Phishing

Hackers romenos criam armadilha de phishing em grande escala

Uma campanha de phishing em larga escala, orquestrada por hackers romenos, afetou quase 9 milhões de endereços de e-mail no Reino Unido, oferecendo amostras de beleza falsas da Boots. Os atacantes utilizaram um site governamental boliviano comprometido para hospedar uma página de checkout fraudulenta, coletando informações pessoais e de pagamento dos usuários. Os e-mails, que pareciam legítimos, incentivavam os destinatários a preencher uma pesquisa em troca de um pacote de amostras de beleza. A operação foi facilitada por um servidor de uma empresa britânica que havia sido comprometido, permitindo que os hackers enviassem mensagens diretamente da conexão de internet da organização, ocultando sua infraestrutura. A Huntress, empresa de segurança cibernética, identificou que a campanha não apenas visava a Boots, mas também incluía temas relacionados a impostos e criptomoedas, sugerindo uma operação mais ampla. O uso de um aplicativo legítimo de envio em massa, o Gammadyne Mailer, e a configuração para maximizar a velocidade de envio, foram aspectos críticos dessa operação de phishing.

Aumento de Ataques de Tomada de Conta e Como Proteger Identidades

As organizações enfrentam um desafio crescente na gestão de identidades, tanto humanas quanto não-humanas, em ambientes de trabalho híbridos e com acesso de terceiros. Com a expansão do trabalho remoto e do uso de dispositivos pessoais, as equipes de segurança estão perdendo visibilidade sobre quem tem acesso a quais recursos e se esse acesso é confiável. Os atacantes estão explorando essa complexidade, utilizando técnicas como o ‘MFA fatigue’, onde enviam repetidamente solicitações de autenticação multifatorial até que o usuário aceite uma delas. Além disso, ataques de phishing evoluíram, utilizando domínios legítimos e conteúdo gerado por IA para criar páginas de login falsas que imitam portais reais. A proteção das credenciais é essencial, pois 44,7% das violações de dados envolvem credenciais roubadas. Para mitigar esses riscos, soluções como o Specops Device Trust são recomendadas, pois oferecem verificação contínua de dispositivos e autenticação baseada em confiança, permitindo que as organizações mantenham um controle mais rigoroso sobre o acesso sem comprometer a experiência do usuário.

Grupo de hackers norte-coreano usa phishing para espalhar malware

O grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como ScarCruft (ou APT37), foi identificado utilizando mensagens de spear-phishing que se disfarçam como notificações de segurança de contas da Microsoft para disseminar um malware chamado NarwhalRAT. Segundo o Genians Security Center (GSC), o e-mail malicioso simula um alerta de segurança, criando uma falsa preocupação sobre possíveis compromissos de conta e abuso de senhas de uso único (OTP), levando a vítima a abrir um anexo. Este anexo, na verdade, é um arquivo ZIP que contém um arquivo LNK malicioso. Ao ser executado, o arquivo LNK inicia uma cadeia de infecção em múltiplas etapas, baixando e instalando o NarwhalRAT, que é capaz de registrar teclas, capturar telas, gravar áudio ambiente e executar comandos de um servidor de comando e controle (C2). O malware se destaca por sua capacidade de se esconder em um diretório disfarçado, evitando a detecção. A infraestrutura de C2 utiliza sites coreanos e a API de armazenamento em nuvem pCloud, o que indica um nível avançado de sofisticação. Essa nova abordagem do ScarCruft representa uma evolução em suas táticas, marcando uma mudança significativa em relação ao RokRAT, um malware anteriormente associado ao grupo.

Campanhas cibernéticas maliciosas ligadas à Coreia do Norte

Pesquisadores de cibersegurança identificaram duas campanhas cibernéticas maliciosas associadas a um grupo de ameaças persistente da Coreia do Norte, conhecido como Contagious Interview. Segundo um relatório da Proofpoint, o grupo tem realizado campanhas de phishing direcionadas a quase 100 organizações em setores como finanças, criptomoedas, educação e tecnologia, utilizando temas de recrutamento de desenvolvedores. Os ataques, codificados como UNK_DeadDrop, começam com e-mails que contêm links para repositórios do GitHub controlados pelos atacantes, que hospedam scripts maliciosos. Esses scripts são projetados para executar malware em múltiplas plataformas, incluindo macOS, Linux e Windows, utilizando uma técnica que permite a execução automática de código malicioso ao abrir o Visual Studio Code. O objetivo principal das campanhas é roubar credenciais e dados de extensões de carteiras digitais. Além disso, foram descobertas extensões maliciosas no marketplace do VS Code que funcionam como backdoors sofisticados. As atividades do grupo indicam uma evolução nas operações de cibercrime da Coreia do Norte, com uma mudança de engenharia social ativa para campanhas de phishing em larga escala.

Vulnerabilidades e Ameaças em Cibersegurança Recapitulando a Semana

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades críticas e incidentes de exploração ativa. O Google lançou atualizações de segurança para corrigir 74 falhas, incluindo uma vulnerabilidade de alta severidade no Chrome (CVE-2026-11645), que está sendo ativamente explorada. A falha permite acesso não autorizado à memória, com um CVSS de 8.8. Além disso, o grupo ShinyHunters explorou uma falha crítica no Oracle PeopleSoft (CVE-2026-35273), que permite que atacantes não autenticados assumam o controle do sistema, afetando principalmente instituições de ensino superior. Outra preocupação é a campanha ‘Atomic Arch’, que comprometeu mais de 1.500 pacotes do Arch Linux, introduzindo um malware que pode roubar credenciais. O FBI também desmantelou um serviço de phishing como serviço (PhaaS) que causou perdas de aproximadamente $1,9 bilhões. Por fim, uma vulnerabilidade crítica no VPN da Check Point (CVE-2026-50751) foi identificada, permitindo que atacantes contornem a autenticação. Essas ameaças destacam a necessidade urgente de atualizações e monitoramento contínuo em ambientes corporativos.

Fraudes online na MENA contas falsas no Facebook enganam usuários

Pesquisadores de cibersegurança revelaram atividades fraudulentas direcionadas a usuários no Oriente Médio e Norte da África, utilizando contas falsas no Facebook que se passavam por políticos e organizações confiáveis. Essas contas promoviam ofertas enganosas, como pacotes de internet móvel gratuitos e compensações financeiras, levando as vítimas a clicar em links que redirecionavam para uma infraestrutura de phishing. A análise da Group-IB identificou que essas campanhas estavam ligadas à plataforma Sniper Dz, um serviço de phishing como serviço (PhaaS) que foi desmantelado recentemente. Os ataques utilizavam engenharia social, fazendo com que os usuários acreditassem que estavam acessando ofertas legítimas, mas, na verdade, eram direcionados a páginas que solicitavam permissões de notificações do navegador, permitindo que os atacantes enviassem mensagens indesejadas. Além disso, técnicas como manipulação do histórico do navegador e redirecionamentos em abas foram empregadas para manter as vítimas presas na rede de fraudes. A campanha destaca a crescente dependência de tecnologias web legítimas para operações fraudulentas, em vez de malware tradicional.

FBI desmantela operação de phishing em larga escala da China

O FBI, em colaboração com o Google e o Black Lotus Labs, desmantelou uma operação de phishing chamada Outsider Enterprise, que utilizava milhares de sites falsos para roubar dados de cartões de crédito e senhas. A operação, que estava ativa desde pelo menos 2023, utilizava inteligência artificial e kits de phishing distribuídos para se passar por marcas confiáveis em mensagens enviadas por operadoras como AT&T, T-Mobile e Verizon. Estima-se que as campanhas de phishing tenham resultado no roubo de mais de 3,8 milhões de registros de cartões de crédito, causando perdas de aproximadamente 1,9 bilhão de dólares. Durante a ação, o FBI apreendeu servidores de administração, uma loja de e-commerce no Shopify e uma conta usada para testar o serviço de phishing. Além disso, foram confiscados cerca de 100 mil USDT de carteiras de pagamento da operação. O Google também processou civilmente a infraestrutura da operação e está colaborando com as operadoras para bloquear mensagens fraudulentas. A empresa destaca que os usuários do Android estão protegidos por defesas baseadas em IA, que detectam e bloqueiam mensagens maliciosas. Essa ação é parte da Operação Riptide do FBI, que visa combater atividades cibernéticas criminosas.

Google processa rede chinesa de cibercrime por uso de IA em phishing

O Google anunciou que está tomando medidas legais contra uma rede de cibercrime chinesa, acusando-a de utilizar seu agente de inteligência artificial, Gemini, para enviar mensagens de phishing direcionadas a cidadãos americanos. A rede é responsável pelo desenvolvimento de um kit de software chamado Outsider, que permite a criação de páginas fraudulentas e o envio de ataques massivos de smishing, ou phishing via SMS. As mensagens, que se passam por marcas legítimas, alertam os usuários sobre ‘problemas em contas de corretagem’ ou oferecem ‘recompensas através de operadoras de telefonia’.

Novo Nordisk revela vazamento de dados de pacientes em ensaios clínicos

A gigante farmacêutica dinamarquesa Novo Nordisk, líder mundial na produção de insulina, anunciou um vazamento de dados que afeta informações de pacientes de alguns de seus ensaios clínicos. O ataque, que comprometeu sistemas internos da empresa, resultou na exposição de dados pseudonimizados, incluindo IDs de pacientes, informações sobre participação em ensaios, dados de saúde e fatores de estilo de vida. Embora a empresa tenha garantido que os dados não podem ser usados para identificar pacientes diretamente, o incidente também afetou profissionais de saúde, cujos nomes, e-mails e números de telefone foram expostos. A Novo Nordisk está trabalhando com especialistas em cibersegurança para investigar o incidente e restaurar os sistemas afetados, sem que suas operações principais tenham sido impactadas. A empresa alertou os profissionais de saúde afetados sobre possíveis ataques de phishing, recomendando cautela com mensagens inesperadas. Até o momento, não foram divulgadas informações sobre a data da detecção do vazamento ou o número exato de indivíduos afetados.

Operação da INTERPOL desmantela plataforma de phishing Sniper Dz

Uma operação liderada pela INTERPOL, chamada Operação Ramz, resultou na desarticulação da plataforma de phishing conhecida como Sniper Dz, que atuava há mais de uma década. Entre outubro de 2025 e fevereiro de 2026, autoridades de 13 países da região do Oriente Médio e Norte da África realizaram 201 prisões, incluindo Guedz, o principal desenvolvedor da plataforma. Sniper Dz, que também se rebatizou como Joker Dz e Storm Dz, era uma plataforma de phishing como serviço (PhaaS) que coletou mais de 45.000 registros de vítimas. A operação não apenas desativou o site da plataforma, mas também apreendeu hardware contendo softwares e scripts de phishing.

Golpe usa falsa vaga da LOréal para roubar e-mails de candidatos

Pesquisadores de segurança digital identificaram uma nova campanha de phishing que utiliza falsas vagas de emprego da L’Oréal para roubar credenciais de e-mail de candidatos. O golpe se desenrola em duas etapas: inicialmente, os criminosos coletam dados pessoais dos candidatos, como nome, telefone e histórico profissional. Em seguida, solicitam a senha do e-mail sob a justificativa de que isso é necessário para validar a candidatura. A L’Oréal já confirmou que não está envolvida com essas mensagens fraudulentas. A ESET, empresa que detectou a fraude, alerta que outras marcas conhecidas, como Coca-Cola e RedBull, também foram alvo de golpes semelhantes. O primeiro contato com a vítima ocorre via e-mail, onde mensagens se disfarçam como comunicações de recrutadores. Ao clicar em links, as vítimas são direcionadas a páginas que imitam plataformas de recrutamento, onde são solicitadas informações pessoais. Após o envio, a página exibe o e-mail da vítima e pede a senha, aumentando a probabilidade de sucesso do golpe. Caso a senha seja fornecida, os criminosos podem acessar a conta de e-mail e comprometer outros serviços conectados. A ESET recomenda que as empresas nunca solicitem senhas de e-mail em processos seletivos e sugere medidas de proteção, como verificar o domínio do remetente e ativar a autenticação multifator.

Vulnerabilidades do OpenClaw expõem dados e permitem ataques

Pesquisas recentes revelaram que o OpenClaw, um agente de IA autônomo amplamente utilizado, possui falhas que permitem a execução de códigos maliciosos e a exfiltração de dados sensíveis através de entradas aparentemente inofensivas. A Imperva demonstrou como comandos ocultos podem ser inseridos em contatos compartilhados e vCards, que o agente executa sem que o usuário perceba. A Varonis, por sua vez, explorou a vulnerabilidade de phishing, onde um e-mail comum pode induzir o agente a enviar informações confidenciais, como chaves de acesso da AWS. Embora a Imperva tenha corrigido uma das falhas na versão 2026.4.23 do OpenClaw, a vulnerabilidade de phishing não pode ser resolvida apenas com um patch, exigindo uma reavaliação das permissões do agente. Ambas as pesquisas destacam a confiança excessiva do OpenClaw em suas entradas, o que torna o sistema vulnerável a ataques. As recomendações incluem a implementação de controles rigorosos sobre as ações do agente e a verificação de remetentes antes de enviar dados. O impacto potencial dessas falhas é significativo, especialmente em ambientes que lidam com informações sensíveis, levantando preocupações sobre conformidade com a LGPD.

Rede de servidores suporta campanhas de phishing em larga escala

Um recente estudo revelou uma vasta rede de 12.704 servidores conectados à internet, que sustentam campanhas de spam e phishing. Esses servidores, distribuídos por 55 países, utilizam links do Google Cloud Storage como uma camada de redirecionamento inicial, levando os usuários a páginas controladas pelos atacantes. As páginas de destino são quase idênticas e contêm conteúdo extraído do The New York Times, o que as torna aparentemente benignas para scanners de segurança e visitantes não-alvo. A maioria dos servidores opera com software obsoleto, o que aumenta a vulnerabilidade e sugere que os operadores priorizam a descartabilidade. A pesquisa também indica que 99,8% dos servidores utilizam o protocolo HTTP inseguro, e 89% deles não tinham histórico de abusos, indicando que a infraestrutura pode ter sido recentemente provisionada. A utilização de serviços confiáveis como o Google para redirecionamento é uma tática comum entre os cibercriminosos, pois aumenta a probabilidade de que os usuários confiem nos links. A complexidade da infraestrutura, distribuída entre 412 provedores de hospedagem, dificulta os esforços de remoção e mitigação das campanhas de phishing.

Simulação de phishing revela vulnerabilidades em agentes de IA

Uma simulação de phishing realizada com o agente de e-mail OpenClaw, desenvolvido pela empresa de segurança Varonis, revelou que esses agentes de inteligência artificial (IA) são suscetíveis a táticas comuns de phishing que têm enganado usuários humanos por décadas. O OpenClaw, uma estrutura de código aberto que permite que modelos de linguagem interajam com sistemas do mundo real, foi conectado a uma caixa de entrada do Gmail e a várias APIs do Google Workspace, utilizando dados sintéticos de uma empresa fictícia, incluindo credenciais sensíveis.

SoFi Hong Kong alerta sobre violação de dados de clientes

A SoFi Hong Kong, uma empresa de tecnologia financeira baseada nos EUA, anunciou que sofreu uma violação de dados após hackers acessarem um banco de dados de um fornecedor terceirizado contendo informações de clientes. O incidente foi descoberto em 30 de abril de 2026, quando a empresa detectou acesso não autorizado ao banco de dados da SoFi Securities (Hong Kong) Limited. Em comunicado enviado aos clientes, a SoFi informou que a investigação está em andamento e que ainda não é possível determinar quais dados específicos podem ter sido expostos. A empresa alertou os clientes para ficarem atentos a tentativas de phishing e atividades suspeitas em suas contas. Além disso, recomendou que os usuários atualizassem suas senhas e ativassem a autenticação em duas etapas. A SoFi também implementou medidas adicionais de segurança e monitoramento nas contas afetadas. Para mais informações, a empresa disponibilizou uma linha de suporte e um endereço de e-mail para os clientes que buscam esclarecimentos.

Novas variantes do malware NFCShare atacam aplicativos bancários

Novas variantes do malware NFCShare estão sendo distribuídas como falsas atualizações de aplicativos bancários legítimos, hospedadas no GitHub. Este malware evoluiu e agora visa clientes de diversos bancos e instituições financeiras na Europa, em uma campanha de phishing destinada a roubar dados de cartões de pagamento. Após enganar as vítimas com uma tela de verificação falsa, o NFCShare utiliza o chip de comunicação por proximidade (NFC) do dispositivo móvel para ler informações do cartão, como número, tipo, data de validade e um PIN de 4 dígitos inserido pela vítima. Esses dados são enviados para o servidor de comando e controle do atacante via canal WebSocket. Desde sua criação, o repositório do GitHub que distribui o NFCShare já hospedou 56 APKs únicos que imitam aplicativos de bancos, principalmente da Itália e da Espanha. Os pesquisadores alertam que usuários de Android devem baixar aplicativos bancários apenas do Google Play e ter cautela com solicitações de verificação que pedem a digitalização de cartões NFC.

Meta bloqueia tentativas de phishing ligadas ao NSO Group

Na última segunda-feira, a Meta anunciou a detecção e bloqueio de tentativas de spear-phishing associadas ao grupo de spyware israelense NSO Group. A empresa também informou que está movendo uma ação judicial federal contra a NSO por violar uma ordem judicial permanente que proíbe a empresa de direcionar ataques ao WhatsApp e seus usuários. As tentativas de phishing buscavam enganar os usuários para que clicassem em links maliciosos, levando-os a sites externos, semelhante a campanhas de phishing de um clique já relatadas anteriormente. Além disso, a Meta identificou a criação de contas de teste e grupos no WhatsApp pela NSO, que foram removidos. A Meta listou domínios maliciosos associados a essas atividades, como fr24cast.com e ghazacast.com. Este incidente ocorre um ano após a NSO ser multada em cerca de 168 milhões de dólares por violar leis dos EUA ao explorar servidores do WhatsApp para implantar o spyware Pegasus, que visava mais de 1.400 indivíduos globalmente. A Meta reafirmou que as mensagens e chamadas dos usuários do WhatsApp permanecem protegidas por criptografia de ponta a ponta e recomendou que os usuários mantenham seus aplicativos atualizados e relatem atividades suspeitas. Para aqueles que podem estar em risco elevado de ataques cibernéticos, a Meta sugere a ativação de configurações de conta rigorosas para aumentar a segurança.

Universidade de Oxford revela nova violação de dados

Na última semana, a Universidade de Oxford anunciou uma violação de dados em sua plataforma CareerConnect, após ser informada pelo fornecedor terceirizado Group GTI sobre o comprometimento do sistema. O ataque ocorreu em 28 de maio e resultou no acesso não autorizado a nomes, sobrenomes, endereços de e-mail e senhas criptografadas de usuários que não utilizam o sistema de autenticação Single Sign-On (SSO). Embora a universidade tenha garantido que não há evidências de que informações de cursos, arquivos carregados ou dados financeiros tenham sido afetados, alertou sobre a possibilidade de tentativas de phishing direcionadas a alunos e funcionários. Este é o segundo incidente de segurança relatado pela universidade em 2023, após uma violação anterior relacionada ao sistema Canvas, que expôs dados de 280 milhões de registros de instituições educacionais em todo o mundo. A universidade enfatizou que seus sistemas não foram comprometidos e que as senhas dos usuários afetados foram invalidadas, exigindo que os mesmos realizem a redefinição de suas senhas na próxima vez que acessarem a plataforma.

A Inteligência Artificial e o Crescimento do Phishing Desafios e Soluções

O uso crescente da inteligência artificial (IA) por cibercriminosos tem transformado o phishing em uma máquina de volume, permitindo a criação rápida de e-mails convincentes e páginas de login falsas. Isso resulta em um aumento significativo no número de alertas que as equipes de segurança (Tier 1) precisam revisar, dificultando a identificação de tentativas reais de roubo de credenciais ou entrega de malware. As variações nas iscas, a melhor impersonificação e a personalização das mensagens tornam o trabalho das equipes de segurança mais complexo, levando a um aumento no tempo de resposta e na carga de trabalho. Para enfrentar esses desafios, é essencial que as equipes adotem soluções que combinem verificações automatizadas e visibilidade baseada em comportamento. Ferramentas como o ANY.RUN, que permite a análise interativa de links suspeitos em um ambiente seguro, podem acelerar a triagem e reduzir a sobrecarga das equipes. Além disso, relatórios prontos para uso podem facilitar a transição entre as equipes de Tier 1 e Tier 2, melhorando a eficiência na resposta a incidentes. A adoção dessas tecnologias pode resultar em uma redução significativa na carga de trabalho e no tempo de resposta, permitindo que as organizações se protejam melhor contra ameaças emergentes.

Grupo Silent Ransom ataca escritórios de advocacia nos EUA

O grupo de extorsão Silent Ransom está atacando ativamente escritórios de advocacia e organizações de serviços profissionais nos Estados Unidos, conforme um relatório da Mandiant. Os ataques, que incluem engenharia social e roubo de dados, podem resultar em vazamentos de informações sensíveis em questão de horas após o primeiro contato. O FBI já havia emitido um aviso sobre esses ataques, que se caracterizam por e-mails de phishing disfarçados de faturas, seguidos por chamadas telefônicas de atacantes que se passam por funcionários de TI. Durante as sessões de suporte remoto, os atacantes convencem os funcionários a instalar ferramentas de monitoramento, permitindo acesso inicial à rede corporativa. O grupo, que opera desde 2022, não utiliza mais criptografia de ransomware, focando exclusivamente na extorsão de dados. As demandas de resgate são enviadas rapidamente, com prazos curtos para resposta, e ameaças de vazamento de dados são utilizadas para pressionar as vítimas. Para se proteger, Mandiant e o FBI recomendam a implementação de procedimentos rigorosos de verificação para interações de suporte de TI e treinamento de funcionários para reconhecer tentativas de phishing por voz.

Toshiba e Muji alertam sobre telas de login suspeitas em seus sites

As gigantes japonesas Toshiba e Muji emitiram alertas a seus usuários sobre telas de login suspeitas que podem estar coletando credenciais. Essas telas foram geradas por um serviço externo hospedado em polyfill[.]io, que, em 2024, introduziu códigos maliciosos em scripts entregues por sua rede de distribuição de conteúdo (CDN). Ambas as empresas recomendaram que os usuários que inseriram dados de login nessas telas mudassem suas senhas. A Toshiba confirmou que algumas partes de seu site poderiam exibir essas telas e pediu que os usuários selecionassem ‘Cancelar’ sem inserir informações. A Muji também fez um aviso semelhante, embora não tenha confirmado acessos não autorizados até o momento. Além de Toshiba e Muji, outras empresas, como Zojirushi e FiNC Technologies, também foram afetadas. O problema surgiu após a aquisição do domínio polyfill[.]io por uma entidade chinesa, que adicionou scripts maliciosos, impactando mais de 100 mil sites. Embora a situação tenha sido mitigada, a recomendação é que os usuários permaneçam cautelosos com solicitações de autenticação inesperadas.

Fraudes relacionadas à FIFA ameaçam fãs da Copa do Mundo 2026

Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA que já está afetando os fãs da Copa do Mundo 2026, dias antes do início do torneio. Com mais de seis milhões de torcedores esperados e uma demanda de ingressos que supera em 30 vezes a oferta, os golpistas estão aproveitando a ansiedade dos fãs. O grupo GHOST STADIUM, por exemplo, registrou mais de 4.300 domínios fraudulentos, com páginas de login quase idênticas ao site oficial da FIFA, que coletam informações pessoais e podem revender ingressos. Além disso, aplicativos de streaming pirata estão sendo utilizados para disseminar malware bancário, comprometendo dispositivos móveis. As fraudes incluem também sites falsos de produtos, apostas e até e-mails de loteria prometendo prêmios. O FBI e outras entidades estão monitorando a situação, mas a quantidade de domínios fraudulentos ainda ativos é alarmante, com estimativas de perdas que podem chegar a bilhões de dólares. Os fãs devem ser cautelosos e comprar apenas através de canais oficiais.

Grupo de cibercrime TA4922 vinculado à China ataca organizações europeias

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

Grupo de cibercrime chinês expande ataques para a Europa

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

Campanha de malspam usa domínio do Google para distribuir RAT

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Risco cibernético na saúde em 2026 O que os dados revelam

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Operação Linha Fantasma PF combate fraudes bancárias por telefone

A Polícia Federal (PF) deflagrou a Operação Linha Fantasma, focando em fraudes bancárias que utilizam a técnica da ‘falsa central telefônica’. Os golpistas enviam mensagens de texto (SMS) alertando sobre compras suspeitas e fornecem um número 0800 para que as vítimas entrem em contato com o banco. O objetivo é induzir as pessoas a compartilhar dados pessoais ou realizar transferências financeiras, como cancelamento de compras via Pix. A operação resultou em três mandados de busca e apreensão e duas prisões em flagrante em Feira de Santana (BA) e São Paulo (SP). A PF informou que os investigados podem responder por crimes como fraude eletrônica e lavagem de dinheiro. A ação foi desencadeada após denúncias de operadoras de telefonia sobre o envio em massa de mensagens fraudulentas. Para se proteger, a Federação Brasileira de Bancos (Febraban) recomenda não fornecer dados pessoais, não instalar aplicativos solicitados durante ligações e sempre verificar a autenticidade das comunicações com os bancos através de canais oficiais.

Mais de 5.000 domínios maliciosos visam eleições intermediárias dos EUA

Um novo relatório da Check Point Research revela que mais de 5.000 domínios maliciosos relacionados às eleições intermediárias dos EUA, programadas para novembro de 2022, foram identificados desde janeiro deste ano. Esses domínios, que incluem palavras como ’election’ e ‘vote’, são utilizados para criar sites de phishing, portais de doações falsas e campanhas de desinformação. A pesquisa destaca que, enquanto os hackers não estão atacando diretamente as máquinas de contagem de votos, eles visam influenciar os eleitores, dificultando a verificação da verdade. A operação russa chamada Doppelganger tem sido particularmente ativa, clonando sites de notícias de alta autoridade e publicando informações falsas. A Check Point alerta que as organizações envolvidas nas eleições devem estar em alerta máximo para ataques de phishing e impersonificação de marcas, dada a crescente motivação e atenção em torno deste ciclo eleitoral.

Desafios da Cibersegurança com Adoção de IA nas Empresas

As equipes de segurança enfrentam dois problemas críticos relacionados à inteligência artificial (IA) no ambiente corporativo. Primeiro, os atacantes estão utilizando IA para aprimorar suas ferramentas de phishing, criando kits e técnicas que evoluem rapidamente, como o phishing por código de dispositivo, que explora fluxos OAuth legítimos para contornar autenticações multifator. Em segundo lugar, a adoção desenfreada de ferramentas de IA pelos funcionários está superando a capacidade das equipes de segurança de monitorar e controlar o uso, resultando em vazamentos de dados sensíveis. A maioria das ameaças ocorre dentro do navegador, onde as atividades maliciosas são difíceis de detectar por ferramentas tradicionais. Para mitigar esses riscos, é essencial que as organizações implementem plataformas que ofereçam visibilidade profunda sobre as sessões do navegador, permitindo o controle tanto sobre as ferramentas de IA utilizadas quanto sobre as tentativas de phishing. A situação é alarmante, com 45% dos funcionários utilizando IA regularmente em dispositivos corporativos, muitas vezes sem supervisão adequada, o que aumenta o potencial de exfiltração de dados e compromissos de segurança.

Grupo SideCopy realiza campanha de phishing contra o governo afegão

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing, atribuída ao grupo SideCopy, alinhado ao Paquistão, que visa o Ministério das Finanças do Afeganistão. A operação, chamada de XENOFISCAL, utiliza um trojan de acesso remoto chamado Xeno RAT, disfarçado em um arquivo ZIP que contém um arquivo LNK com um nome em pashto, a língua predominante no governo afegão. Além do Ministério, a campanha também atinge direções provinciais de finanças e funcionários do governo que falam pashto, evidenciando o conhecimento do atacante sobre o ambiente alvo. O Xeno RAT, uma ferramenta poderosa, permite ao invasor executar uma variedade de ações, como capturar teclas, tirar capturas de tela e monitorar dispositivos de áudio e vídeo. A campanha é uma continuação de atividades maliciosas mais amplas direcionadas a entidades da Ásia do Sul, com o SideCopy já tendo sido associado a ataques anteriores na Índia. A execução do malware envolve a utilização de um arquivo de atalho do Windows que, ao ser ativado, baixa um aplicativo HTML remoto, levando à execução de um JavaScript ofuscado. Este cenário destaca a crescente sofisticação das ameaças cibernéticas na região e a necessidade de vigilância constante por parte das entidades governamentais e corporativas.

Campanha de espionagem cibernética mira República Tcheca e Taiwan

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

Sites falsos de ingressos da FIFA crescem antes da Copa de 2026

Com a aproximação da Copa do Mundo de 2026, um aumento alarmante de sites falsos de venda de ingressos da FIFA foi identificado. Pesquisadores da Group-IB relataram a existência de mais de 4.300 domínios fraudulentos que imitam a presença oficial da FIFA, muitos dos quais estão ativos desde 2025, aguardando fãs desesperados por ingressos. Um grupo criminoso conhecido como Ghost Stadium é o principal responsável, criando uma réplica quase perfeita do site oficial da FIFA, utilizando um kit de phishing compartilhado. Os golpistas atraem vítimas através de anúncios no Facebook que prometem preços muito abaixo do mercado, levando-as a páginas falsas onde são induzidas a inserir suas credenciais. Uma vez que as informações são capturadas, os golpistas mudam as senhas das contas legítimas e revendem os ingressos. Além disso, os novos compradores são levados a preencher formulários que coletam dados pessoais e informações de pagamento, sem que os ingressos sejam entregues. As perdas financeiras decorrentes dessa fraude podem variar entre 71 milhões e 474 milhões de dólares. Para se proteger, os usuários devem sempre verificar o domínio do site e evitar anúncios suspeitos nas redes sociais.

Vulnerabilidade no ChatGPT pode facilitar ataques de phishing

Pesquisadores de cibersegurança revelaram uma vulnerabilidade no OpenAI ChatGPT, que explora a confiança implícita do assistente de inteligência artificial em links e imagens em Markdown. Denominada ChatGPhish pela Permiso Security, a técnica permite que um ator malicioso insira um pequeno payload em uma página da web que o usuário solicita para ser resumida pelo ChatGPT. Isso pode resultar na exposição de informações como IP, User-Agent e Referer do usuário, além de permitir que links maliciosos sejam apresentados como elementos clicáveis na interface do assistente. A vulnerabilidade se torna crítica à medida que mais organizações utilizam o ChatGPT para pesquisa e resumo, pois qualquer página maliciosa processada pode transformar o assistente em uma superfície de phishing. A Permiso destaca que a mudança do e-mail para o navegador amplia significativamente a superfície de ataque, tornando a interação com páginas da web potencialmente arriscada. Este achado se junta a outras técnicas de ataque recentes que visam agentes de codificação de IA, evidenciando a necessidade de vigilância constante e mitigação de riscos em ambientes corporativos.

Sites da FIFA são falsificados por hackers antes da Copa de 2026, alerta o FBI

O FBI emitiu um alerta sobre o aumento de sites falsificados da FIFA, com pelo menos 35 domínios identificados que imitam o site oficial da organização. Esses sites fraudulentos têm como objetivo roubar informações pessoais e financeiras dos fãs, utilizando táticas de engenharia social. Os cibercriminosos costumam alterar levemente a grafia dos domínios legítimos ou usar domínios de nível superior alternativos para enganar os usuários. O FBI recomenda que os usuários acessem o site da FIFA digitando o endereço diretamente em vez de clicar em resultados patrocinados em motores de busca, que podem ser imitações pagas. A prática de criar sites falsos em torno de eventos populares, como a Copa do Mundo, não é nova, e já foi observada em ocasiões anteriores, como nas Olimpíadas e durante a pandemia de Covid-19. O alerta destaca a importância de estar atento a essas fraudes, especialmente com a proximidade do evento esportivo em 2026.

Atores de ameaça abusam do ChatGPT para espalhar malware

Recentemente, um novo ataque cibernético foi identificado, onde atores maliciosos estão explorando a funcionalidade de compartilhamento de conteúdo do ChatGPT para criar páginas falsas de indisponibilidade da OpenAI. Essa campanha, chamada ‘LLMShare’, foi descoberta pela Push Security e utiliza anúncios do Google para direcionar usuários que buscam pelo ChatGPT a uma página maliciosa hospedada no domínio legítimo chatgpt.com. Ao clicar no anúncio, os usuários são levados a uma página que simula uma mensagem de erro, informando que a versão web está indisponível e sugerindo o download de um aplicativo de desktop falso. Essa mensagem, que afirma que o site está temporariamente fora do ar devido ao alto tráfego, é gerada através das capacidades de renderização do ChatGPT, utilizando HTML e CSS personalizados. Se o usuário clicar no botão de download, ele é redirecionado para um site que imita o portal de download do aplicativo da OpenAI, mas que na verdade instala malware em dispositivos. As versões para macOS e Windows do suposto aplicativo contêm infostealers, que podem roubar informações sensíveis. Essa técnica de cloaking permite que o site mostre conteúdo inofensivo para plataformas de segurança, dificultando a detecção do ataque. A exploração de funcionalidades de compartilhamento em plataformas de IA para disseminar malware não é nova, e campanhas anteriores já utilizaram métodos semelhantes para enganar usuários.

Grupo GREYVIBE realiza ataques cibernéticos contra a Ucrânia

O grupo de ciberespionagem GREYVIBE, atribuído a atores de língua russa, tem realizado ataques persistentes contra a Ucrânia e entidades relacionadas desde agosto de 2025. De acordo com a WithSecure, a atividade do grupo está alinhada com os interesses do Estado russo, especialmente no contexto da guerra em curso entre Rússia e Ucrânia. GREYVIBE utiliza uma variedade de vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para disseminar malware. Os alvos incluem organizações militares, governamentais e civis. O grupo também se destaca por utilizar inteligência artificial generativa para aprimorar suas operações, o que indica um nível de sofisticação moderado, embora com falhas de segurança operacional. As campanhas observadas incluem o uso de ferramentas como PhantomMail e PhantomRelay, que permitem acesso remoto e coleta de dados sensíveis. A conexão do GREYVIBE com o ecossistema de cibercrime russo sugere que seus membros podem ser ex-cibercriminosos, complicando a atribuição de suas atividades. A utilização de IA, embora traga vantagens, também introduziu falhas no design do malware, indicando que o grupo pode não ser totalmente estatal. Essa situação representa um desafio significativo para a segurança cibernética, especialmente para países como o Brasil, que podem ser afetados por táticas semelhantes.

FBI alerta sobre sites falsos que imitam FIFA antes da Copa de 2026

O FBI emitiu um alerta sobre a criação de sites falsos que se passam pela FIFA, visando roubar informações pessoais e financeiras dos usuários, além de vender ingressos e pacotes de hospitalidade falsos para a Copa do Mundo de 2026, que ocorrerá entre 11 de junho e 19 de julho nos Estados Unidos, Canadá e México. Os criminosos cibernéticos estão utilizando centenas de sites de phishing que imitam o domínio oficial fifa.com, fazendo pequenas alterações que podem passar despercebidas, como fiffa[.]com, e utilizando domínios alternativos como .org e .xyz. Esses sites fraudulentos coletam dados sensíveis, como nomes, endereços e informações bancárias, que podem ser usados para fraudes financeiras e roubo de identidade. Pesquisas de empresas de cibersegurança, como a Group-IB e a Bitdefender, revelaram campanhas de malvertising relacionadas à Copa do Mundo, promovidas em plataformas como Google Search e Facebook. Para se proteger, o FBI recomenda que os usuários acessem o site oficial digitando o endereço diretamente no navegador, evitem anúncios patrocinados e verifiquem a autenticidade dos sites antes de inserir dados sensíveis. Os usuários também são incentivados a relatar incidentes ao IC3 do FBI.

Trojan de acesso remoto BTMOB ameaça usuários Android no Brasil

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

Cibersegurança Novas Ameaças e Vulnerabilidades em 2026

O cenário de cibersegurança continua a apresentar desafios significativos, com a descoberta de mais de 1.350 servidores de comando e controle (C2) no Oriente Médio, representando 96,8% das atividades maliciosas na região. A Saudi Telecom Company (STC) é responsável por 72,4% dessa infraestrutura. Além disso, uma falha crítica de escalonamento de privilégios no Azure Backup da Microsoft foi corrigida, permitindo que usuários com permissões mínimas obtivessem acesso total a clusters AKS. Um cidadão romeno foi condenado a 56 meses de prisão por ataques cibernéticos nos EUA, destacando a gravidade das ameaças. A CISA adicionou um ataque à cadeia de suprimentos do software DAEMON Tools ao seu catálogo de vulnerabilidades exploradas, exigindo ações corretivas imediatas. A Apple, por sua vez, lançou implementações de criptografia pós-quântica, enquanto o grupo Silent Ransom Group tem atacado escritórios de advocacia nos EUA, utilizando engenharia social para roubar dados sensíveis. Por fim, campanhas de phishing estão em alta, com a distribuição de malware através de instaladores falsos e e-mails enganosos.

Campanhas de trojans bancários visam América Latina e Europa

Recentes investigações da WatchGuard e ESET revelaram que duas campanhas de malware, Grandoreiro e BTMOB, estão atacando dispositivos Windows e Android na América Latina e Europa. O Grandoreiro, ativo desde 2016, utiliza a técnica de DLL Side-Loading para infectar sistemas, visando bancos em Portugal e expandindo suas operações apesar de esforços de desmantelamento por autoridades brasileiras. O malware é distribuído principalmente por e-mails de phishing, que induzem os usuários a clicar em links maliciosos. A campanha também incorpora verificações de CAPTCHA para dificultar a análise. Por outro lado, o BTMOB, um trojan de acesso remoto para Android, permite que atacantes desbloqueiem dispositivos, capturem telas e roubem credenciais. Este malware é vendido como um serviço, permitindo que até mesmo usuários sem habilidades de programação criem novas campanhas rapidamente. Ambos os malwares representam um risco significativo, especialmente com a crescente sofisticação das técnicas de ataque, tornando a detecção mais difícil. As empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações financeiras.

FBI alerta sobre grupo de extorsão que ataca escritórios de advocacia nos EUA

O FBI emitiu um alerta sobre o Silent Ransom Group (SRG), uma gangue de extorsão que está atacando escritórios de advocacia nos Estados Unidos por meio de furtos de dados presenciais. Desde a primavera de 2026, os membros do SRG utilizam engenharia social para se passarem por funcionários do departamento de TI das vítimas, fazendo chamadas telefônicas ou enviando e-mails de phishing. Durante as interações, eles convencem os funcionários a conceder acesso remoto aos seus computadores. Se essa abordagem falhar, o grupo envia um agente ao local da vítima para conectar dispositivos de armazenamento, como pen drives, diretamente ao computador. O FBI identificou a instalação não autorizada de dispositivos externos e a presença de indivíduos não identificados como sinais de um ataque do SRG. Os dados roubados são usados para extorquir as vítimas, que recebem e-mails de resgate ameaçando a venda ou divulgação das informações. O SRG, também conhecido como Luna Moth e Chatty Spider, tem estado ativo desde 2022 e tem como alvo organizações legais e financeiras. Este alerta segue um aviso anterior do FBI sobre ataques de phishing e engenharia social direcionados a escritórios de advocacia nos EUA.

FBI alerta sobre nova ameaça que rouba contas da Microsoft sem senha

O FBI emitiu um alerta sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) que visa usuários do Microsoft 365. Identificada em abril de 2026, essa nova técnica não requer que as vítimas forneçam suas senhas, mas sim que autorizem o acesso dos cibercriminosos a suas contas. O ataque utiliza um mecanismo legítimo de autenticação da Microsoft, o OAuth, onde a vítima recebe um e-mail que simula ser de um serviço confiável, solicitando que insira um código em uma página legítima da Microsoft. Ao fazer isso, o usuário inadvertidamente concede acesso ao atacante, que pode então capturar tokens de acesso e explorar serviços como Outlook, OneDrive e Teams. O Kali365 é oferecido como um serviço por assinatura no Telegram, com recursos que incluem modelos de campanha automatizados e monitoramento em tempo real das vítimas. Para se proteger, especialistas recomendam não compartilhar códigos de autenticação não solicitados e reportar e-mails suspeitos. Empresas devem restringir o fluxo de autenticação e treinar suas equipes sobre esses tipos de ataques.

Hackers abandonam senhas roubadas com ataques impulsionados por IA

Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

Milhões enganados por telas de bloqueio falsas em navegador

Desde o início de 2026, uma nova onda de fraudes digitais, conhecida como CypherLoc, tem enganado milhões de usuários na internet. Pesquisadores de segurança da Barracuda alertaram que cerca de 2,8 milhões de pessoas foram alvo dessa campanha, que utiliza e-mails de phishing e manipulação psicológica para induzir os usuários a acreditar que seus navegadores estão completamente bloqueados. Ao clicar em links maliciosos ou anexos infectados, as vítimas são redirecionadas para páginas que parecem inofensivas, mas que na verdade são armadilhas. Uma vez ativado, o ataque transforma o navegador em uma ‘prisão digital’, desativando menus e ocultando o cursor, enquanto exibe mensagens alarmantes de segurança. Um número de suporte falso aparece como a única solução, levando os usuários a fornecer informações sensíveis a golpistas que se passam por funcionários de suporte técnico. Para se proteger, os usuários devem ser cautelosos com e-mails desconhecidos, evitar clicar em links suspeitos e instalar softwares antivírus confiáveis. Alertas de segurança legítimos nunca bloqueiam navegadores ou exigem ações imediatas através de janelas pop-up.

FBI alerta sobre plataforma de phishing Kali365 que compromete contas Microsoft 365

O FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing-as-a-service (PhaaS) que visa contas Microsoft 365. Essa plataforma, que surgiu em abril de 2026, utiliza a autenticação via código de dispositivo OAuth para roubar tokens de sessão e contornar a autenticação multifator (MFA). Kali365 é distribuída por canais do Telegram e permite que até mesmo atacantes com pouca habilidade comprometam contas sem precisar roubar senhas ou interceptar códigos MFA. O método de phishing por código de dispositivo explora um fluxo legítimo de autorização do OAuth 2.0, permitindo que dispositivos com capacidades limitadas se autentiquem por meio de um código gerado. Os atacantes induzem as vítimas a inserir esse código na página de login da Microsoft, obtendo acesso total às contas após a conclusão da MFA. O FBI recomenda que as empresas restrinjam ou bloqueiem esses fluxos de autenticação e auditem seu uso. A plataforma Kali365 também oferece funcionalidades avançadas, como iscas de phishing geradas por IA e painéis de rastreamento em tempo real. A adoção generalizada desse método de phishing representa uma ameaça crescente, com outros grupos cibernéticos, como EvilTokens e Tycoon2FA, também explorando essa técnica.

Grupo Ghostwriter usa phishing para atacar governo da Ucrânia

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Evolução das operações de roubo de criptomoedas Drainer-as-a-Service

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

Plataforma de phishing compromete 340 organizações do Microsoft 365

Em fevereiro de 2026, uma plataforma de phishing chamada EvilTokens foi lançada, comprometendo mais de 340 organizações que utilizam Microsoft 365 em cinco países em apenas cinco semanas. O ataque, conhecido como consent phishing, ocorre quando os usuários são induzidos a inserir um código em um site legítimo, acreditando que estão completando um desafio de autenticação multifatorial (MFA). Na verdade, eles entregam um token de atualização válido, que permite acesso a suas caixas de entrada, calendários e contatos, sem que o atacante precise de uma senha ou que um alerta de MFA seja acionado.

Detecção Precoce de Phishing A Chave para a Segurança Empresarial

O phishing se tornou uma ameaça crescente para as empresas, especialmente devido à sua capacidade de se disfarçar como comunicações legítimas. Um único clique em um e-mail malicioso pode resultar em exposição de identidade, acesso remoto e comprometimento de dados. A detecção precoce de phishing é crucial para mitigar esses riscos, permitindo que as equipes de segurança cibernética (SOCs) respondam rapidamente a incidentes. O uso de sandboxes interativas é uma estratégia eficaz para analisar e validar o comportamento de links suspeitos, revelando a verdadeira natureza das ameaças. Além disso, a contextualização das ameaças permite que as equipes compreendam se um ataque é isolado ou parte de uma campanha mais ampla, facilitando a priorização das respostas. A integração de inteligência de ameaças em ferramentas de segurança existentes é fundamental para detectar e bloquear atividades relacionadas, reduzindo a exposição operacional. Com a crescente sofisticação dos ataques de phishing, é essencial que as empresas adotem essas práticas para proteger suas operações e dados.

Mais de 200 presos em operação da INTERPOL contra cibercrime

Durante a Operação Ramz, a INTERPOL prendeu mais de 200 indivíduos envolvidos em atividades de cibercrime no Oriente Médio e Norte da África. A operação, que abrangeu 13 países, resultou na identificação de 382 suspeitos e na apreensão de 53 servidores utilizados para phishing, malware e fraudes online, afetando pelo menos 3.867 vítimas confirmadas. A INTERPOL destacou que a operação visou neutralizar ameaças de phishing e malware, além de combater fraudes cibernéticas que causam danos significativos à região. Entre as ações realizadas, destaca-se a desarticulação de uma operação de golpe de investimento na Jordânia e o fechamento de uma plataforma de phishing na Argélia. A INTERPOL colaborou com empresas de cibersegurança, como Kaspersky e Group-IB, para rastrear a infraestrutura maliciosa. Esta é a terceira grande operação contra cibercrime realizada pela INTERPOL em 2023, refletindo um aumento na atividade criminosa online e a necessidade de ações coordenadas entre países e setores privados.