Phishing

Com a aproximação do Amazon Prime Day, os cibercriminosos estão intensificando suas atividades fraudulentas, criando sites falsos para roubar dados dos usuários. Um estudo da Check Point Software revelou que, nas três primeiras semanas de setembro, foram registrados 727 novos domínios relacionados à Amazon, com 1 a cada 18 sendo classificado como malicioso. Entre esses, 1 a cada 36 continha a expressão ‘Amazon Prime’. Dois casos de phishing foram destacados: um e-mail que simula um ‘Pagamento não autorizado’, redirecionando para um site de login falso, e um PDF com o título ‘Assinatura Suspensa’, que leva a um portal de pagamentos fraudulento. Para se proteger, os especialistas recomendam verificar os domínios, evitar anexos suspeitos, ativar a autenticação multifator e usar soluções de segurança em camadas. A situação é alarmante, pois as fraudes já começaram antes mesmo do evento oficial, exigindo atenção redobrada dos consumidores.

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

Pesquisadores de cibersegurança alertam sobre uma campanha maliciosa que visa sites WordPress, injetando JavaScript malicioso para redirecionar usuários a sites suspeitos. A empresa de segurança Sucuri iniciou uma investigação após um de seus clientes relatar que seu site WordPress estava servindo conteúdo JavaScript de terceiros. Os atacantes modificaram um arquivo relacionado ao tema (‘functions.php’), inserindo código que faz referência ao Google Ads para evitar detecção. O código atua como um carregador remoto, enviando requisições HTTP para o domínio ‘brazilc[.]com’, que responde com um payload dinâmico. Este payload inclui um arquivo JavaScript hospedado em ‘porsasystem[.]com’, que realiza redirecionamentos, e um iframe oculto que imita ativos legítimos do Cloudflare. Além disso, um novo kit de phishing, chamado IUAM ClickFix Generator, permite que atacantes criem páginas de phishing personalizáveis, aumentando a eficácia dos ataques. A técnica de ‘cache smuggling’ também foi identificada, permitindo que scripts maliciosos sejam armazenados no cache do navegador sem a necessidade de downloads explícitos. A situação destaca a importância de manter sites WordPress seguros e atualizados, além de reforçar a necessidade de senhas fortes e monitoramento constante.

Um novo relatório da Cisco Talos revela uma técnica crescente de ataque cibernético chamada ‘hidden text salting’, que utiliza propriedades de CSS para injetar códigos maliciosos em e-mails, tornando-os invisíveis para os destinatários. Essa técnica foi observada entre março de 2024 e julho de 2025, especialmente em campanhas de phishing e spear phishing, onde os atacantes inserem trechos de texto irrelevantes ou maliciosos em partes dos e-mails, como cabeçalhos e anexos, sem que os usuários percebam. Os hackers manipulam propriedades de CSS, como ‘font-size: 0’ e ‘display: none’, para ocultar o texto malicioso, dificultando a detecção por sistemas de segurança. Além disso, essa abordagem tem sido utilizada para confundir filtros de spam, aumentando a taxa de entrega de e-mails maliciosos. A Cisco recomenda estratégias de mitigação, como a sanitização de HTML e a análise de características visuais, para melhorar a segurança dos e-mails. Diante da evolução dessas táticas, é crucial que as equipes de segurança se adaptem e busquem padrões de texto oculto em todos os componentes dos e-mails.

No dia 8 de outubro de 2025, a OpenAI anunciou a interrupção de três grupos de atividade que estavam utilizando sua ferramenta de inteligência artificial, o ChatGPT, para facilitar o desenvolvimento de malware. Um dos grupos, de língua russa, usou o chatbot para criar e aprimorar um trojan de acesso remoto (RAT) e um ladrão de credenciais, buscando evitar a detecção. A OpenAI observou que esses usuários estavam associados a grupos criminosos que compartilhavam evidências de suas atividades em canais do Telegram. Embora os modelos de linguagem da OpenAI tenham se recusado a atender a pedidos diretos para criar conteúdo malicioso, os criminosos contornaram essa limitação, gerando códigos que foram montados para criar fluxos de trabalho maliciosos. Outro grupo, da Coreia do Norte, utilizou o ChatGPT para desenvolver malware e ferramentas de comando e controle, enquanto um terceiro grupo, da China, focou em campanhas de phishing. Além disso, a OpenAI bloqueou contas que estavam envolvidas em fraudes e operações de influência, incluindo atividades de vigilância ligadas a entidades governamentais chinesas. A empresa destacou que os atores de ameaça estão se adaptando para ocultar sinais de que o conteúdo foi gerado por uma ferramenta de IA, o que representa um novo desafio para a segurança cibernética.

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.

A Rede Amazônica, maior afiliada da Globo, enfrentou um incidente de fraude por e-mail que expôs suas vulnerabilidades em cibersegurança. Em 2023, 94% das empresas relataram incidentes de segurança de e-mail, com 79% tendo contas comprometidas por phishing. A falta de um sistema unificado e a ausência de autenticação em dois fatores aumentavam os riscos. Após o ataque, a equipe de TI decidiu migrar para o Zoho Workplace, uma plataforma que centraliza e-mail, chat e armazenamento em nuvem. Essa mudança trouxe benefícios significativos, como login unificado, autenticação multifator e criptografia ponta a ponta, permitindo um monitoramento mais eficaz de logins suspeitos e uma gestão centralizada de acessos. Além da segurança, a migração resultou em redução de custos e aumento da produtividade, com comunicação unificada e menos burocracia. O suporte da Zoho também se destacou, proporcionando um atendimento rápido e eficiente. A experiência da Rede Amazônica ilustra a importância de uma infraestrutura digital robusta e integrada para proteger dados e garantir a continuidade dos negócios.

Pesquisadores em cibersegurança analisaram a evolução do malware XWorm, que se tornou uma ferramenta versátil para diversas ações maliciosas em sistemas comprometidos. Com um design modular, XWorm é composto por um cliente central e plugins especializados que executam ações específicas, como roubo de dados, keylogging e operações de ransomware. Desde sua primeira observação em 2022, o malware, associado ao ator de ameaças EvilCoder, tem se espalhado principalmente por e-mails de phishing e sites fraudulentos. Recentemente, novas variantes, como o XWorm 6.0, foram identificadas, oferecendo funcionalidades adicionais e utilizando arquivos JavaScript maliciosos para injetar o malware em processos legítimos do Windows. A modularidade do XWorm permite que comandos sejam enviados de servidores externos, facilitando ações como ataques DDoS e manipulação de arquivos. Apesar de um aparente abandono por parte de seu desenvolvedor original, o malware continua a ser distribuído e atualizado, destacando a necessidade de medidas de segurança robustas para enfrentar essas ameaças em constante evolução.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades emergindo semanalmente. Um dos principais destaques é a exploração de uma falha zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882, que permite que atacantes não autenticados comprometam o sistema e realizem roubo de dados. O grupo de ransomware Cl0p está por trás dessa exploração, utilizando múltiplas vulnerabilidades para atacar diversas vítimas.

Além disso, um ator de estado-nação chinês, conhecido como Phantom Taurus, tem direcionado suas operações de espionagem cibernética a entidades governamentais e militares na África, Oriente Médio e Ásia, utilizando ferramentas sofisticadas para comprometer sistemas de alto valor. No Brasil, uma nova variante de malware chamada SORVEPOTEL tem se espalhado via WhatsApp, utilizando mensagens de phishing para infectar usuários e propagar-se rapidamente entre contatos.

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

Uma pesquisa realizada pela Yubico revelou que quase metade dos entrevistados interagiu com e-mails de phishing no último ano, com a geração Z sendo a mais vulnerável, apresentando 62% de engajamento com esses golpes. Apesar do reconhecimento generalizado de que senhas são inseguras, elas ainda são o método de autenticação mais utilizado, com menos da metade das empresas adotando autenticação multifator (MFA) em todas as aplicações. Além disso, 40% dos funcionários afirmaram não ter recebido treinamento em cibersegurança. A pesquisa destaca que, embora os ataques de phishing tenham evoluído para se tornarem mais convincentes, a adoção de soluções de autenticação resistentes ao phishing, como chaves de segurança, está começando a aumentar, especialmente na França, onde a adoção de MFA para contas pessoais saltou de 29% para 71% em um ano. A desconexão entre a conscientização sobre segurança e a implementação de práticas eficazes deixa tanto indivíduos quanto organizações vulneráveis a ataques cada vez mais sofisticados.

Pesquisadores alertam sobre uma nova ferramenta chamada MatrixPDF, que transforma arquivos PDF comuns em armadilhas para usuários desavisados. Essa tecnologia permite que hackers insiram prompts enganosos, sobreposições e scripts em documentos aparentemente inofensivos, tornando-os veículos para malware e campanhas de phishing. O estudo da Varonis destaca que, ao combinar o MatrixPDF com motores de phishing em larga escala como o SpamGPT, a eficácia e o alcance desses ataques podem ser multiplicados. Os PDFs, frequentemente confiáveis, podem contornar filtros de e-mail e abrir diretamente em serviços como o Gmail sem levantar suspeitas. Os atacantes podem incluir ações maliciosas que redirecionam usuários para sites externos ou fazem o download automático de arquivos prejudiciais. Além disso, a execução de scripts JavaScript embutidos nos PDFs pode permitir que os hackers conectem-se a servidores maliciosos, levando a downloads indesejados. A pesquisa enfatiza a necessidade de soluções de segurança baseadas em IA que analisem anexos em busca de estruturas incomuns e links ocultos, já que a adaptação constante das táticas dos cibercriminosos representa um desafio contínuo para a segurança cibernética.

Uma nova campanha de spear phishing foi descoberta pela Blackpoint Cyber, visando executivos e funcionários de alto escalão. Os hackers exploram a confiança dos usuários em documentos sensíveis, como passaportes e arquivos de pagamento, utilizando documentos certificados falsos. Um dos métodos utilizados envolve o envio de arquivos ZIP que, ao serem abertos, revelam atalhos do Windows disfarçados. Esses atalhos ativam um script PowerShell que baixa malware de um site controlado pelos atacantes. O malware se camufla como uma apresentação de PowerPoint, evitando a detecção. Além disso, ele verifica a presença de antivírus no sistema, adaptando seu comportamento conforme a segurança encontrada. Esse tipo de ataque, conhecido como ’living off the land’, permite que os hackers contornem ferramentas de segurança, estabelecendo uma conexão com um servidor de comando e controle, o que possibilita o acesso remoto ao computador da vítima. A engenharia social utilizada torna o ataque ainda mais convincente, exigindo que os usuários sejam cautelosos ao abrir anexos, mesmo que pareçam legítimos.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

O grupo de hackers SideWinder, associado a atividades de espionagem patrocinadas por estados, intensificou suas operações na Ásia do Sul com a campanha denominada “Operação SouthNet”. Este ataque envolve a criação de mais de 50 domínios de phishing para roubar credenciais de login de entidades governamentais e militares, especialmente no Paquistão e no Sri Lanka, mas também com atividades colaterais em Nepal, Bangladesh e Mianmar. Os atacantes utilizam serviços de hospedagem gratuitos para criar portais falsos do Outlook e Zimbra, focando em setores marítimos, aeroespaciais e de telecomunicações. A taxa de criação de novos domínios é alarmante, ocorrendo a cada 3 a 5 dias. Além disso, foram identificados documentos maliciosos disfarçados como PDFs, que visam enganar as vítimas. A pesquisa também revelou que o grupo recicla infraestrutura de comando e controle, aumentando a dificuldade de rastreamento. As medidas de mitigação recomendadas incluem monitoramento proativo de plataformas de hospedagem e treinamento em cibersegurança para reconhecer iscas documentais. A colaboração entre CERTs regionais é essencial para interromper as campanhas de espionagem do SideWinder e proteger redes sensíveis.

Um grupo de cibercriminosos, conhecido como Cavalry Werewolf, está atacando o setor público da Rússia utilizando malwares como FoalShell e StallionRAT. A empresa de cibersegurança BI.ZONE identificou que os atacantes enviaram e-mails de phishing disfarçados de correspondências oficiais de funcionários do governo do Quirguistão. Os principais alvos incluem agências estatais russas e empresas dos setores de energia, mineração e manufatura. Os ataques, que ocorreram entre maio e agosto de 2025, envolveram o uso de endereços de e-mail falsos e, em alguns casos, até endereços legítimos comprometidos. O FoalShell permite que os operadores executem comandos arbitrários, enquanto o StallionRAT, que também é capaz de exfiltrar dados via bot do Telegram, oferece funcionalidades semelhantes. A análise sugere que o grupo pode ter vínculos com o Cazaquistão, reforçando a hipótese de que se trata de um ator de ameaça associado a essa região. A crescente atividade de Cavalry Werewolf destaca a necessidade de vigilância constante e atualização das medidas de segurança para prevenir tais ataques.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

O grupo de ciberespionagem Confucius tem intensificado suas atividades, utilizando documentos maliciosos para atacar sistemas Windows. Em uma campanha de phishing direcionada a entidades governamentais do Paquistão, o grupo lançou um arquivo PowerPoint infectado que, ao ser aberto, baixava um malware chamado AnonDoor. Este malware, baseado em Python, permite acesso persistente aos sistemas comprometidos. O ataque começa com um arquivo .ppsx que, ao ser executado, carrega um script VB que baixa um payload malicioso. O AnonDoor é um backdoor que coleta informações do sistema e permite a execução de comandos remotos, incluindo captura de tela e extração de senhas de navegadores. A transição do grupo de ferramentas simples para backdoors mais sofisticados indica uma estratégia de evasão e flexibilidade. Organizações devem implementar filtros de e-mail rigorosos e monitorar a criação de tarefas agendadas para se proteger contra essas ameaças.

Com a Copa do Mundo FIFA 2026 se aproximando, cibercriminosos já estão ativos, criando mais de 4.300 sites fraudulentos relacionados ao evento. Pesquisadores da Check Point Software identificaram que cerca de 20% desses sites têm conexão com o Brasil, seja por hospedagem em IPs brasileiros ou por conteúdo em português. Os golpes mais comuns incluem a venda de ingressos falsos, mercadorias falsificadas e fraudes de streaming. No Brasil, os cibercriminosos focam em três áreas principais: mercadorias falsificadas (35-40% dos golpes), fraudes com ingressos (30-35%) e streaming ilegal (20-25%). Os sites fraudulentos imitam lojas legítimas, utilizando boletos bancários, um método de pagamento popular no Brasil, para enganar as vítimas. Os boletos são visualmente semelhantes aos verdadeiros, dificultando a identificação do golpe. Para se proteger, os torcedores devem comprar apenas em canais oficiais da FIFA e desconfiar de preços muito baixos ou ofertas que parecem boas demais para ser verdade.

O cenário de cibersegurança se torna cada vez mais complexo, com ataques direcionados a diversas tecnologias, desde carros conectados até servidores em nuvem. Recentemente, observou-se um aumento significativo em tentativas de exploração da vulnerabilidade crítica CVE-2024-3400, que afeta firewalls PAN-OS, permitindo que atacantes não autenticados executem códigos maliciosos. Além disso, uma campanha sofisticada tem como alvo servidores Microsoft SQL mal gerenciados, utilizando o framework XiebroC2 para estabelecer acesso persistente. Por outro lado, a inteligência artificial está sendo utilizada para bloquear ataques de ransomware em tempo real, com o Google Drive implementando detecções automáticas que interrompem a sincronização de arquivos durante tentativas de ataque. Outro ponto crítico é a atuação do grupo UNC6040, que realiza campanhas de phishing por voz (vishing) para comprometer instâncias do Salesforce, manipulando usuários para autorizar aplicativos maliciosos. As implicações para a segurança de dados e conformidade com a LGPD são significativas, exigindo atenção redobrada das organizações.

O grupo de hackers conhecido como Confucius está por trás de uma nova campanha de phishing que visa o Paquistão, utilizando malwares como WooperStealer e Anondoor. Desde 2013, esse grupo tem se especializado em atacar agências governamentais, organizações militares e indústrias críticas na região, empregando técnicas de spear-phishing e documentos maliciosos para obter acesso inicial. Recentemente, foram documentadas várias cadeias de ataque, incluindo uma em dezembro de 2024, onde um arquivo .PPSX enganou os usuários a abrir um arquivo que entregava o WooperStealer através de técnicas de DLL side-loading. Em março de 2025, outra onda de ataques utilizou arquivos de atalho do Windows (.LNK) para liberar o mesmo malware. Em agosto de 2025, um novo arquivo .LNK foi identificado, que introduziu o Anondoor, um backdoor em Python projetado para exfiltrar informações do dispositivo e executar comandos. O grupo tem mostrado uma forte adaptabilidade, utilizando técnicas de ofuscação para evitar detecções e ajustando suas ferramentas conforme as prioridades de coleta de inteligência mudam. Essa evolução nas táticas do Confucius destaca a persistência e a eficácia operacional do grupo, que continua a representar uma ameaça significativa na região.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

O Google, através de seu Grupo de Inteligência de Ameaças (GTIG), divulgou novas diretrizes técnicas para combater o grupo de ameaças UNC6040, que utiliza phishing por voz (vishing) para comprometer ambientes Salesforce. Em vez de explorar vulnerabilidades de aplicativos, os atacantes têm se baseado em engenharia social convincente para induzir funcionários a autorizarem aplicativos maliciosos conectados, obtendo acesso a dados corporativos valiosos. As operações do UNC6040 geralmente começam com chamadas que se fazem passar por suporte técnico, persuadindo os funcionários a autorizar ferramentas que parecem legítimas, como uma versão modificada do aplicativo Data Loader. Uma vez dentro, os atacantes podem acessar dados sensíveis rapidamente, incluindo informações de clientes e dados financeiros. O Google recomenda a implementação de autenticação multifatorial resistente a phishing, centralização de acessos via plataformas de Single Sign-On e verificação rigorosa em procedimentos de help desk. Além disso, sugere configurações rigorosas no Salesforce, como restrições de IP e permissões limitadas. O monitoramento em tempo real é essencial para detectar atividades suspeitas, e a correlação de dados entre plataformas como Salesforce, Okta e Microsoft 365 pode ajudar a identificar movimentos laterais de atacantes. Com a mudança de foco dos atacantes para manipulação baseada em confiança, as organizações são incentivadas a modernizar sua postura de segurança em SaaS.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

Pesquisadores da Bitdefender identificaram uma campanha de hackers que, desde 2024, utiliza canais verificados no YouTube para disseminar malware. Inicialmente, o golpe começou com anúncios no Facebook, prometendo acesso gratuito à versão premium da plataforma de trading TradingView. Recentemente, os criminosos invadiram a conta de um anunciante de uma agência de design na Noruega, substituindo o conteúdo do canal por uma identidade visual que imitava a TradingView, o que conferiu legitimidade ao golpe.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

Um novo ataque de phishing, identificado pela Microsoft, está direcionado a organizações baseadas nos Estados Unidos e utiliza modelos de linguagem avançados para ocultar suas intenções maliciosas. Detectado em 28 de agosto de 2025, o ataque se aproveita de contas de e-mail corporativas comprometidas para enviar mensagens que se disfarçam como notificações de compartilhamento de arquivos. Os atacantes utilizam arquivos SVG, que permitem a inclusão de JavaScript e conteúdo dinâmico, para criar iscas mais convincentes. Os e-mails são enviados com endereços de remetente e destinatário iguais, ocultando os verdadeiros alvos no campo BCC, o que dificulta a detecção inicial. O conteúdo do SVG é estruturado para parecer um painel de análise de negócios, enquanto a funcionalidade maliciosa é disfarçada por uma sequência de termos corporativos. A Microsoft alerta que, embora esta campanha tenha sido bloqueada, técnicas semelhantes estão sendo cada vez mais adotadas por cibercriminosos. Além disso, outras campanhas de phishing têm explorado temas relacionados à Administração da Seguridade Social dos EUA e à violação de direitos autorais, utilizando métodos inovadores para distribuir malware.

Com a popularização dos serviços da Amazon, muitos usuários brasileiros enfrentam o risco de terem suas contas hackeadas. O artigo orienta sobre as ações a serem tomadas em caso de invasão. Se a Amazon bloquear sua conta, é essencial verificar e-mails e SMS para seguir as instruções de desbloqueio. Caso você perceba atividades suspeitas, deve acessar sua conta e seguir o caminho indicado para proteger seus dados, como mudar a senha e ativar a verificação em duas etapas. Sinais de que sua conta pode estar comprometida incluem tentativas de login falhadas, compras não autorizadas e alterações em métodos de pagamento. Para prevenir ataques, recomenda-se o uso de senhas fortes, a ativação de chaves de acesso e a cautela com links suspeitos. O artigo destaca que a segurança da conta é crucial, especialmente em um cenário onde a Amazon é amplamente utilizada no Brasil.

A Python Software Foundation alertou sobre uma nova onda de ataques de phishing direcionados a desenvolvedores que utilizam a linguagem Python, especificamente através do Python Package Index (PyPI). Os golpistas estão enviando e-mails fraudulentos solicitando que os usuários verifiquem suas contas sob a ameaça de suspensão, levando-os a um site falso, pypi-mirror.org, que imita a página oficial do PyPI. Ao clicar no link, as vítimas podem ter suas credenciais de acesso roubadas. O PyPI é uma plataforma amplamente utilizada, hospedando mais de 681.400 projetos e 15 milhões de arquivos, tornando-se um alvo atrativo para ataques cibernéticos. O risco é significativo, pois os hackers podem não apenas roubar projetos, mas também injetar malwares em pacotes existentes ou publicar novos projetos maliciosos, afetando usuários e comprometendo dados sensíveis, como credenciais e informações financeiras. A fundação recomenda que os desenvolvedores alterem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas. Este ataque é parte de uma campanha mais ampla que já afetou a cadeia de suprimentos de software, com incidentes semelhantes ocorrendo no ecossistema npm.

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.

O grupo de ameaças persistentes avançadas (APT) russo conhecido como COLDRIVER, também chamado de Callisto, Star Blizzard e UNC4057, está por trás de uma nova onda de ataques do tipo ClickFix, que visa entregar duas novas famílias de malware, BAITSWITCH e SIMPLEFIX. Detectada pelo Zscaler ThreatLabz, a campanha multiestágio utiliza BAITSWITCH como um downloader que, por sua vez, instala o backdoor PowerShell SIMPLEFIX. Os ataques têm como alvo uma variedade de setores, especialmente organizações não governamentais e defensores dos direitos humanos, refletindo a estratégia do grupo de focar em membros da sociedade civil conectados à Rússia. A técnica ClickFix, que envolve enganar usuários para executar comandos maliciosos sob a aparência de completar verificações CAPTCHA, continua a ser uma via de infecção eficaz. Além disso, a Kaspersky relatou uma nova campanha de phishing focada em empresas russas, realizada pelo grupo BO Team, que utiliza arquivos RAR protegidos por senha para distribuir backdoors. Outro grupo, Bearlyfy, tem se destacado por ataques de ransomware, inicialmente visando pequenas empresas antes de escalar para alvos maiores. Esses desenvolvimentos ressaltam a crescente sofisticação e a diversidade das ameaças cibernéticas direcionadas à Rússia e seus aliados.

Uma pesquisa realizada pelo Gartner Security revelou que cerca de 62% das empresas já foram alvo de ataques utilizando deepfake, uma tecnologia que combina engenharia social e phishing para roubar dados ou dinheiro. Os ataques frequentemente envolvem a imitação de executivos por meio de vídeos ou áudios falsificados, além da exploração de ferramentas de verificação automatizadas, como reconhecimento facial e de voz. O diretor sênior do Gartner, Akif Khan, destacou que a engenharia social continua sendo uma ferramenta eficaz para golpistas, tornando difícil a identificação de fraudes por parte de funcionários comuns. Para mitigar esses riscos, Khan sugere que as organizações implementem soluções técnicas inovadoras, como ferramentas de detecção de deepfakes em plataformas de videoconferência, e promovam treinamentos de conscientização para os colaboradores. Além disso, recomenda a revisão de processos de negócios, como a autorização de pagamentos, utilizando autenticação multi-fator (MFA) para aumentar a segurança. O relatório também aponta que 32% das organizações enfrentaram ataques envolvendo inteligência artificial nos últimos 12 meses, evidenciando a crescente sofisticação das ameaças. Apesar de ⅔ dos clientes da Gartner não terem relatado ataques, a necessidade de atenção a essas ameaças é evidente, especialmente considerando as implicações de conformidade com a LGPD.

Recentemente, o LastPass, um popular gerenciador de senhas, alertou sobre uma campanha de phishing que visa usuários do macOS. Criminosos estão se passando pela marca para instalar malwares que roubam credenciais através de um método chamado ClickFix. O aplicativo falso, que tenta se disfarçar como LastPass, é encontrado em buscas em motores como Google e Bing, e pode incluir capacidades de backdoor, permitindo acesso oculto aos dispositivos das vítimas. Além do LastPass, mais de 100 outros aplicativos, como 1Password e Dropbox, também estão sendo imitados. Os golpistas utilizam repositórios do GitHub para distribuir o malware, que é baixado após o usuário executar comandos no terminal do Mac. Este malware, conhecido como AMOS, é um serviço de malware que custa cerca de US$ 1.000 por mês para os criminosos. A LastPass está monitorando e reportando essas páginas falsas, mas a criação de novos repositórios é rápida, dificultando a remoção completa do malware. Especialistas recomendam que os usuários confiem apenas em sites oficiais para downloads e estejam atentos a possíveis imitações.

O boletim semanal de cibersegurança destaca as últimas ameaças digitais, incluindo a atualização de firmware da SonicWall para remover malware rootkit em dispositivos SMA 100, após a descoberta de ataques por um ator identificado como UNC6148. Além disso, uma vulnerabilidade crítica (CVE-2025-10184) foi encontrada em smartphones OnePlus, permitindo que aplicativos maliciosos acessem mensagens de texto sem permissão do usuário. O CISA também relatou uma violação em uma agência federal dos EUA, onde hackers exploraram uma falha no GeoServer para comprometer a rede. A prisão de membros do grupo Scattered Spider, que usou engenharia social para realizar ataques, e o uso de arquivos SVG maliciosos em campanhas de phishing na América Latina, como AsyncRAT, também foram abordados. Essas informações ressaltam a necessidade de atualização constante e vigilância em cibersegurança, especialmente para empresas que operam em ambientes digitais complexos.

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

Um novo golpe digital está circulando no Brasil, onde golpistas se passam pelo iFood para enganar usuários com a oferta de um cupom de R$ 2 mil. Mensagens de texto com um link encurtado estão sendo enviadas a diversas pessoas, direcionando-as a uma página falsa que imita o site oficial do iFood. Ao acessar, os usuários são incentivados a baixar um aplicativo malicioso em formato APK, que pode comprometer a segurança de seus dispositivos. O aplicativo, que se apresenta como ‘ifood.apk’, pode ser utilizado para bombardear os celulares com anúncios, roubar dados pessoais ou até mesmo permitir acesso remoto aos aparelhos. O iFood já se manifestou, alertando que não realiza sorteios ou promoções dessa natureza e que todas as comunicações legítimas são feitas por canais oficiais. Para se proteger, os usuários devem evitar clicar em links suspeitos, não compartilhar informações pessoais e denunciar mensagens como spam. O golpe destaca a importância da conscientização sobre segurança digital e a necessidade de cautela ao lidar com ofertas que parecem boas demais para ser verdade.

Desde o início de 2025, pesquisadores da Check Point identificaram um aumento nas atividades de espionagem cibernética do grupo Nimbus Manticore, que utiliza portais de recrutamento falsos para disseminar malware sofisticado. Inicialmente focado em alvos do setor aeroespacial e de defesa no Oriente Médio, o grupo agora se expande para a Europa Ocidental, mirando empresas de defesa, telecomunicações e aeroespaciais em países como Dinamarca, Suécia e Portugal.

O malware principal, conhecido como MiniJunk, evoluiu para uma variante avançada que utiliza técnicas inovadoras para evitar a detecção. A infecção começa com e-mails de spear-phishing que se passam por recrutadores de grandes empresas, levando as vítimas a páginas de login falsificadas. Após o login bem-sucedido, um arquivo malicioso é entregue, permitindo que os atacantes monitorem as interações e capturem dados sensíveis.

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

A DigiCert anunciou a aquisição da Valimail, ampliando sua plataforma DigiCert ONE com tecnologia de autenticação de e-mail de confiança zero. Essa aquisição visa fortalecer a segurança contra fraudes por e-mail, como phishing e spoofing, que continuam a ser uma das principais ameaças cibernéticas globalmente. A Valimail é reconhecida por suas soluções DMARC patenteadas, essenciais para autenticar remetentes legítimos e bloquear mensagens falsificadas. O CEO da DigiCert, Amit Sinha, destacou que a autenticação de e-mail é um passo lógico para a expansão da plataforma, enquanto Alex Garcia-Tobar, CEO da Valimail, enfatizou a importância da parceria para acelerar a missão de autenticar comunicações. A integração das capacidades da Valimail permitirá a implementação em larga escala do DMARC, crucial para a proteção de empresas e agências governamentais. No entanto, a eficácia dessas tecnologias depende da adoção completa por parte das empresas e da educação dos usuários sobre as ameaças em evolução. Apesar do fortalecimento da posição da DigiCert, não há garantias de uma redução rápida nos incidentes de phishing e spoofing, que ainda são facilitados por erros humanos e a adoção inconsistente de padrões de segurança.

Recentemente, as empresas de cibersegurança PRODAFT e Netcraft revelaram a existência de serviços de phishing-as-a-service (PhaaS) conhecidos como Lighthouse e Lucid, que estão facilitando a realização de ataques cibernéticos em larga escala. Esses serviços, que podem ser adquiridos por valores que começam em R$ 465, oferecem ferramentas para a criação de campanhas de phishing personalizadas, atingindo 316 marcas em 74 países. Os ataques incluem smishing, que é o phishing realizado via SMS, utilizando plataformas como iMessage e RCS. A plataforma Lucid, por exemplo, permite que hackers montem campanhas direcionadas a setores como pedágios, correios e instituições financeiras, com a capacidade de monitorar as vítimas em tempo real. Além disso, os criminosos estão voltando a usar e-mails para coletar dados roubados, o que torna a detecção mais difícil. Os pesquisadores também identificaram técnicas avançadas, como o uso de caracteres homóglifos para criar URLs enganosas. Esses desenvolvimentos destacam a evolução das táticas de phishing e a necessidade urgente de medidas de segurança mais robustas.

Desde abril de 2025, um grupo de hackers desconhecido chamado ComicForm tem realizado uma campanha de phishing direcionada a organizações na Bielorrússia, Cazaquistão e Rússia, conforme análise da empresa de cibersegurança F6. Os alvos incluem setores industriais, financeiros, de turismo, biotecnologia, pesquisa e comércio. Os ataques são realizados por meio de e-mails com assuntos como ‘Aguardando documento assinado’ e ‘Fatura para pagamento’, que incentivam os destinatários a abrir arquivos compactados contendo executáveis maliciosos disfarçados de documentos PDF. Esses executáveis, projetados para evitar a detecção, instalam um malware chamado Formbook, que é utilizado para roubo de dados. Além disso, a análise revelou que o grupo também direcionou ataques a uma empresa no Cazaquistão e a um banco bielorrusso. A F6 identificou e bloqueou e-mails de phishing enviados a empresas de manufatura na Rússia, que redirecionavam os usuários para páginas falsas de login, visando roubar credenciais. O uso de e-mails em inglês sugere que o grupo pode estar mirando organizações em outros países, aumentando a preocupação com a segurança cibernética na região.

Pesquisadores da Norton relataram um vazamento massivo de dados pessoais que afetou 252 milhões de pessoas em sete países, incluindo Canadá, México, Egito, Turquia, Arábia Saudita, África do Sul e Emirados Árabes Unidos. O incidente foi causado por uma má configuração em três grandes servidores, resultando na exposição de informações críticas como números de identificação, datas de nascimento, endereços e dados de contato. Esses dados podem ser utilizados por cibercriminosos para roubo de identidade e fraudes financeiras, como a abertura de contas falsas e ataques de phishing direcionados. Embora o Brasil não tenha sido diretamente afetado, é importante que os usuários fiquem atentos a comunicações de serviços online que possam indicar uma brecha de dados. Recomenda-se que os usuários verifiquem remetentes de e-mails, evitem clicar em links desconhecidos e ativem a verificação em duas etapas sempre que possível. O vazamento destaca a necessidade de medidas de segurança robustas para proteger informações pessoais em um mundo cada vez mais digital.

A Stellantis NV, fabricante global de automóveis que inclui marcas como Citroën, FIAT e Jeep, confirmou um vazamento de dados após a violação de um provedor de serviços terceirizado na América do Norte. O incidente, detectado no último domingo, resultou na exposição de informações básicas de contato, como nomes, endereços de e-mail e números de telefone, mas não envolveu dados financeiros ou informações pessoais sensíveis. A empresa está notificando os clientes potencialmente afetados e recomenda que eles fiquem atentos a tentativas de phishing e outros golpes relacionados. A Stellantis ativou imediatamente seus protocolos de resposta a incidentes e está colaborando com especialistas em cibersegurança para analisar a extensão da violação e fortalecer a segurança em sua rede de fornecedores. Este incidente ocorre em um contexto de aumento de ataques cibernéticos no setor automotivo, onde muitos fabricantes dependem de fornecedores terceirizados, tornando-se alvos atraentes para atacantes. A Stellantis enfatiza a importância de investimentos contínuos em medidas de cibersegurança e a conformidade com as leis de proteção de dados, como a LGPD no Brasil.

Pesquisadores da Netcraft revelaram duas grandes campanhas de phishing associadas às plataformas Lucid e Lighthouse, que permitem que cibercriminosos se façam passar por centenas de empresas globais. Desde a identificação dessas campanhas, foram detectados mais de 17.500 domínios de phishing visando 316 marcas em 74 países, evidenciando a crescente industrialização do cibercrime por meio de serviços de phishing baseados em assinatura.

A plataforma Lucid se destaca por seus controles avançados de anti-monitoramento, que dificultam a detecção por ferramentas de segurança. Os ataques utilizam URLs específicas que exigem condições de acesso, como parâmetros de caminho válidos e geolocalização forçada. Por outro lado, a plataforma Lighthouse, focada no roubo de credenciais de múltiplos fatores, oferece kits de phishing que variam de $88 por semana a $1.588 por ano, com templates constantemente atualizados.

O SpamGPT é uma nova ferramenta de cibercrime que utiliza inteligência artificial para automatizar campanhas de phishing e ransomware, tornando esses ataques mais simples e eficientes. Desenvolvido para criminosos, o SpamGPT oferece uma interface semelhante a painéis de marketing legítimos, permitindo que até mesmo indivíduos com pouca experiência técnica possam criar, agendar e monitorar operações de spam em larga escala. A plataforma integra ferramentas de IA que geram conteúdo convincente para phishing, otimizam linhas de assunto e sugerem melhorias para os golpes, transformando o phishing em um processo acessível a criminosos de baixo nível.