwarden CLI foi comprometida em um ataque de cadeia de suprimentos, afetando desenvolvedores. A lista de vulnerabilidades críticas, incluindo CVEs relevantes, continua a crescer, exigindo atenção imediata das organizações para mitigar riscos.

Pesquisadores de cibersegurança revelaram uma campanha de fraude em telecomunicações que utiliza truques de verificação CAPTCHA falsos para enganar usuários desavisados a enviar mensagens de texto internacionais, resultando em cobranças em suas contas de celular. De acordo com um relatório da Infoblox, a operação está ativa desde junho de 2020 e envolve engenharia social e sequestro do botão ‘voltar’ em navegadores. A fraude, conhecida como International Revenue Share Fraud (IRSF), utiliza números de telefone registrados em países com altas taxas de terminação e colaborações com provedores locais para maximizar os lucros. Os usuários são redirecionados para páginas falsas que solicitam o envio de SMS para ‘confirmar que são humanos’, resultando em cobranças de até $30 por até 60 mensagens enviadas a 15 números diferentes. A campanha também se aproveita de cookies para rastrear o progresso dos usuários e utiliza técnicas de redirecionamento para manter as vítimas presas em um ciclo de navegação. Essa operação prejudica tanto os indivíduos, que enfrentam cobranças inesperadas, quanto as operadoras de telecomunicações, que arcam com as perdas decorrentes de disputas de clientes.

O LAPSUS$ é um grupo de hackers que ganhou notoriedade internacional desde 2020, especialmente por seus ataques a grandes empresas de tecnologia, como Microsoft e Nvidia. Com uma abordagem agressiva, o grupo se destaca por roubar códigos-fonte e dados sensíveis, utilizando táticas de engenharia social para obter acesso legítimo aos sistemas das vítimas. Em 2022, o LAPSUS$ invadiu a Microsoft, acessando 37 GB de dados, e a Nvidia, de onde extraiu 1 TB de informações. O grupo também atacou o Ministério da Saúde do Brasil em 2021, comprometendo dados relacionados à vacinação contra a Covid-19. A maioria dos membros do LAPSUS$ é composta por adolescentes, o que surpreendeu as autoridades durante as investigações. Apesar de algumas prisões e esforços para desmantelar a organização, o LAPSUS$ continua ativo, como evidenciado pelo recente ataque à AstraZeneca, onde 3 GB de dados foram roubados. As empresas devem redobrar a atenção em suas práticas de segurança, especialmente em relação à proteção de credenciais e à mitigação de riscos associados à engenharia social.

O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.

Com a proximidade da Copa do Mundo de 2026, golpistas estão aproveitando a oportunidade para aplicar fraudes online, especialmente relacionadas à venda de figurinhas e álbuns do evento. Um estudo da Kaspersky revelou a existência de pelo menos 20 domínios falsos que imitam a marca da FIFA, oferecendo produtos a preços muito abaixo do mercado. Por exemplo, um site fraudulento anuncia pacotes de figurinhas por R$ 34,90, enquanto o preço oficial é de R$ 70. Esses sites são projetados para parecerem legítimos, com elementos como frete grátis e uma falsa central de atendimento. O pagamento é solicitado via Pix, direcionando os valores para contas laranja em fintechs. Os golpistas utilizam técnicas de engenharia social, explorando a emoção dos fãs e criando um senso de urgência para induzir pagamentos rápidos. Especialistas alertam que a tendência é que esses golpes se tornem ainda mais sofisticados à medida que a Copa se aproxima. Para evitar cair nessas fraudes, recomenda-se visitar apenas canais oficiais da FIFA, evitar links suspeitos e verificar a autenticidade dos domínios.

O sistema de pagamentos instantâneos Pix, amplamente utilizado no Brasil, tem sido alvo de diversos golpes que exploram a pressa e a confiança dos usuários. Os criminosos utilizam QR codes adulterados, que podem ser colados sobre códigos legítimos em lojas, ou enviam links de pagamento via mensagens, muitas vezes com urgência, para induzir a transferência de valores. A engenharia social é uma tática comum, onde golpistas se passam por conhecidos ou representantes de empresas, criando histórias convincentes para justificar a solicitação de um Pix. Para evitar cair nesses golpes, é fundamental verificar sempre o nome e o CPF ou CNPJ do recebedor, além de confirmar o valor da transação. Caso a vítima caia em um golpe, o Banco Central recomenda que a pessoa entre em contato com o banco imediatamente e registre a ocorrência, pois há mecanismos para tentar recuperar o valor perdido. A conscientização e a cautela são essenciais para garantir a segurança nas transações financeiras digitais.

Um novo grupo de ameaças cibernéticas, identificado como UNC6692, tem utilizado táticas de engenharia social através do Microsoft Teams para implantar uma suíte de malware em sistemas comprometidos. Segundo um relatório da Mandiant, o grupo se aproveita da confiança dos usuários ao se passar por funcionários de suporte técnico, convencendo as vítimas a aceitarem convites de chat de contas externas. A campanha inclui um bombardeio de e-mails de spam, criando uma falsa urgência que leva os alvos a buscar ajuda. O ataque é direcionado principalmente a executivos e funcionários de alto escalão, visando acesso inicial a redes corporativas para roubo de dados e movimentação lateral. O método envolve o uso de um link de phishing que leva ao download de um script malicioso, que instala uma extensão de navegador chamada SNOWBELT, permitindo ao atacante executar comandos remotamente. A Mandiant destaca que essa abordagem combina a exploração de serviços em nuvem legítimos para entrega de payloads e exfiltração de dados, o que dificulta a detecção por filtros de segurança tradicionais. A situação é preocupante, pois demonstra uma evolução nas táticas de ataque, com um foco crescente em alvos de alto valor dentro das organizações.

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

A Vercel, empresa responsável pelo framework Next.js, anunciou a descoberta de um novo conjunto de contas de clientes comprometidas em um incidente de segurança que permitiu acesso não autorizado a seus sistemas internos. A investigação revelou que algumas contas já apresentavam indícios de comprometimento anterior, possivelmente devido a engenharia social ou malware. O ataque inicial foi atribuído a uma violação na Context.ai, que resultou no controle da conta Google Workspace de um funcionário da Vercel, permitindo que o invasor acessasse o ambiente da Vercel. A análise adicional indicou que um funcionário da Context.ai foi infectado pelo malware Lumma Stealer, sugerindo que esse evento pode ter sido o ponto de partida para a cadeia de ações maliciosas. A Vercel notificou os clientes afetados, mas não divulgou o número exato de contas comprometidas. A situação destaca os riscos associados ao uso de integrações OAuth, que, embora úteis, podem ser exploradas por atacantes para evitar controles de segurança. A velocidade e a capacidade dos atacantes de explorar ambientes internos antes da detecção representam um desafio significativo para as equipes de defesa.

As chamadas fraudulentas se tornaram uma realidade diária para milhões de pessoas em todo o mundo, com vítimas sendo alvo de agentes que se passam por autoridades, representantes de bancos e suporte técnico. Em 2023, cidadãos idosos nos EUA perderam cerca de US$ 3,4 bilhões devido a esse tipo de crime, que também causa danos emocionais significativos. O conceito de ‘Caller-as-a-Service’ representa uma evolução no cibercrime, onde as operações se tornaram altamente organizadas e profissionais, com papéis bem definidos, como desenvolvedores de malware, analistas de dados e, claro, os próprios scam callers. Esses criminosos agora utilizam táticas de recrutamento sofisticadas, buscando candidatos com habilidades específicas, como fluência em inglês e experiência prévia em fraudes. Além disso, os modelos de compensação variam, podendo incluir pagamentos fixos ou baseados em sucesso, refletindo uma estrutura de mercado que se assemelha a empresas legítimas. Essa profissionalização do crime cibernético não apenas aumenta a eficiência das operações, mas também reduz a barreira de entrada para novos criminosos, tornando a fraude mais acessível e impactante.

Uma nova campanha de fraude digital, chamada Pushpaganda, está utilizando inteligência artificial para enganar usuários do Google Discover, inundando dispositivos com alertas falsos e notificações enganosas. Segundo a equipe de inteligência de ameaças Satori da HUMAN, essa operação é um exemplo de engenharia social em grande escala. Os golpistas criaram 113 domínios e usaram ferramentas de IA para gerar artigos e imagens sensacionalistas que atraem cliques. Uma vez que o usuário acessa um dos sites manipulados, é incentivado a ativar notificações push, que posteriormente enviam alertas ameaçadores sem relação com o site original. Os tipos de notificações incluem avisos falsos de mandados de prisão, depósitos bancários inexistentes e promessas de smartphones com câmeras de 300MP. A campanha, que inicialmente visava usuários na Índia, se espalhou para países como Estados Unidos, Austrália e Reino Unido, gerando cerca de 240 milhões de solicitações de anúncios em uma semana. A Google afirmou que está combatendo a maioria do spam no Discover, mas recomenda que os usuários não ativem notificações de sites desconhecidos e que revisem suas configurações de notificações para bloquear domínios suspeitos.

A Agência Nacional de Documentos Seguros da França (ANTS) anunciou um vazamento de dados após um ataque cibernético que comprometeu informações de cidadãos. O incidente, detectado em 15 de abril de 2026, pode ter exposto dados como endereços de e-mail, datas de nascimento, identificadores de conta, endereços postais, locais de nascimento e números de telefone de um número não divulgado de indivíduos. Embora a ANTS tenha afirmado que as informações expostas não permitem acesso não autorizado aos seus portais eletrônicos, os dados podem ser utilizados em ataques de phishing e engenharia social. A agência está notificando os afetados e alertou para a necessidade de vigilância em relação a comunicações suspeitas. Um ator de ameaças, conhecido como ‘breach3d’, reivindicou a responsabilidade pelo ataque, alegando ter em sua posse até 19 milhões de registros, que incluem nomes completos, detalhes de contato e informações pessoais. A ANTS notificou as autoridades de proteção de dados e a agência nacional de cibersegurança da França, ressaltando que a venda ou disseminação dos dados é ilegal.

Uma nova campanha de engenharia social, identificada como REF6598, tem explorado o aplicativo de anotações Obsidian para distribuir um trojan de acesso remoto chamado PHANTOMPULSE, visando indivíduos nos setores financeiro e de criptomoedas. Os atacantes utilizam táticas elaboradas de engenharia social através de plataformas como LinkedIn e Telegram, apresentando-se como uma empresa de capital de risco. Após estabelecer contato, os alvos são direcionados a um grupo no Telegram, onde discutem tópicos relacionados a serviços financeiros e soluções de liquidez em criptomoedas. Os alvos são instruídos a usar o Obsidian para acessar um painel compartilhado, que na verdade é um cofre malicioso. Ao abrir o cofre, o usuário é solicitado a ativar a sincronização de plugins comunitários, o que permite a execução de código malicioso. O PHANTOMPULSE, uma backdoor gerada por inteligência artificial, utiliza a blockchain Ethereum para se conectar a servidores de comando e controle, permitindo acesso remoto completo ao sistema da vítima. Embora a campanha tenha sido detectada e bloqueada antes de causar danos, ela ilustra como os atacantes continuam a encontrar vetores de acesso criativos, explorando aplicativos confiáveis e técnicas de engenharia social.

Nesta semana, o cenário de cibersegurança trouxe à tona uma série de incidentes significativos. O serviço de carteira de criptomoedas Zerion sofreu uma violação que resultou no roubo de cerca de $100 mil, atribuída a um ataque de engenharia social sofisticado por um ator de ameaças da Coreia do Norte. Além disso, a União Europeia anunciou um aplicativo de verificação de idade que promete respeitar a privacidade dos usuários, permitindo acesso anônimo a plataformas online. No campo das vulnerabilidades, um exploit de zero-day para o Microsoft Defender foi revelado, enquanto uma falha crítica de execução remota no Excel, com 17 anos, foi adicionada ao catálogo de vulnerabilidades exploradas pela CISA, exigindo ação imediata das agências governamentais. A Raspberry Pi também fez uma atualização importante ao desabilitar o sudo sem senha por padrão, visando aumentar a segurança do seu sistema operacional. Por fim, um aplicativo falso no Apple App Store conseguiu roubar $9,5 milhões em criptomoedas de usuários, levantando questões sobre a eficácia do processo de revisão da Apple. Esses eventos destacam a necessidade urgente de vigilância e atualização constante das medidas de segurança em um ambiente digital em rápida evolução.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, foi identificado em uma nova campanha de engenharia social que utiliza o Facebook como plataforma de ataque. Os cibercriminosos criaram contas falsas para se conectar com alvos, estabelecendo uma relação de confiança antes de mover a conversa para o Messenger. A estratégia inclui o uso de um software malicioso disfarçado de visualizador de PDF, alegando ser necessário para acessar documentos militares criptografados. O software comprometido é uma versão adulterada do Wondershare PDFelement, que, ao ser executado, ativa um código malicioso que permite o controle remoto do dispositivo da vítima. Além disso, a campanha utiliza uma infraestrutura legítima, mas comprometida, para comandos e controle, aproveitando um site de serviços imobiliários japonês. O malware, chamado RokRAT, é disfarçado como uma imagem JPG e permite que os atacantes capturem informações do sistema e realizem comandos remotamente, enquanto evita a detecção por programas de segurança. Essa abordagem sofisticada e evasiva destaca a evolução das táticas de ataque do APT37, que continua a adaptar suas estratégias de entrega e execução.

O Pix, sistema de pagamento instantâneo implementado pelo Banco Central em 2020, trouxe agilidade nas transações financeiras, mas também aumentou a vulnerabilidade a fraudes digitais. O vazamento de chaves Pix pode ocorrer devido a violações de segurança em sistemas de empresas, expondo dados como nome, CPF, instituição bancária e informações da conta. Embora a exposição não signifique que a conta foi invadida, aumenta o risco de fraudes, como golpes de engenharia social e solicitações de devolução de valores indevidos. Para se proteger, é crucial agir rapidamente: acompanhar comunicações oficiais do banco, ignorar contatos não oficiais, revisar senhas e monitorar movimentações da conta. Além disso, recomenda-se o uso de chaves aleatórias, revisão de limites de transação e ativação de notificações para detectar atividades suspeitas. O artigo destaca a importância de estar atento a sinais de golpes, como urgência exagerada e pedidos de confirmação de dados, para evitar prejuízos financeiros.

O grupo de cibercriminosos conhecido como Storm-2755 está realizando ataques direcionados a funcionários canadenses, roubando seus pagamentos salariais após sequestrar suas contas. Os atacantes utilizam páginas de login maliciosas do Microsoft 365 para roubar tokens de autenticação e cookies de sessão, redirecionando as vítimas para domínios que hospedam formulários falsos. Essa técnica permite que eles contornem a autenticação multifatorial (MFA) ao reproduzir tokens de sessão roubados, evitando a necessidade de reautenticação. Após acessar as contas, os criminosos criam regras de caixa de entrada para ocultar mensagens de recursos humanos relacionadas a depósitos diretos, dificultando a percepção das vítimas. Em seguida, enviam e-mails fraudulentos para a equipe de RH, solicitando a atualização das informações bancárias. Caso as táticas de engenharia social falhem, os atacantes acessam diretamente plataformas de software de RH, como o Workday, para alterar manualmente os dados de depósito. Para mitigar esses ataques, a Microsoft recomenda bloquear protocolos de autenticação legados e implementar MFA resistente a phishing. O FBI registrou mais de 24.000 queixas de fraudes relacionadas a compromissos de e-mail empresarial (BEC) no ano passado, resultando em perdas superiores a US$ 3 bilhões, evidenciando a gravidade dessa ameaça.

Desde dezembro de 2025, atacantes têm explorado uma vulnerabilidade zero-day desconhecida no Adobe Reader, utilizando documentos PDF maliciosos. A descoberta, feita por Haifei Li da EXPMON, revela um exploit sofisticado que se apresenta como um arquivo chamado ‘Invoice540.pdf’, que foi inicialmente detectado na plataforma VirusTotal em novembro de 2025. Os documentos PDF contêm elementos de engenharia social, atraindo usuários a abri-los. Ao serem executados, eles acionam um JavaScript ofuscado que coleta dados sensíveis e pode receber cargas adicionais. Os pesquisadores observaram que os arquivos estão em russo e fazem referência a eventos atuais da indústria de petróleo e gás na Rússia. A vulnerabilidade permite a execução de APIs privilegiadas do Acrobat e já foi confirmada na versão mais recente do Adobe Reader. O exploit pode exfiltrar informações para um servidor remoto e executar código adicional, aumentando o risco de coleta de dados e execução remota de código. A situação exige atenção da comunidade de segurança, pois a exploração dessa vulnerabilidade pode levar a consequências graves.

O grupo de ameaças conhecido como UNC6783 está atacando provedores de terceirização de processos de negócios (BPO) para obter acesso a empresas de alto valor em diversos setores. Segundo o Google Threat Intelligence Group, essa tática tem sido utilizada para exfiltrar dados sensíveis e extorquir as vítimas. O analista principal da GTIG, Austin Larsen, destaca que o grupo geralmente utiliza engenharia social e campanhas de phishing para comprometer os BPOs. Além disso, há relatos de que os hackers têm contatado diretamente funcionários de suporte e helpdesk das organizações-alvo para obter acesso direto. O grupo pode estar vinculado a um ator conhecido como Raccoon, que já atacou vários BPOs. As táticas incluem direcionar funcionários de suporte a páginas de login falsas do Okta, que imitam os domínios das empresas-alvo. O kit de phishing utilizado pode roubar conteúdos da área de transferência, permitindo que os atacantes contornem a autenticação multifator (MFA). Após o roubo de dados, os atacantes exigem pagamentos através de endereços ProtonMail. O Google recomenda a implementação de chaves de segurança FIDO2 para MFA, monitoramento de chats ao vivo e auditorias regulares das inscrições de dispositivos MFA como medidas de defesa contra esses ataques.

Uma campanha persistente de malware conhecida como Contagious Interview, associada à Coreia do Norte, está se expandindo ao publicar pacotes maliciosos que visam os ecossistemas Go, Rust e PHP. Os pacotes maliciosos, que se disfarçam como ferramentas legítimas para desenvolvedores, atuam como carregadores de malware, permitindo que a campanha realize operações coordenadas de cadeia de suprimentos. Os pacotes identificados incluem nomes como ‘dev-log-core’ e ’logutilkit’, que, uma vez instalados, buscam carregar cargas úteis específicas para cada plataforma, com capacidades de roubo de informações e acesso remoto. Um dos pacotes, ’license-utils-kit’, apresenta um implante completo que pode executar comandos de shell, registrar teclas, roubar dados de navegadores e gerenciar acesso remoto. A descoberta de mais de 1.700 pacotes maliciosos desde janeiro de 2025 indica que a campanha é bem financiada e persistentemente projetada para infiltrar ambientes de desenvolvedores. Além disso, a Microsoft alertou sobre a evolução das táticas de grupos de hackers norte-coreanos, que utilizam engenharia social para comprometer contas e distribuir malware através de links falsos de reuniões online. Essa situação representa um risco significativo para a segurança de desenvolvedores e empresas que utilizam essas tecnologias.

Uma nova campanha de phishing direcionada a usuários do LinkedIn tem utilizado notificações falsas para roubar credenciais de login e dados profissionais. Segundo o Cofense Phishing Defense Center, os criminosos criam e-mails que imitam alertas legítimos da plataforma, enganando até mesmo os usuários mais cautelosos. Esses e-mails, que apresentam um design semelhante ao do LinkedIn, informam sobre mensagens urgentes de representantes de empresas renomadas, levando as vítimas a clicar em links maliciosos. Ao clicar, o usuário é redirecionado para uma página de login fraudulenta, onde suas informações de acesso são capturadas. O domínio utilizado pelos golpistas, que se assemelha ao verdadeiro, é uma tática para enganar os desavisados. A campanha destaca a importância da conscientização sobre segurança digital, especialmente em plataformas profissionais, onde informações sensíveis são frequentemente compartilhadas.

Um grupo de hackers associado ao Irã, conhecido como Charming Kitten, tem utilizado táticas de engenharia social para comprometer usuários de plataformas da Apple e Microsoft. Em vez de explorar vulnerabilidades técnicas, os atacantes criam identidades falsas e estabelecem relações de confiança com as vítimas, levando-as a revelar credenciais ou instalar softwares maliciosos. Essa abordagem, reminiscentes das estratégias de espionagem da Guerra Fria, permite que os hackers operem de forma eficaz em um ambiente digital, afetando usuários em todo o mundo.

Um ataque cibernético ocorrido em 1º de abril de 2026 resultou no roubo de US$ 285 milhões de uma exchange descentralizada baseada em Solana, revelando uma operação de engenharia social meticulosamente planejada pela Coreia do Norte. O grupo de hackers, conhecido como UNC4736, é associado a diversas campanhas de roubo no setor de criptomoedas desde 2018. A análise da Drift, a exchange atacada, indica que o ataque foi o resultado de meses de interação com colaboradores da empresa, onde os atacantes, disfarçados como uma empresa de trading, estabeleceram relações de confiança. Durante esse período, eles conseguiram integrar um Ecosystem Vault na plataforma, o que facilitou o acesso a ativos criptográficos. O ataque pode ter sido realizado através de dois vetores principais: a clonagem de um repositório de código malicioso e o download de um aplicativo de carteira comprometido. A investigação também destaca a evolução do ecossistema de malware da Coreia do Norte, que se tornou mais fragmentado e resistente a atribuições, dificultando a identificação de suas operações. Este incidente ressalta a necessidade de vigilância constante e medidas de segurança robustas no setor de fintech e criptomoedas.

Os mantenedores do popular cliente HTTP Axios relataram um ataque de engenharia social que comprometeu a conta de um desenvolvedor, resultando na publicação de versões maliciosas do Axios no registro de pacotes npm. Durante um período de aproximadamente três horas, duas versões (1.14.1 e 0.30.4) injetaram uma dependência chamada plain-crypto-js, que instalou um trojan de acesso remoto (RAT) em sistemas macOS, Windows e Linux. O ataque foi atribuído ao grupo de hackers norte-coreano UNC1069, que utiliza táticas de engenharia social para enganar desenvolvedores. O principal alvo, Jason Saayman, foi induzido a instalar um malware disfarçado de atualização do Microsoft Teams após ser convidado para um espaço de trabalho Slack falso. Os mantenedores do Axios já tomaram medidas para mitigar o incidente, incluindo a redefinição de credenciais e a limpeza de sistemas afetados. Este ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, especialmente em projetos de código aberto amplamente utilizados.

O mantenedor do pacote Axios, Jason Saayman, confirmou que o comprometimento da cadeia de suprimentos foi resultado de uma campanha de engenharia social altamente direcionada, orquestrada por atores de ameaças da Coreia do Norte, identificados como UNC1069. Os atacantes se apresentaram como o fundador de uma empresa legítima, criando um espaço no Slack que parecia autêntico, onde interagiram com Saayman. Durante uma reunião falsa no Microsoft Teams, ele recebeu uma mensagem de erro que o levou a baixar um trojan de acesso remoto. Com isso, os atacantes conseguiram roubar as credenciais da conta npm de Saayman e publicaram versões comprometidas do pacote Axios, que é amplamente utilizado na comunidade JavaScript, com quase 100 milhões de downloads semanais. O ataque destaca a vulnerabilidade dos mantenedores de projetos de código aberto e o potencial de impacto em larga escala, afetando usuários downstream. Saayman implementou medidas preventivas, como redefinir dispositivos e credenciais e adotar práticas recomendadas para publicações. O incidente ressalta a necessidade de vigilância constante em um ambiente de desenvolvimento cada vez mais complexo.

No dia 1º de abril de 2026, a exchange descentralizada Drift, baseada em Solana, sofreu um ataque que resultou no roubo de aproximadamente $285 milhões. O ataque foi realizado por um ator malicioso que obteve acesso não autorizado ao Drift Protocol, utilizando uma técnica inovadora envolvendo ‘durable nonces’. Essa abordagem permitiu a pré-assinatura de transações, atrasando sua execução e facilitando a apropriação das permissões administrativas do Conselho de Segurança da plataforma. Importante ressaltar que o ataque não explorou vulnerabilidades nos contratos inteligentes da Drift, nem houve comprometimento de frases-semente. Em vez disso, os atacantes manipularam aprovações de transações, possivelmente através de engenharia social, para executar uma transferência administrativa maliciosa rapidamente. O incidente, que começou a ser preparado em 23 de março, está sendo investigado em colaboração com várias empresas de segurança e autoridades. Relatórios indicam que o ataque pode estar ligado a grupos de hackers da Coreia do Norte, que têm um histórico de roubo de criptomoedas para financiar programas de armas. A evolução das técnicas de engenharia social, aliada ao uso crescente de inteligência artificial, amplia o escopo das ameaças, tornando desenvolvedores e colaboradores de projetos alvos potenciais.

O WhatsApp, plataforma de mensagens pertencente ao Meta, notificou cerca de 200 usuários que foram enganados a instalar uma versão falsa de seu aplicativo para iOS, que estava infectada com spyware. A maioria dos alvos está localizada na Itália, onde os atacantes utilizaram táticas de engenharia social para induzir os usuários a baixar o software malicioso que imitava o WhatsApp. Todos os usuários afetados foram desconectados e orientados a desinstalar os aplicativos comprometidos, além de baixar a versão oficial do WhatsApp. A empresa também está tomando medidas legais contra a Asigint, uma subsidiária italiana da empresa de spyware SIO, que supostamente criou a versão falsa do aplicativo. Este incidente segue uma série de alertas anteriores do WhatsApp sobre spyware, incluindo um caso em que 90 usuários foram notificados sobre a ameaça de um spyware chamado Graphite. A crescente utilização de ferramentas de vigilância na Itália e na Grécia levanta preocupações sobre a privacidade e a segurança dos dados dos cidadãos, especialmente em um contexto onde o uso de tecnologia de espionagem por governos está sob escrutínio.

O relatório anual de ameaças de 2026 da Blackpoint Cyber revela uma mudança significativa no comportamento de atacantes, que agora utilizam credenciais válidas e ferramentas legítimas para realizar intrusões em organizações. O estudo, baseado em milhares de investigações de segurança, destaca que 32,8% dos incidentes analisados envolveram abuso de VPN SSL, onde os atacantes se autenticaram com credenciais comprometidas, permitindo acesso a redes internas sem acionar alarmes. Além disso, 30,3% dos casos envolveram o uso indevido de ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como o ScreenConnect, que se misturaram com atividades normais de TI. O relatório também aponta que campanhas de engenharia social, como as que utilizam CAPTCHAs falsos, foram responsáveis por 57,5% dos incidentes, mostrando que a interação do usuário é um fator crítico. Apesar da implementação de autenticação multifator (MFA) em muitos ambientes de nuvem, ataques de phishing ainda resultaram em compromissos de contas, com 16% dos casos documentados. O relatório sugere que as equipes de segurança tratem o acesso remoto como uma atividade de alto risco e mantenham um inventário rigoroso das ferramentas de RMM utilizadas.

Uma nova campanha de phishing está atacando usuários de língua espanhola em organizações na América Latina e na Europa, visando a entrega de trojans bancários do Windows, como o Casbaneiro, através de um malware chamado Horabot. A atividade foi atribuída a um grupo de cibercrime brasileiro conhecido como Augmented Marauder e Water Saci, que foi documentado pela Trend Micro em outubro de 2025.

Os ataques começam com e-mails de phishing que usam mensagens de convocação judicial para enganar os destinatários a abrir um anexo PDF protegido por senha. Ao clicar em um link embutido no documento, a vítima é redirecionada para um link malicioso que inicia o download automático de um arquivo ZIP, levando à execução de scripts VBS que realizam verificações de ambiente e anti-análise. Esses scripts, então, baixam cargas úteis adicionais que incluem loaders baseados em AutoIt, que extraem e executam arquivos criptografados.

A Microsoft alertou sobre uma nova campanha de cibersegurança que utiliza mensagens do WhatsApp para disseminar arquivos maliciosos em formato de Visual Basic Script (VBS). Iniciada no final de fevereiro de 2026, essa atividade emprega uma cadeia de infecção em múltiplas etapas, visando estabelecer persistência e permitir acesso remoto aos sistemas das vítimas. Os atacantes distribuem arquivos VBS que, ao serem executados, criam pastas ocultas e instalam versões renomeadas de utilitários legítimos do Windows, como ‘curl.exe’ e ‘bitsadmin.exe’, camuflando suas ações. Após obter acesso inicial, os invasores tentam escalar privilégios e instalar pacotes MSI maliciosos, utilizando serviços de nuvem confiáveis como AWS e Tencent Cloud para hospedar os arquivos maliciosos. A campanha combina engenharia social e técnicas de stealth, tornando-se uma ameaça significativa, pois permite que os atacantes manipulem configurações de controle de conta de usuário (UAC) e mantenham controle sobre os sistemas comprometidos. A utilização de ferramentas legítimas e plataformas confiáveis aumenta a eficácia dos ataques, destacando a necessidade de vigilância constante e medidas de proteção adequadas.

Uma nova campanha de cibersegurança está utilizando a tática de engenharia social conhecida como ClickFix para distribuir um malware loader inédito chamado DeepLoad. De acordo com pesquisadores da ReliaQuest, o DeepLoad emprega técnicas avançadas de ofuscação assistida por inteligência artificial (IA) e injeção de processos para evitar detecções. O ataque começa com um engodo que induz os usuários a executar comandos do PowerShell, que, por sua vez, baixa e executa um loader ofuscado. O malware se disfarça como um processo legítimo do Windows, ocultando suas atividades e desabilitando o histórico de comandos do PowerShell para evitar monitoramento. Além disso, o DeepLoad é capaz de roubar credenciais de navegadores e se propaga através de dispositivos de mídia removível. Ele também utiliza o Windows Management Instrumentation (WMI) para reinfectar sistemas sem interação do usuário. Essa nova ameaça representa um risco significativo, pois combina várias técnicas de evasão e pode comprometer a segurança de sistemas em larga escala.

A Apple lançou uma nova funcionalidade de segurança na versão 26.4 do macOS Tahoe, que visa proteger os usuários contra ataques do tipo ClickFix. Essa técnica de engenharia social engana os usuários a colar comandos maliciosos no Terminal, acreditando que estão resolvendo um problema. A nova mecânica do sistema impede a execução imediata de comandos potencialmente prejudiciais, exibindo um alerta que informa sobre os riscos associados. O alerta é acionado quando comandos são copiados de navegadores, como o Safari, e colados no Terminal. Embora os usuários possam optar por ignorar o aviso, a Apple recomenda cautela, especialmente se a origem do comando for desconhecida. A funcionalidade foi relatada por usuários desde a versão candidata do sistema, mas não foi mencionada nas notas de lançamento oficiais. A Apple ainda não divulgou documentação de suporte sobre esse novo sistema de alertas, e a eficácia do mecanismo em identificar comandos arriscados permanece incerta. Especialistas em segurança recomendam que usuários de qualquer sistema operacional evitem executar comandos encontrados online sem total compreensão de suas funções.

O aumento de sites falsos de viagens, especialmente durante períodos de alta demanda, representa um risco significativo para os consumidores. Cibercriminosos utilizam táticas de engenharia social para criar páginas que imitam companhias aéreas e agências de viagens, atraindo vítimas com ofertas de preços extremamente baixos. Para evitar fraudes, é essencial que os usuários verifiquem cuidadosamente o domínio do site, buscando por erros de digitação e variações suspeitas. Além disso, é importante prestar atenção a textos genéricos, falta de informações claras sobre atendimento e inconsistências nos preços. Os anúncios patrocinados podem ser uma armadilha, pois sites fraudulentos frequentemente aparecem no topo das buscas. Antes de realizar um pagamento via Pix, os consumidores devem confirmar se o nome do recebedor corresponde à empresa e verificar a reputação do site em plataformas como o Reclame Aqui. Caso uma fraude seja identificada, é crucial agir rapidamente, contatando o banco e registrando um boletim de ocorrência. O artigo destaca a importância da cautela e da verificação de informações para evitar cair em golpes.

O fenômeno conhecido como MFA fatigue, ou fadiga de autenticação multifatorial, refere-se à exploração do cansaço dos usuários diante de repetidas solicitações de autenticação em seus dispositivos. Os golpistas utilizam essa técnica de engenharia social para induzir os usuários a aprovar acessos indevidos, especialmente em momentos de distração. A autenticação de dois fatores (2FA) é uma medida de segurança importante, pois, mesmo que a senha de um usuário seja comprometida, o acesso ainda requer um código enviado ao celular. No entanto, os hackers têm desenvolvido métodos para contornar essa proteção, como o bombardeio de solicitações de autenticação e a criação de mensagens falsas de suporte. Isso pode levar os usuários a aprovar acessos fraudulentos sem perceber. Para se proteger, é essencial que os usuários estejam sempre atentos a notificações inesperadas e nunca compartilhem seus códigos de autenticação. A conscientização sobre esses ataques é crucial, pois a segurança não depende apenas da tecnologia, mas também do comportamento do usuário.