Engenharia Social

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Cibercriminosos estão cada vez mais direcionando suas operações fraudulentas a populações vulneráveis, especialmente idosos, utilizando táticas sofisticadas de engenharia social. Em 2024, o Centro de Queixas de Crimes na Internet do FBI (IC3) registrou perdas de US$ 4,8 bilhões entre vítimas com 60 anos ou mais, quase o dobro de qualquer outro grupo etário. Um relatório da Graphika destaca uma rede internacional de fraudadores ativos em plataformas de mídia social, como Facebook e Instagram, que utilizam sites clonados, vozes geradas por IA e credenciais fabricadas para dar credibilidade a esquemas fraudulentos. Os golpistas frequentemente se passam por entidades conhecidas, como agências governamentais e organizações de caridade, para atrair vítimas. Uma vez estabelecida a confiança, os alvos são direcionados para portais de phishing que solicitam informações pessoais e financeiras. As campanhas fraudulentas, que se disfarçam como ‘ajudas financeiras’ ou ‘programas de verificação de beneficiários’, exploram as ansiedades financeiras das vítimas. A análise da Graphika revela que esses golpistas utilizam automação e campanhas publicitárias de curta duração para manter suas operações. A natureza multifacetada desses golpes aumenta sua persistência e alcance, levando a uma necessidade urgente de conscientização e educação sobre fraudes online, especialmente entre os idosos.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Uma nova campanha de phishing tem se espalhado na América Latina, utilizando notificações judiciais em espanhol para disseminar o trojan de acesso remoto AsyncRAT. Pesquisadores de segurança identificaram que os hackers estão escondendo seus códigos maliciosos dentro de arquivos de imagem SVG, uma técnica que permite que scripts maliciosos evitem a detecção por gateways de e-mail tradicionais e antivírus.

O ataque, que visa especificamente usuários na Colômbia, começa com um e-mail disfarçado como uma comunicação legítima do ‘Juzgado 17 Civil Municipal del Circuito de Bogotá’, que apresenta um arquivo anexo chamado ‘Fiscalia General De La Nacion Juzgado Civil 17.svg’. Ao abrir o arquivo, um script JavaScript malicioso é ativado, levando a uma série de downloads que culminam na instalação do AsyncRAT, que permite controle remoto ao atacante.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

ClayRat é uma nova campanha de spyware para Android que tem ganhado destaque, especialmente entre usuários de língua russa. Nos últimos três meses, pesquisadores da zLabs identificaram mais de 600 amostras únicas e 50 droppers associados a essa ameaça. O ClayRat utiliza engenharia social e sites de phishing para enganar as vítimas, fazendo-as instalar APKs maliciosos disfarçados de aplicativos legítimos como WhatsApp e Google Photos.

Os atacantes registram domínios semelhantes aos oficiais e criam páginas de destino que redirecionam para canais do Telegram, onde comentários manipulados e contagens de downloads inflacionadas ajudam a reduzir a desconfiança. Uma vez instalado, o spyware obtém acesso a mensagens SMS, registros de chamadas e informações do dispositivo, além de capturar fotos pela câmera frontal e enviar mensagens SMS sem o consentimento do usuário.

O iFood, um dos principais aplicativos de delivery do Brasil, está enfrentando um ataque coordenado de espionagem corporativa, conforme relatado pelo CEO Diego Barreto. Nos últimos meses, mais de 170 mensagens foram enviadas a funcionários da empresa, principalmente executivos das áreas de Negócio, Tecnologia e Comercial, com ofertas de pagamento que variavam de US$ 250 a R$ 5,5 mil em troca de informações sensíveis. As comunicações, que se apresentavam como consultas de mercado, rapidamente se transformaram em solicitações de dados críticos, como faturamento e estratégias de precificação. Barreto enfatizou que essas abordagens são antiéticas e ilegais, levando o iFood a implementar novos protocolos de segurança e a notificar as autoridades. Concorrentes como Ketta e 99Food negaram envolvimento em espionagem, enquanto a Rappi não comentou o caso. O incidente destaca a vulnerabilidade das empresas a ataques de engenharia social e a necessidade de reforço nas medidas de segurança interna.

Um novo site de vazamento foi lançado pelo grupo de hackers conhecido como Scattered Lapsus$ Hunters, visando a extorsão de empresas que utilizam a plataforma Salesforce. O site, hospedado na rede Tor, exige pagamentos de resgate em troca da remoção de dados roubados. A origem desse ataque remonta ao final de 2024, quando os hackers utilizaram táticas de engenharia social, como o vishing, para obter acesso a ambientes corporativos da Salesforce. Eles conseguiram comprometer a plataforma Salesloft, extraindo credenciais e chaves de acesso armazenadas em repositórios de código. Isso permitiu que os atacantes acessassem o ambiente de nuvem da Salesloft, coletando tokens OAuth que possibilitaram a movimentação lateral em sistemas integrados. O site de extorsão foi lançado em 3 de outubro de 2025, listando clientes afetados e a quantidade de dados roubados, com um prazo para pagamento até 10 de outubro. Embora a Salesforce tenha afirmado que sua plataforma principal não foi comprometida, a flexibilidade de integração da plataforma apresenta riscos significativos. Especialistas em segurança recomendam a implementação de controles rigorosos sobre permissões de API e a adoção de autenticação multifator para mitigar esses riscos.

Um novo grupo de ameaças cibernéticas, conhecido como BatShadow, originário do Vietnã, está sendo associado a uma campanha que utiliza táticas de engenharia social para enganar profissionais em busca de emprego e de marketing digital. Os atacantes se passam por recrutadores, enviando arquivos maliciosos disfarçados de descrições de trabalho e documentos corporativos. Ao serem abertos, esses arquivos iniciam uma cadeia de infecção de um malware inédito chamado Vampire Bot, desenvolvido em Go.

Uma nova campanha de spear phishing foi descoberta pela Blackpoint Cyber, visando executivos e funcionários de alto escalão. Os hackers exploram a confiança dos usuários em documentos sensíveis, como passaportes e arquivos de pagamento, utilizando documentos certificados falsos. Um dos métodos utilizados envolve o envio de arquivos ZIP que, ao serem abertos, revelam atalhos do Windows disfarçados. Esses atalhos ativam um script PowerShell que baixa malware de um site controlado pelos atacantes. O malware se camufla como uma apresentação de PowerPoint, evitando a detecção. Além disso, ele verifica a presença de antivírus no sistema, adaptando seu comportamento conforme a segurança encontrada. Esse tipo de ataque, conhecido como ’living off the land’, permite que os hackers contornem ferramentas de segurança, estabelecendo uma conexão com um servidor de comando e controle, o que possibilita o acesso remoto ao computador da vítima. A engenharia social utilizada torna o ataque ainda mais convincente, exigindo que os usuários sejam cautelosos ao abrir anexos, mesmo que pareçam legítimos.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

O doxxing é a prática criminosa de expor informações pessoais de indivíduos na internet sem seu consentimento, frequentemente com objetivos maliciosos como assédio e intimidação. O termo deriva da expressão ‘dropping documents’ e ganhou notoriedade com o vazamento de dados de figuras públicas, como streamers e criadores de conteúdo. Os doxxers geralmente não precisam ser hackers; muitas vezes, eles coletam informações disponíveis publicamente em redes sociais, registros públicos e por meio de engenharia social. Para se proteger, é essencial auditar as configurações de privacidade nas redes sociais, realizar buscas periódicas sobre suas informações na internet e usar senhas fortes e autenticação de dois fatores. Caso alguém se torne vítima de doxxing, é crucial documentar o incidente, denunciar nas plataformas afetadas e notificar amigos e familiares. O doxxing representa uma ameaça real no ambiente digital, e a prevenção é a melhor defesa contra essa prática.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

Pesquisadores de cibersegurança da SentinelOne apresentaram no LABScon 2025 a descoberta do MalTerminal, um malware que incorpora capacidades de Modelos de Linguagem de Grande Escala (LLMs). Este malware, que utiliza a API do OpenAI GPT-4, é capaz de gerar dinamicamente códigos de ransomware ou shells reversos. Embora não haja evidências de que tenha sido utilizado em ataques reais, sua existência representa um marco na evolução das técnicas de ataque, com a introdução de malwares que podem gerar lógica maliciosa em tempo real. Além disso, a pesquisa revelou que criminosos cibernéticos estão utilizando prompts ocultos em e-mails de phishing para enganar scanners de segurança baseados em IA, aumentando a eficácia desses ataques. O uso de ferramentas de IA generativa por cibercriminosos está se tornando uma tendência preocupante, com um aumento nas campanhas de engenharia social que exploram plataformas de hospedagem de sites para criar páginas de phishing. Esse cenário exige atenção redobrada das empresas, especialmente em relação à segurança de suas comunicações eletrônicas e à proteção de dados sensíveis.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

Um novo relatório da Netcraft revela que as ofertas de Phishing-as-a-Service (PhaaS), como Lighthouse e Lucid, estão associadas a mais de 17.500 domínios de phishing que visam 316 marcas em 74 países. Esses serviços operam com uma taxa mensal e oferecem kits de phishing com templates que imitam diversas marcas. O grupo XinXin, de língua chinesa, é apontado como o responsável por essas operações, utilizando também outros kits como Darcula. As campanhas de phishing são altamente personalizadas, permitindo que apenas alvos específicos acessem os links fraudulentos, enquanto usuários não-alvo são redirecionados para páginas genéricas. Além disso, houve um aumento de 25% nos ataques de phishing via e-mail, com criminosos utilizando serviços como EmailJS para coletar credenciais. A pesquisa também destaca o uso de domínios semelhantes, como ataques homoglíficos, que enganam usuários ao imitar URLs legítimas. Recentemente, marcas americanas foram alvo de fraudes que prometiam ganhos financeiros em troca de depósitos em criptomoedas. Este cenário evidencia a evolução e a colaboração entre grupos de cibercriminosos, tornando a detecção e mitigação de tais ameaças cada vez mais desafiadoras.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

Pesquisadores das empresas Red Canary e Zscaler identificaram novas táticas de phishing que utilizam atualizações falsas do navegador Chrome para disseminar ransomware. Essas campanhas têm se tornado cada vez mais sofisticadas, explorando não apenas mensagens enganosas sobre atualizações, mas também convites para reuniões em plataformas como Zoom e Teams, além de formulários de imposto de renda que parecem legítimos até para funcionários do governo. Uma das táticas mais comuns envolve a instalação de um instalador ITarian ao clicar em um botão de atualização falso, permitindo que os hackers tenham acesso administrativo aos sistemas. Alex Berninger, da Red Canary, destaca que a educação dos usuários é crucial, mas não suficiente, pois as técnicas de phishing estão em constante evolução. Para se proteger, as empresas devem implementar monitoramento de redes, detecção de endpoints e controles de ferramentas de gerenciamento remoto (RMM). Além disso, recomenda-se que os usuários instalem softwares apenas de fontes oficiais e utilizem serviços como VirusTotal para verificar arquivos suspeitos.

Uma nova variante do malware BeaverTail, associada a operadores estatais da Coreia do Norte, está sendo utilizada para atacar o setor de varejo e criptomoedas. Desde maio de 2025, os atacantes têm refinado sua infraestrutura de distribuição de malware, utilizando executáveis compilados e iscas de engenharia social através de uma plataforma de contratação falsa. Essa abordagem visa expandir o número de vítimas potenciais, focando em funções de marketing e vendas, ao invés de apenas desenvolvedores de software.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores em cibersegurança alertaram sobre uma nova campanha que utiliza uma variante da tática de engenharia social chamada FileFix para disseminar o malware StealC, um ladrão de informações. A campanha se destaca por empregar um site de phishing multilíngue altamente convincente, como uma página falsa de segurança do Facebook, que utiliza técnicas de anti-análise e ofuscação avançada para evitar a detecção. O ataque começa com um e-mail que alerta os usuários sobre a possível suspensão de suas contas do Facebook, levando-os a um site de phishing onde são induzidos a clicar em um botão para apelar da decisão. Ao clicar, os usuários são instruídos a copiar e colar um caminho para um documento em uma barra de endereços do File Explorer, mas na verdade, estão executando um comando malicioso que baixa e executa um script PowerShell. Este script, por sua vez, baixa um carregador que descompacta o código shell responsável por ativar o StealC. A técnica FileFix se diferencia de outras abordagens, como ClickFix, ao explorar uma funcionalidade comum dos navegadores, tornando a detecção mais difícil. A complexidade e o investimento na infraestrutura de phishing demonstram a sofisticação dos atacantes, que buscam maximizar o impacto e a evasão das defesas de segurança.

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.

A Engenharia Social é uma técnica de manipulação psicológica utilizada por golpistas para obter informações pessoais e financeiras de suas vítimas. Ao invés de depender de tecnologia complexa, esses criminosos exploram a confiança e a urgência, criando cenários que induzem as pessoas a agir rapidamente, como mensagens que alertam sobre contas bloqueadas ou prêmios inesperados. Os métodos mais comuns incluem phishing, spear phishing, vishing, smishing, baiting e pretexting, cada um com suas particularidades. Para se proteger, é fundamental estar atento a sinais de alerta, como erros de gramática, endereços de e-mail suspeitos e solicitações de informações sensíveis. Além disso, recomenda-se a ativação da autenticação de dois fatores e a verificação de comunicações através de canais oficiais. A conscientização sobre esses golpes é crucial, pois mesmo pessoas experientes em tecnologia podem ser enganadas. Compartilhar informações sobre Engenharia Social pode ajudar a proteger amigos e familiares, especialmente os mais vulneráveis, como crianças e idosos.

O phishing é uma técnica de ataque cibernético que utiliza engenharia social para enganar usuários e roubar informações sensíveis, como dados bancários e pessoais. Os criminosos criam mensagens falsas, geralmente via e-mail ou SMS, que parecem legítimas, induzindo as vítimas a clicar em links ou fornecer informações. Os ataques de phishing podem ser classificados em várias categorias, incluindo phishing tradicional, spear phishing, whaling, smishing e vishing, cada um com diferentes níveis de sofisticação e alvo. Para se proteger, é essencial ativar a autenticação de dois fatores, usar senhas fortes e únicas, e manter softwares atualizados. Além disso, é importante educar amigos e familiares sobre os riscos e sinais de alerta, como remetentes suspeitos e erros de gramática em comunicações. Caso alguém caia em um golpe, é fundamental agir rapidamente para minimizar os danos.

Um novo relatório da equipe de segurança da Microsoft revela um ataque de engenharia social chamado ClickFix, que tem enganado usuários a executar comandos em seus computadores, resultando em invasões. O ataque se disfarça de CAPTCHA, uma verificação comum para distinguir humanos de bots, mas solicita que a vítima execute uma série de comandos que culminam na execução de códigos maliciosos. O processo envolve pressionar as teclas Windows + R, colar um comando fornecido pelos cibercriminosos e executá-lo, o que pode permitir acesso remoto ao dispositivo e roubo de informações sensíveis, como senhas e dados de cartões de crédito.

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

Pesquisadores em cibersegurança alertam sobre uma sofisticada campanha de engenharia social, denominada ZipLine, que visa empresas de manufatura críticas para a cadeia de suprimentos. Utilizando um malware em memória chamado MixShell, os atacantes iniciam contato por meio de formulários de ‘Contato’ em sites corporativos, enganando funcionários e estabelecendo conversas profissionais que podem durar semanas. Após esse período, enviam arquivos ZIP armados com o malware. Os alvos principais incluem empresas de manufatura industrial, biotecnologia e farmacêuticas, com foco em entidades baseadas nos EUA, mas também atingindo países como Singapura, Japão e Suíça. O ZipLine se destaca por evitar táticas de medo, utilizando uma abordagem paciente que se aproveita da confiança nas comunicações empresariais. O MixShell é projetado para executar comandos remotamente e infiltrar redes de forma discreta, utilizando técnicas avançadas de evasão. A campanha representa riscos significativos, incluindo roubo de propriedade intelectual e ataques de ransomware, exigindo que as empresas adotem defesas proativas e uma cultura de vigilância.

O grupo de ameaças conhecido como UNC6384, vinculado à China, tem sido responsável por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades globais, com o objetivo de promover os interesses estratégicos de Pequim. A campanha, detectada em março de 2025, utiliza técnicas avançadas de engenharia social, incluindo certificados de assinatura de código válidos e ataques do tipo adversário-no-meio (AitM), para evitar a detecção. O ataque começa com um redirecionamento de portal cativo que desvia o tráfego da web para um site controlado pelo atacante, onde um downloader chamado STATICPLUGIN é baixado. Este downloader, que se disfarça como uma atualização de plugin da Adobe, instala um backdoor conhecido como SOGU.SEC, que permite a exfiltração de arquivos e o controle remoto do sistema. O uso de certificados válidos e técnicas de engenharia social sofisticadas demonstra a evolução das capacidades operacionais do UNC6384. Este tipo de ataque representa uma ameaça significativa, especialmente para organizações que operam em setores sensíveis, como diplomacia e segurança nacional.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.

Noah Michael Urban, um jovem de 20 anos da Flórida, conhecido como “King Bob” nas comunidades de música online, foi condenado a 10 anos de prisão federal após se declarar culpado por conspiração, fraude eletrônica e roubo de identidade agravado. Além da pena de prisão, Urban foi condenado a pagar US$ 13 milhões em restituição a 59 vítimas de roubo de criptomoedas, ligadas à sua participação na organização criminosa “Scattered Spider”. Urban ganhou notoriedade por vazar músicas não lançadas de artistas renomados, utilizando táticas de cibercrime sofisticadas, como ataques de troca de SIM, que lhe permitiram acessar contas de executivos da indústria musical. Sua atuação não se limitou à pirataria musical; ele também foi um membro chave do Scattered Spider, que se especializa em ataques de engenharia social contra grandes corporações, incluindo ataques a cassinos em Las Vegas que resultaram em milhões de dólares em danos. A investigação federal que levou à sua prisão revelou que Urban e seus cúmplices roubaram pelo menos US$ 800 mil de cinco vítimas na Flórida, utilizando técnicas de troca de SIM para obter informações pessoais e contornar autenticações de dois fatores. O caso destaca a interseção entre pirataria na indústria do entretenimento e crimes cibernéticos graves, evidenciando como indivíduos podem transitar de atividades aparentemente inofensivas para empreendimentos criminosos internacionais.

Um novo ataque de engenharia social sofisticado está direcionado a usuários de contas do Google, onde golpistas se fazem passar por representantes de suporte da empresa para obter informações de login. O ataque começa com tentativas não autorizadas de recuperação de conta, originadas de locais internacionais, como França e Inglaterra, que criam uma sensação de urgência. Após alguns dias, as vítimas recebem chamadas de um número que parece ser o suporte legítimo do Google, +1 (650) 253-0000. O golpista, que fala com um sotaque americano convincente, menciona as tentativas de acesso não autorizado e pede permissão para enviar um prompt de recuperação de conta ao dispositivo da vítima. Durante a ligação, o golpista inicia um processo legítimo de recuperação de conta, fazendo com que a notificação pareça autêntica. No entanto, aceitar essa solicitação concede controle total da conta ao atacante. Os usuários devem estar cientes de que o Google nunca faz chamadas não solicitadas sobre questões de segurança e devem sempre iniciar qualquer processo de recuperação por conta própria. É crucial que os usuários rejeitem qualquer solicitação de recuperação recebida durante chamadas não solicitadas.

O malware conhecido como noodlophile está se tornando cada vez mais sofisticado em suas táticas de infecção, utilizando e-mails de notificação do Facebook para enganar usuários. Essa técnica, chamada spear-phishing, se baseia em engenharia social para criar mensagens que parecem extremamente legítimas. O objetivo principal do noodlophile é roubar informações armazenadas nos navegadores, incluindo cookies, histórico de navegação e senhas de serviços online. A fraude se apresenta como uma notificação de violação de direitos autorais, imitando nomes de empresas e IDs de páginas que o usuário administra, o que aumenta a credibilidade do golpe.