Engenharia Social

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

Uma operação conjunta da Polícia Civil do Distrito Federal e de São Paulo resultou na prisão de seis pessoas envolvidas no golpe do ‘falso advogado’, que já causou um prejuízo superior a R$ 8 milhões a cerca de 100 vítimas em diferentes estados brasileiros, incluindo São Paulo, Brasília e Minas Gerais. O golpe consiste na abordagem de criminosos que se passam por advogados, alegando que a vítima ganhou uma ação judicial e solicitando transferências bancárias urgentes para cobrir custos fictícios. A investigação, que durou seis meses, revelou que a quadrilha utilizava ferramentas tecnológicas para selecionar alvos e aplicar suas fraudes. Além disso, a Ordem dos Advogados do Brasil (OAB-RJ) entrou com uma ação civil contra a Meta, responsável pelo WhatsApp, devido a falhas na desativação de contas, que permitem que criminosos continuem utilizando perfis mesmo após o cancelamento do número. Para evitar cair nesse tipo de golpe, especialistas recomendam desconfiar de mensagens urgentes e verificar informações diretamente com órgãos oficiais antes de realizar qualquer pagamento.

O relatório ‘Cybersecurity Forecast 2026’ do Google Cloud destaca uma mudança significativa no cenário de cibersegurança, com a adoção crescente de inteligência artificial (IA) tanto por atacantes quanto por defensores. O documento, que se baseia em análises de especialistas em segurança do Google, prevê que o próximo ano será marcado por uma evolução tecnológica rápida e técnicas de ataque cada vez mais sofisticadas. Um dos principais achados é a normalização do uso de IA por cibercriminosos, que estão integrando essa tecnologia em todos os ciclos de ataque, permitindo campanhas mais rápidas e ágeis. A vulnerabilidade de injeção de prompt, onde atacantes manipulam sistemas de IA para executar comandos ocultos, é uma preocupação crescente. Além disso, a engenharia social habilitada por IA, como campanhas de vishing com clonagem de voz, está se tornando mais comum, dificultando a detecção de ataques de phishing. O relatório também menciona que o ransomware e a extorsão continuarão a ser as categorias mais disruptivas e financeiramente prejudiciais, com foco em provedores terceirizados e vulnerabilidades críticas. A previsão sugere que as equipes de segurança devem se adaptar rapidamente, utilizando metodologias de IA para fortalecer suas defesas e preparar-se para um aumento nas atividades de engenharia social e operações de estados-nação.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

A pesquisa ‘Golpes com Pix’, realizada pela Silverguard, revelou um aumento alarmante nos prejuízos causados por golpes digitais em 2025, com um crescimento médio de 21% em relação ao ano anterior. O estudo, que analisou 12.197 denúncias na Central SOS Golpe, mostrou que os golpes de engenharia social, que enganam as vítimas para que realizem pagamentos, resultaram em perdas de R$ 51 bilhões. Além disso, fraudes com cartão de crédito e golpes em contas-correntes e poupanças somaram R$ 23 bilhões e R$ 38 bilhões, respectivamente, totalizando mais de R$ 100 bilhões em prejuízos relacionados a golpes digitais no Brasil. A pesquisa também destacou uma mudança no perfil dos alvos, com 65% dos golpes direcionados a contas jurídicas, indicando uma profissionalização do crime digital. Os estados de Alagoas, Espírito Santo e Roraima lideram em termos de prejuízo médio por golpe. A análise aponta que as plataformas sociais, especialmente as da Meta, são os principais locais onde esses golpes ocorrem, com o uso crescente de inteligência artificial para tornar as fraudes mais convincentes. O cenário é preocupante, especialmente para pessoas acima de 60 anos, que são as mais afetadas por esses crimes.

Golpistas estão utilizando uma nova tática de engenharia social para roubar senhas e dados pessoais de usuários do WhatsApp e Facebook Messenger. A estratégia envolve a criação de contas falsas que se passam por suporte de empresas conhecidas. Os criminosos aguardam que usuários relatem problemas nas redes sociais e, em seguida, entram em contato oferecendo ajuda. Durante uma chamada de vídeo, eles solicitam que a vítima compartilhe a tela do celular. Embora não consigam acessar a senha diretamente, conseguem visualizar informações como nome de usuário e e-mail, além do código de verificação enviado para login, facilitando o roubo de contas. Para combater essa prática, a Meta implementará avisos quando usuários tentarem compartilhar a tela com contatos desconhecidos e monitorará conversas em busca de sinais de golpes. A empresa também destaca que a população idosa é a mais afetada por esses crimes virtuais e recomenda que os usuários verifiquem a autenticidade das comunicações recebidas.

O descarte incorreto de etiquetas de encomendas pode ser uma vulnerabilidade significativa em cibersegurança, conforme alerta Daniel Barbosa, pesquisador da ESET. Informações sensíveis, como nome completo, endereço e detalhes da compra, podem ser exploradas por criminosos para aplicar golpes, como engenharia social e phishing. Os golpistas podem se passar por representantes de empresas para coletar mais dados ou enviar arquivos maliciosos disfarçados de documentos legítimos. Para evitar esses riscos, é essencial descartar adequadamente documentos que contenham informações pessoais. Barbosa sugere técnicas como borrar informações em papel comum ou utilizar calor em papel térmico para torná-las ilegíveis. A conscientização sobre a segurança das mídias físicas é crucial, pois elas podem facilitar o acesso a dados que, se expostos na internet, seriam considerados críticos. Portanto, a proteção deve ser abrangente, considerando tanto o ambiente digital quanto o físico.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Um novo relatório do Google Threat Intelligence Group (GTIG) revelou uma campanha cibernética de criminosos vietnamitas, identificada como UNC6229, que utiliza anúncios de emprego falsos para comprometer profissionais de marketing digital e sequestrar contas corporativas de publicidade. Os atacantes empregam táticas avançadas de engenharia social e entrega de malware, infiltrando-se em ambientes empresariais através de dispositivos pessoais e credenciais online das vítimas.

Os golpistas publicam vagas fraudulentas em plataformas legítimas, como LinkedIn, e em sites controlados por eles, atraindo candidatos desavisados. Após a aplicação, coletam informações pessoais que são utilizadas para ataques de phishing personalizados ou distribuição de malware. As técnicas incluem o envio de arquivos ZIP protegidos por senha que, ao serem abertos, instalam trojans de acesso remoto (RATs) ou redirecionam as vítimas para portais de login falsos que imitam serviços corporativos, capturando credenciais mesmo com autenticação multifatorial.

Pesquisadores da ESET revelaram uma nova onda da Operação DreamJob, uma campanha de longa duração do grupo Lazarus, associado à Coreia do Norte. Recentemente, essa operação tem como alvo empresas de defesa na Europa, especialmente aquelas envolvidas no desenvolvimento e fabricação de veículos aéreos não tripulados (VANTs). O principal objetivo dos ataques é o roubo de dados proprietários e conhecimentos técnicos militares relacionados a sistemas de VANTs utilizados na Ucrânia.

Pesquisadores da ESET identificaram uma série de ataques cibernéticos, conhecidos como Operação Dream Job, realizados por hackers norte-coreanos, que visam empresas do setor de defesa na Europa, especialmente aquelas envolvidas com drones. Desde março de 2025, o grupo Lazarus, responsável por esses ataques, utiliza táticas de engenharia social, oferecendo falsas oportunidades de emprego que, na verdade, instalam malwares como ScoringMathTea e MISTPEN nos sistemas das vítimas. Esses malwares são projetados para roubar informações sensíveis e podem executar comandos que permitem o controle total das máquinas comprometidas. A ESET já havia observado o ScoringMathTea em ataques anteriores a empresas de tecnologia na Índia e na Polônia. A MISTPEN também foi associada a campanhas em setores críticos como aeroespacial e energia. A descoberta desses ataques ressalta a crescente preocupação com a segurança cibernética em indústrias estratégicas e a necessidade de vigilância constante contra ameaças emergentes.

Cibercriminosos estão cada vez mais direcionando suas operações fraudulentas a populações vulneráveis, especialmente idosos, utilizando táticas sofisticadas de engenharia social. Em 2024, o Centro de Queixas de Crimes na Internet do FBI (IC3) registrou perdas de US$ 4,8 bilhões entre vítimas com 60 anos ou mais, quase o dobro de qualquer outro grupo etário. Um relatório da Graphika destaca uma rede internacional de fraudadores ativos em plataformas de mídia social, como Facebook e Instagram, que utilizam sites clonados, vozes geradas por IA e credenciais fabricadas para dar credibilidade a esquemas fraudulentos. Os golpistas frequentemente se passam por entidades conhecidas, como agências governamentais e organizações de caridade, para atrair vítimas. Uma vez estabelecida a confiança, os alvos são direcionados para portais de phishing que solicitam informações pessoais e financeiras. As campanhas fraudulentas, que se disfarçam como ‘ajudas financeiras’ ou ‘programas de verificação de beneficiários’, exploram as ansiedades financeiras das vítimas. A análise da Graphika revela que esses golpistas utilizam automação e campanhas publicitárias de curta duração para manter suas operações. A natureza multifacetada desses golpes aumenta sua persistência e alcance, levando a uma necessidade urgente de conscientização e educação sobre fraudes online, especialmente entre os idosos.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Uma nova campanha de phishing tem se espalhado na América Latina, utilizando notificações judiciais em espanhol para disseminar o trojan de acesso remoto AsyncRAT. Pesquisadores de segurança identificaram que os hackers estão escondendo seus códigos maliciosos dentro de arquivos de imagem SVG, uma técnica que permite que scripts maliciosos evitem a detecção por gateways de e-mail tradicionais e antivírus.

O ataque, que visa especificamente usuários na Colômbia, começa com um e-mail disfarçado como uma comunicação legítima do ‘Juzgado 17 Civil Municipal del Circuito de Bogotá’, que apresenta um arquivo anexo chamado ‘Fiscalia General De La Nacion Juzgado Civil 17.svg’. Ao abrir o arquivo, um script JavaScript malicioso é ativado, levando a uma série de downloads que culminam na instalação do AsyncRAT, que permite controle remoto ao atacante.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

ClayRat é uma nova campanha de spyware para Android que tem ganhado destaque, especialmente entre usuários de língua russa. Nos últimos três meses, pesquisadores da zLabs identificaram mais de 600 amostras únicas e 50 droppers associados a essa ameaça. O ClayRat utiliza engenharia social e sites de phishing para enganar as vítimas, fazendo-as instalar APKs maliciosos disfarçados de aplicativos legítimos como WhatsApp e Google Photos.

Os atacantes registram domínios semelhantes aos oficiais e criam páginas de destino que redirecionam para canais do Telegram, onde comentários manipulados e contagens de downloads inflacionadas ajudam a reduzir a desconfiança. Uma vez instalado, o spyware obtém acesso a mensagens SMS, registros de chamadas e informações do dispositivo, além de capturar fotos pela câmera frontal e enviar mensagens SMS sem o consentimento do usuário.

O iFood, um dos principais aplicativos de delivery do Brasil, está enfrentando um ataque coordenado de espionagem corporativa, conforme relatado pelo CEO Diego Barreto. Nos últimos meses, mais de 170 mensagens foram enviadas a funcionários da empresa, principalmente executivos das áreas de Negócio, Tecnologia e Comercial, com ofertas de pagamento que variavam de US$ 250 a R$ 5,5 mil em troca de informações sensíveis. As comunicações, que se apresentavam como consultas de mercado, rapidamente se transformaram em solicitações de dados críticos, como faturamento e estratégias de precificação. Barreto enfatizou que essas abordagens são antiéticas e ilegais, levando o iFood a implementar novos protocolos de segurança e a notificar as autoridades. Concorrentes como Ketta e 99Food negaram envolvimento em espionagem, enquanto a Rappi não comentou o caso. O incidente destaca a vulnerabilidade das empresas a ataques de engenharia social e a necessidade de reforço nas medidas de segurança interna.

Um novo site de vazamento foi lançado pelo grupo de hackers conhecido como Scattered Lapsus$ Hunters, visando a extorsão de empresas que utilizam a plataforma Salesforce. O site, hospedado na rede Tor, exige pagamentos de resgate em troca da remoção de dados roubados. A origem desse ataque remonta ao final de 2024, quando os hackers utilizaram táticas de engenharia social, como o vishing, para obter acesso a ambientes corporativos da Salesforce. Eles conseguiram comprometer a plataforma Salesloft, extraindo credenciais e chaves de acesso armazenadas em repositórios de código. Isso permitiu que os atacantes acessassem o ambiente de nuvem da Salesloft, coletando tokens OAuth que possibilitaram a movimentação lateral em sistemas integrados. O site de extorsão foi lançado em 3 de outubro de 2025, listando clientes afetados e a quantidade de dados roubados, com um prazo para pagamento até 10 de outubro. Embora a Salesforce tenha afirmado que sua plataforma principal não foi comprometida, a flexibilidade de integração da plataforma apresenta riscos significativos. Especialistas em segurança recomendam a implementação de controles rigorosos sobre permissões de API e a adoção de autenticação multifator para mitigar esses riscos.

Um novo grupo de ameaças cibernéticas, conhecido como BatShadow, originário do Vietnã, está sendo associado a uma campanha que utiliza táticas de engenharia social para enganar profissionais em busca de emprego e de marketing digital. Os atacantes se passam por recrutadores, enviando arquivos maliciosos disfarçados de descrições de trabalho e documentos corporativos. Ao serem abertos, esses arquivos iniciam uma cadeia de infecção de um malware inédito chamado Vampire Bot, desenvolvido em Go.

Uma nova campanha de spear phishing foi descoberta pela Blackpoint Cyber, visando executivos e funcionários de alto escalão. Os hackers exploram a confiança dos usuários em documentos sensíveis, como passaportes e arquivos de pagamento, utilizando documentos certificados falsos. Um dos métodos utilizados envolve o envio de arquivos ZIP que, ao serem abertos, revelam atalhos do Windows disfarçados. Esses atalhos ativam um script PowerShell que baixa malware de um site controlado pelos atacantes. O malware se camufla como uma apresentação de PowerPoint, evitando a detecção. Além disso, ele verifica a presença de antivírus no sistema, adaptando seu comportamento conforme a segurança encontrada. Esse tipo de ataque, conhecido como ’living off the land’, permite que os hackers contornem ferramentas de segurança, estabelecendo uma conexão com um servidor de comando e controle, o que possibilita o acesso remoto ao computador da vítima. A engenharia social utilizada torna o ataque ainda mais convincente, exigindo que os usuários sejam cautelosos ao abrir anexos, mesmo que pareçam legítimos.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

O doxxing é a prática criminosa de expor informações pessoais de indivíduos na internet sem seu consentimento, frequentemente com objetivos maliciosos como assédio e intimidação. O termo deriva da expressão ‘dropping documents’ e ganhou notoriedade com o vazamento de dados de figuras públicas, como streamers e criadores de conteúdo. Os doxxers geralmente não precisam ser hackers; muitas vezes, eles coletam informações disponíveis publicamente em redes sociais, registros públicos e por meio de engenharia social. Para se proteger, é essencial auditar as configurações de privacidade nas redes sociais, realizar buscas periódicas sobre suas informações na internet e usar senhas fortes e autenticação de dois fatores. Caso alguém se torne vítima de doxxing, é crucial documentar o incidente, denunciar nas plataformas afetadas e notificar amigos e familiares. O doxxing representa uma ameaça real no ambiente digital, e a prevenção é a melhor defesa contra essa prática.

Em setembro de 2025, a Zscaler ThreatLabz revelou uma campanha cibernética sofisticada chamada ClickFix, atribuída ao grupo APT COLDRIVER, vinculado à Rússia. A campanha visa membros da sociedade civil russa, utilizando engenharia social e malware leve para roubo de documentos e acesso persistente. O ataque começa em uma página maliciosa que se disfarça de centro de informações para ONGs e defensores dos direitos humanos. Os visitantes são induzidos a clicar em uma caixa de verificação falsa do Cloudflare, que copia um comando malicioso para a área de transferência. Ao executar o comando, o malware BAITSWITCH é carregado, permitindo que o invasor estabeleça uma conexão com o servidor de comando e controle (C2).

Um novo relatório apresentado na Virus Bulletin 2025 revela as operações complexas do grupo DeceptiveDevelopment, um ator de ameaças alinhado à Coreia do Norte que colabora com trabalhadores de TI fraudulentos para comprometer organizações globalmente. A campanha combina cibercrime com fraudes de emprego, visando desenvolvedores de software por meio de esquemas elaborados de engenharia social. Os operadores se passam por recrutadores em plataformas como LinkedIn e Upwork, oferecendo oportunidades de trabalho atraentes. As vítimas são solicitadas a realizar desafios de codificação que envolvem o download de projetos de repositórios privados, onde o código malicioso está oculto. O conjunto de ferramentas do grupo inclui várias famílias de malware sofisticadas, como BeaverTail, um infostealer em JavaScript e C++, e InvisibleFerret, um RAT modular em Python. Recentemente, o WeaselStore, um infostealer multiplataforma em Go, foi introduzido, permitindo a execução em sistemas Windows, Linux e macOS. As táticas de engenharia social evoluíram para incluir técnicas ClickFix, levando as vítimas a sites falsos de entrevistas de emprego que, em vez de resolver problemas técnicos, baixam e executam malware. A conexão do DeceptiveDevelopment com operações de fraude de trabalhadores de TI da Coreia do Norte aumenta os riscos para empregadores, que podem estar contratando indivíduos com identidades roubadas. As organizações devem implementar medidas de segurança abrangentes para combater essas campanhas sofisticadas.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

Pesquisadores de cibersegurança da SentinelOne apresentaram no LABScon 2025 a descoberta do MalTerminal, um malware que incorpora capacidades de Modelos de Linguagem de Grande Escala (LLMs). Este malware, que utiliza a API do OpenAI GPT-4, é capaz de gerar dinamicamente códigos de ransomware ou shells reversos. Embora não haja evidências de que tenha sido utilizado em ataques reais, sua existência representa um marco na evolução das técnicas de ataque, com a introdução de malwares que podem gerar lógica maliciosa em tempo real. Além disso, a pesquisa revelou que criminosos cibernéticos estão utilizando prompts ocultos em e-mails de phishing para enganar scanners de segurança baseados em IA, aumentando a eficácia desses ataques. O uso de ferramentas de IA generativa por cibercriminosos está se tornando uma tendência preocupante, com um aumento nas campanhas de engenharia social que exploram plataformas de hospedagem de sites para criar páginas de phishing. Esse cenário exige atenção redobrada das empresas, especialmente em relação à segurança de suas comunicações eletrônicas e à proteção de dados sensíveis.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

Um novo relatório da Netcraft revela que as ofertas de Phishing-as-a-Service (PhaaS), como Lighthouse e Lucid, estão associadas a mais de 17.500 domínios de phishing que visam 316 marcas em 74 países. Esses serviços operam com uma taxa mensal e oferecem kits de phishing com templates que imitam diversas marcas. O grupo XinXin, de língua chinesa, é apontado como o responsável por essas operações, utilizando também outros kits como Darcula. As campanhas de phishing são altamente personalizadas, permitindo que apenas alvos específicos acessem os links fraudulentos, enquanto usuários não-alvo são redirecionados para páginas genéricas. Além disso, houve um aumento de 25% nos ataques de phishing via e-mail, com criminosos utilizando serviços como EmailJS para coletar credenciais. A pesquisa também destaca o uso de domínios semelhantes, como ataques homoglíficos, que enganam usuários ao imitar URLs legítimas. Recentemente, marcas americanas foram alvo de fraudes que prometiam ganhos financeiros em troca de depósitos em criptomoedas. Este cenário evidencia a evolução e a colaboração entre grupos de cibercriminosos, tornando a detecção e mitigação de tais ameaças cada vez mais desafiadoras.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

Pesquisadores das empresas Red Canary e Zscaler identificaram novas táticas de phishing que utilizam atualizações falsas do navegador Chrome para disseminar ransomware. Essas campanhas têm se tornado cada vez mais sofisticadas, explorando não apenas mensagens enganosas sobre atualizações, mas também convites para reuniões em plataformas como Zoom e Teams, além de formulários de imposto de renda que parecem legítimos até para funcionários do governo. Uma das táticas mais comuns envolve a instalação de um instalador ITarian ao clicar em um botão de atualização falso, permitindo que os hackers tenham acesso administrativo aos sistemas. Alex Berninger, da Red Canary, destaca que a educação dos usuários é crucial, mas não suficiente, pois as técnicas de phishing estão em constante evolução. Para se proteger, as empresas devem implementar monitoramento de redes, detecção de endpoints e controles de ferramentas de gerenciamento remoto (RMM). Além disso, recomenda-se que os usuários instalem softwares apenas de fontes oficiais e utilizem serviços como VirusTotal para verificar arquivos suspeitos.

Uma nova variante do malware BeaverTail, associada a operadores estatais da Coreia do Norte, está sendo utilizada para atacar o setor de varejo e criptomoedas. Desde maio de 2025, os atacantes têm refinado sua infraestrutura de distribuição de malware, utilizando executáveis compilados e iscas de engenharia social através de uma plataforma de contratação falsa. Essa abordagem visa expandir o número de vítimas potenciais, focando em funções de marketing e vendas, ao invés de apenas desenvolvedores de software.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores em cibersegurança alertaram sobre uma nova campanha que utiliza uma variante da tática de engenharia social chamada FileFix para disseminar o malware StealC, um ladrão de informações. A campanha se destaca por empregar um site de phishing multilíngue altamente convincente, como uma página falsa de segurança do Facebook, que utiliza técnicas de anti-análise e ofuscação avançada para evitar a detecção. O ataque começa com um e-mail que alerta os usuários sobre a possível suspensão de suas contas do Facebook, levando-os a um site de phishing onde são induzidos a clicar em um botão para apelar da decisão. Ao clicar, os usuários são instruídos a copiar e colar um caminho para um documento em uma barra de endereços do File Explorer, mas na verdade, estão executando um comando malicioso que baixa e executa um script PowerShell. Este script, por sua vez, baixa um carregador que descompacta o código shell responsável por ativar o StealC. A técnica FileFix se diferencia de outras abordagens, como ClickFix, ao explorar uma funcionalidade comum dos navegadores, tornando a detecção mais difícil. A complexidade e o investimento na infraestrutura de phishing demonstram a sofisticação dos atacantes, que buscam maximizar o impacto e a evasão das defesas de segurança.

Uma nova pesquisa conjunta da Red Canary Intelligence e da Zscaler revela que atacantes estão utilizando ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como ITarian, PDQ Connect, SimpleHelp e Atera, em campanhas de phishing em larga escala. Esses atacantes estão reconfigurando soluções de TI para estabelecer mecanismos de persistência furtiva, evitando a detecção e implantando malware secundário, como ladrões de informações e ransomware.

As campanhas de phishing utilizam técnicas de engenharia social bem conhecidas, sendo as atualizações falsas de navegadores uma das mais eficazes. Em um caso, sites comprometidos de esportes e saúde redirecionaram usuários para páginas fraudulentas de atualização do Chrome. Um overlay JavaScript sofisticado coletou informações dos usuários e os redirecionou para domínios controlados pelos atacantes, onde um instalador malicioso foi baixado.

O AdaptixC2, um framework de pós-exploração de código aberto, tem sido utilizado em diversos ataques reais nos últimos meses. Pesquisadores da Unit 42 identificaram sua implementação em maio de 2025, revelando campanhas que combinam engenharia social e scripts gerados por IA para comprometer endpoints Windows. A arquitetura modular do AdaptixC2, junto com perfis de configuração criptografados e técnicas de execução sem arquivo, permite que os atacantes mantenham acesso persistente e oculto, evitando defesas tradicionais.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza um malware bancário transformado em um trojan de acesso remoto chamado MostereRAT. Este ataque emprega técnicas sofisticadas de evasão para assumir o controle total de sistemas comprometidos, roubar dados sensíveis e estender suas funcionalidades por meio de plugins secundários. O malware é desenvolvido em uma linguagem de programação visual chamada Easy Programming Language (EPL), que facilita o uso por pessoas que não dominam o inglês. Os e-mails, direcionados principalmente a usuários japoneses, enganam as vítimas com iscas relacionadas a consultas comerciais, levando-as a baixar um documento malicioso. Uma vez instalado, o MostereRAT pode desativar mecanismos de segurança do Windows, bloquear tráfego de rede de programas de segurança e executar uma variedade de comandos, como capturar teclas e tirar screenshots. Além disso, a pesquisa também destaca uma nova campanha que utiliza técnicas semelhantes para distribuir um ladrão de informações chamado MetaStealer. Essas ameaças representam um risco significativo, especialmente devido à sua capacidade de contornar soluções de segurança e à necessidade de interação manual das vítimas, o que dificulta a detecção e prevenção. A educação dos usuários sobre engenharia social continua sendo crucial para mitigar esses riscos.

O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi associado a uma campanha de engenharia social que distribui três tipos diferentes de malware multiplataforma: PondRAT, ThemeForestRAT e RemotePE. A campanha, observada pela Fox-IT do NCC Group em 2024, visou uma organização do setor de finanças descentralizadas (DeFi), resultando na violação do sistema de um funcionário. O ataque começou com o ator se passando por um empregado de uma empresa de negociação no Telegram e utilizando sites falsos que imitam serviços como Calendly e Picktime para agendar uma reunião com a vítima. Embora o vetor de acesso inicial não seja conhecido, o acesso foi utilizado para implantar um loader chamado PerfhLoader, que, por sua vez, instala o PondRAT. Este malware permite ao operador ler e escrever arquivos, iniciar processos e executar shellcode. O PondRAT foi utilizado em conjunto com o ThemeForestRAT, que possui funcionalidades mais avançadas e opera de forma mais discreta. O ataque também envolveu o uso de um exploit zero-day no navegador Chrome, evidenciando a sofisticação da operação. O RemotePE, um RAT mais avançado, é reservado para alvos de alto valor e é carregado por um loader específico. A combinação de ferramentas e a abordagem furtiva do ataque indicam um nível elevado de planejamento e execução por parte do grupo.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.