Phishing

A fraude financeira, impulsionada por tecnologias de inteligência artificial (IA), se tornou uma atividade global de alto volume, com perdas estimadas em mais de $400 bilhões em um único ano. Um relatório da Vyntra de 2026 revela que quase dois terços das fraudes são bem-sucedidas no primeiro dia de contato, o que dificulta a intervenção. A IA generativa tem acelerado a criação de campanhas de phishing, reduzindo o tempo necessário para montá-las de mais de 16 horas para menos de 5 minutos. Isso permite que milhares de interações personalizadas ocorram simultaneamente, aumentando tanto o alcance quanto as taxas de sucesso. As fraudes incluem impersonificação de executivos, invasões de contas via phishing e golpes de recrutamento, frequentemente utilizando conteúdo gerado por IA. A combinação de clonagem de voz, vídeos deepfake e credenciais falsificadas fortalece a credibilidade das operações fraudulentas. Além disso, as fraudes de pagamento por transferência autorizada estão crescendo, pois as vítimas iniciam transferências sob condições manipuladas, tornando a detecção mais difícil. A integração da IA nesses esquemas não cria o problema, mas aumenta a eficiência e a escala, complicando os esforços de aplicação da lei. Instituições financeiras estão tentando responder com análises comportamentais e monitoramento em tempo real, mas a necessidade de compartilhamento de inteligência entre fronteiras se torna cada vez mais evidente.

Uma nova campanha de cibersegurança está atacando desenvolvedores no GitHub, utilizando alertas falsos de segurança do Visual Studio Code (VS Code) para induzir usuários a baixar malware. Os posts, que aparecem na seção de Discussões de vários projetos, são elaborados como avisos de vulnerabilidade e apresentam títulos alarmantes, como “Vulnerabilidade Severa - Atualização Imediata Necessária”, frequentemente incluindo IDs de CVE falsos. Os atacantes se passam por mantenedores de código reais, criando uma falsa sensação de legitimidade. A empresa de segurança Socket identificou que essa atividade é parte de uma operação bem organizada, com posts automatizados de contas recém-criadas ou com pouca atividade, que geram notificações por e-mail para um grande número de usuários. Os links nos alertas direcionam para versões supostamente corrigidas de extensões do VS Code, hospedadas em serviços externos como o Google Drive, o que pode enganar os usuários apressados. Ao clicar, os usuários são redirecionados para um site que coleta informações sobre o sistema da vítima. Este incidente destaca a necessidade de cautela ao lidar com alertas de segurança e a importância de verificar a legitimidade das fontes antes de agir.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

A Polícia Nacional da Holanda (Politie) confirmou um incidente de segurança resultante de um ataque de phishing, que teve impacto limitado e não afetou os dados dos cidadãos. O Centro de Operações de Segurança da polícia detectou rapidamente o ataque e bloqueou o acesso dos invasores aos sistemas comprometidos. Embora a investigação sobre o impacto continue, a polícia assegurou que dados de cidadãos e informações de investigações não foram expostos ou acessados. O incidente está sendo investigado por especialistas em segurança da agência, e uma investigação criminal foi iniciada. Detalhes sobre a data da detecção do ataque e se dados de funcionários foram comprometidos ainda não foram divulgados. Este ataque ocorre em um contexto de crescente preocupação com a segurança cibernética, especialmente após um vazamento de dados em setembro de 2024, que envolveu informações de contato de policiais, atribuído a um ‘ator estatal’. Após o incidente, a polícia implementou medidas de segurança mais rigorosas, incluindo a autenticação de dois fatores para o acesso a contas. O ataque ressalta a necessidade de vigilância contínua e a implementação de práticas de segurança robustas para proteger informações sensíveis.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.

Criminosos estão explorando a credibilidade do portal gov.br para disseminar malware que captura senhas e dados bancários. Segundo Rodolfo Almeida, cofundador da ViperX, o ataque se diferencia dos golpes tradicionais, pois induz a vítima a baixar um arquivo malicioso em vez de coletar dados por meio de formulários falsos. O golpe começa com um link enviado via SMS, WhatsApp ou e-mail, que redireciona para uma página idêntica ao gov.br, onde a vítima é instruída a baixar um arquivo. Uma vez executado, o malware, conhecido como ‘infostealer’, se camufla em aplicativos legítimos do Windows e opera em segundo plano, registrando digitações e capturando telas. A eficácia desse golpe está ligada à confiança que o público deposita nas instituições governamentais, aumentando a taxa de conversão do ataque. Para se proteger, Almeida recomenda verificar o endereço do link, desconfiar de downloads, ativar a autenticação em dois fatores e manter sistemas atualizados. Caso alguém suspeite de infecção, deve encerrar sessões abertas e notificar o banco imediatamente.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Pesquisadores da Kaspersky identificaram uma nova técnica de phishing que utiliza a plataforma de criação de aplicativos sem código, Bubble, para gerar e hospedar aplicativos maliciosos. Esses aplicativos são hospedados em um domínio legítimo (*.bubble.io), o que dificulta a detecção por soluções de segurança de e-mail. Os criminosos cibernéticos redirecionam os usuários para páginas de phishing que imitam portais de login da Microsoft, frequentemente ocultas por verificações do Cloudflare. As credenciais inseridas nessas páginas falsas são capturadas pelos atacantes, que podem acessar dados sensíveis de contas do Microsoft 365. A plataforma Bubble, que permite a criação de aplicativos por meio de uma interface intuitiva, gera códigos complexos que não são facilmente analisados por ferramentas automatizadas de segurança. Os pesquisadores alertam que essa técnica pode ser adotada por plataformas de phishing como serviço (PhaaS), aumentando a furtividade dos ataques. A Kaspersky entrou em contato com a Bubble para discutir as descobertas, mas não obteve resposta até o momento da publicação.

O phishing por voz, conhecido como vishing, está se tornando uma tática cada vez mais comum entre os criminosos digitais. De acordo com o relatório M-Trends da Mandiant, subsidiária de cibersegurança do Google, o vishing foi responsável por 11% dos ataques digitais em 2025, tornando-se o segundo método mais utilizado para obter acesso ilegal a sistemas. Em contraste, os golpes por e-mail, que tradicionalmente dominaram o cenário de phishing, caíram para apenas 6% dos casos.

Ferramentas de Inteligência Artificial (IA) estão se tornando parte integrante do cotidiano, sendo amplamente utilizadas em criação de conteúdo, desenvolvimento de software e fluxos de trabalho empresariais. No entanto, essa popularidade também atraiu a atenção de cibercriminosos, que estão explorando um mercado negro crescente para a venda de acessos a plataformas de IA. Pesquisas indicam que contas premium estão sendo revendidas em grupos do Telegram, com métodos de aquisição que incluem roubo de credenciais, criação em massa de contas e abuso de programas promocionais. O acesso a essas ferramentas permite que atores maliciosos automatizem fraudes, criem mensagens de phishing e realizem campanhas de engenharia social de forma mais eficiente. A análise sugere que a venda de contas de IA se tornou um produto valioso no mercado negro, com ofertas que prometem acesso ilimitado ou menos restrições. Para as organizações, isso representa um risco significativo, pois a exploração dessas ferramentas pode resultar em fraudes mais sofisticadas e personalizadas. A necessidade de monitoramento e proteção de contas de IA é mais urgente do que nunca, à medida que a dependência dessas tecnologias cresce.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

Um novo ataque de malvertising, focado na temporada de declaração de impostos nos Estados Unidos, está sendo utilizado por hackers para disseminar ransomware. Especialistas da Huntress alertam que, com a proximidade do prazo de 15 de abril, muitos usuários apressam-se em buscar formulários fiscais, o que os torna vulneráveis a sites falsos promovidos por anúncios do Google. Esses sites maliciosos instalam o ScreenConnect, uma ferramenta legítima de acesso remoto, que é utilizada para fins maliciosos. Antes de ativar essa ferramenta, os atacantes instalam um driver de kernel que desativa as proteções de segurança, como o Windows Defender. A campanha não se limita apenas a iscas relacionadas a impostos; também foram identificadas páginas falsas de atualização do Chrome, sugerindo um arsenal de engenharia social mais amplo. O ataque parece ser uma fase inicial de uma campanha mais complexa, onde os criminosos buscam estabelecer uma base e coletar credenciais, possivelmente preparando o terreno para a implementação de ransomware.

Uma nova campanha de phishing está atacando ambientes corporativos francófonos, utilizando currículos falsos para implantar mineradores de criptomoedas e ferramentas de roubo de informações. Os pesquisadores da Securonix, Shikha Sangwan, Akshay Gaikwad e Aaron Beardslee, relataram que a campanha, chamada FAUX#ELEVATE, utiliza arquivos VBScript altamente ofuscados disfarçados como documentos de currículos, entregues por meio de e-mails de phishing. Ao serem executados, esses arquivos ativam um kit de ferramentas multifuncional que combina roubo de credenciais, exfiltração de dados e mineração de criptomoedas Monero. A campanha se destaca pelo uso de serviços legítimos, como Dropbox e sites WordPress, para hospedar e distribuir os payloads. O dropper inicial mostra uma mensagem de erro em francês, enganando os usuários e executando um código ofuscado que contorna mecanismos de defesa. Após obter privilégios administrativos, o malware desativa controles de segurança e realiza a exfiltração de dados através de contas de e-mail comprometidas. A rapidez da execução, que leva apenas 25 segundos do início ao fim da cadeia de infecção, e o foco em máquinas corporativas tornam essa ameaça particularmente perigosa para a segurança das empresas.

A plataforma de bug bounty HackerOne notificou centenas de funcionários sobre o roubo de seus dados após um ataque cibernético à Navia, uma administradora de benefícios nos EUA. O incidente expôs informações sensíveis de 287 funcionários, incluindo números de Seguro Social, nomes completos, endereços, números de telefone, datas de nascimento e detalhes de planos de benefícios. A vulnerabilidade que permitiu o acesso não autorizado foi identificada como uma falha de autorização de nível de objeto quebrada (BOLA), que permitiu que um ator desconhecido acessasse os dados entre 22 de dezembro de 2025 e 15 de janeiro de 2026. A Navia tomou conhecimento da atividade suspeita em 23 de janeiro de 2026 e notificou as empresas afetadas em cartas datadas de 20 de fevereiro de 2026. Embora a Navia tenha afirmado que o incidente não afetou as reivindicações ou informações financeiras dos indivíduos impactados, os dados expostos são suficientes para que ataques de phishing e engenharia social sejam realizados. HackerOne aconselhou os funcionários afetados a monitorar suas contas financeiras e a considerar a alteração de senhas. Até o momento, nenhum grupo de cibercrime assumiu a responsabilidade pelo ataque.

Pesquisadores de cibersegurança descobriram uma nova campanha maliciosa, chamada Ghost, que utiliza pacotes npm para roubar carteiras de criptomoedas e dados sensíveis. Os pacotes, publicados por um usuário identificado como ‘mikilanjillo’, incluem nomes como ‘react-performance-suite’ e ‘coinbase-desktop-sdk’. Esses pacotes enganam os usuários ao solicitar a senha sudo durante a instalação, enquanto ocultam suas verdadeiras intenções. O processo de instalação é disfarçado com logs falsos e atrasos aleatórios, criando a ilusão de que a instalação está em andamento. Ao inserir a senha, o malware é ativado, permitindo o download de um trojan de acesso remoto que coleta dados e aguarda instruções de um servidor externo. A campanha Ghost apresenta semelhanças com outra atividade chamada GhostClaw, que também utiliza repositórios do GitHub para disseminar malware, disfarçado como ferramentas legítimas. Ambas as campanhas destacam uma nova abordagem dos atacantes, que exploram ecossistemas confiáveis para introduzir código malicioso. A situação é preocupante, pois pode impactar desenvolvedores e empresas que utilizam essas bibliotecas, especialmente no Brasil, onde o uso de tecnologias como Node.js e npm é comum.

A plataforma de phishing Tycoon2FA, que foi desmantelada em uma operação coordenada pela Europol e Microsoft em 4 de março de 2026, já voltou a operar em níveis normais. A ação resultou na apreensão de 330 domínios que faziam parte da infraestrutura da plataforma, incluindo painéis de controle e páginas de phishing. Apesar da interrupção inicial, a CrowdStrike observou que a atividade da Tycoon2FA retornou rapidamente aos níveis anteriores, com um aumento significativo na quantidade de e-mails de phishing enviados. A plataforma, que se especializa em atacar contas do Microsoft 365 e Gmail, utiliza técnicas de adversário no meio (adversary-in-the-middle) para contornar a autenticação de dois fatores (2FA). Desde sua primeira documentação há dois anos, a Tycoon2FA tem se mostrado um ator significativo no cenário de phishing, gerando cerca de 30 milhões de e-mails de phishing por mês. A operação policial não foi suficiente para desmantelar completamente a infraestrutura, e novas páginas de phishing foram rapidamente registradas. A CrowdStrike alerta que, sem prisões ou apreensões físicas, os cibercriminosos conseguem se recuperar facilmente, mantendo a demanda por serviços de phishing.

A Mazda Motor Corporation, uma das maiores montadoras do Japão, revelou que informações de seus funcionários e parceiros de negócios foram expostas em um incidente de segurança detectado em dezembro. Os atacantes exploraram uma vulnerabilidade em um sistema de gerenciamento de armazém relacionado a peças adquiridas da Tailândia. Embora a empresa tenha afirmado que não houve dados de clientes envolvidos e que a violação se limitou a 692 registros, os dados expostos incluem endereços de e-mail, nomes de empresas e IDs de parceiros comerciais. A Mazda notificou a Comissão de Proteção de Informações Pessoais do Japão e implementou medidas de segurança adicionais, como redução da exposição à internet e monitoramento intensificado de atividades suspeitas. Apesar de não ter detectado uso indevido das informações, a empresa alertou os indivíduos afetados para que permaneçam vigilantes contra ataques de phishing. Até o momento, nenhum grupo de ransomware reivindicou publicamente a responsabilidade pelo ataque, embora o grupo Clop tenha listado a Mazda em seu site de vazamentos em 2025, alegando ter comprometido a montadora e sua subsidiária nos EUA.

A Microsoft emitiu um alerta sobre novas campanhas de phishing que estão explorando a temporada de impostos nos Estados Unidos para roubar credenciais e disseminar malware. Os ataques se disfarçam como notificações de reembolso, formulários de folha de pagamento e lembretes de declaração, visando tanto indivíduos quanto profissionais contábeis que lidam com dados financeiros sensíveis. As campanhas utilizam plataformas de Phishing-as-a-Service (PhaaS) para criar páginas falsas que imitam o login do Microsoft 365, além de empregar QR codes e links maliciosos. Uma campanha em larga escala afetou mais de 29.000 usuários em 10.000 organizações, com 95% dos alvos localizados nos EUA. Os e-mails fraudulentos, que se passavam pelo IRS, instruíam os destinatários a baixar um suposto ‘Visualizador de Transcrições do IRS’, levando a um site malicioso que instalava ferramentas de acesso remoto como ScreenConnect. Para se proteger, as organizações devem implementar autenticação de dois fatores (2FA), monitorar e escanear e-mails recebidos e bloquear acessos a domínios maliciosos.

Nos últimos meses, um novo golpe de phishing tem se espalhado, utilizando alertas do Microsoft Azure Monitor para enganar usuários. Esses alertas, que normalmente são usados para monitorar recursos e atividades na nuvem, estão sendo manipulados por criminosos para enviar e-mails fraudulentos que se passam por notificações de segurança da Microsoft. Os e-mails alertam sobre cobranças suspeitas na conta do usuário, incentivando-o a ligar para um número de telefone fornecido. Os golpistas utilizam o endereço de e-mail legítimo azure-noreply@microsoft.com, o que permite que suas mensagens passem por verificações de segurança como SPF, DKIM e DMARC, tornando-as ainda mais convincentes. Os alertas são configurados para serem disparados por condições facilmente acionáveis, como novos pedidos ou pagamentos, e são enviados a uma lista de contatos controlada pelos atacantes. Essa abordagem não só aumenta a credibilidade dos e-mails, mas também cria um senso de urgência, levando os usuários a agir rapidamente. É fundamental que os usuários tratem qualquer alerta do Azure ou da Microsoft que inclua um número de telefone ou solicitação urgente com cautela, pois isso pode levar a roubo de credenciais ou fraudes financeiras.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e o FBI alertaram sobre campanhas de phishing conduzidas por atores associados aos serviços de inteligência da Rússia. Essas campanhas têm como alvo aplicativos de mensagens comerciais (CMAs) como WhatsApp e Signal, visando indivíduos de alto valor de inteligência, incluindo oficiais do governo dos EUA, militares, figuras políticas e jornalistas. Os ataques resultaram no comprometimento de milhares de contas, permitindo que os invasores visualizassem mensagens, listas de contatos e enviassem mensagens em nome das vítimas. Importante ressaltar que os ataques não exploram vulnerabilidades de segurança, mas sim utilizam engenharia social para enganar as vítimas a fornecerem códigos de verificação ou a clicarem em links maliciosos. A C4, centro de coordenação de crises cibernéticas da França, também emitiu um alerta sobre o aumento dessas campanhas. Para se proteger, os usuários devem evitar compartilhar códigos de verificação e ter cautela ao receber mensagens inesperadas. A Signal enfatizou que nunca solicitará códigos de verificação por mensagens diretas ou redes sociais, alertando que qualquer solicitação desse tipo é uma fraude.

O FBI emitiu um alerta público informando que atores de ameaças ligados à inteligência russa estão atacando usuários de aplicativos de mensagens criptografadas, como Signal e WhatsApp, por meio de campanhas de phishing que já comprometeram milhares de contas. Este é o primeiro reconhecimento público que vincula essas campanhas diretamente aos serviços de inteligência da Rússia. Os ataques visam contornar as proteções da criptografia de ponta a ponta não quebrando a criptografia, mas sim por meio de sequestros de contas. Os atacantes podem acessar mensagens privadas, listas de contatos e até se passar pelas vítimas para lançar novas campanhas de phishing. O FBI destaca que os alvos principais incluem indivíduos com acesso a informações sensíveis, como funcionários do governo dos EUA, militares, figuras políticas e jornalistas. As autoridades de cibersegurança da França e da Holanda também emitiram alertas semelhantes, enfatizando que os ataques são amplos e em andamento em vários países. Os usuários são aconselhados a desconfiar de mensagens inesperadas e a nunca compartilhar códigos de verificação ou escanear QR codes suspeitos.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

A Navia Benefit Solutions, Inc. (Navia) anunciou que cerca de 2,7 milhões de indivíduos foram impactados por uma violação de dados que expôs informações sensíveis a atacantes. A investigação revelou que os hackers tiveram acesso aos sistemas da empresa entre 22 de dezembro de 2025 e 15 de janeiro de 2026, com a atividade suspeita sendo detectada em 23 de janeiro. A empresa, que fornece serviços de administração de benefícios a mais de 10.000 empregadores nos EUA, confirmou que dados como data de nascimento, número de Seguro Social, telefone, e-mail e informações sobre contas de gastos flexíveis (FSA) e reembolso de saúde (HRA) foram acessados. Embora não tenham sido expostos dados financeiros ou de reivindicações, as informações vazadas são suficientes para que os criminosos realizem ataques de phishing e engenharia social. A Navia está revisando suas políticas de segurança e retenção de dados e notificou as autoridades federais. Os clientes afetados receberão um serviço gratuito de proteção de identidade e monitoramento de crédito por 12 meses. Até o momento, nenhum grupo de ransomware reivindicou a violação.

A NordVPN lançou uma nova ferramenta gratuita de verificação de fraudes online, que utiliza inteligência artificial para detectar mensagens e imagens falsas em tempo quase real. A ferramenta é acessível a todos, sem necessidade de assinatura, permitindo que até mesmo usuários menos experientes, como idosos, possam se proteger contra tentativas de phishing e fraudes. O funcionamento é simples: o usuário pode colar uma mensagem ou fazer upload de uma captura de tela para receber um veredicto em segundos. A ferramenta analisa textos e imagens em busca de links, números de telefone e endereços de e-mail suspeitos, identificando padrões comuns em fraudes. Com o aumento das fraudes online, que resultaram em perdas de US$ 442 bilhões no último ano, a NordVPN reafirma seu compromisso em proteger os usuários. Além dessa nova funcionalidade, a empresa já oferece outras ferramentas de segurança, como proteção contra chamadas fraudulentas e monitoramento da dark web. Essa iniciativa é um passo importante na luta contra o cibercrime e visa aumentar a conscientização sobre os riscos online.

A empresa de segurança digital Aura confirmou um vazamento de dados que expôs cerca de 900 mil registros de clientes após um ataque de phishing realizado por telefone. O incidente ocorreu quando um funcionário da empresa foi alvo de um golpe, permitindo que o invasor acessasse sua conta por aproximadamente uma hora. Durante esse período, foram extraídos dados de clientes ativos e antigos, incluindo nomes e endereços de e-mail, mas informações sensíveis como números de Seguro Social e dados financeiros não foram comprometidos. A Aura informou que os dados foram retirados de uma ferramenta de marketing adquirida em 2021 e que suas medidas de segurança, como criptografia e acesso restrito, funcionaram conforme o esperado. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque e adicionou a Aura ao seu site de extorsão, alegando ter obtido 12 GB de informações pessoais identificáveis. A empresa está notificando os clientes afetados e não espera que o ataque se agrave.

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

O boletim ThreatsDay desta semana destaca uma série de ameaças emergentes em cibersegurança, com foco em operações de Ransomware-as-a-Service (RaaS) e campanhas de phishing. O grupo ‘The Gentlemen’ utiliza uma vulnerabilidade crítica (CVE-2024-55591) em dispositivos FortiGate para realizar ataques, mantendo um banco de dados com 14.700 dispositivos comprometidos. Além disso, falhas no BMC FootPrints podem permitir execução remota de código, enquanto o malware SnappyClient, entregue pelo Hijack Loader, é projetado para roubo de dados e evasão de segurança. Outra técnica emergente, chamada CursorJack, explora links profundos para execução de comandos maliciosos. A campanha de phishing via Microsoft Teams tem aumentado, com atacantes se passando por equipes de TI para obter acesso remoto. A situação é preocupante, pois a exploração de falhas conhecidas em plataformas amplamente utilizadas, como Citrix, e o uso de engenharia social em ferramentas de comunicação, revelam a necessidade urgente de medidas de segurança mais robustas.

Pesquisadores da Cofense identificaram uma nova tática de phishing que utiliza o software de suporte LiveChat para imitar marcas reconhecidas como Amazon e PayPal. O golpe começa com e-mails fraudulentos que simulam comunicações legítimas, como notificações de reembolso ou pedidos pendentes. Esses e-mails contêm links que direcionam as vítimas a uma página falsa de atendimento ao cliente, onde os golpistas, muitas vezes se passando por chatbots, solicitam informações sensíveis, como dados de cartões de crédito e códigos de autenticação de dois fatores. A utilização de um software legítimo confere maior credibilidade ao golpe, embora erros gramaticais nas mensagens possam indicar que um humano está por trás da fraude. O relatório destaca que essa abordagem combina engenharia social e roubo de identidade, representando uma evolução nas técnicas de cibercrime. A análise humana e a desconfiança continuam sendo as melhores defesas contra esses ataques.

Pesquisadores da empresa de cibersegurança Group-IB emitiram um alerta sobre o aumento de fraudes relacionadas a falsos rastreios de encomendas online, especialmente utilizando o nome dos Correios. No último ano, mais de 100 campanhas maliciosas foram identificadas, com um pico de atividades entre junho e dezembro de 2025. Os golpistas enviam mensagens de phishing via SMS, alegando problemas na entrega e solicitando que as vítimas cliquem em links que levam a páginas falsas. Essas páginas pedem informações pessoais e financeiras, permitindo que os criminosos roubem dados sensíveis. Os especialistas notaram que muitos dos sites de phishing utilizados possuem características semelhantes a uma plataforma de Phishing como Serviço (PhaaS) de origem chinesa chamada Darcula. O descarte inadequado de etiquetas de encomendas também é uma porta de entrada para esses golpes, ressaltando a necessidade de cuidados redobrados ao rastrear encomendas.

A empresa de proteção de identidade Aura revelou que um ataque de phishing por voz resultou no acesso não autorizado a quase 900 mil registros de clientes, incluindo nomes e endereços de e-mail. O incidente afetou 20 mil clientes atuais e 15 mil ex-clientes, com dados provenientes de uma ferramenta de marketing adquirida pela Aura em 2021. Embora informações sensíveis como números de Seguro Social e dados financeiros não tenham sido comprometidos, o ataque foi reivindicado pelo grupo ShinyHunters, que alegou ter roubado 12GB de arquivos contendo informações pessoais identificáveis (PII) e dados corporativos. A Aura está colaborando com especialistas em cibersegurança e autoridades legais para investigar o incidente e notificará os indivíduos afetados. A análise do serviço Have I Been Pwned (HIBP) indicou que 90% dos e-mails expostos já estavam em sua base de dados devido a incidentes anteriores. A discrepância entre o número de contas afetadas reportadas pela Aura e pelo HIBP foi explicada pela herança de dados da empresa adquirida, que continha apenas 35 mil clientes da Aura.

Nos anos 2000, a presença de um cadeado ao lado da barra de endereços era um sinal de segurança na internet, indicando que o site utilizava criptografia SSL/TLS. No entanto, essa percepção está desatualizada, pois mais de 80% dos sites de phishing também exibem esse símbolo. O cadeado apenas garante que a conexão entre o usuário e o servidor é criptografada, mas não assegura que o site é legítimo. Cibercriminosos têm explorado essa confiança, utilizando certificados SSL obtidos rapidamente por meio de autoridades certificadoras gratuitas como o Let’s Encrypt. Técnicas como spoofing e typosquatting permitem que hackers criem cópias quase idênticas de sites oficiais, enganando os usuários. Para se proteger, é essencial verificar o endereço do site em busca de erros sutis, clicar no cadeado para conferir os detalhes do certificado e evitar links suspeitos, especialmente aqueles que criam um senso de urgência. A segurança digital requer uma abordagem mais crítica, onde o cadeado é apenas o primeiro passo para garantir a proteção online.

O golpe do CAPTCHA falso é uma técnica de engenharia social que visa enganar usuários na internet, fazendo-os acreditar que estão interagindo com um sistema legítimo de verificação. Este tipo de golpe se aproveita da familiaridade dos internautas com CAPTCHAs, que são usados para confirmar que o usuário não é um robô. Os criminosos criam uma interface que imita provedores conhecidos, como Cloudflare e reCAPTCHA, e induzem as vítimas a realizar ações perigosas, como baixar malware ou fornecer informações pessoais. Os sinais de alerta incluem CAPTCHAs que solicitam ações incomuns, como abrir janelas do sistema ou instalar extensões desconhecidas. Para se proteger, os usuários devem desconectar-se da internet imediatamente após suspeitar de um golpe, rodar verificações de segurança e alterar senhas em dispositivos limpos. A conscientização sobre esses golpes é crucial, pois a engenharia social é uma das táticas mais eficazes utilizadas por cibercriminosos.

O FBI emitiu um alerta sobre uma nova onda de ataques de phishing onde criminosos se passam por funcionários públicos dos EUA, visando empresas e indivíduos que solicitam permissões de planejamento e zoneamento. Os golpistas utilizam informações disponíveis publicamente para tornar suas mensagens mais convincentes, aumentando a probabilidade de sucesso. As vítimas recebem e-mails não solicitados que mencionam detalhes específicos de suas permissões, como números de aplicação e endereços de propriedades, solicitando o pagamento de taxas associadas. Os pagamentos são direcionados para transferências bancárias, pagamentos entre pares ou criptomoedas. O FBI recomenda que os destinatários verifiquem a legitimidade dos e-mails, conferindo o domínio e o endereço de e-mail, além de contatar diretamente o governo local para confirmar quaisquer taxas pendentes. O alerta destaca a importância de estar atento a mensagens que utilizam domínios não governamentais e que pressionam por pagamentos rápidos. Este tipo de golpe não é novo, já que o FBI havia alertado anteriormente sobre ataques semelhantes, incluindo o uso de deepfakes de áudio para fraudes. O FBI aconselha que as vítimas relatem os incidentes ao Centro de Queixas de Crimes na Internet (IC3).

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e ações de combate a ameaças. Um dos principais destaques foi a desarticulação da operação Tycoon 2FA, uma das maiores operações de phishing do mundo, realizada por uma coalizão de empresas de segurança e agências de aplicação da lei. Essa ação visa reduzir o impacto das credenciais de autenticação multifatorial (MFA) comprometidas. Além disso, o LeakBase, um dos maiores fóruns de cibercriminosos, também foi desmantelado, embora a eficácia dessas ações seja frequentemente temporária, já que os criminosos tendem a migrar para novas plataformas.

O uso de anúncios patrocinados no Google, embora legítimo, também é uma porta de entrada para fraudes digitais. Cibercriminosos utilizam a plataforma Google Ads para exibir anúncios que imitam marcas conhecidas, levando usuários desavisados a clicar em links maliciosos. Essa prática, conhecida como ’typosquatting’, envolve a criação de URLs que se assemelham a endereços legítimos, mas que contêm erros sutis, como letras trocadas. Os hackers empregam técnicas como o ‘cloaking’ para enganar tanto os usuários quanto os mecanismos de busca, mostrando conteúdos diferentes para cada um. Para se proteger, é essencial que os usuários verifiquem a autenticidade dos links, evitem clicar em anúncios para serviços críticos e utilizem métodos como digitar diretamente a URL no navegador. O artigo destaca a importância de estar alerta a sinais de urgência em anúncios, que podem indicar tentativas de induzir ações precipitadas. Com a crescente sofisticação dos golpes online, a conscientização e a vigilância são fundamentais para evitar cair em armadilhas digitais.

O artigo aborda a crescente manipulação de Inteligências Artificiais (IAs) por cibercriminosos, destacando como técnicas de engenharia social evoluíram para enganar não apenas humanos, mas também máquinas. Modelos de linguagem como ChatGPT e Claude são explorados para descobrir vulnerabilidades, criar malwares e realizar ataques em larga escala. O conceito de ‘jailbreak linguístico’ é introduzido, onde hackers criam cenários fictícios para contornar as limitações das IAs e obter informações sigilosas. A manipulação de contexto é uma estratégia comum, onde os criminosos assumem identidades de autoridade para persuadir as IAs a relaxar suas defesas éticas. Essa abordagem não só facilita a criação de e-mails de phishing convincentes, mas também permite que indivíduos com pouco conhecimento técnico realizem ataques complexos. O artigo conclui que a cibersegurança do futuro exigirá uma combinação de habilidades técnicas, linguísticas e psicológicas para proteger sistemas contra essas novas ameaças.

A recente análise da Infoblox revelou que criminosos cibernéticos estão explorando o domínio especial .arpa e o DNS reverso IPv6 em campanhas de phishing. O domínio .arpa é reservado para infraestrutura da internet e é utilizado para consultas de DNS reverso, permitindo que sistemas mapeiem endereços IP de volta a nomes de host. Os atacantes, ao obterem controle sobre um bloco de endereços IPv6, conseguem criar registros DNS que redirecionam para sites de phishing, utilizando subdomínios gerados aleatoriamente que dificultam a detecção. Os e-mails de phishing frequentemente contêm iscas que prometem prêmios ou recompensas, levando as vítimas a clicar em imagens que, ao serem resolvidas, direcionam para servidores controlados pelos atacantes. Essa técnica se aproveita da reputação de provedores de DNS como Cloudflare, dificultando a identificação das infraestruturas maliciosas. Além disso, a natureza do domínio .arpa, que não contém informações típicas de domínios registrados, torna mais desafiador para ferramentas de segurança detectar essas ameaças. A campanha observada é dinâmica, com links de phishing que permanecem ativos por poucos dias, complicando investigações e respostas de segurança.

O Advogado Geral do Tribunal de Justiça da UE, Athanasios Rantos, emitiu uma opinião formal afirmando que os bancos devem reembolsar imediatamente os clientes afetados por transações não autorizadas, mesmo que a culpa seja do próprio cliente. A declaração foi feita em resposta a um caso de fraude de phishing envolvendo um cliente do banco PKO BP S.A. na Polônia. O cliente, ao tentar vender um item em uma plataforma de leilão, foi enganado por um golpista que enviou um link malicioso que imitava a interface de login do banco. Após inserir suas credenciais, o golpista realizou uma transação não autorizada. Apesar de o cliente ter reportado o incidente ao banco e à polícia, a instituição financeira se recusou a reembolsar o valor perdido, alegando negligência do cliente. Rantos destacou que, segundo a Diretiva de Serviços de Pagamento da UE (PSD2), os bancos não podem negar reembolsos a menos que tenham motivos razoáveis para suspeitar de fraude por parte do cliente. Contudo, se o banco provar que o cliente agiu com negligência grave ou intenção, poderá buscar a recuperação dos valores. Essa opinião ainda não é uma decisão final do CJEU, mas indica a possível direção que o tribunal pode tomar. A questão é relevante para a segurança financeira e a proteção dos consumidores na UE e pode ter implicações para os bancos brasileiros em casos semelhantes.

Os arquivos PDF, frequentemente considerados inofensivos, podem esconder perigos significativos, como malware e links maliciosos. Hackers utilizam PDFs para disseminar fraudes digitais, aproveitando a confiança que esses documentos transmitem. Entre as táticas comuns estão links camuflados que levam a páginas de phishing e JavaScript embutido que pode explorar vulnerabilidades do Adobe Reader. Para evitar cair em armadilhas, é crucial realizar o ’teste do mouse’, que consiste em passar o cursor sobre links para verificar a URL real. Ferramentas como VirusTotal e Dangerzone também são recomendadas para analisar a segurança de PDFs, permitindo detectar ameaças antes que causem danos. Caso um PDF suspeito chegue, é mais seguro abri-lo em navegadores como Google Chrome ou Microsoft Edge, que oferecem uma camada de proteção adicional. Sinais de alerta incluem solicitações de conexão com sites desconhecidos, PDFs que pedem a execução de scripts e mensagens de remetentes desconhecidos. A conscientização e a cautela são essenciais para proteger dados pessoais e corporativos contra fraudes digitais.

Um novo tipo de ataque cibernético tem explorado a ingenuidade dos funcionários, levando-os a infectar seus próprios computadores corporativos. Pesquisadores da Huntress relataram uma campanha em que atacantes provocam falhas em navegadores e, em seguida, se passam por suporte técnico para induzir os usuários a realizar ações que comprometem a segurança da rede. O ataque começa com mensagens de spam que geram confusão, seguidas por chamadas de indivíduos que se apresentam como membros da equipe de TI. Essa abordagem cria uma falsa urgência, levando os funcionários a permitir acesso remoto ou executar comandos prejudiciais. Os atacantes utilizam técnicas como o ‘DLL sideloading’ para ocultar o malware entre arquivos legítimos, permitindo que o código malicioso opere sem levantar suspeitas. O impacto pode ser significativo, com um caso documentado em que um invasor se espalhou para nove computadores em apenas 11 horas. Essa mudança de estratégia, que foca na manipulação do comportamento do usuário em vez de explorar vulnerabilidades técnicas, representa um desafio crescente para a segurança cibernética nas empresas.

Um novo relatório de Inteligência de Ameaças da Microsoft revela que grupos de ameaças estão cada vez mais utilizando ferramentas de inteligência artificial (IA) para potencializar suas operações cibernéticas. A IA está sendo empregada em diversas etapas de ataques, como reconhecimento, phishing, desenvolvimento de infraestrutura e criação de malware. Os atacantes utilizam modelos de linguagem para redigir e-mails de phishing, traduzir conteúdos, resumir dados roubados e até depurar códigos maliciosos. Exemplos incluem grupos da Coreia do Norte, como Jasper Sleet, que criam identidades digitais falsas para se infiltrar em empresas ocidentais. Além disso, a Microsoft observa que a IA está sendo usada para desenvolver malware que pode se adaptar em tempo real. A empresa alerta que, à medida que as técnicas de ataque evoluem, as organizações devem reforçar suas defesas, focando na detecção de usos anômalos de credenciais e na proteção de sistemas de IA que podem ser alvos futuros. O uso crescente de IA por cibercriminosos representa um risco significativo, exigindo atenção especial dos profissionais de segurança da informação.

A LastPass, renomada empresa de gerenciamento de senhas, emitiu um alerta sobre uma nova campanha de phishing que visa roubar credenciais de usuários. Os criminosos estão se passando por funcionários do suporte técnico, enviando e-mails que alegam haver atividades suspeitas nas contas dos usuários. Com um tom urgente, os golpistas incentivam as vítimas a clicarem em links que prometem alterar o endereço de e-mail da conta para evitar invasões. As mensagens incluem frases como ‘denunciar atividade suspeita’ e ‘desconectar e bloquear o cofre’, criando uma falsa sensação de urgência e segurança. Ao clicar nos links, os usuários são direcionados a páginas falsas de login hospedadas em domínios fraudulentos, como ‘verify-lastpass[.]com’, onde suas credenciais são coletadas. A LastPass garantiu que sua infraestrutura não foi comprometida e que nunca solicitará senhas diretamente aos usuários. A empresa também está trabalhando com parceiros para remover os sites fraudulentos. Este incidente destaca a importância da conscientização sobre segurança cibernética e a necessidade de verificar a autenticidade de comunicações recebidas.

Pesquisadores de cibersegurança revelaram detalhes sobre uma campanha de malware em múltiplas etapas, chamada VOID#GEIST, que utiliza scripts em lote para entregar trojans de acesso remoto (RATs) como XWorm, AsyncRAT e Xeno RAT. O ataque começa com um script em lote ofuscado que é baixado de um domínio TryCloudflare e distribuído via e-mails de phishing. Este script inicial evita a elevação de privilégios e utiliza os direitos do usuário logado para estabelecer uma presença inicial no sistema, disfarçando suas atividades como operações administrativas comuns.

O grupo de hackers conhecido como Transparent Tribe, alinhado ao Paquistão, adotou ferramentas de codificação assistidas por inteligência artificial (IA) para desenvolver uma variedade de implantes maliciosos. Segundo a Bitdefender, essa nova abordagem resulta em uma produção em massa de malware, utilizando linguagens de programação menos conhecidas como Nim, Zig e Crystal. A estratégia, denominada ‘vibeware’, visa complicar a detecção ao inundar ambientes-alvo com binários descartáveis que utilizam diferentes protocolos de comunicação. Os ataques têm como alvo o governo indiano e suas embaixadas, além de empresas privadas e o governo afegão. Os métodos de infecção incluem e-mails de phishing com atalhos do Windows e iscas em PDFs. Após a execução, scripts PowerShell são utilizados para baixar backdoors e ferramentas de simulação de adversários, como Cobalt Strike. A Bitdefender alerta que essa industrialização de malware assistido por IA permite que os atacantes escalem suas atividades rapidamente, representando um risco crescente para a segurança cibernética.

O Relatório de Segurança dos Navegadores 2026 revela que os navegadores se tornaram o ponto de controle mais crítico e menos protegido nas empresas. Com a evolução dos navegadores nativos de IA, que passaram de ferramentas experimentais para plataformas de negócios, a forma como os usuários interagem com dados e aplicações mudou drasticamente. Em 2025, 41% dos usuários finais utilizaram pelo menos uma ferramenta de IA, mas a governança não acompanhou essa adoção, resultando em um uso fragmentado e inseguro. O relatório destaca que 54% das entradas sensíveis em aplicativos web foram enviadas para contas corporativas, enquanto 46% foram para contas pessoais, evidenciando a vulnerabilidade na proteção de dados. Além disso, ataques baseados em navegadores, como phishing e extensões maliciosas, estão se tornando mais comuns, enquanto as soluções tradicionais de segurança falham em detectar essas ameaças. O uso de extensões de navegador, muitas vezes consideradas inofensivas, representa um risco significativo, com 13% delas classificadas como de alto ou crítico risco. O relatório conclui que as estratégias de segurança precisam evoluir para incluir visibilidade e controle nativos dos navegadores, a fim de mitigar esses riscos emergentes.

Recentes desenvolvimentos em cibersegurança revelam uma rápida evolução no cenário de ameaças. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) alertou sobre uma campanha de phishing que visa instituições governamentais, utilizando e-mails maliciosos para disseminar malwares como SHADOWSNIFF e SALATSTEALER. Além disso, um novo serviço de malware como serviço (MaaS) chamado TrustConnect está sendo utilizado para distribuir um RAT (Remote Access Trojan) disfarçado de ferramenta legítima de gerenciamento remoto.