Engenharia Social

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Uma análise da Trend Micro revelou a evolução da campanha maliciosa Water Saci, que utiliza o malware SORVEPOTEL para se propagar através do WhatsApp Web, especialmente entre usuários brasileiros. Os hackers mudaram suas táticas, substituindo o código PowerShell por Python, o que aumentou a compatibilidade com navegadores e a eficiência na automação do ataque. A campanha se baseia em engenharia social, induzindo os usuários a interagir com conteúdos maliciosos, como arquivos ZIP e PDF, além de mensagens fraudulentas que simulam atualizações do Adobe Acrobat.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

O FBI emitiu um alerta sobre um novo golpe que utiliza fotos e vídeos de redes sociais, como o Instagram, para realizar sequestros virtuais e extorsões. Os cibercriminosos alteram imagens de vítimas para criar cenários convincentes e, em seguida, entram em contato com as famílias, alegando que sequestraram um membro da família. Para a liberação do suposto refém, exigem um pagamento de resgate. Os golpistas também podem usar informações reais de pessoas desaparecidas, aumentando a credibilidade do golpe. A técnica de engenharia social é utilizada para provocar medo e urgência, levando as vítimas a agir impulsivamente. O FBI recomenda que as pessoas verifiquem a veracidade das alegações antes de tomar qualquer ação e que evitem compartilhar informações pessoais nas redes sociais. Além disso, é importante que as famílias tentem contatar a suposta vítima antes de realizar qualquer pagamento. O uso de inteligência artificial para modificar imagens é uma preocupação crescente, tornando os golpes mais sofisticados e difíceis de detectar.

O phishing é uma técnica de cibercrime que visa enganar usuários para coletar dados sensíveis, como senhas e informações bancárias. Desde sua origem nos anos 1990, essa prática evoluiu, utilizando engenharia social e tecnologias avançadas, como inteligência artificial, para criar ataques mais sofisticados. Os cibercriminosos manipulam as vítimas por meio de mensagens que geram urgência ou curiosidade, como alertas de contas bloqueadas ou ofertas imperdíveis. Para se proteger, é essencial saber identificar e-mails falsos. Sinais básicos incluem verificar o remetente, usar o teste do mouseover para checar links e desconfiar de saudações genéricas. Além disso, técnicas mais avançadas, como spoofing de domínio e ataques homográficos, são frequentemente utilizadas para enganar os usuários. Para evitar ser enganado, recomenda-se não interagir com mensagens suspeitas, não clicar em links e utilizar ferramentas de análise para verificar a segurança de links. A desconfiança é a melhor defesa contra esses ataques.

Com o aumento das tecnologias de inteligência artificial, o phishing se tornou uma ameaça ainda mais comum na internet. Essa técnica de engenharia social manipula usuários para que acreditem que estão acessando serviços legítimos, levando-os a clicar em links maliciosos. Para se proteger, o artigo sugere algumas estratégias. A primeira é verificar a URL no VirusTotal, uma ferramenta que analisa links e arquivos em busca de malwares. Embora útil, essa abordagem não é infalível, já que domínios de phishing podem mudar rapidamente. Outra dica é passar o cursor sobre o link antes de clicar, permitindo que o usuário veja o endereço real. Se o link parecer suspeito, é importante compará-lo com o site oficial da empresa. Para uma investigação mais profunda, o artigo recomenda usar o ICANN para verificar a infraestrutura do domínio. Além disso, o uso de gerenciadores de senhas e autenticação em dois fatores pode aumentar a segurança. O artigo enfatiza a importância de não clicar em links recebidos por mensagens, preferindo acessar sites diretamente por meio de buscadores. Essas práticas são essenciais para evitar cair em golpes de phishing.

Um novo ataque cibernético, atribuído ao grupo GoldFactory, está afetando usuários móveis na Indonésia, Tailândia e Vietnã. Desde outubro de 2024, os criminosos têm distribuído aplicativos bancários modificados que atuam como vetores para malware no sistema Android. O grupo, que opera desde junho de 2023, utiliza táticas de engenharia social, como se passar por serviços governamentais, para induzir as vítimas a instalar o malware. Mais de 300 amostras de aplicativos alterados foram identificadas, resultando em cerca de 11.000 infecções. Os atacantes utilizam chamadas telefônicas para persuadir as vítimas a baixar aplicativos maliciosos através de links enviados por aplicativos de mensagens. O malware injetado permite o controle remoto dos dispositivos, ocultando funcionalidades e contornando medidas de segurança. Além disso, uma nova variante de malware, chamada Gigaflower, foi descoberta, prometendo funcionalidades ainda mais sofisticadas. A mudança na abordagem do grupo, que agora orienta as vítimas a usar dispositivos Android emprestados, sugere uma adaptação às rigorosas medidas de segurança da Apple. Este cenário destaca a necessidade urgente de vigilância e proteção contra ameaças emergentes no setor financeiro.

Um novo malware para Android, chamado Albiriox, foi identificado como parte de um modelo de malware-as-a-service (MaaS), oferecendo uma gama completa de funcionalidades para facilitar fraudes em dispositivos. O malware contém uma lista codificada de mais de 400 aplicativos, incluindo bancos e plataformas de criptomoedas. Os pesquisadores da Cleafy relataram que o Albiriox é distribuído por meio de aplicativos dropper, utilizando técnicas de engenharia social para enganar os usuários. Uma vez instalado, o malware solicita permissões para instalar outros aplicativos, permitindo o controle remoto do dispositivo. O Albiriox utiliza uma conexão TCP não criptografada para comunicação com o comando e controle (C2), permitindo que os atacantes executem comandos remotamente e capturem informações sensíveis. Além disso, o malware é capaz de realizar ataques de sobreposição em aplicativos bancários, roubando credenciais sem que os usuários percebam. A ameaça é particularmente relevante para usuários na Áustria, onde campanhas específicas foram observadas. A disseminação de ferramentas de cibercrime como o Albiriox representa um risco crescente para a segurança dos dispositivos móveis, especialmente em um cenário onde a fraude em dispositivos está se tornando cada vez mais sofisticada.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

Pesquisadores de segurança da Huntress identificaram uma nova tática do malware ClickFix, que utiliza esteganografia para esconder códigos maliciosos em imagens PNG. Os cibercriminosos imitam atualizações críticas do Windows para enganar os usuários, que precisam copiar e colar comandos no prompt de comando para ativar o malware. Essa variante do ClickFix, que também inclui infostealers como LummaC2 e Rhadamantys, foi observada pela primeira vez em outubro de 2025. O ataque envolve a execução de código JavaScript através do binário nativo do Windows, mshta, e utiliza PowerShell e assembly .NET para extrair o payload malicioso. Apesar de parte da infraestrutura hacker ter sido desmantelada em uma operação em novembro, domínios falsos de atualização do Windows ainda estão ativos. Para se proteger, a Huntress recomenda monitorar processos suspeitos e desconfiar de comandos desconhecidos. A situação destaca a necessidade de vigilância constante contra técnicas de engenharia social cada vez mais sofisticadas.

Em um recente evento, a Norton apresentou dados alarmantes sobre o aumento de ciberataques no Brasil, destacando o uso crescente de inteligência artificial (IA) em golpes de engenharia social. A pesquisa revelou que 68% dos brasileiros estão mais preocupados com fraudes online do que no ano anterior, e 74% temem pela segurança de seus dados pessoais. A sofisticação dos ataques inclui a combinação de SMS, e-mails e redes sociais, utilizando conteúdos gerados por IA, como deepfakes, para enganar as vítimas. A Norton, em resposta, atualizou suas ferramentas de segurança, como o Norton Scam Protection, que agora conta com o Norton Genie AI, capaz de identificar e bloquear golpes em tempo real, especialmente em mensagens SMS. A empresa bloqueia cerca de 110 tentativas de golpe relacionadas à engenharia social por segundo, evidenciando a gravidade da situação. Com 65% dos brasileiros incapazes de identificar golpes gerados por IA, a necessidade de soluções eficazes de cibersegurança se torna ainda mais urgente.

O FBI alertou sobre um aumento significativo em fraudes de roubo de contas (ATO) nos Estados Unidos, onde cibercriminosos estão se passando por instituições financeiras para roubar dinheiro e informações sensíveis. Desde o início do ano, mais de 5.100 queixas foram registradas, resultando em perdas superiores a US$ 262 milhões. Os ataques geralmente envolvem técnicas de engenharia social, como mensagens de texto, chamadas e e-mails que exploram o medo dos usuários, além de sites falsos que imitam instituições financeiras. Os criminosos manipulam as vítimas a fornecerem suas credenciais de login, incluindo códigos de autenticação de múltiplos fatores. O FBI também destacou o uso de SEO para direcionar usuários a sites fraudulentos. Para se proteger, recomenda-se que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas regularmente e utilizem senhas complexas e únicas. O aumento das fraudes coincide com o uso de ferramentas de inteligência artificial por atacantes, que facilitam a criação de e-mails de phishing e sites falsos mais convincentes. Além disso, a exploração de vulnerabilidades em plataformas de e-commerce também foi observada, aumentando o risco de fraudes durante a temporada de compras.

Cibercriminosos estão utilizando uma nova técnica para disseminar malware através de notificações push em navegadores, sem a necessidade de downloads. A campanha, identificada pela BlackFrog, utiliza uma plataforma chamada Matrix Push C2, que engana os usuários ao fazer parecer que estão aceitando notificações legítimas. Uma vez que a vítima se inscreve, os hackers conseguem monitorar suas atividades no navegador e redirecioná-las para sites maliciosos que imitam interfaces de empresas conhecidas, como Netflix e PayPal. O ataque é particularmente preocupante porque não requer a presença de arquivos maliciosos inicialmente, tornando-o mais difícil de detectar. O Matrix Push C2 é capaz de operar em diversos sistemas operacionais, incluindo Windows, Linux e Android, e permite que os criminosos tenham acesso em tempo real às informações sensíveis das vítimas. Essa abordagem direta ao navegador torna o ataque mais eficaz, já que não depende de e-mails de phishing aleatórios. Especialistas alertam que essa nova estratégia representa um risco significativo para a segurança dos usuários na internet.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

Um novo golpe de cibersegurança está se espalhando, onde criminosos utilizam a funcionalidade de compartilhamento de tela do WhatsApp para roubar dados pessoais e dinheiro de vítimas. Segundo uma pesquisa da ESET, os golpistas iniciam o ataque com uma videochamada inesperada de um número desconhecido, alegando ser de um banco ou suporte da Meta. Eles criam um clima de pânico, informando que a conta da vítima pode estar comprometida. Para resolver a situação, os golpistas pedem que a vítima compartilhe a tela ou instale aplicativos de acesso remoto, como AnyDesk ou TeamViewer. Essa técnica de engenharia social se baseia em confiança, urgência e controle, levando as vítimas a revelarem informações sensíveis, como senhas e dados bancários. A Meta já tomou medidas para combater essa ameaça, banindo milhões de contas fraudulentas e alertando os usuários sobre os riscos de compartilhar a tela com desconhecidos. O golpe já causou perdas significativas, como um caso em Hong Kong onde uma vítima perdeu R$ 3,69 milhões. É crucial que os usuários estejam cientes desses riscos e adotem práticas seguras ao utilizar plataformas de comunicação.

Pesquisadores de cibersegurança revelaram uma nova campanha que utiliza engenharia social e sequestro de contas do WhatsApp para disseminar um trojan bancário chamado Eternidade Stealer, visando usuários no Brasil. O malware, desenvolvido em Delphi, se destaca por sua capacidade de atualizar endereços de comando e controle (C2) via IMAP, permitindo que os atacantes mantenham controle sobre a infecção. A distribuição ocorre através de um worm no WhatsApp, utilizando um script em Python para automatizar o envio de mensagens maliciosas. O ataque começa com um script em Visual Basic ofuscado que, ao ser executado, entrega dois payloads: um script Python que propaga o malware e um instalador MSI que ativa o Eternidade Stealer. Este último verifica se o sistema está em português brasileiro antes de prosseguir, indicando um foco local. O Eternidade Stealer monitora janelas ativas e processos em busca de informações de credenciais bancárias, capturando dados de serviços como Bradesco e Binance. A campanha reflete uma tendência crescente de uso de malware baseado em Delphi na América Latina, aproveitando a popularidade do WhatsApp para realizar ataques em larga escala contra instituições brasileiras. Os especialistas alertam para a necessidade de vigilância em atividades suspeitas no WhatsApp e execuções inesperadas de scripts.

Pesquisadores da NVISO identificaram uma nova tática do grupo de hackers norte-coreano Contagious Interview, que utiliza serviços de armazenamento JSON para disseminar malware. O ataque visa principalmente plataformas de networking profissional, como o LinkedIn, onde os criminosos se passam por recrutadores ou colaboradores. O malware, denominado BeaverTail, é um trojan que pode roubar dados sensíveis e instalar uma backdoor Python chamada InvisibleFerret. Um dos métodos utilizados envolve a ofuscação de um arquivo que parece conter uma chave de API, mas na verdade redireciona para uma URL de armazenamento JSON. Além disso, um novo payload chamado TsunamiKit foi introduzido, permitindo que os hackers coletem dados e baixem mais malwares de endereços .onion. Essa abordagem disfarçada, utilizando serviços legítimos, demonstra a evolução das táticas de ciberataque, tornando a detecção mais difícil e aumentando o risco para usuários e empresas.

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

No combate ao cibercrime, muitas vezes pensamos em hackers sofisticados e códigos complexos, mas o relatório da Verizon Business 2025 revela que quase 60% das violações de dados envolvem o fator humano. Técnicas de engenharia social, como phishing e pretexting, continuam a ser as mais comuns, utilizando elementos do nosso cotidiano digital, como notificações de entrega e solicitações de redefinição de senha, para enganar os usuários. Os criminosos cibernéticos estão se aproveitando da confiança que depositamos em plataformas digitais, criando armadilhas que se disfarçam como atualizações legítimas ou links de newsletters confiáveis. Além disso, novas táticas, como induzir usuários a copiar e colar comandos maliciosos, estão transformando ferramentas comuns em cúmplices involuntários. Mesmo a autenticação multifatorial (MFA), considerada uma defesa robusta, está sendo explorada por criminosos através de plataformas de phishing. A defesa mais eficaz contra essas ameaças não é apenas software, mas sim indivíduos informados e vigilantes. A cibersegurança deve ser uma preocupação coletiva, exigindo pensamento crítico e ceticismo em cada interação online.

O grupo de ameaças patrocinado pelo Estado iraniano, conhecido como APT42, está em uma nova campanha de espionagem, chamada SpearSpecter, que visa indivíduos e organizações de interesse do Corpo da Guarda Revolucionária Islâmica (IRGC). Detectada em setembro de 2025, a campanha utiliza táticas de engenharia social personalizadas, como convites para conferências de prestígio, visando principalmente altos funcionários do governo e da defesa. O grupo é conhecido por sua habilidade em criar campanhas de engenharia social convincentes, muitas vezes se passando por contatos conhecidos para ganhar a confiança das vítimas antes de enviar links maliciosos. A campanha também se estende a familiares dos alvos, ampliando a superfície de ataque. O ataque envolve o uso de um backdoor em PowerShell chamado TAMECAT, que permite acesso persistente e exfiltração de dados. O TAMECAT se comunica através de canais como HTTPS, Discord e Telegram, aumentando a resiliência do ataque. A infraestrutura da campanha combina serviços de nuvem legítimos com recursos controlados pelos atacantes, refletindo um alto nível de sofisticação e segurança operacional.

Pesquisadores identificaram a continuidade da campanha SmartApeSG, que agora utiliza um vetor de ataque do tipo CAPTCHA falso, conhecido como ClickFix, para entregar cargas maliciosas do NetSupport RAT. Essa campanha, que surgiu em meados de 2024, inicialmente distribuía malware por meio de páginas de atualização de navegador falsificadas. Na sua evolução mais recente, a SmartApeSG adotou uma enganação mais convincente, abusando da confiança do usuário para acionar a execução do malware manualmente.

Uma nova campanha de phishing, identificada pela Check Point Research, impactou mais de 5 mil empresas que utilizam o Facebook para publicidade. Os cibercriminosos enviaram cerca de 40 mil e-mails contendo links maliciosos, utilizando o domínio oficial da Meta para dar a impressão de legitimidade. A tática visa roubar credenciais e dados sigilosos, afetando especialmente setores como automotivo, educacional, imobiliário, hoteleiro e financeiro. Os e-mails fraudulentos foram elaborados para parecerem notificações reais do Meta Business Suite, o que aumentou a probabilidade de que os funcionários das empresas caíssem no golpe. A engenharia social foi utilizada para criar um senso de urgência, levando as vítimas a agir impulsivamente. A pesquisa destaca a gravidade do problema, pois os ataques foram realizados sob a aparência da própria plataforma da Meta, tornando-os mais perigosos do que tentativas comuns de phishing. Especialistas alertam que a credibilidade do domínio do remetente torna essas tentativas de phishing especialmente preocupantes, exigindo atenção redobrada das empresas.

Nos últimos dez anos, a comunidade de cibercriminosos de língua inglesa conhecida como “The COM” evoluiu de um nicho focado na troca de nomes de usuário raros em redes sociais para uma economia subterrânea ágil que orquestra uma ampla gama de ataques globais. Com a queda de fóruns de alto perfil, como o RaidForums, a COM se adaptou, combinando habilidades de manipulação social com a expertise técnica de hackers focados em vazamentos de dados. As táticas incluem engenharia social, phishing, SIM swapping e recrutamento de insiders, com grupos como Lapsus$, ShinyHunters e Scattered Spider exemplificando essa nova abordagem. A COM opera como uma cadeia de suprimentos profissionalizada, onde papéis especializados colaboram em um modelo modular, facilitando a escalabilidade e inovação. A colaboração entre especialistas de língua inglesa e sindicatos de cibercrime de língua russa intensifica a ameaça, tornando a defesa mais desafiadora. Para se proteger, as organizações devem adotar defesas centradas na identidade, autenticação multifatorial resistente a phishing e monitoramento contínuo de ameaças internas, reconhecendo que a cibercriminalidade é tanto um negócio quanto uma performance, visando não apenas sistemas, mas também pessoas.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

Uma operação conjunta da Polícia Civil do Distrito Federal e de São Paulo resultou na prisão de seis pessoas envolvidas no golpe do ‘falso advogado’, que já causou um prejuízo superior a R$ 8 milhões a cerca de 100 vítimas em diferentes estados brasileiros, incluindo São Paulo, Brasília e Minas Gerais. O golpe consiste na abordagem de criminosos que se passam por advogados, alegando que a vítima ganhou uma ação judicial e solicitando transferências bancárias urgentes para cobrir custos fictícios. A investigação, que durou seis meses, revelou que a quadrilha utilizava ferramentas tecnológicas para selecionar alvos e aplicar suas fraudes. Além disso, a Ordem dos Advogados do Brasil (OAB-RJ) entrou com uma ação civil contra a Meta, responsável pelo WhatsApp, devido a falhas na desativação de contas, que permitem que criminosos continuem utilizando perfis mesmo após o cancelamento do número. Para evitar cair nesse tipo de golpe, especialistas recomendam desconfiar de mensagens urgentes e verificar informações diretamente com órgãos oficiais antes de realizar qualquer pagamento.

O relatório ‘Cybersecurity Forecast 2026’ do Google Cloud destaca uma mudança significativa no cenário de cibersegurança, com a adoção crescente de inteligência artificial (IA) tanto por atacantes quanto por defensores. O documento, que se baseia em análises de especialistas em segurança do Google, prevê que o próximo ano será marcado por uma evolução tecnológica rápida e técnicas de ataque cada vez mais sofisticadas. Um dos principais achados é a normalização do uso de IA por cibercriminosos, que estão integrando essa tecnologia em todos os ciclos de ataque, permitindo campanhas mais rápidas e ágeis. A vulnerabilidade de injeção de prompt, onde atacantes manipulam sistemas de IA para executar comandos ocultos, é uma preocupação crescente. Além disso, a engenharia social habilitada por IA, como campanhas de vishing com clonagem de voz, está se tornando mais comum, dificultando a detecção de ataques de phishing. O relatório também menciona que o ransomware e a extorsão continuarão a ser as categorias mais disruptivas e financeiramente prejudiciais, com foco em provedores terceirizados e vulnerabilidades críticas. A previsão sugere que as equipes de segurança devem se adaptar rapidamente, utilizando metodologias de IA para fortalecer suas defesas e preparar-se para um aumento nas atividades de engenharia social e operações de estados-nação.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

A pesquisa ‘Golpes com Pix’, realizada pela Silverguard, revelou um aumento alarmante nos prejuízos causados por golpes digitais em 2025, com um crescimento médio de 21% em relação ao ano anterior. O estudo, que analisou 12.197 denúncias na Central SOS Golpe, mostrou que os golpes de engenharia social, que enganam as vítimas para que realizem pagamentos, resultaram em perdas de R$ 51 bilhões. Além disso, fraudes com cartão de crédito e golpes em contas-correntes e poupanças somaram R$ 23 bilhões e R$ 38 bilhões, respectivamente, totalizando mais de R$ 100 bilhões em prejuízos relacionados a golpes digitais no Brasil. A pesquisa também destacou uma mudança no perfil dos alvos, com 65% dos golpes direcionados a contas jurídicas, indicando uma profissionalização do crime digital. Os estados de Alagoas, Espírito Santo e Roraima lideram em termos de prejuízo médio por golpe. A análise aponta que as plataformas sociais, especialmente as da Meta, são os principais locais onde esses golpes ocorrem, com o uso crescente de inteligência artificial para tornar as fraudes mais convincentes. O cenário é preocupante, especialmente para pessoas acima de 60 anos, que são as mais afetadas por esses crimes.

Golpistas estão utilizando uma nova tática de engenharia social para roubar senhas e dados pessoais de usuários do WhatsApp e Facebook Messenger. A estratégia envolve a criação de contas falsas que se passam por suporte de empresas conhecidas. Os criminosos aguardam que usuários relatem problemas nas redes sociais e, em seguida, entram em contato oferecendo ajuda. Durante uma chamada de vídeo, eles solicitam que a vítima compartilhe a tela do celular. Embora não consigam acessar a senha diretamente, conseguem visualizar informações como nome de usuário e e-mail, além do código de verificação enviado para login, facilitando o roubo de contas. Para combater essa prática, a Meta implementará avisos quando usuários tentarem compartilhar a tela com contatos desconhecidos e monitorará conversas em busca de sinais de golpes. A empresa também destaca que a população idosa é a mais afetada por esses crimes virtuais e recomenda que os usuários verifiquem a autenticidade das comunicações recebidas.

O descarte incorreto de etiquetas de encomendas pode ser uma vulnerabilidade significativa em cibersegurança, conforme alerta Daniel Barbosa, pesquisador da ESET. Informações sensíveis, como nome completo, endereço e detalhes da compra, podem ser exploradas por criminosos para aplicar golpes, como engenharia social e phishing. Os golpistas podem se passar por representantes de empresas para coletar mais dados ou enviar arquivos maliciosos disfarçados de documentos legítimos. Para evitar esses riscos, é essencial descartar adequadamente documentos que contenham informações pessoais. Barbosa sugere técnicas como borrar informações em papel comum ou utilizar calor em papel térmico para torná-las ilegíveis. A conscientização sobre a segurança das mídias físicas é crucial, pois elas podem facilitar o acesso a dados que, se expostos na internet, seriam considerados críticos. Portanto, a proteção deve ser abrangente, considerando tanto o ambiente digital quanto o físico.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Um novo relatório do Google Threat Intelligence Group (GTIG) revelou uma campanha cibernética de criminosos vietnamitas, identificada como UNC6229, que utiliza anúncios de emprego falsos para comprometer profissionais de marketing digital e sequestrar contas corporativas de publicidade. Os atacantes empregam táticas avançadas de engenharia social e entrega de malware, infiltrando-se em ambientes empresariais através de dispositivos pessoais e credenciais online das vítimas.

Os golpistas publicam vagas fraudulentas em plataformas legítimas, como LinkedIn, e em sites controlados por eles, atraindo candidatos desavisados. Após a aplicação, coletam informações pessoais que são utilizadas para ataques de phishing personalizados ou distribuição de malware. As técnicas incluem o envio de arquivos ZIP protegidos por senha que, ao serem abertos, instalam trojans de acesso remoto (RATs) ou redirecionam as vítimas para portais de login falsos que imitam serviços corporativos, capturando credenciais mesmo com autenticação multifatorial.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Cibercriminosos estão cada vez mais direcionando suas operações fraudulentas a populações vulneráveis, especialmente idosos, utilizando táticas sofisticadas de engenharia social. Em 2024, o Centro de Queixas de Crimes na Internet do FBI (IC3) registrou perdas de US$ 4,8 bilhões entre vítimas com 60 anos ou mais, quase o dobro de qualquer outro grupo etário. Um relatório da Graphika destaca uma rede internacional de fraudadores ativos em plataformas de mídia social, como Facebook e Instagram, que utilizam sites clonados, vozes geradas por IA e credenciais fabricadas para dar credibilidade a esquemas fraudulentos. Os golpistas frequentemente se passam por entidades conhecidas, como agências governamentais e organizações de caridade, para atrair vítimas. Uma vez estabelecida a confiança, os alvos são direcionados para portais de phishing que solicitam informações pessoais e financeiras. As campanhas fraudulentas, que se disfarçam como ‘ajudas financeiras’ ou ‘programas de verificação de beneficiários’, exploram as ansiedades financeiras das vítimas. A análise da Graphika revela que esses golpistas utilizam automação e campanhas publicitárias de curta duração para manter suas operações. A natureza multifacetada desses golpes aumenta sua persistência e alcance, levando a uma necessidade urgente de conscientização e educação sobre fraudes online, especialmente entre os idosos.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Uma nova campanha de phishing tem se espalhado na América Latina, utilizando notificações judiciais em espanhol para disseminar o trojan de acesso remoto AsyncRAT. Pesquisadores de segurança identificaram que os hackers estão escondendo seus códigos maliciosos dentro de arquivos de imagem SVG, uma técnica que permite que scripts maliciosos evitem a detecção por gateways de e-mail tradicionais e antivírus.

O ataque, que visa especificamente usuários na Colômbia, começa com um e-mail disfarçado como uma comunicação legítima do ‘Juzgado 17 Civil Municipal del Circuito de Bogotá’, que apresenta um arquivo anexo chamado ‘Fiscalia General De La Nacion Juzgado Civil 17.svg’. Ao abrir o arquivo, um script JavaScript malicioso é ativado, levando a uma série de downloads que culminam na instalação do AsyncRAT, que permite controle remoto ao atacante.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.