Phishing

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

Em fevereiro de 2026, uma plataforma de phishing chamada EvilTokens foi lançada, comprometendo mais de 340 organizações que utilizam Microsoft 365 em cinco países em apenas cinco semanas. O ataque, conhecido como consent phishing, ocorre quando os usuários são induzidos a inserir um código em um site legítimo, acreditando que estão completando um desafio de autenticação multifatorial (MFA). Na verdade, eles entregam um token de atualização válido, que permite acesso a suas caixas de entrada, calendários e contatos, sem que o atacante precise de uma senha ou que um alerta de MFA seja acionado.

O phishing se tornou uma ameaça crescente para as empresas, especialmente devido à sua capacidade de se disfarçar como comunicações legítimas. Um único clique em um e-mail malicioso pode resultar em exposição de identidade, acesso remoto e comprometimento de dados. A detecção precoce de phishing é crucial para mitigar esses riscos, permitindo que as equipes de segurança cibernética (SOCs) respondam rapidamente a incidentes. O uso de sandboxes interativas é uma estratégia eficaz para analisar e validar o comportamento de links suspeitos, revelando a verdadeira natureza das ameaças. Além disso, a contextualização das ameaças permite que as equipes compreendam se um ataque é isolado ou parte de uma campanha mais ampla, facilitando a priorização das respostas. A integração de inteligência de ameaças em ferramentas de segurança existentes é fundamental para detectar e bloquear atividades relacionadas, reduzindo a exposição operacional. Com a crescente sofisticação dos ataques de phishing, é essencial que as empresas adotem essas práticas para proteger suas operações e dados.

Durante a Operação Ramz, a INTERPOL prendeu mais de 200 indivíduos envolvidos em atividades de cibercrime no Oriente Médio e Norte da África. A operação, que abrangeu 13 países, resultou na identificação de 382 suspeitos e na apreensão de 53 servidores utilizados para phishing, malware e fraudes online, afetando pelo menos 3.867 vítimas confirmadas. A INTERPOL destacou que a operação visou neutralizar ameaças de phishing e malware, além de combater fraudes cibernéticas que causam danos significativos à região. Entre as ações realizadas, destaca-se a desarticulação de uma operação de golpe de investimento na Jordânia e o fechamento de uma plataforma de phishing na Argélia. A INTERPOL colaborou com empresas de cibersegurança, como Kaspersky e Group-IB, para rastrear a infraestrutura maliciosa. Esta é a terceira grande operação contra cibercrime realizada pela INTERPOL em 2023, refletindo um aumento na atividade criminosa online e a necessidade de ações coordenadas entre países e setores privados.

A INTERPOL coordenou uma operação inédita de combate ao cibercrime na região do Oriente Médio e Norte da África (MENA), resultando em 201 prisões e a identificação de 382 suspeitos entre outubro de 2025 e fevereiro de 2026. A operação, chamada Ramz, teve como foco a neutralização de ameaças de phishing e malware, além de fraudes cibernéticas que causam prejuízos significativos à região. Durante a ação, 3.867 vítimas foram identificadas e 53 servidores foram apreendidos. As autoridades da Argélia desmantelaram uma infraestrutura de phishing como serviço (PhaaS), enquanto no Marrocos foram confiscados dispositivos com dados bancários. Em Omã, um servidor legítimo foi encontrado com vulnerabilidades críticas e infectado por malware. A operação também revelou que dispositivos comprometidos estavam sendo usados no Catar sem o conhecimento dos proprietários. Além disso, a polícia da Jordânia prendeu 15 indivíduos envolvidos em fraudes financeiras, que eram, na verdade, vítimas de tráfico humano. A operação envolveu 13 países e destacou a importância da colaboração internacional no combate ao cibercrime.

O kit de phishing Tycoon2FA, que já havia sido interrompido por uma operação internacional de aplicação da lei em março, foi rapidamente reestruturado e voltou a operar em níveis normais. Recentemente, foi identificado em uma campanha que utiliza fluxos de autorização de dispositivo OAuth 2.0 para comprometer contas do Microsoft 365. O ataque de phishing com código de dispositivo envolve o envio de um pedido de autorização de dispositivo ao provedor de serviços, enganando a vítima para que insira um código gerado em uma página de login legítima da Microsoft. Isso permite que o atacante registre um dispositivo malicioso com a conta da vítima, obtendo acesso irrestrito a dados e serviços, como e-mails e armazenamento em nuvem. A Push Security relatou um aumento de 37 vezes nesse tipo de ataque este ano, com suporte de pelo menos dez plataformas de phishing como serviço (PhaaS). O Tycoon2FA também implementou camadas adicionais de ofuscação para dificultar a detecção. Especialistas recomendam desabilitar o fluxo de código de dispositivo OAuth quando não necessário e monitorar logs de autenticação para mitigar esses riscos.

O artigo de Ben Wilkens destaca a crescente ameaça de crimes cibernéticos no setor de transporte, onde técnicas de ransomware estão sendo adaptadas para roubar cargas. Em 2025, perdas de aproximadamente US$ 725 milhões foram relatadas devido a crimes de carga na América do Norte, enquanto o FBI registrou perdas de cerca de US$ 21 bilhões em crimes cibernéticos. Os criminosos utilizam e-mails de phishing para obter credenciais e, em vez de implantar ransomware, redirecionam cargas legítimas para locais controlados por eles. Essa abordagem tem se tornado comum, especialmente entre grupos de crime organizado internacionais. A maioria das empresas de transporte, especialmente as de pequeno e médio porte, carece de recursos para implementar medidas de segurança cibernética adequadas, tornando-se alvos fáceis. O artigo também menciona a publicação de um guia pela NMFTA para ajudar as empresas a se protegerem contra esses crimes, destacando a necessidade urgente de uma mudança de paradigma na segurança do setor.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, está realizando uma nova onda de ataques direcionados a organizações governamentais na Ucrânia. Desde 2016, o grupo tem sido associado a operações de espionagem cibernética e influência, especialmente em países vizinhos. Recentemente, foram identificados ataques que utilizam um malware chamado PicassoLoader, que serve como um canal para o Cobalt Strike Beacon e njRAT. Em 2023, o Ghostwriter explorou uma vulnerabilidade no WinRAR (CVE-2023-38831) para implantar seu malware. Além disso, uma campanha de phishing em 2024 utilizou uma falha no Roundcube (CVE-2024-42009) para capturar credenciais de e-mail. Os ataques mais recentes, iniciados em março de 2026, envolvem o envio de PDFs maliciosos que disfarçam links para arquivos RAR contendo um payload JavaScript, visando entidades governamentais ucranianas. O grupo também implementou técnicas de anti-análise, como verificação de geolocalização, para evitar detecções. A atividade do Ghostwriter é uma preocupação crescente, especialmente para setores críticos como defesa e governo na Ucrânia, mas também pode ter implicações para organizações no Brasil, dada a natureza global das ameaças cibernéticas.

O cenário de cibersegurança continua alarmante, com uma série de vulnerabilidades e ataques sendo reportados. A Palo Alto Networks divulgou correções para uma falha crítica (CVE-2026-0300) no serviço User-ID Authentication Portal do PAN-OS, que permite a execução de código arbitrário por atacantes não autenticados. Além disso, uma empresa de tecnologia de defesa expôs dados sensíveis devido a falhas de autorização em suas APIs. Em outra frente, a Meta lançou o Incognito Chat, prometendo privacidade nas interações com IA. O relatório também destaca campanhas de phishing patrocinadas por estados, como a Operation GriefLure, que visa setores estratégicos no Vietnã e nas Filipinas, e a Operation HumanitarianBait, que utiliza temas de ajuda humanitária para enganar usuários. A nova técnica GhostLock permite que usuários com acesso limitado bloqueiem arquivos, causando interrupções semelhantes a ataques de ransomware. O artigo enfatiza a necessidade urgente de ações corretivas e vigilância contínua para mitigar esses riscos.

Os ataques cibernéticos modernos estão cada vez mais sofisticados, visando contornar defesas, interromper operações e atrasar a recuperação após uma violação. Um webinar ao vivo, promovido pela BleepingComputer, abordará a necessidade de as organizações repensarem suas estratégias de segurança e recuperação, especialmente diante da evolução rápida de ameaças como phishing impulsionado por IA, ransomware e comprometimento de e-mails corporativos. Os atacantes utilizam infraestrutura confiável e serviços em nuvem legítimos para acessar ambientes empresariais, tornando a detecção e contenção de incidentes um desafio. O webinar destacará a importância de combinar controles de segurança robustos com estratégias de backup e recuperação, essenciais para a resiliência cibernética moderna. A falta de estratégias de recuperação eficazes pode resultar em longos períodos de inatividade e custos elevados após a identificação de incidentes. Os participantes aprenderão sobre as falhas comuns nas estratégias de segurança e a importância do planejamento de recuperação e backup em SaaS. Essa discussão é crucial para que as organizações não apenas se defendam contra ataques, mas também se recuperem rapidamente.

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

O Escritório do Comissário de Informação do Reino Unido multou a South Staffordshire Water Plc e sua controladora em £963,900 (cerca de R$ 6,3 milhões) devido a um ciberataque que expôs os dados pessoais de 663,887 clientes e funcionários. A empresa, que fornece 330 milhões de litros de água potável diariamente para 1,6 milhão de consumidores, sofreu o ataque que comprometeu suas operações de TI em 2022. Embora a gangue de ransomware Cl0p tenha inicialmente reivindicado a responsabilidade, a investigação do ICO confirmou a autenticidade dos dados vazados, que incluíam nomes completos, endereços, e informações bancárias. O ataque, que começou em setembro de 2020, foi facilitado por um ataque de phishing que permitiu a instalação de malware em seus sistemas, permanecendo indetectado por 20 meses. O ICO identificou falhas significativas na segurança da empresa, como controles insuficientes para prevenir a escalada de privilégios e o uso de software obsoleto. A multa foi reduzida em 40% devido à cooperação da empresa durante a investigação.

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.

Uma nova variante do malware TrickMo, focada em bancos, foi identificada em campanhas que visam usuários na Europa, especialmente na França, Itália e Áustria. Desde sua primeira aparição em setembro de 2019, o TrickMo tem passado por constantes atualizações e agora se disfarça como aplicativos populares, como TikTok e plataformas de streaming. A análise da ThreatFabric revela que essa versão, chamada ‘Trickmo.C’, utiliza a rede descentralizada The Open Network (TON) para comunicações furtivas com seus operadores, dificultando a identificação e bloqueio do servidor. O malware é modular e opera em duas etapas: um APK que atua como carregador e um segundo APK que executa funções ofensivas, como roubo de credenciais bancárias, keylogging e interceptação de SMS. Novas capacidades incluem suporte a proxy SOCKS5 e tunelamento SSH. Os usuários de Android são aconselhados a baixar aplicativos apenas do Google Play e a manter o Play Protect ativo para se proteger contra essa ameaça crescente.

Pesquisadores de segurança cibernética identificaram um novo trojan bancário brasileiro chamado TCLBANKER, que tem a capacidade de atacar 59 plataformas de bancos, fintechs e criptomoedas. O malware, rastreado pelo Elastic Security Labs sob o nome REF3076, é considerado uma atualização significativa da família Maverick, que utiliza um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. O ataque começa com um instalador MSI malicioso embutido em um arquivo ZIP, que abusa de um programa legítimo da Logitech para contornar a detecção de ferramentas de análise e antivírus. Após a execução, o trojan verifica se está operando em um sistema brasileiro e estabelece persistência através de tarefas agendadas. Além disso, ele se conecta a servidores externos para enviar informações do sistema e pode realizar uma série de ações maliciosas, como capturar telas, manipular o teclado e o mouse, e roubar credenciais através de sobreposições enganosas. O TCLBANKER também se propaga via mensagens de spam no WhatsApp e e-mails falsos enviados pelo Outlook, aproveitando a confiança dos usuários. Essa evolução no ecossistema de trojans bancários no Brasil representa uma ameaça significativa, especialmente devido à sua capacidade de contornar defesas tradicionais.

Um recente relatório revela que as operações de segurança cibernética em empresas têm ignorado sistematicamente alertas de baixa severidade, resultando em brechas significativas. A análise de mais de 25 milhões de alertas mostrou que quase 1% dos incidentes confirmados vieram de alertas inicialmente classificados como informativos ou de baixa severidade. Isso se traduz em cerca de 54 ameaças reais por ano que não são investigadas, o que representa um ataque a cada semana. Além disso, a pesquisa destacou que ferramentas de Detecção e Resposta de Endpoint (EDR) frequentemente marcam máquinas como ‘mitigadas’ mesmo quando estão comprometidas, evidenciando a falha na confiança em tais sistemas. O relatório também aponta uma mudança nas táticas de phishing, onde menos de 6% dos e-mails maliciosos continham anexos, utilizando links e plataformas confiáveis como PayPal para enganar os usuários. A análise sugere que a falta de investigação de alertas de baixa severidade impede a melhoria contínua dos sistemas de detecção, criando um ciclo vicioso de vulnerabilidades não abordadas. Para mitigar esses riscos, é essencial que as empresas adotem uma abordagem de investigação abrangente, analisando todos os alertas, independentemente da severidade.

Pesquisadores de cibersegurança alertam sobre um site que promete remover fundos de selfies, mas que na verdade distribui malware. Através de técnicas de SEO, o site malicioso aparece entre os primeiros resultados de busca, enganando usuários que buscam ferramentas legítimas. Ao tentar usar o serviço, os usuários são instruídos a executar um comando no Windows, o que resulta na instalação do CastleLoader, um loader que permite a instalação de outros malwares, como o NetSupport RAT e o CastleStealer. O NetSupport RAT é um trojan de acesso remoto que concede controle total ao atacante, enquanto o CastleStealer é um malware que visa roubar credenciais de navegadores, dados de carteiras de criptomoedas e tokens de aplicativos como Discord e Telegram. A campanha destaca a importância da educação em cibersegurança, pois serviços legítimos não pedem que os usuários realizem atividades locais para verificar sua identidade. Para mitigar esses ataques, recomenda-se que administradores desativem o atalho Win + R e que os usuários estejam cientes dos riscos associados a downloads de ferramentas desconhecidas.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs). O phishing se tornou o principal motor do cibercrime moderno, com ataques cada vez mais sofisticados, utilizando iscas geradas por inteligência artificial e plataformas SaaS legítimas para contornar as defesas tradicionais. Em um webinar agendado para 14 de maio de 2026, especialistas da Kaseya discutirão como a combinação de prevenção, detecção e recuperação rápida é essencial para enfrentar essas ameaças. O evento abordará a importância de não tratar segurança e recuperação como silos separados, destacando que muitas organizações falham em planejar a recuperação após um ataque, resultando em interrupções operacionais e perda de dados. O webinar também enfatizará a necessidade de um plano de recuperação de desastres (BCDR) e backups adequados para fortalecer a resiliência cibernética. Os participantes aprenderão como os MSPs líderes estão adaptando suas estratégias para reduzir o tempo de inatividade e melhorar a recuperação após ataques, tornando-se crucial para a proteção de seus clientes.

O artigo destaca que a maior parte das violações de segurança começa com um único funcionário que clica em um e-mail malicioso, conhecido como ‘Patient Zero’. Em 2026, os hackers estão utilizando inteligência artificial para criar ataques de phishing que são quase impossíveis de detectar. O conceito de ‘Patient Zero’ se refere ao primeiro dispositivo comprometido por um atacante, que rapidamente se espalha pela rede em busca de dados sensíveis. O texto enfatiza a importância de ter um plano de resposta a incidentes, especialmente nos primeiros minutos após a infecção, que são cruciais para evitar danos maiores. O webinar proposto oferece um aprofundamento técnico sobre como as violações modernas se iniciam e como neutralizá-las rapidamente, abordando temas como o uso de IA em ataques, a janela crítica de cinco minutos após a infecção e a implementação do modelo de segurança ‘Zero Trust’. A proposta é preparar as empresas para que, mesmo diante de um clique em um link malicioso, a situação não resulte em perdas financeiras significativas.

Uma nova campanha de phishing está direcionando usuários do ManageWP, plataforma da GoDaddy para gerenciamento de sites WordPress, através de resultados patrocinados no Google. Os atacantes utilizam uma abordagem de adversário no meio (AiTM), onde uma página de login falsa atua como um proxy em tempo real entre a vítima e o serviço legítimo do ManageWP. Essa técnica permite que os criminosos capturem credenciais e, em seguida, solicitem o código de autenticação de dois fatores (2FA) para acessar as contas. Pesquisadores da Guardio Labs alertam que o resultado malicioso aparece acima do legítimo na busca por ‘managewp’, enganando usuários que confiam no Google para acessar o serviço. A campanha já afetou 200 vítimas únicas, e os pesquisadores conseguiram infiltrar a infraestrutura de comando e controle dos atacantes, revelando um sistema interativo de phishing. A plataforma ManageWP é amplamente utilizada, com seu plugin ativo em mais de 1 milhão de sites, o que aumenta a gravidade da ameaça. Os pesquisadores também encontraram um acordo em russo no código, indicando que a operação pode ser parte de uma estrutura de phishing privada.

No dia 30 de abril de 2026, a OpenAI anunciou o lançamento da Segurança Avançada de Conta (AAS), uma nova camada de proteção opcional para usuários do ChatGPT. Desenvolvida em colaboração com a Yubico, a AAS introduz duas novas chaves de segurança, a YubiKey C NFC e a YubiKey C Nano, que visam proteger especialmente indivíduos em situações de risco, como dissidentes políticos, jornalistas e pesquisadores. Essas chaves de segurança funcionam como dispositivos de hardware que se conectam às contas digitais via USB, garantindo que apenas o usuário original possa acessar a conta. A OpenAI destaca que, embora essas medidas aumentem a segurança contra ataques de phishing, que têm se tornado cada vez mais sofisticados, a perda da chave pode resultar na perda permanente de acesso à conta e aos dados armazenados. O aumento da segurança é uma resposta à crescente ameaça de cibercriminosos que visam informações valiosas em plataformas de chatbot, tornando a implementação dessas medidas uma prioridade para usuários que lidam com dados sensíveis.

A Microsoft emitiu um alerta sobre uma campanha de phishing em larga escala que afetou mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos. Entre 14 e 16 de abril de 2026, a campanha se espalhou por 26 países, com 92% dos e-mails direcionados a organizações americanas, especialmente nos setores de saúde (19%) e serviços financeiros (18%). Os e-mails, que utilizavam templates HTML refinados e mensagens de urgência, foram projetados para parecer comunicações internas legítimas, aumentando a probabilidade de que os destinatários caíssem na armadilha. Os atacantes usaram identidades falsas e alegações de conformidade para pressionar os usuários a agir rapidamente. Além disso, os e-mails continham links que redirecionavam os usuários para páginas maliciosas após a abertura de PDFs, passando por CAPTCHAs para criar uma falsa sensação de segurança. O objetivo final era coletar credenciais do Microsoft em tempo real, contornando a autenticação multifator (MFA). Essa campanha destaca a evolução das táticas de phishing, exigindo que as empresas adotem medidas de segurança mais robustas para proteger suas informações.

A Microsoft revelou uma campanha de roubo de credenciais em larga escala que utilizou iscas relacionadas a códigos de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes. Observada entre 14 e 16 de abril de 2026, a campanha afetou mais de 35 mil usuários em mais de 13 mil organizações em 26 países, com 92% dos alvos localizados nos EUA. Os e-mails de phishing, que visavam principalmente os setores de saúde (19%), serviços financeiros (18%) e tecnologia (11%), apresentavam templates HTML sofisticados que aumentavam sua credibilidade. As mensagens criavam um senso de urgência, solicitando ações imediatas sob a alegação de revisões de conduta interna. Os atacantes usaram serviços de entrega de e-mail legítimos e incluíram anexos PDF que levavam a um fluxo de coleta de credenciais. A campanha utilizou táticas de phishing adversário no meio (AiTM) para contornar autenticações multifatoriais (MFA). Além disso, a análise da Microsoft indicou um aumento significativo em ataques de phishing via QR code e uma evolução rápida em phishing com CAPTCHA. Com 8,3 bilhões de ameaças de phishing detectadas entre janeiro e março de 2026, a situação exige atenção redobrada das organizações.

O Amazon Simple Email Service (SES) está sendo cada vez mais utilizado para enviar e-mails de phishing que conseguem contornar filtros de segurança convencionais. Pesquisadores da Kaspersky identificaram um aumento significativo nesses ataques, que podem estar relacionados à exposição de chaves de acesso do AWS Identity and Access Management em repositórios públicos, como GitHub e arquivos .ENV. Os atacantes utilizam o Amazon SES, um recurso legítimo e confiável, para enviar e-mails maliciosos que passam por verificações de autenticação, como SPF, DKIM e DMARC. Os e-mails de phishing frequentemente imitam serviços reais, como notificações de assinatura de documentos, e podem incluir faturas falsas para enganar departamentos financeiros. A Kaspersky recomenda que as empresas restrinjam permissões de IAM, habilitem autenticação multifator e apliquem controles de acesso baseados em IP. A Amazon também se manifestou, sugerindo que qualquer atividade abusiva seja reportada ao AWS Trust & Safety. Este cenário representa um risco crescente, especialmente para organizações que utilizam serviços da AWS, exigindo atenção redobrada na gestão de credenciais e segurança de e-mail.

Uma campanha de phishing ativa, chamada VENOMOUS#HELPER, tem impactado mais de 80 organizações, principalmente nos EUA, desde abril de 2025. Os atacantes utilizam softwares legítimos de Monitoramento e Gerenciamento Remoto (RMM), como SimpleHelp e ScreenConnect, para estabelecer acesso remoto persistente a sistemas comprometidos. A campanha começa com um e-mail que se faz passar pela Administração da Seguridade Social dos EUA, solicitando que a vítima verifique seu endereço de e-mail e baixe um suposto extrato. O link contido no e-mail leva a um site legítimo, mas comprometido, que hospeda um executável malicioso. Ao abrir o arquivo, o malware se instala como um serviço do Windows, garantindo persistência e acesso elevado ao sistema. Essa abordagem permite que os atacantes realizem operações silenciosas, como injetar teclas e acessar recursos do usuário. Além disso, a instalação do ScreenConnect oferece um canal de comunicação alternativo, caso o SimpleHelp seja detectado. A utilização de ferramentas legítimas dificulta a detecção por antivírus, deixando as organizações vulneráveis a ataques futuros.

Uma nova campanha de phishing comprometeu cerca de 30 mil contas do Facebook, utilizando o Google AppSheet como fachada. O pesquisador de cibersegurança Shaked Chen, da Guard.io, revelou que os atacantes enviaram e-mails fraudulentos que se disfarçam como mensagens da Central de Ajuda da Meta. Esses e-mails alertam os usuários sobre a possível exclusão de suas contas, caso não verifiquem sua identidade através de um link malicioso. Ao clicar, as vítimas são direcionadas a uma página falsa que coleta suas credenciais. Os hackers, associados a um grupo do Vietnã, comercializam as contas roubadas em canais do Telegram, afetando principalmente usuários no Brasil, México, EUA, Itália, Canadá, Índia e Reino Unido. Para proteger suas contas, os especialistas recomendam a implementação de medidas de segurança adicionais, como a verificação em duas etapas.

Os ciberataques estão se desenvolvendo mais rapidamente do que a maioria dos provedores de serviços gerenciados (MSPs) consegue acompanhar, com o phishing se tornando o principal ponto de entrada para muitas violações. Os atacantes estão utilizando inteligência artificial para criar campanhas de phishing altamente personalizadas, o que dificulta a detecção e bloqueio dessas ameaças antes que o acesso seja concedido. Após a violação inicial, as organizações enfrentam desafios significativos, como perda de dados, tempo de inatividade e recuperação. Um webinar, programado para o dia 14 de maio de 2026, às 14h (horário de Brasília), reunirá especialistas da BleepingComputer e da Kaseya para discutir como os ataques modernos se desenrolam e a importância de os MSPs repensarem suas estratégias de segurança e recuperação. O evento abordará a necessidade de integrar a segurança e o backup, destacando que a recuperação é tão crucial quanto a prevenção. Os participantes aprenderão sobre a evolução dos ataques, como os atacantes utilizam infraestruturas confiáveis e plataformas SaaS para contornar defesas, e a importância de um plano de continuidade de negócios e recuperação de desastres (BCDR) para garantir a resiliência cibernética das organizações.

O grupo de cibercrime baseado na China, conhecido como Silver Fox, está associado a uma nova campanha de ataques direcionados a organizações na Rússia e na Índia, utilizando um malware chamado ABCDoor. A campanha começou com e-mails de phishing que simulavam comunicações do Departamento de Imposto de Renda da Índia, seguidos por ataques semelhantes a entidades russas. Os e-mails continham arquivos que, ao serem abertos, baixavam um loader modificado em Rust, que por sua vez instalava o backdoor ValleyRAT.

Em dezembro de 2025, um adolescente de 17 anos foi preso em Osaka por invadir o sistema do Kaikatsu Club, a maior rede de cafés da internet do Japão, roubando dados pessoais de mais de 7 milhões de usuários. Sua motivação? Comprar cartas de Pokémon. Este caso ilustra uma nova era de cibercrime, onde a inteligência artificial (IA) tem facilitado ataques cibernéticos, permitindo que indivíduos sem formação técnica realizem ações complexas. Em 2025, o uso de sistemas de codificação assistidos por IA, como ChatGPT e Claude Code, resultou em um aumento significativo na frequência e gravidade dos crimes cibernéticos. O número de pacotes maliciosos em repositórios públicos cresceu 75%, e as intrusões em nuvem aumentaram 35%. Além disso, o tempo para explorar vulnerabilidades caiu drasticamente, de mais de 700 dias em 2020 para apenas 44 dias em 2025. Com a capacidade de IA superando as defesas tradicionais, as organizações enfrentam um cenário em que 45% das vulnerabilidades em sistemas de grandes empresas nunca são corrigidas. A resposta a essa nova realidade exige uma abordagem inovadora, como a proposta da Chainguard, que busca eliminar categorias inteiras de vulnerabilidades, protegendo as empresas de ataques estruturais.

Nesta semana, o cenário de cibersegurança se tornou ainda mais alarmante, com ataques sofisticados e vulnerabilidades críticas sendo exploradas ativamente. Um dos principais destaques é a falha crítica no cPanel e WebHost Manager (CVE-2026-41940), que permite a invasores contornar autenticações e assumir o controle remoto de painéis de controle, resultando em perdas significativas, como a exclusão de sites inteiros. Além disso, grupos de cibercrime, como Cordial Spider e Snarky Spider, estão utilizando vishing para roubo de dados e extorsão, explorando ambientes SaaS e comprometendo credenciais de funcionários através de páginas de phishing disfarçadas.

Um novo relatório da KnowBe4 revela que 86% dos ataques de phishing são agora gerados por inteligência artificial (IA), tornando-os mais sofisticados e difíceis de detectar. O estudo aponta um aumento significativo na automação dos ataques, com um crescimento de 49% em convites de calendário e 41% em ataques no Microsoft Teams nos últimos seis meses. A IA permite que os cibercriminosos criem mensagens de phishing personalizadas e realistas, aumentando a eficiência dos ataques em até sete vezes em comparação com métodos manuais. Além disso, a utilização de deepfakes, tanto em áudio quanto em vídeo, está se tornando uma preocupação crescente, com 30% dos ataques envolvendo a impersonação de funcionários internos, como gerentes. O relatório destaca que a engenharia social está se tornando mais direcionada, dificultando a distinção entre comunicações legítimas e maliciosas. A KnowBe4 também menciona a ascensão do phishing como serviço, que democratiza o acesso a essas técnicas, permitindo que até mesmo indivíduos sem conhecimento técnico realizem ataques. Para mitigar esses riscos, é essencial que as organizações adotem uma abordagem holística, utilizando análises comportamentais profundas e inteligência de ameaças em tempo real, além de treinar seus funcionários para reconhecer e evitar ataques de phishing.

Pesquisadores de cibersegurança descobriram uma operação de fraude em larga escala que utiliza o recurso de Mini Apps do Telegram para realizar golpes relacionados a criptomoedas, imitar marcas conhecidas e distribuir malware para Android. Segundo um relatório da CTM360, a plataforma, chamada FEMITBOT, utiliza respostas de API para criar experiências convincentes dentro do aplicativo de mensagens. Os golpistas imitam marcas renomadas como Apple, Coca-Cola e Disney, aumentando a credibilidade das suas fraudes. Ao interagir com bots do Telegram, os usuários são levados a Mini Apps que exibem páginas de phishing, mostrando saldos falsos e ofertas limitadas para induzir a depósitos. Além disso, alguns Mini Apps tentam distribuir malware disfarçado de aplicativos legítimos. Os pesquisadores alertam que os usuários devem ter cautela ao interagir com bots que promovem investimentos em criptomoedas ou solicitam downloads de aplicativos, especialmente fora da Google Play Store. A operação é considerada uma ameaça significativa, com um potencial impacto na segurança dos usuários e na conformidade com a LGPD.

Um novo tipo de ataque, denominado ConsentFix v3, está circulando em fóruns de hackers como uma técnica aprimorada que automatiza ataques contra o Microsoft Azure. A versão original foi apresentada pela Push Security em dezembro passado, como uma variação do ClickFix, focada em ataques de phishing via OAuth. O ConsentFix v3 mantém a ideia central de abusar do fluxo de autorização OAuth2, mas agora incorpora automação e escalabilidade. O ataque começa com a verificação da presença do Azure no ambiente alvo, seguido pela coleta de dados de funcionários para facilitar a impersonificação. Os atacantes criam várias contas em serviços como Outlook e Cloudflare para suportar operações de phishing e exfiltração de dados. Uma plataforma chamada Pipedream desempenha um papel crucial, atuando como um endpoint de webhook que recebe o código de autorização da vítima e automatiza a troca por tokens de acesso. O fluxo de ataque é finalizado com uma página de phishing que imita a interface do Microsoft/Azure, enganando a vítima a interagir com um URL localhost. Os tokens obtidos permitem que os atacantes acessem recursos da conta comprometida. Apesar de o ConsentFix v3 ainda não ter sido amplamente adotado, as implicações de segurança são significativas, especialmente para organizações que utilizam serviços da Microsoft.

Uma nova operação ligada ao Vietnã foi descoberta utilizando o Google AppSheet como um “relé de phishing” para distribuir e-mails fraudulentos com o objetivo de comprometer contas do Facebook. Nomeada de AccountDumpling pela Guardio, a campanha resultou no roubo de aproximadamente 30.000 contas, que são revendidas em um mercado ilícito operado pelos criminosos. Os ataques começam com e-mails direcionados a proprietários de contas comerciais do Facebook, se passando por suporte da Meta e criando um senso de urgência para que os usuários cliquem em links que levam a páginas falsas para coleta de credenciais. Os pesquisadores identificaram várias táticas, incluindo páginas de ajuda falsas, iscas de avaliação de contas e ofertas de emprego fraudulentas, todas projetadas para induzir pânico relacionado à Meta. Os dados coletados são enviados para canais do Telegram controlados pelos atacantes. A operação é considerada uma grande estrutura criminosa, com evidências apontando para um autor vietnamita, e destaca a crescente sofisticação das táticas de phishing. Este incidente é um alerta para a segurança cibernética, especialmente para empresas que utilizam plataformas populares como o Facebook.

Pesquisadores de cibersegurança revelaram uma nova campanha de espionagem cibernética alinhada à China, focada em setores governamentais e de defesa na Ásia e em um país europeu da OTAN. A Trend Micro identificou a atividade como pertencente ao grupo SHADOW-EARTH-053, ativo desde dezembro de 2024. O grupo explora vulnerabilidades conhecidas em servidores Microsoft Exchange e Internet Information Services (IIS), utilizando técnicas como o uso de web shells e implantes de malware ShadowPad. Os alvos incluem países como Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan, além da Polônia na Europa. A campanha utiliza ferramentas de tunneling de código aberto e técnicas de escalonamento de privilégios, como Mimikatz. A Trend Micro recomenda que as organizações priorizem a aplicação de atualizações de segurança e considerem a implementação de sistemas de prevenção de intrusões. Além disso, o Citizen Lab destacou campanhas de phishing por grupos afiliados à China, visando jornalistas e ativistas, com táticas de engenharia social bem elaboradas. Essas atividades refletem uma repressão transnacional digital, alinhada com as prioridades de inteligência do governo chinês.

Pesquisadores em cibersegurança alertam sobre dois grupos de cibercrime, Cordial Spider e Snarky Spider, que estão realizando ataques rápidos e de alto impacto em ambientes de Software como Serviço (SaaS). Esses grupos, ativos desde pelo menos outubro de 2025, utilizam táticas como phishing por voz (vishing) para direcionar usuários a páginas de login falsas, onde capturam dados de autenticação. Ao operar quase exclusivamente em ambientes SaaS confiáveis, eles minimizam suas pegadas digitais, dificultando a detecção por parte das equipes de segurança. Os ataques têm como alvo principalmente setores de varejo e hospitalidade, e os invasores são conhecidos por registrar novos dispositivos para contornar a autenticação multifatorial (MFA) e suprimir notificações de e-mail sobre registros não autorizados. A exfiltração de dados ocorre rapidamente, geralmente em menos de uma hora, e os atacantes visam contas privilegiadas para acessar informações sensíveis em plataformas como Google Workspace e Salesforce. A combinação de velocidade e precisão torna esses ataques particularmente desafiadores para a defesa.

Hackers estão explorando plataformas de e-mail confiáveis, como o Gmail, como uma das formas mais fáceis de contornar a segurança. Um relatório da VIPRE Security Group revela que 46% de todo o spam global é comercial, com 33% vindo de contas comprometidas e 32% de serviços de e-mail gratuitos. Esses ataques não apenas geram incômodo, mas também causam fadiga nos usuários, aumentando a probabilidade de que eles cliquem em links maliciosos. Os atacantes utilizam técnicas sofisticadas, como linhas de assunto enganosas e promoções urgentes, para manipular as emoções dos destinatários. Além disso, a maioria dos links de phishing analisados estava disfarçada de URLs legítimas, dificultando a detecção. A situação é agravada pela falta de incentivo das plataformas de e-mail para filtrar spam comercial, uma vez que isso pode impactar suas métricas de engajamento. Para mitigar esses riscos, as organizações precisam reforçar suas defesas de e-mail e repensar como a confiança é estabelecida em todos os canais de comunicação.

O Bluekit é um novo kit de phishing que oferece mais de 40 modelos voltados para serviços populares, incluindo e-mails e plataformas de criptomoedas. O diferencial do Bluekit é a presença de um painel de Assistente de IA que utiliza modelos como Llama, GPT-4.1, Claude, Gemini e DeepSeek para ajudar os cibercriminosos a elaborar rascunhos de campanhas de phishing. Apesar de estar em uma fase inicial, a análise da empresa de cibersegurança Varonis revelou que os rascunhos gerados ainda contêm conteúdo genérico e precisam de ajustes antes de serem utilizados. Além da funcionalidade de IA, o Bluekit integra a compra e registro de domínios, configuração de páginas de phishing e gerenciamento de campanhas em uma única interface, permitindo que os operadores tenham controle granular sobre o comportamento das páginas de phishing. Os dados roubados são exfiltrados via Telegram, e a plataforma permite monitorar as sessões das vítimas em tempo real, o que ajuda a refinar os ataques. O Bluekit representa uma evolução nas ferramentas de phishing, tornando-as mais acessíveis e eficientes para cibercriminosos de menor escalão, e está em desenvolvimento ativo, o que pode levar a uma adoção crescente.

O FBI alertou a indústria de transporte e logística sobre um aumento acentuado nos roubos de carga habilitados por ciberataques, com perdas estimadas em quase US$ 725 milhões até 2025, representando um aumento de 60% em relação ao ano anterior. O número de incidentes confirmados de roubo de carga cresceu 18% no último ano, enquanto o valor médio por roubo subiu 36%, alcançando US$ 273.990. Os criminosos têm utilizado táticas de hacking e de falsificação para sequestrar cargas de alto valor, infiltrando-se nos sistemas de corretores e transportadoras por meio de e-mails falsos e links fraudulentos. Uma vez dentro, eles publicam listagens fraudulentas em plataformas digitais, enganando transportadoras legítimas e desviando remessas. O FBI recomenda que as empresas verifiquem todos os pedidos de remessa por canais secundários e implementem autenticação multifatorial. Além disso, as vítimas devem registrar queixas no Internet Crime Complaint Center (IC3) e na polícia local. O relatório de crimes cibernéticos de 2025 do FBI revelou mais de 1 milhão de queixas, totalizando quase US$ 21 bilhões em perdas relacionadas a crimes cibernéticos.

A semana trouxe à tona diversas táticas de cibersegurança preocupantes. Autoridades canadenses prenderam três homens por operar um dispositivo SMS blaster, que simula torres de celular para enviar mensagens de phishing a usuários, coletando informações pessoais. Além disso, um ataque à cadeia de suprimentos foi identificado, onde um pacote npm falso, que se passava por TanStack, exfiltrava variáveis de ambiente dos desenvolvedores durante a instalação. Outro ponto alarmante é a venda legal de dados de usuários por extensões de navegador, com 80 extensões coletando e revendendo informações de 6,5 milhões de usuários. A análise também revelou a exposição de 1,8 milhões de servidores RDP e 1,6 milhões de servidores VNC na internet, muitos dos quais estão vulneráveis a ataques. A situação é crítica, com a necessidade de ações imediatas para mitigar riscos e proteger dados sensíveis.

O show da cantora Shakira, programado para o dia 2 de maio na Praia de Copacabana, no Rio de Janeiro, está atraindo não apenas fãs, mas também cibercriminosos que estão aproveitando a ocasião para aplicar golpes. Segundo a ESET, empresa de cibersegurança, um aumento significativo de domínios falsos imitando sites legítimos de companhias aéreas e plataformas de hospedagem foi registrado nas últimas semanas. Esses sites fraudulentos são criados com técnicas de typosquatting, onde os golpistas alteram levemente o nome do domínio, tornando-o quase idêntico ao original. Além disso, ferramentas automatizadas como o Telekopye permitem que esses criminosos reproduzam sites com alta fidelidade, facilitando a enganação dos usuários. As fraudes são promovidas em anúncios nas redes sociais e buscadores, o que aumenta sua visibilidade. Tentativas de phishing também estão em alta, com e-mails que imitam comunicações de reservas, incentivando as vítimas a clicarem em links maliciosos. A ESET alerta que a pressa na compra de passagens ou reservas pode levar a erros, e recomenda que os usuários verifiquem cuidadosamente os endereços dos sites e evitem clicar em links suspeitos.

A plataforma de negociação online Robinhood foi alvo de um ataque de phishing que explorou uma falha em seu processo de criação de contas. A partir da noite de domingo, clientes começaram a receber e-mails falsificados, aparentemente legítimos, informando sobre logins recentes e dispositivos não reconhecidos associados às suas contas. Os e-mails, que pareciam vir do endereço oficial noreply@robinhood.com, continham mensagens que alertavam sobre atividades suspeitas e direcionavam os usuários a um site de phishing. Os atacantes conseguiram injetar HTML malicioso nos e-mails de confirmação de conta, aproveitando uma vulnerabilidade no processo de onboarding da Robinhood. O site de phishing, que já está fora do ar, tinha como objetivo roubar credenciais dos usuários. A Robinhood confirmou o incidente e afirmou que não houve violação de seus sistemas, mas que a falha foi corrigida removendo o campo que permitia a injeção de HTML. A empresa aconselha os usuários a deletarem os e-mails e não clicarem em links suspeitos.

O golpe do CPF irregular tem se intensificado com a abertura da Declaração do Imposto de Renda 2026, conforme levantamento da ESET, empresa de cibersegurança. Golpistas têm criado domínios falsos que imitam avisos da Receita Federal, enviando mensagens por e-mail, SMS, WhatsApp e redes sociais. Essas mensagens alertam sobre supostas irregularidades no CPF do usuário, levando-o a acessar um site falso que simula o Portal Oficial de Serviços ao Cidadão. Ao inserir o CPF, a vítima recebe um alerta de ‘alto risco fiscal’ e é pressionada a regularizar a situação rapidamente, sob a ameaça de multas. O site utiliza dados pessoais, possivelmente obtidos de vazamentos anteriores, para aumentar a credibilidade do golpe. Especialistas recomendam que os usuários acessem os serviços da Receita Federal apenas por canais oficiais e desconfiem de links recebidos por mensagem. A situação é preocupante, pois combina engenharia social com dados legítimos, tornando o golpe ainda mais convincente.

As autoridades canadenses prenderam três homens envolvidos na operação de um dispositivo conhecido como ‘SMS blaster’, que simula uma torre de celular para enviar mensagens de phishing a telefones próximos. Esses dispositivos emitem sinais que imitam torres legítimas, fazendo com que os celulares na área se conectem a eles devido à recepção mais forte. Uma vez conectados, os operadores podem enviar SMS que parecem vir de entidades confiáveis, como bancos ou órgãos governamentais. As mensagens frequentemente contêm links que direcionam os usuários a sites falsos, projetados para capturar informações pessoais, como credenciais bancárias. A polícia de Toronto iniciou a investigação, chamada ‘Projeto Lighthouse’, em novembro de 2025, após receber denúncias de atividades suspeitas. Durante a operação do SMS blaster, estima-se que 13 milhões de casos de captura de rede móvel tenham ocorrido. Além do risco de phishing, os dispositivos conectados a essas torres falsas ficam temporariamente desconectados da rede legítima, impossibilitando o acesso a serviços de emergência. As autoridades realizaram buscas e apreenderam vários equipamentos, resultando na prisão de dois suspeitos e na entrega voluntária de um terceiro. Para se proteger contra torres falsas, recomenda-se desativar a retrocompatibilidade com 2G em dispositivos Android, embora essa medida não seja eficaz contra configurações mais avançadas que visam sinalizações LTE/5G.

A gigante de segurança residencial ADT confirmou um vazamento de dados após o grupo de extorsão ShinyHunters ameaçar divulgar informações roubadas caso um resgate não fosse pago. A empresa detectou acesso não autorizado a dados de clientes e potenciais clientes em 20 de abril, encerrando a intrusão e iniciando uma investigação. Os dados comprometidos incluem nomes, números de telefone e endereços, com um pequeno percentual de casos envolvendo datas de nascimento e os últimos quatro dígitos de números de Seguro Social ou IDs fiscais. Importante ressaltar que informações de pagamento, como contas bancárias ou cartões de crédito, não foram acessadas, e os sistemas de segurança dos clientes não foram comprometidos. O grupo ShinyHunters alegou ter roubado 10 milhões de registros e utilizou um ataque de phishing por voz (vishing) para comprometer a conta de um funcionário da ADT. Este incidente destaca a crescente ameaça de ataques direcionados a contas de acesso único (SSO) em empresas, com implicações significativas para a segurança de dados e a conformidade com a LGPD no Brasil.

A Microsoft anunciou que, a partir do final de abril, começará a implementar o suporte a chaves de acesso para autenticação sem senha e resistente a phishing em recursos protegidos pelo Microsoft Entra em dispositivos Windows. A funcionalidade deve estar disponível para o público geral até junho de 2026 e se estenderá a dispositivos Windows não gerenciados. As chaves de acesso permitirão que usuários criem chaves vinculadas ao dispositivo, armazenadas no contêiner do Windows Hello, e autentiquem-se usando métodos como reconhecimento facial, impressão digital ou PIN. Isso visa fortalecer a segurança e reduzir a dependência de senhas em cenários que envolvem dispositivos corporativos, pessoais e compartilhados. A nova funcionalidade estará disponível para organizações que habilitarem o ‘Microsoft Entra ID com chaves de acesso’ nas políticas de métodos de autenticação, desde que as políticas de Acesso Condicional permitam. As chaves de acesso são criptograficamente vinculadas a cada dispositivo e não são transmitidas pela rede, o que dificulta a ação de atacantes em casos de phishing ou malware. Essa atualização surge em um contexto de crescente ataque a contas de SSO do Microsoft Entra, evidenciando a necessidade de medidas de segurança mais robustas.

Um novo grupo de hackers, conhecido como BlackFile, tem sido associado a uma série de ataques de roubo de dados e extorsão direcionados a organizações de varejo e hospitalidade desde fevereiro de 2026. O grupo, que também é rastreado como CL-CRI-1116 e UNC6671, utiliza técnicas de engenharia social, como o vishing, para se passar por funcionários de suporte técnico e obter credenciais de funcionários. Os ataques começam com ligações de números falsificados, levando os funcionários a páginas de login falsas onde são solicitadas suas credenciais e códigos de acesso temporários.

Pesquisadores de cibersegurança descobriram um conjunto de aplicativos maliciosos na Apple App Store que se passam por carteiras de criptomoedas populares, com o objetivo de roubar frases de recuperação e chaves privadas desde o outono de 2025. Esses aplicativos, conhecidos como FakeWallet, imitam carteiras como Bitpie, Coinbase e MetaMask, e redirecionam os usuários para páginas de navegador que se assemelham à App Store, distribuindo versões trojanizadas de carteiras legítimas. Embora muitos desses aplicativos tenham sido removidos pela Apple após a divulgação, a campanha representa uma evolução nas táticas de roubo de criptomoedas, pois os aplicativos estão disponíveis para download diretamente da App Store, especialmente para usuários com contas configuradas para a China. Os atacantes utilizam ícones semelhantes aos originais, mas com erros de digitação intencionais nos nomes para enganar os usuários. Além disso, a campanha pode estar ligada a um grupo de ameaças que já atuou anteriormente, utilizando técnicas sofisticadas de phishing para capturar frases mnemônicas e comprometer carteiras de criptomoedas. A situação é preocupante, pois o roubo de ativos digitais pode ter consequências financeiras significativas para os usuários.

O Escritório do Inspetor Geral (OIG) da NASA revelou um caso de espionagem cibernética onde um cidadão chinês, Song Wu, se fez passar por pesquisador americano para obter informações sensíveis da agência espacial, além de universidades e empresas privadas. A campanha de spear-phishing, que ocorreu entre janeiro de 2017 e dezembro de 2021, visou dezenas de professores e engenheiros dos EUA, incluindo funcionários da NASA e das Forças Armadas. Song, que trabalhava para a Aviation Industry Corporation of China (AVIC), utilizou táticas de engenharia social para se infiltrar em redes de pesquisa, solicitando software de modelagem usado em design aeroespacial e desenvolvimento de armamentos. O OIG destacou que muitos dos alvos não perceberam que estavam violando leis de controle de exportação ao compartilhar informações com contas falsas gerenciadas por Song. Ele foi indiciado por fraude eletrônica e roubo de identidade, enfrentando até 20 anos de prisão por cada acusação. O FBI incluiu Song na lista dos mais procurados, alertando que o software obtido poderia ter aplicações militares e industriais. O OIG também alertou sobre sinais comuns de fraudes de exportação que podem ajudar a identificar campanhas de phishing.