Engenharia Social

Ameaças cibernéticas fraudes globais e vulnerabilidades críticas

Recentemente, uma operação global contra fraudes resultou na prisão de 5.811 indivíduos e na interceptação de $293 milhões em ativos ilícitos, destacando a gravidade das fraudes de engenharia social. A operação, chamada First Light 2026, envolveu 97 países e revelou mais de 142.000 vítimas em todo o mundo. Além disso, uma campanha de typosquatting afetou pacotes npm e PyPI, visando SDKs de aplicativos de pagamento como Paysafe e Skrill, com o objetivo de roubar informações sensíveis. Outra vulnerabilidade crítica foi identificada no Esri ArcGIS Server, permitindo acesso não autenticado a arquivos sensíveis, com uma pontuação CVSS de 9.8. A pesquisa também revelou técnicas avançadas de injeção de código, como o Process Parameter Poisoning, que evita a detecção de atividades maliciosas. O alerta sobre a coleta de dados sensíveis por versões do Claude Code na China e uma campanha de phishing que utiliza chamadas do Microsoft Teams para disseminar o malware EtherRAT também foram destacados. Esses incidentes ressaltam a necessidade urgente de vigilância e mitigação de riscos em ambientes corporativos.

Operação global contra fraudes resulta em milhares de prisões

A Operação First Light 2026, coordenada pela INTERPOL, resultou na prisão de 5.811 suspeitos e na apreensão de US$ 293 milhões em ativos ilícitos em 97 países. Realizada entre 15 de janeiro e 30 de abril, a operação focou em fraudes de engenharia social, como comprometimento de e-mails empresariais, sextorsão e golpes de investimento, além de atividades de lavagem de dinheiro. Durante a operação, mais de 142.000 vítimas foram identificadas, e 31.014 contas bancárias foram bloqueadas. A INTERPOL utilizou mecanismos como o I-GRIP para interromper fluxos financeiros ilícitos. A operação é um reflexo do aumento das fraudes transnacionais, que afetam indivíduos, empresas e governos. A ação segue outras operações, como a Synergia II, que também resultaram em prisões e na desmantelação de infraestruturas de cibercrime. Tomonobu Kaya, diretor do Centro de Crimes Financeiros e Anticorrupção da INTERPOL, destacou a necessidade de uma estratégia coordenada entre os países para combater esses crimes, que exploram a psicologia humana para manipular as vítimas.

Relatório da IBM revela uso de IA em ataques cibernéticos

O Relatório de Custo de uma Violação de Dados da IBM de 2025 revelou que 16% das violações analisadas envolveram o uso de ferramentas de inteligência artificial (IA) por atacantes, principalmente para ataques de phishing e de impersonação com deepfake. O serviço de atendimento ao cliente (service desk) se torna um alvo natural para engenharia social, pois um atacante que convence um agente de que é um usuário legítimo pode contornar controles técnicos. A IA facilita essa tarefa, tornando as abordagens mais personalizadas e convincentes. O processo de integração de novos funcionários é especialmente vulnerável, já que os agentes de suporte podem não ter familiaridade com os novos colaboradores. Para mitigar esses riscos, é essencial que os agentes tenham métodos mais robustos de verificação de identidade antes de conceder acesso a credenciais ou aprovar mudanças sensíveis. O uso de soluções como o Specops Secure Onboarding pode ajudar a proteger o processo de integração, garantindo que os novos funcionários criem senhas seguras sem que credenciais sejam enviadas diretamente, além de implementar verificações biométricas para evitar impersonações. Com a crescente sofisticação dos ataques, a proteção do service desk se torna uma prioridade crítica para as organizações.

Nova cadeia de ataque de malware usa engenharia social e Blogger

Pesquisadores de cibersegurança identificaram uma nova cadeia de ataque de malware em múltiplas etapas, chamada VEIL#DROP, que utiliza engenharia social e páginas do Blogger para disseminar um ladrão de informações conhecido como PureLogs. O ataque começa com um arquivo JavaScript disfarçado, que executa comandos PowerShell para baixar um payload adicional hospedado em um blog. Esse método permite que os atacantes contornem defesas baseadas em reputação, aproveitando a infraestrutura confiável do Google. O payload baixado cria a ilusão de que um documento PDF está sendo aberto, enquanto a infecção ocorre em segundo plano. O malware é projetado para ser altamente evasivo, utilizando técnicas como mutação em tempo de execução e geração dinâmica de estágios, dificultando a detecção por soluções antivírus tradicionais. Além disso, o uso de binários assinados pela Microsoft permite que os atacantes realizem suas atividades sem levantar suspeitas. A infecção pode ter consequências graves, permitindo que dados sensíveis sejam extraídos e utilizados para comprometer ainda mais o ambiente alvo. Essa combinação de técnicas demonstra um esforço deliberado para evitar a detecção e manter a furtividade durante todo o ciclo de infecção.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

ClickFix a nova ameaça de malware que engana usuários

O ClickFix, uma técnica de engenharia social que induz usuários a executar malware, evoluiu significativamente, utilizando servidores API para entregar comandos maliciosos disfarçados. A pesquisa do especialista em segurança Bert-Jan Pals revelou que as páginas fraudulentas, que simulam CAPTCHAs ou erros, agora extraem comandos de servidores backend, oferecendo a cada visitante um malware diferente. Essa abordagem, que evita a detecção por antivírus tradicionais, resultou em um aumento de 517% nos casos de acesso inicial entre 2024 e 2025, conforme medido pela ESET. Além disso, uma nova técnica permite que o malware seja baixado silenciosamente para a pasta de Downloads, utilizando um comando aparentemente inofensivo que contorna a varredura de scripts do Windows. O ClickFix não é mais uma ferramenta exclusiva de criminosos, tendo sido associado a grupos apoiados por estados, como APT28 e MuddyWater. A pesquisa destaca a importância de monitorar cadeias de processos e não apenas o texto da área de transferência para detectar essas ameaças. O ClickFix representa um risco crescente, especialmente com sua capacidade de se adaptar rapidamente às defesas dos usuários.

Microsoft implementa política para bloquear bots em reuniões do Teams

A Microsoft anunciou uma nova política de administração para o Teams, permitindo que organizadores impeçam bots de terceiros de ingressar em reuniões sem aprovação. Essa funcionalidade, que estará disponível em diversas plataformas, visa aumentar a segurança e o controle sobre a participação de bots, que podem ser utilizados para tarefas automatizadas, como anotações e transcrições. Ao ativar a política, o Teams detecta automaticamente bots suspeitos, colocando-os na sala de espera e solicitando a confirmação do organizador para sua entrada. Mesmo em reuniões onde a entrada direta é permitida, bots identificados ainda precisarão de aprovação. Além disso, a Microsoft planeja implementar controles adicionais, como listas de permissão para bots aprovados e relatórios administrativos sobre a presença de bots. A partir de dezembro, administradores poderão bloquear usuários externos do Teams para evitar abusos por grupos de cibercrime, incluindo ataques de engenharia social. Essas medidas são parte de um esforço contínuo da Microsoft para proteger seus usuários contra ameaças emergentes, como fraudes e ataques de phishing, que têm se intensificado na plataforma.

Atualização sobre phishing em contas do Signal por inteligência russa

O FBI e a CISA atualizaram um alerta sobre uma campanha de phishing direcionada a contas do Signal, associada a grupos de inteligência russa. Os atacantes agora estão persuadindo as vítimas a fornecerem sua Chave de Recuperação de Backup do Signal. Uma vez que a chave é entregue, o invasor pode restaurar o backup da conta, acessar o histórico de mensagens privadas e de grupo, e assumir o controle da conta. A chave permanece válida mesmo se a vítima criar uma nova conta com o mesmo número de telefone. Para mitigar o risco, os usuários devem gerar uma nova chave nas configurações do Signal, o que invalidará a antiga. O alerta também menciona que a campanha já comprometeu milhares de contas globalmente, visando indivíduos de alto valor, como oficiais do governo e jornalistas. As mensagens de phishing se disfarçam como suporte do Signal, solicitando códigos de verificação ou a chave de recuperação. O FBI também oferece recompensas por informações sobre os grupos envolvidos, identificados como UNC5792 e UNC4221. A situação destaca a importância da segurança em aplicativos de mensagens e a necessidade de vigilância contra engenharia social.

Engenharia social em service desk um risco crescente para empresas

A engenharia social aplicada em service desks continua a ser uma das táticas mais eficazes para invasores que buscam acesso a sistemas corporativos. Os ataques de 2025 contra grandes varejistas britânicos, como Marks & Spencer e Harrods, destacaram a vulnerabilidade desse ponto de entrada. No caso da M&S, os atacantes se passaram por um funcionário e convenceram um agente de suporte terceirizado a redefinir credenciais, permitindo acesso a sistemas internos. Recentemente, a Carnival Corporation também relatou um incidente de cibersegurança em que um funcionário foi enganado por um atacante. O FBI alertou sobre o grupo Silent Ransom, que se disfarça de suporte técnico para persuadir funcionários a participar de sessões de acesso remoto. Esses ataques são facilitados pela vulnerabilidade humana, acesso a credenciais e a capacidade de contornar defesas técnicas. Para se proteger, as organizações devem implementar verificações rigorosas de identidade, treinar equipes de suporte para reconhecer táticas de engenharia social e monitorar atividades incomuns. A situação é alarmante, pois a maioria dos ataques bem-sucedidos ocorre sem disparar alertas de segurança, evidenciando a necessidade urgente de medidas de proteção.

Golpes em apostas aumentam durante a Copa do Mundo de 2026

A Copa do Mundo de 2026 trouxe um aumento significativo nos golpes virtuais, especialmente aqueles relacionados à venda de ingressos e apostas. Criminosos estão utilizando técnicas de engenharia social para manipular usuários, criando páginas falsas que imitam sites legítimos e enviando mensagens enganosas via WhatsApp e SMS. As fraudes mais comuns incluem a clonagem de sites oficiais, ofertas de ingressos a preços muito baixos e aplicativos falsos que prometem acesso gratuito a jogos. Segundo a Hexa Security, o ambiente de grandes eventos esportivos é propício para essas fraudes, devido ao alto volume de transações financeiras e ao engajamento do público. Para se proteger, especialistas recomendam que os consumidores verifiquem a autenticidade dos sites digitando os endereços manualmente e evitem links recebidos por mensagens. Além disso, a utilização de senhas fortes e a ativação da autenticação em dois fatores são medidas essenciais para proteger dados financeiros. Empresas também devem estar atentas, pois se tornam alvos frequentes durante esses eventos, necessitando revisar permissões de acesso e investir em monitoramento contínuo.

Ameaça de malware usa engenharia social em plataformas populares

Um novo relatório da Check Point Research revela que um ator de ameaça desconhecido está utilizando postagens pagas em sites de notícias legítimos para promover malware. O foco principal da campanha é um ‘clipboard hijacker’ de criptomoedas, disfarçado como bots de sniper e preditores de jogos. O malware, desenvolvido em Rust, ataca sistemas Windows e macOS, monitorando a área de transferência para substituir endereços de carteiras de criptomoedas por endereços controlados pelo atacante. Para criar uma falsa reputação, o ator utiliza uma página de phishing no WordPress, contas falsas no GitHub e SourceForge, além de um canal no YouTube com mais de 91 mil assinantes. A manipulação de plataformas como VirusTotal e SourceForge, onde contagens de downloads foram artificialmente inflacionadas, visa aumentar a confiança dos usuários em arquivos maliciosos. A campanha destaca uma nova abordagem de engenharia social, onde a construção de uma reputação falsa se torna uma estratégia central para enganar as vítimas, especialmente aqueles envolvidos com criptomoedas e jogos online.

iRhythm Holdings revela violação de dados de pacientes

A empresa de saúde digital iRhythm Holdings anunciou uma violação de dados após hackers terem roubado informações pessoais e de saúde de pacientes armazenadas em aplicações de negócios hospedadas por terceiros. A iRhythm, que fornece serviços de monitoramento cardíaco, analisou mais de 2 bilhões de horas de dados de batimentos cardíacos de mais de 12 milhões de pacientes. Em um comunicado à Comissão de Valores Mobiliários dos EUA (SEC), a empresa informou que descobriu o incidente em 8 de junho de 2026 e iniciou uma investigação com especialistas em cibersegurança. Os atacantes, que se comunicaram com a empresa em 9 de junho, exigiram um resgate para não divulgar as informações roubadas. A iRhythm confirmou que dados foram exfiltrados, mas não encontrou evidências de que a violação afetou seus produtos ou a segurança dos pacientes. A empresa também destacou que não armazena informações financeiras de pacientes e que o acesso foi realizado através de engenharia social. O incidente ressalta a vulnerabilidade de dados sensíveis em aplicações de terceiros e a necessidade de medidas de segurança robustas.

Fraudes online na MENA contas falsas no Facebook enganam usuários

Pesquisadores de cibersegurança revelaram atividades fraudulentas direcionadas a usuários no Oriente Médio e Norte da África, utilizando contas falsas no Facebook que se passavam por políticos e organizações confiáveis. Essas contas promoviam ofertas enganosas, como pacotes de internet móvel gratuitos e compensações financeiras, levando as vítimas a clicar em links que redirecionavam para uma infraestrutura de phishing. A análise da Group-IB identificou que essas campanhas estavam ligadas à plataforma Sniper Dz, um serviço de phishing como serviço (PhaaS) que foi desmantelado recentemente. Os ataques utilizavam engenharia social, fazendo com que os usuários acreditassem que estavam acessando ofertas legítimas, mas, na verdade, eram direcionados a páginas que solicitavam permissões de notificações do navegador, permitindo que os atacantes enviassem mensagens indesejadas. Além disso, técnicas como manipulação do histórico do navegador e redirecionamentos em abas foram empregadas para manter as vítimas presas na rede de fraudes. A campanha destaca a crescente dependência de tecnologias web legítimas para operações fraudulentas, em vez de malware tradicional.

Operação da INTERPOL desmantela plataforma de phishing Sniper Dz

Uma operação liderada pela INTERPOL, chamada Operação Ramz, resultou na desarticulação da plataforma de phishing conhecida como Sniper Dz, que atuava há mais de uma década. Entre outubro de 2025 e fevereiro de 2026, autoridades de 13 países da região do Oriente Médio e Norte da África realizaram 201 prisões, incluindo Guedz, o principal desenvolvedor da plataforma. Sniper Dz, que também se rebatizou como Joker Dz e Storm Dz, era uma plataforma de phishing como serviço (PhaaS) que coletou mais de 45.000 registros de vítimas. A operação não apenas desativou o site da plataforma, mas também apreendeu hardware contendo softwares e scripts de phishing.

Vazamento de dados afeta mais de 73 mil servidores públicos na França

O governo francês confirmou uma violação de segurança na plataforma de mensagens criptografadas Tchap, que impactou as contas de mais de 73 mil funcionários do setor público. A DINUM, diretoria de assuntos digitais do governo francês, revelou que um ator de ameaças acessou a plataforma por meio de uma conta de usuário comprometida, levando à notificação da CNIL, a autoridade de proteção de dados da França. Embora as conversas privadas sejam criptografadas, os dados compartilhados em salas de chat públicas não possuem essa proteção, permitindo que o invasor coletasse nomes, endereços de e-mail e informações sobre as organizações dos usuários. O ataque, que pode ter exposto dados de cerca de 9% dos usuários registrados, foi atribuído a um ataque de engenharia social. O invasor alegou ter coletado quase 650 mil mensagens e mais de 13,5 GB de documentos e arquivos de mídia. A Tchap, desenvolvida pela DINUM em colaboração com a ANSSI, é uma ferramenta de colaboração descentralizada e se tornou o aplicativo padrão para comunicações de trabalho entre servidores públicos desde agosto de 2025.

Roubo de credenciais aumenta 160 em 2025, exigindo novas abordagens de segurança

Em 2025, o roubo de credenciais cresceu 160%, representando um em cada cinco vazamentos de dados, à medida que atacantes utilizam técnicas impulsionadas por inteligência artificial para contornar defesas tradicionais. A verificação de identidade tornou-se um desafio crítico para as equipes de segurança, que precisam garantir a segurança sem criar atritos para usuários legítimos. Os processos de integração fracos e a dependência excessiva de credenciais estáticas oferecem oportunidades para os atacantes. Para fortalecer a verificação de identidade, o artigo sugere cinco práticas recomendadas: 1) Implementar autenticação multifatorial (MFA) robusta e resistente a fadiga; 2) Proteger o serviço de atendimento ao cliente contra engenharia social; 3) Integrar a confiança do dispositivo nas decisões de verificação de identidade; 4) Considerar o uso de chaves de acesso (passkeys); e 5) Proteger dados biométricos adequadamente. Essas abordagens visam modernizar os controles de verificação de identidade e aumentar a resiliência das organizações contra ataques cibernéticos.

Hackers comprometem plataforma de mensagens do governo francês

A DINUM, diretoria de assuntos digitais do governo francês, alertou sobre uma violação na plataforma de mensagens criptografadas Tchap, utilizada exclusivamente pelo setor público da França. O incidente ocorreu quando um ator de ameaça obteve acesso à plataforma através de uma conta de usuário comprometida. A Tchap, desenvolvida em 2018 em colaboração com a ANSSI, já conta com mais de 300 mil usuários mensais e foi adotada como a única ferramenta de comunicação para servidores públicos após um decreto do Primeiro-Ministro François Bayrou em agosto de 2025. A ANSSI detectou a violação e notificou a CNIL, a autoridade de proteção de dados da França, devido à possível exposição de dados pessoais. O invasor alegou ter realizado um ataque de engenharia social e, segundo suas declarações, obteve acesso a 13,5 GB de documentos e informações de mais de 73 mil contas, incluindo e-mails e metadados. A DINUM bloqueou a conta responsável e continua a investigação para entender a extensão da violação e os dados acessados. O incidente destaca a importância de manter a segurança em plataformas de comunicação, especialmente em ambientes governamentais.

Campanha de extorsão por roubo de dados atinge empresas nos EUA

Pesquisadores de cibersegurança revelaram uma campanha de extorsão financeira que visou diversas organizações nos setores profissional, jurídico e financeiro dos EUA entre janeiro e maio de 2026. A atividade foi atribuída ao grupo de ameaças UNC3753, também conhecido como Chatty Spider e Silent Ransom Group (SRG). Os atacantes utilizam técnicas de engenharia social e vishing para obter acesso remoto a ambientes corporativos, se passando por suporte técnico. Eles convencem as vítimas a compartilhar telas e instalar softwares de monitoramento remoto. Uma vez dentro, os criminosos localizam e exfiltram informações sensíveis, como acordos legais e dados financeiros. Em alguns casos, os atacantes também realizaram intrusões físicas, se passando por técnicos de TI para roubar dados diretamente dos sistemas das vítimas. O grupo tem pressionado as vítimas a pagarem resgates sob a ameaça de divulgar as informações roubadas. A campanha destaca a vulnerabilidade de empresas que lidam com dados sensíveis e a eficácia das táticas de engenharia social em contornar medidas de segurança tradicionais.

A Ameaça do Shadow AI e o Risco de Credenciais em 2026

O relatório Verizon Data Breach Investigations Report (DBIR) de 2026 destaca a crescente preocupação com o uso não autorizado de inteligência artificial (IA) nas empresas, conhecido como Shadow AI. Este fenômeno, que representa um aumento de quatro vezes em relação ao ano anterior, ocorre quando funcionários utilizam ferramentas de IA, como ChatGPT, para tarefas cotidianas, muitas vezes sem a aprovação da organização. O relatório revela que 67% dos usuários acessam serviços de IA em dispositivos corporativos através de contas pessoais, expondo dados sensíveis a riscos significativos.

Carnival Corporation sofre vazamento de dados de 6 milhões de pessoas

A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou um vazamento de dados que afetou cerca de 6 milhões de pessoas, reivindicado pelo grupo de extorsão ShinyHunters em abril de 2026. O incidente ocorreu após um ataque de engenharia social que permitiu a um ator não autorizado acessar sistemas de TI da empresa. A companhia notificou 5.995.277 clientes sobre o roubo de dados, que incluiu informações pessoais como nomes, datas de nascimento, endereços de e-mail e detalhes do programa de fidelidade Mariner Society, da Holland America, uma das marcas do grupo. Embora a Carnival tenha agido rapidamente para bloquear a atividade não autorizada e iniciado uma investigação com especialistas em segurança, o grupo ShinyHunters alegou ter roubado mais de 8,7 milhões de registros. Este não é o primeiro incidente de segurança da Carnival, que já enfrentou outros vazamentos em 2020 e 2021, expondo informações pessoais e financeiras de clientes e funcionários. O FBI aconselhou as vítimas a não pagarem os resgates exigidos, pois isso não garante que os atacantes não tentem extorquir novamente.

Campanha de Malware Alvo de Organizações de Criptomoedas

Uma nova campanha de cibersegurança, atribuída ao ator de ameaças JINX-0164, tem como alvo organizações de criptomoedas, utilizando engenharia social e malware específico para macOS. Os pesquisadores da Wiz identificaram que o grupo, ativo desde meados de 2025, emprega técnicas sofisticadas para enganar desenvolvedores, oferecendo oportunidades de emprego falsas através de perfis verificados no LinkedIn. Os alvos são direcionados a um domínio fraudulento que simula um provedor de teleconferência, onde são induzidos a baixar um programa malicioso.

Segurança de Senhas A Ameaça do Bombardeio de MFA

A autenticação multifator (MFA) foi criada para aumentar a segurança das contas, mas um novo ataque conhecido como ‘bombardeio de prompts MFA’ está se tornando uma ameaça real. Nesse ataque, os invasores não precisam roubar o segundo fator de autenticação; eles apenas precisam que o usuário o forneça. O ataque envolve três elementos principais: credenciais de conta válidas, um portal de login que utiliza MFA baseada em push e uma vítima que recebe repetidamente solicitações de login. Os atacantes tentam enganar ou cansar a vítima até que ela aprove a solicitação. Um exemplo notável desse ataque ocorreu na Cisco em 2022, onde um invasor conseguiu acessar a rede da empresa após enganar um funcionário para aceitar um prompt de MFA. Para mitigar esses riscos, as organizações devem considerar fatores de MFA mais resistentes ao phishing, bloquear senhas comprometidas e adicionar sinais de risco ao processo de login. Embora o MFA continue sendo uma ferramenta importante, é crucial revisar as práticas atuais para garantir uma proteção eficaz contra essas novas táticas de ataque.

Malware AMOS no macOS se espalha por truques simples no terminal

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Evolução das operações de roubo de criptomoedas Drainer-as-a-Service

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

Ataques Cibernéticos A Nova Realidade das Ameaças Digitais

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Golpe do Imposto de Renda utiliza app falso e IA para enganar usuários

Um aplicativo que imitava o oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser removido. Segundo a INGENI, divisão da Redbelt Security, durante a temporada de Imposto de Renda 2026, foram identificadas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos relacionados ao tema fiscal. Wagner Farias, engenheiro de ameaças da INGENI, destaca que o volume de downloads não reflete diretamente o número de vítimas, mas indica a amplitude da campanha. Os criminosos evitam lojas oficiais, como Google Play e App Store, que utilizam inteligência artificial para detectar comportamentos suspeitos. A engenharia social é o principal gatilho do golpe, aproveitando a urgência da entrega da declaração. A inteligência artificial também tem facilitado a criação de aplicativos falsos com alta fidelidade visual. O malware pode atuar como infostealer, roubando credenciais, ou como trojan de acesso remoto, permitindo controle do dispositivo. Para quem caiu no golpe, recomenda-se restaurar o dispositivo e trocar credenciais em outro aparelho. A prevenção envolve desconfiar de domínios que não terminam em gov.br.

Grupo de ameaças Storm-2949 ataca ambientes Microsoft 365 e Azure

O grupo de ameaças conhecido como Storm-2949 está realizando ataques direcionados a ambientes de produção do Microsoft 365 e Azure, utilizando aplicações e recursos administrativos legítimos para roubar dados sensíveis. A Microsoft identificou que o grupo emprega engenharia social para obter credenciais do Microsoft Entra ID de usuários com funções privilegiadas, como pessoal de TI e líderes seniores. Os atacantes abusam do fluxo de Redefinição de Senha de Autoatendimento (SSPR), enganando as vítimas para que aprovem solicitações de autenticação multifator (MFA). Após comprometer as contas, eles utilizam a API Microsoft Graph e scripts em Python para explorar usuários, funções e aplicações, acessando serviços como OneDrive e SharePoint para buscar informações críticas, como configurações de VPN e arquivos operacionais de TI.

KongTuke usa Microsoft Teams para ataques de engenharia social

O grupo de cibercriminosos KongTuke, conhecido como um corretor de acesso inicial, começou a utilizar o Microsoft Teams para realizar ataques de engenharia social, conseguindo acesso persistente a redes corporativas em apenas cinco minutos. Os atacantes convencem os usuários a executar um comando PowerShell que instala o malware ModeloRAT, já observado em ataques anteriores. Essa mudança de tática marca a primeira vez que KongTuke utiliza uma plataforma de colaboração para obter acesso inicial, além de suas abordagens anteriores baseadas na web. Os pesquisadores da ReliaQuest notaram que a campanha está ativa desde pelo menos abril de 2026, com o grupo alternando entre cinco locatários do Microsoft 365 para evitar bloqueios. O comando PowerShell malicioso baixa um arquivo ZIP do Dropbox que contém um ambiente WinPython portátil, que por sua vez executa o malware. O ModeloRAT evoluiu, apresentando uma arquitetura de comando e controle mais resiliente, múltiplos caminhos de acesso independentes e mecanismos de persistência expandidos. Para se proteger contra esses ataques, recomenda-se restringir a federação externa do Microsoft Teams e utilizar indicadores de comprometimento para detectar atividades suspeitas.

Signal implementa novas confirmações para combater phishing

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

ACSC alerta sobre campanha de malware utilizando ClickFix na Austrália

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

Horizon Media confirma violação de dados em janeiro de 2026

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Homem é condenado a 78 meses por roubo e lavagem de criptomoedas

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Hackers iranianos disfarçam espionagem como ataque de ransomware

O grupo de hackers iranianos MuddyWater disfarçou suas operações como um ataque de ransomware Chaos, utilizando engenharia social via Microsoft Teams para obter acesso e estabelecer persistência em sistemas. O ataque envolveu roubo de credenciais, acesso remoto, exfiltração de dados e envio de e-mails de extorsão, mas a Rapid7 acredita que o componente de ransomware foi uma estratégia para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição do ataque. A análise sugere que o objetivo principal não era o ganho financeiro, mas sim a espionagem. A Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo associado ao Ministério da Inteligência e Segurança do Irã, com base em sobreposição de infraestrutura e técnicas operacionais. O ataque começou com engenharia social no Microsoft Teams, onde os hackers iniciaram chats com funcionários, manipularam configurações de autenticação multifator e implantaram ferramentas de acesso remoto. Após comprometer contas, os atacantes utilizaram um loader de malware para implantar um backdoor disfarçado, que possui funcionalidades avançadas para execução de comandos e acesso persistente. Este incidente destaca a convergência entre atividades de intrusão patrocinadas por estados e técnicas criminosas.

Grupo iraniano MuddyWater realiza ataque de ransomware disfarçado

O grupo de hackers iraniano MuddyWater, também conhecido como Mango Sandstorm, foi responsabilizado por um ataque de ransomware que se caracteriza como uma operação de “falsa bandeira”. Observado pela Rapid7 no início de 2026, o ataque utilizou técnicas de engenharia social através do Microsoft Teams para iniciar a infecção. Embora inicialmente parecesse um ataque típico de ransomware-as-a-service (RaaS), as evidências sugerem que se tratou de um ataque direcionado, disfarçado de extorsão oportunista. Os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifatorial (MFA). Em vez de criptografar arquivos, o grupo optou pela exfiltração de dados e persistência a longo prazo usando ferramentas de gerenciamento remoto como DWAgent. O uso de ferramentas disponíveis no submundo do cibercrime, como CastleRAT e Tsundere, indica uma tentativa de dificultar a atribuição do ataque. O grupo Chaos, que opera sob um modelo de dupla extorsão, também foi mencionado, destacando a convergência entre atividades patrocinadas por estados e táticas de cibercrime. Este incidente ressalta a necessidade de atenção redobrada por parte das empresas, especialmente em setores críticos, devido ao potencial impacto na segurança e conformidade com a LGPD.

Métodos de Fraude Organizada em Instituições Financeiras

Atuantes em fóruns e grupos de chat underground, criminosos estão desenvolvendo métodos estruturados de fraude que visam explorar as fraquezas nos processos de trabalho das instituições financeiras. Em vez de golpes isolados, essas discussões revelam uma abordagem organizada que combina dados de identidade roubados, engenharia social e conhecimento dos fluxos financeiros. Pequenas e médias cooperativas de crédito são frequentemente mencionadas como alvos preferenciais devido a lacunas percebidas em seus sistemas de verificação e recursos limitados de prevenção de fraudes. Pesquisadores identificaram um método detalhado de fraude em empréstimos que permite que atacantes naveguem por verificações de crédito e processos de aprovação de empréstimos usando identidades roubadas, evitando os gatilhos de segurança tradicionais. A abordagem se concentra em contornar os processos legítimos de integração e empréstimo, utilizando dados pessoais suficientes para se passar por um tomador de empréstimo legítimo. A fraude começa antes mesmo da submissão do primeiro formulário, com atacantes adquirindo identidades roubadas e informações financeiras de mercados underground. O foco na exploração de instituições menores, que dependem de métodos tradicionais de verificação, destaca a evolução das fraudes financeiras, que agora se concentram mais nos processos do que nas vulnerabilidades de software.

Ataques de phishing são impulsionados por IA, alerta relatório

Um novo relatório da KnowBe4 revela que 86% dos ataques de phishing são agora gerados por inteligência artificial (IA), tornando-os mais sofisticados e difíceis de detectar. O estudo aponta um aumento significativo na automação dos ataques, com um crescimento de 49% em convites de calendário e 41% em ataques no Microsoft Teams nos últimos seis meses. A IA permite que os cibercriminosos criem mensagens de phishing personalizadas e realistas, aumentando a eficiência dos ataques em até sete vezes em comparação com métodos manuais. Além disso, a utilização de deepfakes, tanto em áudio quanto em vídeo, está se tornando uma preocupação crescente, com 30% dos ataques envolvendo a impersonação de funcionários internos, como gerentes. O relatório destaca que a engenharia social está se tornando mais direcionada, dificultando a distinção entre comunicações legítimas e maliciosas. A KnowBe4 também menciona a ascensão do phishing como serviço, que democratiza o acesso a essas técnicas, permitindo que até mesmo indivíduos sem conhecimento técnico realizem ataques. Para mitigar esses riscos, é essencial que as organizações adotem uma abordagem holística, utilizando análises comportamentais profundas e inteligência de ameaças em tempo real, além de treinar seus funcionários para reconhecer e evitar ataques de phishing.

Não envie SMS para confirmar que é humano conheça o golpe do CAPTCHA falso

Um novo golpe de cibersegurança, conhecido como CAPTCHA falso, tem enganado usuários ao solicitar o envio de mensagens SMS para números internacionais. Identificado por pesquisadores da Infoblox, esse esquema malicioso está ativo desde junho de 2020 e utiliza engenharia social para induzir as vítimas a enviarem mensagens de texto, resultando em cobranças que podem chegar a R$ 150. O golpe opera através de sites fraudulentos que exibem mensagens pedindo para que o usuário confirme que é humano, levando-o a enviar SMS para múltiplos números. A natureza desse golpe dificulta sua denúncia, uma vez que as cobranças podem demorar semanas para aparecer nas contas telefônicas das vítimas. Além disso, as operadoras de telecomunicações também são impactadas, pois precisam dividir os lucros com os golpistas e lidar com estornos. A Infoblox alerta que nenhum CAPTCHA legítimo exige o envio de mensagens SMS, recomendando que os usuários não respondam a tais solicitações.

Cidadão americano é preso na Finlândia por envolvimento em cibercrime

Um jovem de 19 anos, cidadão dos Estados Unidos e da Estônia, foi preso na Finlândia sob acusações federais nos EUA, sendo acusado de ser um membro ativo do coletivo de hackers Scattered Spider. De acordo com documentos judiciais, o suspeito, que usava o pseudônimo ‘Bouquet’, teria ajudado a extorquir milhões de dólares de grandes corporações ao redor do mundo. Ele foi detido no aeroporto de Helsinque enquanto tentava embarcar para o Japão. As acusações incluem fraude eletrônica, conspiração e invasão de computadores. O coletivo Scattered Spider, que surgiu em 2022, é conhecido por suas táticas de engenharia social e ataques de phishing, visando roubar credenciais de usuários e documentos sensíveis. Entre as vítimas estão empresas renomadas como Caesars e MGM Resorts. O caso destaca a crescente ameaça de grupos de hackers jovens e a necessidade de medidas de segurança robustas para proteger dados corporativos.

Novas Ameaças de Malware e Vulnerabilidades em Cibersegurança

Recentemente, o cenário de cibersegurança tem sido marcado pelo retorno de técnicas antigas e a introdução de novas ameaças. Um malware chamado fast16, desenvolvido antes do famoso Stuxnet, foi identificado como uma ameaça que pode manipular softwares de cálculos de alta precisão, potencialmente causando falhas em sistemas críticos. Além disso, o grupo UNC6692 tem utilizado engenharia social para implantar um malware personalizado chamado Snow, visando roubar dados sensíveis. Outro incidente relevante envolve a descoberta do backdoor FIRESTARTER, que comprometeu um dispositivo da Cisco em uma agência federal dos EUA. No setor energético, o malware Lotus Wiper foi utilizado em ataques na Venezuela, destruindo sistemas essenciais. O grupo de ransomware The Gentlemen tem se destacado por suas operações, enquanto a Bitwarden CLI foi comprometida em um ataque de cadeia de suprimentos, afetando desenvolvedores. A lista de vulnerabilidades críticas, incluindo CVEs relevantes, continua a crescer, exigindo atenção imediata das organizações para mitigar riscos.

Fraude em telecomunicações usa CAPTCHA falso para enganar usuários

Pesquisadores de cibersegurança revelaram uma campanha de fraude em telecomunicações que utiliza truques de verificação CAPTCHA falsos para enganar usuários desavisados a enviar mensagens de texto internacionais, resultando em cobranças em suas contas de celular. De acordo com um relatório da Infoblox, a operação está ativa desde junho de 2020 e envolve engenharia social e sequestro do botão ‘voltar’ em navegadores. A fraude, conhecida como International Revenue Share Fraud (IRSF), utiliza números de telefone registrados em países com altas taxas de terminação e colaborações com provedores locais para maximizar os lucros. Os usuários são redirecionados para páginas falsas que solicitam o envio de SMS para ‘confirmar que são humanos’, resultando em cobranças de até $30 por até 60 mensagens enviadas a 15 números diferentes. A campanha também se aproveita de cookies para rastrear o progresso dos usuários e utiliza técnicas de redirecionamento para manter as vítimas presas em um ciclo de navegação. Essa operação prejudica tanto os indivíduos, que enfrentam cobranças inesperadas, quanto as operadoras de telecomunicações, que arcam com as perdas decorrentes de disputas de clientes.

Quem é o LAPSUS e por que é um dos grupos hackers mais temidos

O LAPSUS$ é um grupo de hackers que ganhou notoriedade internacional desde 2020, especialmente por seus ataques a grandes empresas de tecnologia, como Microsoft e Nvidia. Com uma abordagem agressiva, o grupo se destaca por roubar códigos-fonte e dados sensíveis, utilizando táticas de engenharia social para obter acesso legítimo aos sistemas das vítimas. Em 2022, o LAPSUS$ invadiu a Microsoft, acessando 37 GB de dados, e a Nvidia, de onde extraiu 1 TB de informações. O grupo também atacou o Ministério da Saúde do Brasil em 2021, comprometendo dados relacionados à vacinação contra a Covid-19. A maioria dos membros do LAPSUS$ é composta por adolescentes, o que surpreendeu as autoridades durante as investigações. Apesar de algumas prisões e esforços para desmantelar a organização, o LAPSUS$ continua ativo, como evidenciado pelo recente ataque à AstraZeneca, onde 3 GB de dados foram roubados. As empresas devem redobrar a atenção em suas práticas de segurança, especialmente em relação à proteção de credenciais e à mitigação de riscos associados à engenharia social.

Grupo de ameaças UNC6692 utiliza engenharia social para roubo de dados

O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.

Golpes online com figurinhas da Copa do Mundo ameaçam fãs

Com a proximidade da Copa do Mundo de 2026, golpistas estão aproveitando a oportunidade para aplicar fraudes online, especialmente relacionadas à venda de figurinhas e álbuns do evento. Um estudo da Kaspersky revelou a existência de pelo menos 20 domínios falsos que imitam a marca da FIFA, oferecendo produtos a preços muito abaixo do mercado. Por exemplo, um site fraudulento anuncia pacotes de figurinhas por R$ 34,90, enquanto o preço oficial é de R$ 70. Esses sites são projetados para parecerem legítimos, com elementos como frete grátis e uma falsa central de atendimento. O pagamento é solicitado via Pix, direcionando os valores para contas laranja em fintechs. Os golpistas utilizam técnicas de engenharia social, explorando a emoção dos fãs e criando um senso de urgência para induzir pagamentos rápidos. Especialistas alertam que a tendência é que esses golpes se tornem ainda mais sofisticados à medida que a Copa se aproxima. Para evitar cair nessas fraudes, recomenda-se visitar apenas canais oficiais da FIFA, evitar links suspeitos e verificar a autenticidade dos domínios.

Golpes invisíveis com Pix e QR Code como se proteger

O sistema de pagamentos instantâneos Pix, amplamente utilizado no Brasil, tem sido alvo de diversos golpes que exploram a pressa e a confiança dos usuários. Os criminosos utilizam QR codes adulterados, que podem ser colados sobre códigos legítimos em lojas, ou enviam links de pagamento via mensagens, muitas vezes com urgência, para induzir a transferência de valores. A engenharia social é uma tática comum, onde golpistas se passam por conhecidos ou representantes de empresas, criando histórias convincentes para justificar a solicitação de um Pix. Para evitar cair nesses golpes, é fundamental verificar sempre o nome e o CPF ou CNPJ do recebedor, além de confirmar o valor da transação. Caso a vítima caia em um golpe, o Banco Central recomenda que a pessoa entre em contato com o banco imediatamente e registre a ocorrência, pois há mecanismos para tentar recuperar o valor perdido. A conscientização e a cautela são essenciais para garantir a segurança nas transações financeiras digitais.

Grupo UNC6692 usa engenharia social via Teams para implantar malware

Um novo grupo de ameaças cibernéticas, identificado como UNC6692, tem utilizado táticas de engenharia social através do Microsoft Teams para implantar uma suíte de malware em sistemas comprometidos. Segundo um relatório da Mandiant, o grupo se aproveita da confiança dos usuários ao se passar por funcionários de suporte técnico, convencendo as vítimas a aceitarem convites de chat de contas externas. A campanha inclui um bombardeio de e-mails de spam, criando uma falsa urgência que leva os alvos a buscar ajuda. O ataque é direcionado principalmente a executivos e funcionários de alto escalão, visando acesso inicial a redes corporativas para roubo de dados e movimentação lateral. O método envolve o uso de um link de phishing que leva ao download de um script malicioso, que instala uma extensão de navegador chamada SNOWBELT, permitindo ao atacante executar comandos remotamente. A Mandiant destaca que essa abordagem combina a exploração de serviços em nuvem legítimos para entrega de payloads e exfiltração de dados, o que dificulta a detecção por filtros de segurança tradicionais. A situação é preocupante, pois demonstra uma evolução nas táticas de ataque, com um foco crescente em alvos de alto valor dentro das organizações.

Ataques a senhas como a engenharia social compromete a segurança

Um estudo da Forrester estima que cada redefinição de senha custa cerca de $70, o que torna esse processo um dos pedidos mais comuns ao suporte técnico. Muitas organizações implementaram ferramentas de redefinição de senha autônoma (SSPR) para aliviar essa carga, mas ainda assim, as equipes de suporte lidam com um número significativo de solicitações. Os ataques de engenharia social, como o ocorrido com a Marks & Spencer em abril de 2025, demonstram como a redefinição de senha pode ser um alvo fácil para atacantes. Neste caso, os invasores se passaram por um funcionário da empresa e conseguiram redefinir uma senha, obtendo credenciais legítimas e acessando o Active Directory. A partir daí, eles extraíram dados sensíveis e implantaram ransomware, resultando em perdas significativas. Para mitigar esses riscos, recomenda-se a adoção de práticas como a verificação rigorosa da identidade do usuário, o uso de credenciais temporárias seguras e o monitoramento das atividades de redefinição de senha. Ferramentas como o Specops Secure Service Desk podem ajudar a fortalecer esse processo, garantindo que a verificação de identidade não dependa apenas de informações que podem ser facilmente obtidas ou adivinhadas.

Vercel identifica novos casos de contas comprometidas em incidente de segurança

A Vercel, empresa responsável pelo framework Next.js, anunciou a descoberta de um novo conjunto de contas de clientes comprometidas em um incidente de segurança que permitiu acesso não autorizado a seus sistemas internos. A investigação revelou que algumas contas já apresentavam indícios de comprometimento anterior, possivelmente devido a engenharia social ou malware. O ataque inicial foi atribuído a uma violação na Context.ai, que resultou no controle da conta Google Workspace de um funcionário da Vercel, permitindo que o invasor acessasse o ambiente da Vercel. A análise adicional indicou que um funcionário da Context.ai foi infectado pelo malware Lumma Stealer, sugerindo que esse evento pode ter sido o ponto de partida para a cadeia de ações maliciosas. A Vercel notificou os clientes afetados, mas não divulgou o número exato de contas comprometidas. A situação destaca os riscos associados ao uso de integrações OAuth, que, embora úteis, podem ser exploradas por atacantes para evitar controles de segurança. A velocidade e a capacidade dos atacantes de explorar ambientes internos antes da detecção representam um desafio significativo para as equipes de defesa.

Chamadas fraudulentas uma nova era de cibercrime organizado

As chamadas fraudulentas se tornaram uma realidade diária para milhões de pessoas em todo o mundo, com vítimas sendo alvo de agentes que se passam por autoridades, representantes de bancos e suporte técnico. Em 2023, cidadãos idosos nos EUA perderam cerca de US$ 3,4 bilhões devido a esse tipo de crime, que também causa danos emocionais significativos. O conceito de ‘Caller-as-a-Service’ representa uma evolução no cibercrime, onde as operações se tornaram altamente organizadas e profissionais, com papéis bem definidos, como desenvolvedores de malware, analistas de dados e, claro, os próprios scam callers. Esses criminosos agora utilizam táticas de recrutamento sofisticadas, buscando candidatos com habilidades específicas, como fluência em inglês e experiência prévia em fraudes. Além disso, os modelos de compensação variam, podendo incluir pagamentos fixos ou baseados em sucesso, refletindo uma estrutura de mercado que se assemelha a empresas legítimas. Essa profissionalização do crime cibernético não apenas aumenta a eficiência das operações, mas também reduz a barreira de entrada para novos criminosos, tornando a fraude mais acessível e impactante.

Golpe massivo com IA invade feeds do Google Discover

Uma nova campanha de fraude digital, chamada Pushpaganda, está utilizando inteligência artificial para enganar usuários do Google Discover, inundando dispositivos com alertas falsos e notificações enganosas. Segundo a equipe de inteligência de ameaças Satori da HUMAN, essa operação é um exemplo de engenharia social em grande escala. Os golpistas criaram 113 domínios e usaram ferramentas de IA para gerar artigos e imagens sensacionalistas que atraem cliques. Uma vez que o usuário acessa um dos sites manipulados, é incentivado a ativar notificações push, que posteriormente enviam alertas ameaçadores sem relação com o site original. Os tipos de notificações incluem avisos falsos de mandados de prisão, depósitos bancários inexistentes e promessas de smartphones com câmeras de 300MP. A campanha, que inicialmente visava usuários na Índia, se espalhou para países como Estados Unidos, Austrália e Reino Unido, gerando cerca de 240 milhões de solicitações de anúncios em uma semana. A Google afirmou que está combatendo a maioria do spam no Discover, mas recomenda que os usuários não ativem notificações de sites desconhecidos e que revisem suas configurações de notificações para bloquear domínios suspeitos.

Agência francesa ANTS revela vazamento de dados de cidadãos

A Agência Nacional de Documentos Seguros da França (ANTS) anunciou um vazamento de dados após um ataque cibernético que comprometeu informações de cidadãos. O incidente, detectado em 15 de abril de 2026, pode ter exposto dados como endereços de e-mail, datas de nascimento, identificadores de conta, endereços postais, locais de nascimento e números de telefone de um número não divulgado de indivíduos. Embora a ANTS tenha afirmado que as informações expostas não permitem acesso não autorizado aos seus portais eletrônicos, os dados podem ser utilizados em ataques de phishing e engenharia social. A agência está notificando os afetados e alertou para a necessidade de vigilância em relação a comunicações suspeitas. Um ator de ameaças, conhecido como ‘breach3d’, reivindicou a responsabilidade pelo ataque, alegando ter em sua posse até 19 milhões de registros, que incluem nomes completos, detalhes de contato e informações pessoais. A ANTS notificou as autoridades de proteção de dados e a agência nacional de cibersegurança da França, ressaltando que a venda ou disseminação dos dados é ilegal.