Engenharia Social

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores em cibersegurança alertaram sobre uma nova campanha que utiliza uma variante da tática de engenharia social chamada FileFix para disseminar o malware StealC, um ladrão de informações. A campanha se destaca por empregar um site de phishing multilíngue altamente convincente, como uma página falsa de segurança do Facebook, que utiliza técnicas de anti-análise e ofuscação avançada para evitar a detecção. O ataque começa com um e-mail que alerta os usuários sobre a possível suspensão de suas contas do Facebook, levando-os a um site de phishing onde são induzidos a clicar em um botão para apelar da decisão. Ao clicar, os usuários são instruídos a copiar e colar um caminho para um documento em uma barra de endereços do File Explorer, mas na verdade, estão executando um comando malicioso que baixa e executa um script PowerShell. Este script, por sua vez, baixa um carregador que descompacta o código shell responsável por ativar o StealC. A técnica FileFix se diferencia de outras abordagens, como ClickFix, ao explorar uma funcionalidade comum dos navegadores, tornando a detecção mais difícil. A complexidade e o investimento na infraestrutura de phishing demonstram a sofisticação dos atacantes, que buscam maximizar o impacto e a evasão das defesas de segurança.

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.

A Engenharia Social é uma técnica de manipulação psicológica utilizada por golpistas para obter informações pessoais e financeiras de suas vítimas. Ao invés de depender de tecnologia complexa, esses criminosos exploram a confiança e a urgência, criando cenários que induzem as pessoas a agir rapidamente, como mensagens que alertam sobre contas bloqueadas ou prêmios inesperados. Os métodos mais comuns incluem phishing, spear phishing, vishing, smishing, baiting e pretexting, cada um com suas particularidades. Para se proteger, é fundamental estar atento a sinais de alerta, como erros de gramática, endereços de e-mail suspeitos e solicitações de informações sensíveis. Além disso, recomenda-se a ativação da autenticação de dois fatores e a verificação de comunicações através de canais oficiais. A conscientização sobre esses golpes é crucial, pois mesmo pessoas experientes em tecnologia podem ser enganadas. Compartilhar informações sobre Engenharia Social pode ajudar a proteger amigos e familiares, especialmente os mais vulneráveis, como crianças e idosos.

O phishing é uma técnica de ataque cibernético que utiliza engenharia social para enganar usuários e roubar informações sensíveis, como dados bancários e pessoais. Os criminosos criam mensagens falsas, geralmente via e-mail ou SMS, que parecem legítimas, induzindo as vítimas a clicar em links ou fornecer informações. Os ataques de phishing podem ser classificados em várias categorias, incluindo phishing tradicional, spear phishing, whaling, smishing e vishing, cada um com diferentes níveis de sofisticação e alvo. Para se proteger, é essencial ativar a autenticação de dois fatores, usar senhas fortes e únicas, e manter softwares atualizados. Além disso, é importante educar amigos e familiares sobre os riscos e sinais de alerta, como remetentes suspeitos e erros de gramática em comunicações. Caso alguém caia em um golpe, é fundamental agir rapidamente para minimizar os danos.

Um novo relatório da equipe de segurança da Microsoft revela um ataque de engenharia social chamado ClickFix, que tem enganado usuários a executar comandos em seus computadores, resultando em invasões. O ataque se disfarça de CAPTCHA, uma verificação comum para distinguir humanos de bots, mas solicita que a vítima execute uma série de comandos que culminam na execução de códigos maliciosos. O processo envolve pressionar as teclas Windows + R, colar um comando fornecido pelos cibercriminosos e executá-lo, o que pode permitir acesso remoto ao dispositivo e roubo de informações sensíveis, como senhas e dados de cartões de crédito.

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.

Uma nova campanha de cibercrime, chamada ShadowCaptcha, foi identificada em agosto de 2025, explorando mais de 100 sites WordPress comprometidos. Os atacantes redirecionam visitantes para páginas falsas de verificação CAPTCHA, utilizando táticas de engenharia social para instalar malware, incluindo ladrões de informações, ransomware e mineradores de criptomoedas. A campanha combina engenharia social, uso de binários legítimos e entrega de payloads em múltiplas etapas, visando coletar dados sensíveis e gerar lucros ilícitos. Os ataques começam com a injeção de código JavaScript malicioso em sites WordPress, levando os usuários a páginas falsas que imitam serviços como Cloudflare ou Google. Dependendo das instruções exibidas, os usuários podem ser induzidos a executar comandos maliciosos que resultam na instalação de ransomware ou ladrões de dados. A maioria dos sites afetados está localizada em países como Brasil, Austrália e Itália, e os atacantes provavelmente exploraram vulnerabilidades conhecidas em plugins do WordPress. Para mitigar os riscos, é crucial treinar os usuários sobre campanhas de ClickFix, segmentar redes e manter os sites WordPress atualizados com autenticação multifatorial.

Pesquisadores em cibersegurança alertam sobre uma sofisticada campanha de engenharia social, denominada ZipLine, que visa empresas de manufatura críticas para a cadeia de suprimentos. Utilizando um malware em memória chamado MixShell, os atacantes iniciam contato por meio de formulários de ‘Contato’ em sites corporativos, enganando funcionários e estabelecendo conversas profissionais que podem durar semanas. Após esse período, enviam arquivos ZIP armados com o malware. Os alvos principais incluem empresas de manufatura industrial, biotecnologia e farmacêuticas, com foco em entidades baseadas nos EUA, mas também atingindo países como Singapura, Japão e Suíça. O ZipLine se destaca por evitar táticas de medo, utilizando uma abordagem paciente que se aproveita da confiança nas comunicações empresariais. O MixShell é projetado para executar comandos remotamente e infiltrar redes de forma discreta, utilizando técnicas avançadas de evasão. A campanha representa riscos significativos, incluindo roubo de propriedade intelectual e ataques de ransomware, exigindo que as empresas adotem defesas proativas e uma cultura de vigilância.

O grupo de ameaças conhecido como UNC6384, vinculado à China, tem sido responsável por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades globais, com o objetivo de promover os interesses estratégicos de Pequim. A campanha, detectada em março de 2025, utiliza técnicas avançadas de engenharia social, incluindo certificados de assinatura de código válidos e ataques do tipo adversário-no-meio (AitM), para evitar a detecção. O ataque começa com um redirecionamento de portal cativo que desvia o tráfego da web para um site controlado pelo atacante, onde um downloader chamado STATICPLUGIN é baixado. Este downloader, que se disfarça como uma atualização de plugin da Adobe, instala um backdoor conhecido como SOGU.SEC, que permite a exfiltração de arquivos e o controle remoto do sistema. O uso de certificados válidos e técnicas de engenharia social sofisticadas demonstra a evolução das capacidades operacionais do UNC6384. Este tipo de ataque representa uma ameaça significativa, especialmente para organizações que operam em setores sensíveis, como diplomacia e segurança nacional.

Um novo método de engenharia social, denominado ClickFix, está sendo utilizado por cibercriminosos para implantar ransomware através de resumos gerados por inteligência artificial (IA). Essa técnica envolve a injeção de comandos maliciosos em elementos HTML, que se tornam invisíveis para os usuários, mas são processados por modelos de IA. Os atacantes escondem instruções em caracteres de largura zero, texto branco sobre fundo branco e fontes minúsculas, fazendo com que os resumos gerados incluam guias passo a passo para a instalação de ransomware. Quando os destinatários confiam nesses resumos, podem executar comandos sem perceber que estão seguindo instruções maliciosas. O ataque reduz a barreira técnica para usuários não especializados, permitindo que eles se tornem vetores de ransomware. Para mitigar esses riscos, recomenda-se a sanitização de atributos CSS invisíveis, filtragem de prompts e reconhecimento de padrões de payload. À medida que as ferramentas de resumo de IA se tornam comuns, essa técnica pode ser rapidamente adotada por criminosos, exigindo uma colaboração entre desenvolvedores de IA e equipes de segurança para prevenir campanhas de ransomware mediadas por IA.

Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.

Noah Michael Urban, um jovem de 20 anos da Flórida, conhecido como “King Bob” nas comunidades de música online, foi condenado a 10 anos de prisão federal após se declarar culpado por conspiração, fraude eletrônica e roubo de identidade agravado. Além da pena de prisão, Urban foi condenado a pagar US$ 13 milhões em restituição a 59 vítimas de roubo de criptomoedas, ligadas à sua participação na organização criminosa “Scattered Spider”. Urban ganhou notoriedade por vazar músicas não lançadas de artistas renomados, utilizando táticas de cibercrime sofisticadas, como ataques de troca de SIM, que lhe permitiram acessar contas de executivos da indústria musical. Sua atuação não se limitou à pirataria musical; ele também foi um membro chave do Scattered Spider, que se especializa em ataques de engenharia social contra grandes corporações, incluindo ataques a cassinos em Las Vegas que resultaram em milhões de dólares em danos. A investigação federal que levou à sua prisão revelou que Urban e seus cúmplices roubaram pelo menos US$ 800 mil de cinco vítimas na Flórida, utilizando técnicas de troca de SIM para obter informações pessoais e contornar autenticações de dois fatores. O caso destaca a interseção entre pirataria na indústria do entretenimento e crimes cibernéticos graves, evidenciando como indivíduos podem transitar de atividades aparentemente inofensivas para empreendimentos criminosos internacionais.

Um novo ataque de engenharia social sofisticado está direcionado a usuários de contas do Google, onde golpistas se fazem passar por representantes de suporte da empresa para obter informações de login. O ataque começa com tentativas não autorizadas de recuperação de conta, originadas de locais internacionais, como França e Inglaterra, que criam uma sensação de urgência. Após alguns dias, as vítimas recebem chamadas de um número que parece ser o suporte legítimo do Google, +1 (650) 253-0000. O golpista, que fala com um sotaque americano convincente, menciona as tentativas de acesso não autorizado e pede permissão para enviar um prompt de recuperação de conta ao dispositivo da vítima. Durante a ligação, o golpista inicia um processo legítimo de recuperação de conta, fazendo com que a notificação pareça autêntica. No entanto, aceitar essa solicitação concede controle total da conta ao atacante. Os usuários devem estar cientes de que o Google nunca faz chamadas não solicitadas sobre questões de segurança e devem sempre iniciar qualquer processo de recuperação por conta própria. É crucial que os usuários rejeitem qualquer solicitação de recuperação recebida durante chamadas não solicitadas.

O malware conhecido como noodlophile está se tornando cada vez mais sofisticado em suas táticas de infecção, utilizando e-mails de notificação do Facebook para enganar usuários. Essa técnica, chamada spear-phishing, se baseia em engenharia social para criar mensagens que parecem extremamente legítimas. O objetivo principal do noodlophile é roubar informações armazenadas nos navegadores, incluindo cookies, histórico de navegação e senhas de serviços online. A fraude se apresenta como uma notificação de violação de direitos autorais, imitando nomes de empresas e IDs de páginas que o usuário administra, o que aumenta a credibilidade do golpe.

O grupo de hackers conhecido como EncryptHub está explorando uma falha de segurança já corrigida no Microsoft Windows para disseminar malware. A Trustwave SpiderLabs identificou uma campanha que combina engenharia social e a exploração da vulnerabilidade CVE-2025-26633, também chamada de MSC EvilTwin. Os atacantes se passam por membros do departamento de TI e enviam solicitações pelo Microsoft Teams para estabelecer conexões remotas e implantar cargas maliciosas usando comandos PowerShell. Entre os arquivos utilizados, dois arquivos MSC com o mesmo nome são entregues, um benigno e outro malicioso, que ativa a vulnerabilidade. O arquivo malicioso se conecta a um servidor de comando e controle (C2) para receber e executar comandos, incluindo um stealer chamado Fickle Stealer. Além disso, os atacantes utilizam plataformas legítimas, como o Brave Support, para hospedar malware. A campanha destaca a importância de estratégias de defesa em camadas e treinamento de conscientização para usuários, dada a combinação de engenharia social e exploração técnica utilizada pelos hackers.