Phishing

Uma nova campanha de phishing, identificada em dezembro de 2025, está atacando o setor de hotelaria na Europa, utilizando uma falsa tela azul da morte do Windows para disseminar malware. Especialistas da Securonix alertam que os criminosos se disfarçam como hóspedes do Booking, enviando e-mails que simulam cancelamentos de reservas. Esses e-mails geram pânico nas vítimas ao prometer reembolsos altos, levando-as a clicar em links que direcionam a páginas fraudulentas. Uma vez na página falsa, um erro de carregamento é apresentado, incentivando o usuário a clicar em um botão de atualização. Nesse momento, a tela azul do Windows aparece, fazendo com que a vítima acredite que seu sistema está com problemas. O ataque ClickFix se concretiza quando a vítima é instruída a abrir a janela de ‘Executar’ e colar um comando malicioso, que instala um trojan de acesso remoto. Esse malware permite que os hackers controlem o dispositivo da vítima, roubando dados e comprometendo sistemas sem que a pessoa perceba. A falta de conhecimento sobre a tela azul da morte torna os usuários mais vulneráveis a esse tipo de golpe.

Uma nova campanha de phishing está utilizando servidores de e-mail mal configurados para enganar vítimas, fazendo com que mensagens fraudulentas pareçam legítimas. De acordo com um relatório da Microsoft, os atacantes estão explorando falhas na configuração de segurança de e-mails, como SPF, DKIM e DMARC, que normalmente verificam a autenticidade das mensagens. Quando esses sistemas não são rigorosamente aplicados, os criminosos conseguem enviar e-mails que parecem vir de domínios internos da empresa, aumentando a probabilidade de que os funcionários caiam no golpe.

A gangue de cibercrime conhecida como Black Cat está por trás de uma campanha de envenenamento de SEO que utiliza sites fraudulentos para enganar usuários a baixarem um backdoor capaz de roubar dados sensíveis. Segundo um relatório do CNCERT/CC e da ThreatBook, a estratégia envolve posicionar sites falsos no topo dos resultados de busca em motores como o Bing, visando usuários que procuram por softwares populares como Google Chrome e Notepad++. Ao acessar essas páginas de phishing, os usuários são levados a baixar pacotes de instalação que contêm programas maliciosos. Uma vez instalado, o malware cria uma porta dos fundos no sistema, permitindo que os atacantes acessem informações privadas. A gangue está ativa desde 2022 e, em 2023, teria roubado cerca de $160.000 em criptomoedas. Recentemente, cerca de 277.800 dispositivos foram comprometidos na China, com um pico de 62.167 máquinas comprometidas em um único dia. Para se proteger, os usuários devem evitar clicar em links de fontes desconhecidas e utilizar apenas fontes confiáveis para downloads.

A Gulshan Management Services (GMS), que opera cerca de 150 postos de gasolina no Texas, notificou 377.082 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente, resultante de um ataque de phishing bem-sucedido, comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados de cartões de crédito e débito, números de carteira de motorista e informações de contato. A empresa descobriu a invasão em 27 de setembro, após uma investigação que revelou que o acesso não autorizado ocorreu em 17 de setembro. Além de acessar servidores que armazenavam dados pessoais, o atacante implantou um software malicioso que criptografou partes da rede da GMS. A empresa está oferecendo monitoramento de identidade gratuito para as vítimas e enfrenta várias ações judiciais coletivas em decorrência do vazamento. Este ataque é considerado o quinto maior do ano em termos de registros comprometidos, com um total de 325 ataques de ransomware registrados em 2025 nos EUA, afetando mais de 25,9 milhões de registros pessoais.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha PHALT#BLYX, que utiliza iscas no estilo ClickFix para enganar vítimas com falsas mensagens de erro de tela azul da morte (BSoD). O alvo principal são organizações do setor hoteleiro na Europa, com o objetivo de instalar um trojan de acesso remoto conhecido como DCRat. A campanha foi detectada no final de dezembro de 2025 e começa com um e-mail de phishing que se disfarça como uma notificação de cancelamento de reserva do Booking.com. Ao clicar em um link para um site falso, as vítimas são levadas a uma página que simula um BSoD, onde são instruídas a executar comandos maliciosos em PowerShell. Isso resulta na execução de um arquivo MSBuild que baixa e executa o DCRat, que pode roubar informações sensíveis e executar comandos arbitrários. A campanha destaca o uso de técnicas de living-off-the-land, abusando de binários de sistema confiáveis para evitar detecções de segurança. A presença de detalhes em euros e o uso da língua russa no código indicam que o ataque é direcionado a organizações europeias, possivelmente ligadas a atores de ameaças russos.

O grupo de hackers alinhado à Rússia, conhecido como UAC-0184 ou Hive0156, tem intensificado suas atividades de espionagem cibernética contra entidades militares e governamentais da Ucrânia, utilizando a plataforma de mensagens Viber para disseminar arquivos ZIP maliciosos. Segundo o 360 Threat Intelligence Center, em 2025, a organização continuou a realizar campanhas de coleta de inteligência em alta intensidade. Os ataques frequentemente empregam iscas temáticas de guerra em e-mails de phishing para entregar o malware Hijack Loader, que posteriormente facilita infecções por Remcos RAT.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

Os ataques de ATO, ou ‘account takeover’, ocorrem quando um cibercriminoso obtém acesso não autorizado a uma conta online, como e-mails ou contas bancárias. Esses ataques podem resultar em fraudes financeiras e danos à reputação da vítima. Historicamente, os ATOs começaram com táticas de engenharia social, mas evoluíram para métodos mais sofisticados, como o uso de bots e inteligência artificial. Os hackers frequentemente utilizam técnicas como ‘credential stuffing’, onde testam senhas vazadas, e phishing, que envolve enganar usuários para que revelem suas credenciais. Os sinais de que uma pessoa pode ter sido vítima de um ATO incluem e-mails suspeitos sobre tentativas de login não solicitadas e atividades estranhas em contas. A conscientização sobre esses ataques é crucial, pois qualquer conta pode ser alvo, e a proteção deve ser uma prioridade tanto para indivíduos quanto para empresas.

O artigo explora as diferenças entre phishing, spear phishing e whaling, destacando como esses ataques cibernéticos evoluem em complexidade e direcionamento. O phishing tradicional é um ataque em massa que visa um grande número de pessoas, utilizando e-mails genéricos para roubar informações confidenciais. Em contraste, o spear phishing é um ataque mais personalizado, onde os hackers realizam pesquisas detalhadas sobre suas vítimas para criar mensagens que parecem autênticas, aumentando as chances de sucesso. No topo da pirâmide está o whaling, que se concentra em executivos de alto nível, como CEOs e CFOs, visando fraudes financeiras ou roubo de segredos industriais. O artigo também oferece dicas de proteção, como implementar uma cultura de segurança nas empresas, adotar camadas de verificação para transações e praticar higiene digital ao compartilhar informações nas redes sociais. A conscientização sobre esses tipos de ataques é crucial para evitar que indivíduos e organizações se tornem vítimas de cibercriminosos.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza mensagens geradas pelo Google para enganar usuários. Os atacantes abusam do serviço de Integração de Aplicativos do Google Cloud para enviar e-mails de phishing a partir de um endereço legítimo, ’noreply-application-integration@google.com’, o que permite que as mensagens contornem filtros de segurança tradicionais. Os e-mails imitam notificações empresariais comuns, como alertas de correio de voz e solicitações de acesso a arquivos, tornando-se mais convincentes para os destinatários. Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 clientes em diversas regiões, incluindo EUA, Europa e América Latina. A campanha explora a funcionalidade de envio de e-mails do Google Cloud, permitindo que os atacantes configurem mensagens para qualquer endereço de e-mail, burlando verificações de DMARC e SPF. Após o clique em links contidos nos e-mails, os usuários são redirecionados para páginas falsas que visam roubar credenciais. O Google já tomou medidas para bloquear esses esforços de phishing, mas a campanha destaca como recursos legítimos de automação podem ser mal utilizados para disseminar ataques em larga escala.

O phishing, uma das fraudes digitais mais conhecidas atualmente, tem raízes que remontam à década de 1990, quando a AOL (America Online) se destacou como um dos principais provedores de internet. Naquela época, muitos usuários buscavam maneiras de acessar a internet sem pagar, levando a um aumento de atividades ilegais, como a troca de softwares piratas. Os hackers adolescentes, em busca de mais tempo online, desenvolveram o programa AOHell, que automatizou o roubo de contas, marcando o início do phishing como o conhecemos hoje. A técnica envolvia enganar usuários leigos por meio de mensagens que simulavam comunicações legítimas da AOL, criando um senso de urgência para roubar credenciais de acesso. Apesar dos esforços da AOL para combater esses crimes, como alertas sobre a segurança das senhas, o phishing evoluiu e se sofisticou, aproveitando-se da psicologia humana e das novas tecnologias. Atualmente, o phishing continua a ser uma ameaça significativa, com métodos mais elaborados, impulsionados pelo avanço da inteligência artificial e pela diversidade de dispositivos utilizados pelos criminosos.

Um levantamento da ESET, empresa de cibersegurança, revelou as principais ameaças digitais enfrentadas no Brasil em 2025, destacando a prevalência dos trojans bancários e ataques de phishing. Os trojans bancários, representados por 11,47% das detecções, são malwares que visam sistemas financeiros, explorando a crescente digitalização das transações. O phishing, em segundo lugar com 7,49%, continua a ser uma técnica comum, utilizando engenharia social para enganar as vítimas. Outras ameaças notáveis incluem o Downloader Rugmi (6,48%), que prepara o terreno para a instalação de malwares, e o Guildma (5,8%), um trojan que finge ser um aplicativo seguro para roubar informações financeiras. O Kryptik (5,08%) fecha a lista, sendo utilizado para propagar outros malwares. Para se proteger, a ESET recomenda o uso de antivírus atualizados, cautela com comunicações suspeitas e programas de conscientização em empresas. O estudo ressalta a importância da conscientização e da proteção contra essas ameaças em um cenário digital em constante evolução.

O início do ano é um período crítico para fraudes digitais no Brasil, especialmente relacionadas a impostos e cobranças. Entre os golpes mais comuns estão: 1) IPVA e IPTU atrasado, onde golpistas enviam mensagens com links para páginas falsas que imitam portais governamentais, induzindo vítimas a transferências via Pix; 2) Irregularidade no imposto de renda, com mensagens fraudulentas se passando pela Receita Federal, solicitando dados pessoais e taxas inexistentes; 3) Cobrança do MEI, que alerta sobre cancelamento de CNPJ, levando a sites falsos; 4) Maquininha quebrada, onde vendedores manipulam pagamentos para cobrar valores superiores; 5) Golpe do brinde, que envolve taxas de entrega ou reconhecimento facial para acessar pacotes. Para se proteger, é essencial desconfiar de mensagens alarmistas, verificar remetentes, evitar links suspeitos e confirmar dados antes de realizar transações financeiras. A instalação de antivírus e o uso de senhas fortes também são recomendados.

Os infostealers são malwares projetados para roubar informações sensíveis de sistemas infectados, operando de forma discreta e silenciosa. Ao contrário de ransomwares, que sequestram dados, os infostealers se concentram em coletar credenciais, como nomes de usuário e senhas, armazenadas em navegadores como Google Chrome e Firefox. Esses dados são enviados para servidores controlados por cibercriminosos, permitindo acesso a contas de e-mail e redes sociais sem a necessidade de autenticação adicional.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Um novo golpe de cibersegurança tem chamado a atenção ao utilizar um pacote de API falso do WhatsApp, conhecido como ’lotusbail’, que já foi baixado mais de 56 mil vezes desde seu lançamento em maio de 2025. Especialistas da Koi Security alertam que, embora o pacote pareça funcional, ele é projetado para roubar credenciais do WhatsApp, interceptar mensagens e instalar um backdoor persistente no dispositivo da vítima. O ataque se concretiza através da captura de tokens de autenticação, permitindo que os hackers vinculem seu dispositivo à conta da vítima sem que esta perceba. Mesmo após a desinstalação do pacote, o acesso à conta permanece, pois a vinculação não é removida automaticamente. O malware utiliza técnicas de antidepuração para evitar ser detectado, tornando-se um risco significativo para os usuários do WhatsApp. Este incidente destaca a necessidade urgente de conscientização e proteção contra ameaças digitais, especialmente em plataformas amplamente utilizadas como o WhatsApp.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

Recentemente, um hacker conhecido como ‘Lovely’ invadiu os sistemas da Condé Nast, resultando no vazamento de dados sensíveis de mais de 2,3 milhões de leitores da WIRED. As informações comprometidas incluem e-mails, nomes, números de telefone, endereços e detalhes de contas. O hacker, que alegou não ter intenções maliciosas, tentou alertar a empresa sobre vulnerabilidades em seus sistemas, mas sem sucesso. Após um mês sem resposta, decidiu divulgar os dados em fóruns de hackers, onde outros usuários podem acessá-los mediante pagamento. Lovely também afirmou ter acesso a dados de outras publicações da Condé Nast, como Vogue e Vanity Fair. Especialistas em segurança alertam que os dados vazados podem ser utilizados em ataques de phishing, e recomendam que os usuários fiquem atentos a e-mails suspeitos, especialmente aqueles que se passam pela Condé Nast ou suas marcas. A situação destaca a importância da segurança de dados e a necessidade de vigilância constante por parte dos usuários.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

Com a chegada das festas de fim de ano, a atividade de golpistas aumenta, tornando essencial a adoção de medidas de segurança online. Especialistas da Norton VPN alertam que um simples clique em um link malicioso pode transformar as compras natalinas em um pesadelo. O aumento de sites fraudulentos, que cresceu mais de 250% antes do Black Friday de 2025, destaca a importância de estar atento a ofertas que parecem boas demais para serem verdade. Os golpistas estão se adaptando, utilizando e-mails, mensagens de texto e chamadas telefônicas para enganar os consumidores. Para se proteger, é fundamental usar o bom senso, verificar a legitimidade das ofertas digitando o endereço do site diretamente no navegador e não se deixar levar pela pressão do tempo. Além disso, ferramentas como proteção contra fraudes por IA e VPNs podem ajudar a mitigar riscos. A conscientização e a cautela são as melhores defesas contra essas ameaças durante a temporada de compras.

Com a aproximação das festas de fim de ano, golpistas estão aproveitando o aumento do tráfego de e-mails para aplicar fraudes que visam roubar informações pessoais e bancárias. Segundo a análise da X-Labs, os golpes se disfarçam como promoções de Natal ou notificações de pedidos, utilizando mensagens que parecem legítimas para evitar a desconfiança dos usuários. Esses e-mails, que passam por sistemas de envio em massa, apresentam formatação limpa e opções de cancelamento, o que ajuda a driblar sistemas básicos de detecção de spam.

O Brasil enfrenta uma crescente onda de golpes digitais, que utilizam engenharia social, inteligência artificial e automação para enganar vítimas. Os golpistas se aproveitam de eventos de grande visibilidade, como a declaração do Imposto de Renda e programas sociais, para criar campanhas de phishing que induzem as pessoas a fornecer dados pessoais ou realizar transferências via Pix. O uso de canais variados, como e-mails, SMS (smishing) e redes sociais, amplia o alcance dessas fraudes. Técnicas como vishing, whaling e clone phishing são comuns, e a clonagem de contas de WhatsApp se tornou uma prática recorrente, onde golpistas se passam por conhecidos para solicitar dinheiro. Para se proteger, é essencial ativar a verificação em duas etapas e estar atento a mensagens suspeitas. O aumento de 80% nas tentativas de phishing no Brasil, com mais de 553 milhões de ataques bloqueados em um ano, destaca a urgência de medidas de segurança mais robustas tanto para indivíduos quanto para empresas.

O Departamento de Justiça dos EUA anunciou a apreensão do domínio web3adspanels[.]org, que era utilizado para facilitar um esquema de fraude de tomada de conta bancária. Este domínio servia como um painel de controle para manipular credenciais de login bancário obtidas ilegalmente. Os criminosos veiculavam anúncios fraudulentos em motores de busca como Google e Bing, redirecionando usuários desavisados para sites falsos de bancos, onde suas credenciais eram coletadas por meio de um software malicioso. Até o momento, o esquema resultou em 19 vítimas nos EUA, incluindo duas empresas na Geórgia, com perdas estimadas em cerca de $28 milhões, sendo $14,6 milhões em perdas reais. O domínio apreendido armazenava as credenciais de login de milhares de vítimas e facilitava fraudes até recentemente. O FBI relatou mais de 5.100 queixas relacionadas a fraudes de tomada de conta bancária desde janeiro de 2025, totalizando perdas superiores a $262 milhões. O DoJ recomenda que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas e utilizem senhas complexas.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Um levantamento da Check Point Software revelou que os golpes de cibersegurança durante o período natalino de 2025 estão mais sofisticados, utilizando inteligência artificial para automatizar fraudes. Entre as ameaças destacadas, estão e-mails de phishing com temática natalina, que somaram 33.502 casos nas últimas duas semanas, e a criação de 10.000 anúncios falsos diariamente em redes sociais. Os golpistas têm se aproveitado de eventos como a Black Friday para lançar sites de varejo falsos, que imitam operações legítimas, incluindo carrinhos de compra e confirmações de e-mail. Além disso, golpes de sorteios e promoções fraudulentas têm inundado plataformas como Facebook e Instagram, onde contas recém-criadas alegam que as vítimas ganharam prêmios, solicitando taxas de envio. Para se proteger, os especialistas recomendam verificar URLs, desconfiar de solicitações de pagamento incomuns e evitar compartilhar informações pessoais sem ter buscado o serviço. O alerta é reforçado por instituições como o FBI e a Anatel, que promovem campanhas de conscientização como o movimento #FiqueEsperto.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

O malware fileless é uma nova forma de ataque cibernético que opera diretamente na memória RAM dos dispositivos, evitando a detecção por ferramentas tradicionais de segurança. Diferente dos vírus convencionais, que se instalam no disco rígido, esse tipo de malware utiliza técnicas conhecidas como ‘Living off the Land’, que aproveitam ferramentas legítimas do sistema, como PowerShell e macros do Office, para realizar ações maliciosas. O ataque geralmente começa com e-mails de phishing ou documentos comprometidos, que, ao serem abertos, executam comandos ocultos que não deixam vestígios permanentes no sistema. Isso torna a detecção extremamente difícil, pois não há arquivos maliciosos a serem escaneados. Casos como o da Equifax, onde dados de 147,9 milhões de pessoas foram expostos, ilustram a gravidade dessa ameaça. Para se proteger, é essencial atualizar softwares, ter cuidado com macros, usar ferramentas que monitoram comportamentos suspeitos e desativar funções desnecessárias. A vigilância constante e a higiene digital são fundamentais para evitar infecções por esse tipo de malware.

Uma nova campanha de phishing, identificada como GhostPairing, está sendo utilizada por cibercriminosos para roubar contas do WhatsApp. O ataque ocorre quando a vítima recebe uma mensagem de um contato conhecido, contendo um link que leva a uma página falsa do Facebook. Ao clicar, a vítima é induzida a fornecer seu número de telefone para ver um conteúdo supostamente legítimo. Em seguida, um código de pareamento é gerado e a vítima é instruída a usá-lo para vincular seu WhatsApp a um dispositivo comprometido. Isso permite que o hacker tenha acesso total ao histórico de conversas e mídias da vítima, possibilitando fraudes e enganos aos contatos da vítima sem que ela perceba. Embora a campanha tenha sido inicialmente observada na República Tcheca, especialistas alertam que pode se espalhar rapidamente para outras regiões. Para se proteger, é recomendado que os usuários verifiquem regularmente a aba de ‘dispositivos vinculados’ no WhatsApp e evitem clicar em links suspeitos.

Um grupo suspeito de estar alinhado à Rússia está sendo responsabilizado por uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais do Microsoft 365 e realizar ataques de tomada de conta. A atividade, que começou em setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare. Os ataques envolvem o uso de endereços de e-mail comprometidos de organizações governamentais e militares para atingir entidades em setores como governo, think tanks, educação superior e transporte nos EUA e na Europa. Os atacantes se apresentam como representantes de organizações legítimas e enviam links que supostamente levam a documentos relevantes, mas que na verdade redirecionam as vítimas para uma página de login da Microsoft. Ao inserir o código fornecido, os atacantes conseguem gerar um token de acesso e tomar controle da conta da vítima. A Proofpoint alerta que essa técnica de phishing foi documentada anteriormente e está sendo utilizada por diversos grupos, tanto estatais quanto motivados financeiramente, para obter acesso não autorizado a dados sensíveis. Para mitigar os riscos, recomenda-se a criação de políticas de Acesso Condicional que bloqueiem esse fluxo de autenticação para todos os usuários ou que permitam apenas para usuários aprovados.

As autoridades da Nigéria anunciaram a prisão de três suspeitos de fraudes na internet, envolvidos em ataques de phishing que visavam grandes corporações, incluindo o desenvolvedor do esquema RaccoonO365, um serviço de phishing como serviço (PhaaS). O principal suspeito, Okitipi Samuel, também conhecido como Moses Felix, é acusado de operar um canal no Telegram onde vendia links de phishing em troca de criptomoedas e hospedava portais de login fraudulentos utilizando credenciais de e-mail roubadas. A investigação, realizada em colaboração com a Microsoft e o FBI, resultou na apreensão de laptops e dispositivos móveis relacionados à operação. O RaccoonO365 é um grupo motivado financeiramente que permite a coleta de credenciais ao criar páginas de phishing que imitam os logins do Microsoft 365. Desde julho de 2024, estima-se que o esquema tenha levado ao roubo de pelo menos 5.000 credenciais de usuários em 94 países. A Microsoft, em uma ação civil, processou indivíduos envolvidos na operação, destacando o impacto financeiro e as violações de propriedade intelectual resultantes desses crimes cibernéticos. Além disso, a Google também está processando operadores de outro serviço PhaaS, o Darcula, que tem causado uma onda de smishing nos EUA.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

O grupo de ameaças cibernéticas norte-coreano Kimsuky está vinculado a uma nova campanha que distribui uma variante de malware para Android chamada DocSwap. O malware é disseminado por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística CJ Logistics. Os atacantes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar o malware em seus dispositivos móveis. A aplicação maliciosa, ao ser instalada, decripta um APK embutido e ativa um serviço que permite controle remoto (RAT) do dispositivo. Para contornar as advertências de segurança do Android, os atacantes apresentam o aplicativo como uma versão oficial e segura. Além disso, a campanha utiliza mensagens de smishing e e-mails de phishing que se passam por empresas de entrega para atrair as vítimas. Uma vez instalado, o malware pode registrar teclas, capturar áudio, acessar a câmera, realizar operações de arquivos e coletar dados sensíveis, como mensagens SMS e contatos. O ataque também inclui amostras disfarçadas de aplicativos legítimos, como um VPN, demonstrando a evolução das táticas do grupo. A análise revela que os sites de phishing estão associados a campanhas anteriores de coleta de credenciais, aumentando a preocupação com a segurança dos usuários na Coreia do Sul e potencialmente em outros locais, incluindo o Brasil.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

Pesquisadores de cibersegurança identificaram quatro novos kits de phishing: BlackForce, GhostFrame, InboxPrime AI e Spiderman, que facilitam o roubo de credenciais em grande escala. O BlackForce, detectado pela primeira vez em agosto de 2025, é projetado para realizar ataques Man-in-the-Browser (MitB) e capturar senhas de uso único (OTPs), burlando a autenticação multifatorial (MFA). Vendido em fóruns do Telegram, o kit já foi utilizado para se passar por marcas renomadas como Disney e Netflix. O GhostFrame, descoberto em setembro de 2025, utiliza um iframe oculto para redirecionar vítimas a páginas de phishing, enquanto o InboxPrime AI automatiza campanhas de e-mail malicioso usando inteligência artificial, permitindo que atacantes simulem comportamentos humanos reais. Por fim, o Spiderman replica páginas de login de bancos europeus, oferecendo uma plataforma completa para gerenciar campanhas de phishing. Esses kits representam uma ameaça crescente, especialmente para empresas que dependem de autenticação digital, exigindo atenção redobrada das equipes de segurança.

Um novo kit de phishing, conhecido como Spiderman, foi identificado por especialistas da Varonis em circulação na dark web, visando clientes de bancos e provedores de serviços financeiros na Europa. Este kit permite que cibercriminosos automatizem ataques para roubar dados pessoais em tempo real, facilitando a criação de páginas falsas que imitam sites legítimos. O Spiderman é considerado uma das ferramentas mais perigosas de 2025, com ataques já registrados em cinco países, incluindo Alemanha, Bélgica e Espanha.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.