Phishing

Fraudes por falsificação de identidade em criptomoedas estão causando perdas significativas, com um prejuízo estimado em US$ 17 bilhões para 2026, conforme relatório da Chainalysis. Em 2025, foram desviados cerca de US$ 14 bilhões para contas criminosas, um aumento em relação aos US$ 13 bilhões de 2024. O crescimento alarmante de 1400% nos casos de falsificação de identidade é impulsionado por táticas de phishing e engenharia social, além do uso crescente de inteligência artificial (IA) por criminosos, que facilita ataques mais rápidos e coordenados. Os golpes que utilizam IA geraram em média US$ 3,2 milhões em criptomoedas por operação, evidenciando a industrialização da fraude. Especialistas alertam que a situação pode se agravar, exigindo atenção redobrada de usuários e empresas que operam no setor de moedas digitais.

Especialistas em segurança revelaram uma campanha ativa de malware que explora uma vulnerabilidade de side-loading de DLL em um binário legítimo associado à biblioteca open-source c-ares. Os atacantes utilizam uma versão maliciosa da libcares-2.dll em conjunto com qualquer versão assinada do ahost.exe, frequentemente renomeada, para executar seu código e contornar defesas de segurança tradicionais. A campanha tem distribuído uma variedade de malwares, incluindo trojans como Agent Tesla e CryptBot, visando principalmente funcionários de setores como finanças e cadeia de suprimentos, com iscas em vários idiomas, incluindo português. O ataque se aproveita da técnica de hijacking da ordem de busca, permitindo que o malware execute o conteúdo da DLL maliciosa em vez da legítima. Além disso, a Trellix reportou um aumento em fraudes de phishing no Facebook, utilizando a técnica Browser-in-the-Browser para enganar usuários e roubar credenciais. A análise destaca a crescente sofisticação dos ataques que abusam de softwares legítimos e serviços de nuvem para evitar detecções e garantir acesso remoto persistente.

O artigo destaca que, apesar da segurança cibernética frequentemente discutir novas ameaças, os ataques mais eficazes em 2025 são semelhantes aos de 2015. Os invasores continuam a explorar pontos de entrada conhecidos, mas com maior eficiência. A cadeia de suprimentos é um foco crítico, como demonstrado pela campanha Shai Hulud NPM, onde um único pacote comprometido pode afetar milhares de projetos. A inteligência artificial facilitou a execução de ataques, permitindo que até indivíduos realizem operações complexas que antes exigiam grandes equipes. O phishing permanece uma ameaça significativa, pois os humanos continuam sendo o elo mais fraco, exemplificado por um ataque recente que comprometeu pacotes com milhões de downloads. Além disso, extensões de navegador maliciosas continuam a contornar os mecanismos de segurança das lojas oficiais. O artigo conclui que, em vez de buscar novas estratégias de defesa, é essencial corrigir os modelos de permissão e fortalecer a verificação da cadeia de suprimentos, priorizando a segurança básica.

A Microsoft divulgou um estudo que alerta os usuários do Office 365 sobre ataques de phishing que podem ser realizados através de e-mails com configurações vulneráveis. A pesquisa, realizada pelo Microsoft Threat Intelligence, revela como cibercriminosos conseguem falsificar domínios legítimos, enganando as vítimas que confiam na empresa. O ataque é facilitado por um ‘roteamento complexo’ e pela falta de proteções adequadas contra falsificação de domínios nas contas de e-mail, o que aumenta o risco de violações de segurança.

Um novo relatório do Fórum Econômico Mundial (WEF) revela que as empresas estão começando a levar a sério os riscos de segurança associados à inteligência artificial (IA). Quase dois terços (64%) das empresas agora avaliam os riscos antes de implementar ferramentas de IA, um aumento significativo em relação a 37% no ano anterior. A pesquisa, realizada em colaboração com a Accenture, indica que 94% dos executivos acreditam que as ferramentas de IA serão o principal motor de mudança em suas estratégias de cibersegurança até 2026. Apesar do aumento na conscientização sobre as vulnerabilidades relacionadas à IA, como vazamentos de dados e fraudes, as empresas também estão adotando IA para combater essas ameaças, com 77% utilizando a tecnologia para melhorar a segurança cibernética. As aplicações mais comuns incluem a detecção de phishing (52%) e a automação de operações de segurança (43%). No entanto, desafios como a falta de habilidades e a necessidade de validação humana ainda impedem a adoção mais ampla da IA na segurança. O WEF prevê que ameaças como phishing convincente e fraudes automatizadas se tornarão mais prevalentes, destacando a necessidade urgente de as empresas se adaptarem a esse novo cenário de ameaças.

Pesquisadores em cibersegurança revelaram a existência de dois provedores de serviços que sustentam redes criminosas online, especialmente no modelo conhecido como pig butchering-as-a-service (PBaaS). Desde 2016, grupos criminosos de língua chinesa têm estabelecido centros de fraude em larga escala no Sudeste Asiático, onde milhares de pessoas são forçadas a realizar golpes sob ameaça de violência. Esses centros operam com ferramentas fornecidas por serviços que facilitam operações de engenharia social e lavagem de dinheiro. Um dos principais atores, conhecido como Penguin Account Store, oferece kits de fraude e dados pessoais roubados, permitindo que qualquer um inicie operações fraudulentas com baixo custo e sem necessidade de expertise técnica. Além disso, a pesquisa destaca o uso crescente de domínios estacionados para redirecionar usuários a sites maliciosos. A situação é agravada por ferramentas como Evilginx, que permite ataques de phishing sofisticados, visando instituições educacionais nos EUA. A combinação desses fatores representa um risco significativo para a segurança cibernética global, incluindo o Brasil.

Em 2026, os golpes digitais devem se intensificar, impulsionados pelo uso da inteligência artificial (IA) por criminosos. Daniel Barbosa, pesquisador de segurança da ESET no Brasil, destaca que a IA está sendo utilizada para criar e-mails e sites falsos com maior precisão, tornando as fraudes mais convincentes. Os golpistas coletam dados de vazamentos para personalizar suas abordagens, tornando-as mais atraentes para as vítimas. Além disso, a evolução dos deepfakes dificulta a identificação de fraudes visuais, exigindo que os usuários adotem camadas adicionais de segurança. Barbosa recomenda que qualquer contato recebido de forma passiva deve ser tratado com desconfiança. Os golpistas também exploram sazonalidades, como o pagamento de impostos, para enganar as vítimas. Para se proteger, é essencial verificar sempre as URLs, desconfiar de solicitações inesperadas e validar transações financeiras com um canal de comunicação diferente. Caso alguém seja vítima de um golpe, é importante acionar imediatamente o Mecanismo Especial de Devolução (MED) e registrar um boletim de ocorrência.

A plataforma de financiamento coletivo APOIA.se confirmou um vazamento de dados pessoais de seus usuários, ocorrido devido a uma vulnerabilidade em seu sistema. Em um comunicado enviado aos afetados, a empresa informou que informações como nome completo, e-mail e identificadores internos foram expostas, mas garantiu que dados sensíveis, como senhas e informações de pagamento, não foram comprometidos. A falha foi detectada em 6 de janeiro de 2026 e corrigida imediatamente, com a empresa reforçando seus controles de segurança e notificando as autoridades competentes. Apesar de não ter revelado o número exato de usuários afetados, o incidente levanta preocupações sobre a segurança de dados cadastrais, que podem ser utilizados em ataques de phishing. Especialistas recomendam que os usuários fiquem atentos a comunicações suspeitas e adotem boas práticas de segurança, como o uso de senhas fortes e a instalação de antivírus. O caso também foi associado a alertas anteriores sobre a exposição de e-mails na dark web, embora a relação não tenha sido confirmada.

O grupo de ciberespionagem iraniano conhecido como MuddyWater está por trás de uma nova campanha de spear-phishing que visa entidades diplomáticas, marítimas, financeiras e de telecomunicações no Oriente Médio. A campanha utiliza um implante baseado em Rust, denominado RustyWater, que é entregue através de documentos do Microsoft Word maliciosos que solicitam ao usuário habilitar conteúdo para ativar uma macro VBA. Essa macro é responsável por implantar o malware, que possui capacidades de controle remoto, persistência no registro do Windows e coleta de informações do sistema da vítima. MuddyWater, que opera desde 2017 e é vinculado ao Ministério da Inteligência e Segurança do Irã, tem evoluído suas táticas, reduzindo a dependência de softwares de acesso remoto legítimos em favor de um arsenal diversificado de malware. A atividade recente também foi observada em ataques a empresas de tecnologia e recursos humanos em Israel, destacando a relevância da ameaça. A introdução de implantes baseados em Rust representa uma evolução significativa nas capacidades do grupo, tornando suas operações mais estruturadas e discretas.

O FBI emitiu um alerta sobre uma nova campanha de phishing originada na Coreia do Norte, que utiliza QR Codes maliciosos para contornar sistemas de segurança de e-mails. Desde maio de 2025, grupos criminosos têm como alvo laboratórios de pesquisa, instituições acadêmicas e entidades governamentais em todo o mundo. O método principal envolve o envio de QR Codes comprometidos via e-mail, disfarçados como mensagens de remetentes confiáveis, como funcionários de embaixadas. Ao escanear o código, as vítimas são direcionadas a um ambiente controlado pelos hackers, que coletam informações sensíveis, como logins e localização. Além disso, esses códigos podem reproduzir tokens de sessão, burlando a autenticação multifator (MFA) e permitindo o sequestro de identidades na nuvem. Para se proteger, o FBI recomenda que as organizações eduquem seus funcionários sobre a verificação da origem dos QR Codes, implementem protocolos de denúncia de atividades suspeitas e utilizem ferramentas de segurança, como gerenciadores de senhas e anti-malware.

O FBI alertou sobre uma nova técnica de phishing, chamada ‘quishing’, utilizada pelo grupo de hackers norte-coreano Kimsuky. Esses ataques visam roubar credenciais de acesso a serviços como Microsoft 365, Okta e VPNs, direcionando usuários a páginas falsas por meio de QR codes maliciosos. Os hackers enviam e-mails que contêm imagens com QR codes, que são mais difíceis de serem detectados por sistemas de segurança, permitindo que os e-mails cheguem às caixas de entrada dos alvos. Ao escanear o código, a vítima é redirecionada por múltiplos links que coletam informações como sistema operacional e endereço IP, levando-a a uma página de captura de credenciais. Uma vez que as credenciais são inseridas, os atacantes podem roubar tokens de sessão, permitindo que eles contornem a autenticação multifator (MFA). O FBI recomenda uma defesa em múltiplas camadas, incluindo treinamento de funcionários e gestão de dispositivos móveis, para mitigar esses riscos. O uso crescente de dispositivos móveis não gerenciados aumenta a vulnerabilidade a esses ataques, tornando-os uma preocupação significativa para organizações, especialmente aquelas que lidam com informações sensíveis.

Recentemente, atores de ameaça associados ao governo russo, identificados como APT28 (também conhecido como BlueDelta), foram vinculados a uma série de ataques de coleta de credenciais. Os alvos incluem indivíduos ligados a uma agência de pesquisa energética e nuclear da Turquia, além de funcionários de um think tank europeu e organizações na Macedônia do Norte e Uzbequistão. Os ataques, que ocorreram entre fevereiro e setembro de 2025, utilizaram páginas de login falsas que imitavam serviços populares como Microsoft Outlook e Google, redirecionando os usuários para sites legítimos após a inserção de credenciais, o que dificultou a detecção. A campanha se destacou pelo uso de documentos PDF legítimos como iscas, incluindo publicações relacionadas a conflitos geopolíticos. A APT28 demonstrou uma dependência contínua de serviços de internet legítimos para hospedar suas páginas de phishing, o que ressalta a eficácia e a sofisticação de suas táticas. A empresa Recorded Future destacou que esses ataques refletem o interesse da inteligência russa em organizações ligadas à pesquisa energética e à cooperação em defesa.

A Microsoft alertou sobre a exploração de roteamento de e-mails mal configurado, que pode facilitar ataques de phishing interno. Esses ataques, que se tornaram mais frequentes desde maio de 2025, utilizam técnicas de spoofing para enviar mensagens que parecem vir de fontes internas, enganando os funcionários. Os e-mails fraudulentos frequentemente contêm temas como mensagens de voz, documentos compartilhados e solicitações de redefinição de senhas, tornando difícil a detecção por parte dos usuários. A empresa identificou o uso de plataformas de phishing-as-a-service (PhaaS), como a Tycoon 2FA, que permitiram a criação de e-mails maliciosos. Em outubro de 2025, a Microsoft bloqueou mais de 13 milhões de e-mails maliciosos gerados por essa plataforma. Para mitigar esses riscos, as organizações devem implementar políticas rigorosas de autenticação, como DMARC e SPF, além de configurar adequadamente serviços de filtragem de spam. O alerta destaca a importância de uma configuração correta do roteamento de e-mails para evitar que hackers comprometam dados sensíveis e realizem fraudes financeiras.

O FBI divulgou um alerta sobre um novo vetor de ataque de phishing, denominado ‘quishing’, utilizado por atores de ameaça patrocinados pelo Estado norte-coreano, especificamente o grupo Kimsuky. Desde 2025, esses atacantes têm direcionado suas campanhas a instituições acadêmicas, think tanks e entidades governamentais dos EUA, utilizando códigos QR maliciosos em e-mails de spear-phishing. Essa técnica força as vítimas a transitar de dispositivos seguros para dispositivos móveis, que podem não ter a mesma proteção, permitindo que os atacantes contornem defesas tradicionais. O grupo Kimsuky, associado ao Bureau Geral de Reconhecimento da Coreia do Norte, tem um histórico de exploração de falhas em protocolos de autenticação de e-mail. O FBI observou várias tentativas de phishing em que os códigos QR levavam a questionários ou páginas falsas de login, visando roubar credenciais. O uso de QR codes em ataques de phishing representa um vetor de intrusão de identidade resistente à autenticação multifatorial, aumentando o risco para organizações que não monitoram adequadamente dispositivos móveis não gerenciados.

Uma nova campanha de phishing, identificada em dezembro de 2025, está atacando o setor de hotelaria na Europa, utilizando uma falsa tela azul da morte do Windows para disseminar malware. Especialistas da Securonix alertam que os criminosos se disfarçam como hóspedes do Booking, enviando e-mails que simulam cancelamentos de reservas. Esses e-mails geram pânico nas vítimas ao prometer reembolsos altos, levando-as a clicar em links que direcionam a páginas fraudulentas. Uma vez na página falsa, um erro de carregamento é apresentado, incentivando o usuário a clicar em um botão de atualização. Nesse momento, a tela azul do Windows aparece, fazendo com que a vítima acredite que seu sistema está com problemas. O ataque ClickFix se concretiza quando a vítima é instruída a abrir a janela de ‘Executar’ e colar um comando malicioso, que instala um trojan de acesso remoto. Esse malware permite que os hackers controlem o dispositivo da vítima, roubando dados e comprometendo sistemas sem que a pessoa perceba. A falta de conhecimento sobre a tela azul da morte torna os usuários mais vulneráveis a esse tipo de golpe.

Uma nova campanha de phishing está utilizando servidores de e-mail mal configurados para enganar vítimas, fazendo com que mensagens fraudulentas pareçam legítimas. De acordo com um relatório da Microsoft, os atacantes estão explorando falhas na configuração de segurança de e-mails, como SPF, DKIM e DMARC, que normalmente verificam a autenticidade das mensagens. Quando esses sistemas não são rigorosamente aplicados, os criminosos conseguem enviar e-mails que parecem vir de domínios internos da empresa, aumentando a probabilidade de que os funcionários caiam no golpe.

A gangue de cibercrime conhecida como Black Cat está por trás de uma campanha de envenenamento de SEO que utiliza sites fraudulentos para enganar usuários a baixarem um backdoor capaz de roubar dados sensíveis. Segundo um relatório do CNCERT/CC e da ThreatBook, a estratégia envolve posicionar sites falsos no topo dos resultados de busca em motores como o Bing, visando usuários que procuram por softwares populares como Google Chrome e Notepad++. Ao acessar essas páginas de phishing, os usuários são levados a baixar pacotes de instalação que contêm programas maliciosos. Uma vez instalado, o malware cria uma porta dos fundos no sistema, permitindo que os atacantes acessem informações privadas. A gangue está ativa desde 2022 e, em 2023, teria roubado cerca de $160.000 em criptomoedas. Recentemente, cerca de 277.800 dispositivos foram comprometidos na China, com um pico de 62.167 máquinas comprometidas em um único dia. Para se proteger, os usuários devem evitar clicar em links de fontes desconhecidas e utilizar apenas fontes confiáveis para downloads.

A Gulshan Management Services (GMS), que opera cerca de 150 postos de gasolina no Texas, notificou 377.082 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente, resultante de um ataque de phishing bem-sucedido, comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados de cartões de crédito e débito, números de carteira de motorista e informações de contato. A empresa descobriu a invasão em 27 de setembro, após uma investigação que revelou que o acesso não autorizado ocorreu em 17 de setembro. Além de acessar servidores que armazenavam dados pessoais, o atacante implantou um software malicioso que criptografou partes da rede da GMS. A empresa está oferecendo monitoramento de identidade gratuito para as vítimas e enfrenta várias ações judiciais coletivas em decorrência do vazamento. Este ataque é considerado o quinto maior do ano em termos de registros comprometidos, com um total de 325 ataques de ransomware registrados em 2025 nos EUA, afetando mais de 25,9 milhões de registros pessoais.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha PHALT#BLYX, que utiliza iscas no estilo ClickFix para enganar vítimas com falsas mensagens de erro de tela azul da morte (BSoD). O alvo principal são organizações do setor hoteleiro na Europa, com o objetivo de instalar um trojan de acesso remoto conhecido como DCRat. A campanha foi detectada no final de dezembro de 2025 e começa com um e-mail de phishing que se disfarça como uma notificação de cancelamento de reserva do Booking.com. Ao clicar em um link para um site falso, as vítimas são levadas a uma página que simula um BSoD, onde são instruídas a executar comandos maliciosos em PowerShell. Isso resulta na execução de um arquivo MSBuild que baixa e executa o DCRat, que pode roubar informações sensíveis e executar comandos arbitrários. A campanha destaca o uso de técnicas de living-off-the-land, abusando de binários de sistema confiáveis para evitar detecções de segurança. A presença de detalhes em euros e o uso da língua russa no código indicam que o ataque é direcionado a organizações europeias, possivelmente ligadas a atores de ameaças russos.

O grupo de hackers alinhado à Rússia, conhecido como UAC-0184 ou Hive0156, tem intensificado suas atividades de espionagem cibernética contra entidades militares e governamentais da Ucrânia, utilizando a plataforma de mensagens Viber para disseminar arquivos ZIP maliciosos. Segundo o 360 Threat Intelligence Center, em 2025, a organização continuou a realizar campanhas de coleta de inteligência em alta intensidade. Os ataques frequentemente empregam iscas temáticas de guerra em e-mails de phishing para entregar o malware Hijack Loader, que posteriormente facilita infecções por Remcos RAT.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

Os ataques de ATO, ou ‘account takeover’, ocorrem quando um cibercriminoso obtém acesso não autorizado a uma conta online, como e-mails ou contas bancárias. Esses ataques podem resultar em fraudes financeiras e danos à reputação da vítima. Historicamente, os ATOs começaram com táticas de engenharia social, mas evoluíram para métodos mais sofisticados, como o uso de bots e inteligência artificial. Os hackers frequentemente utilizam técnicas como ‘credential stuffing’, onde testam senhas vazadas, e phishing, que envolve enganar usuários para que revelem suas credenciais. Os sinais de que uma pessoa pode ter sido vítima de um ATO incluem e-mails suspeitos sobre tentativas de login não solicitadas e atividades estranhas em contas. A conscientização sobre esses ataques é crucial, pois qualquer conta pode ser alvo, e a proteção deve ser uma prioridade tanto para indivíduos quanto para empresas.

O artigo explora as diferenças entre phishing, spear phishing e whaling, destacando como esses ataques cibernéticos evoluem em complexidade e direcionamento. O phishing tradicional é um ataque em massa que visa um grande número de pessoas, utilizando e-mails genéricos para roubar informações confidenciais. Em contraste, o spear phishing é um ataque mais personalizado, onde os hackers realizam pesquisas detalhadas sobre suas vítimas para criar mensagens que parecem autênticas, aumentando as chances de sucesso. No topo da pirâmide está o whaling, que se concentra em executivos de alto nível, como CEOs e CFOs, visando fraudes financeiras ou roubo de segredos industriais. O artigo também oferece dicas de proteção, como implementar uma cultura de segurança nas empresas, adotar camadas de verificação para transações e praticar higiene digital ao compartilhar informações nas redes sociais. A conscientização sobre esses tipos de ataques é crucial para evitar que indivíduos e organizações se tornem vítimas de cibercriminosos.

Pesquisadores de cibersegurança revelaram uma campanha de phishing que utiliza mensagens geradas pelo Google para enganar usuários. Os atacantes abusam do serviço de Integração de Aplicativos do Google Cloud para enviar e-mails de phishing a partir de um endereço legítimo, ’noreply-application-integration@google.com’, o que permite que as mensagens contornem filtros de segurança tradicionais. Os e-mails imitam notificações empresariais comuns, como alertas de correio de voz e solicitações de acesso a arquivos, tornando-se mais convincentes para os destinatários. Durante um período de 14 dias em dezembro de 2025, foram enviados 9.394 e-mails de phishing, atingindo cerca de 3.200 clientes em diversas regiões, incluindo EUA, Europa e América Latina. A campanha explora a funcionalidade de envio de e-mails do Google Cloud, permitindo que os atacantes configurem mensagens para qualquer endereço de e-mail, burlando verificações de DMARC e SPF. Após o clique em links contidos nos e-mails, os usuários são redirecionados para páginas falsas que visam roubar credenciais. O Google já tomou medidas para bloquear esses esforços de phishing, mas a campanha destaca como recursos legítimos de automação podem ser mal utilizados para disseminar ataques em larga escala.

O phishing, uma das fraudes digitais mais conhecidas atualmente, tem raízes que remontam à década de 1990, quando a AOL (America Online) se destacou como um dos principais provedores de internet. Naquela época, muitos usuários buscavam maneiras de acessar a internet sem pagar, levando a um aumento de atividades ilegais, como a troca de softwares piratas. Os hackers adolescentes, em busca de mais tempo online, desenvolveram o programa AOHell, que automatizou o roubo de contas, marcando o início do phishing como o conhecemos hoje. A técnica envolvia enganar usuários leigos por meio de mensagens que simulavam comunicações legítimas da AOL, criando um senso de urgência para roubar credenciais de acesso. Apesar dos esforços da AOL para combater esses crimes, como alertas sobre a segurança das senhas, o phishing evoluiu e se sofisticou, aproveitando-se da psicologia humana e das novas tecnologias. Atualmente, o phishing continua a ser uma ameaça significativa, com métodos mais elaborados, impulsionados pelo avanço da inteligência artificial e pela diversidade de dispositivos utilizados pelos criminosos.

Um levantamento da ESET, empresa de cibersegurança, revelou as principais ameaças digitais enfrentadas no Brasil em 2025, destacando a prevalência dos trojans bancários e ataques de phishing. Os trojans bancários, representados por 11,47% das detecções, são malwares que visam sistemas financeiros, explorando a crescente digitalização das transações. O phishing, em segundo lugar com 7,49%, continua a ser uma técnica comum, utilizando engenharia social para enganar as vítimas. Outras ameaças notáveis incluem o Downloader Rugmi (6,48%), que prepara o terreno para a instalação de malwares, e o Guildma (5,8%), um trojan que finge ser um aplicativo seguro para roubar informações financeiras. O Kryptik (5,08%) fecha a lista, sendo utilizado para propagar outros malwares. Para se proteger, a ESET recomenda o uso de antivírus atualizados, cautela com comunicações suspeitas e programas de conscientização em empresas. O estudo ressalta a importância da conscientização e da proteção contra essas ameaças em um cenário digital em constante evolução.

O início do ano é um período crítico para fraudes digitais no Brasil, especialmente relacionadas a impostos e cobranças. Entre os golpes mais comuns estão: 1) IPVA e IPTU atrasado, onde golpistas enviam mensagens com links para páginas falsas que imitam portais governamentais, induzindo vítimas a transferências via Pix; 2) Irregularidade no imposto de renda, com mensagens fraudulentas se passando pela Receita Federal, solicitando dados pessoais e taxas inexistentes; 3) Cobrança do MEI, que alerta sobre cancelamento de CNPJ, levando a sites falsos; 4) Maquininha quebrada, onde vendedores manipulam pagamentos para cobrar valores superiores; 5) Golpe do brinde, que envolve taxas de entrega ou reconhecimento facial para acessar pacotes. Para se proteger, é essencial desconfiar de mensagens alarmistas, verificar remetentes, evitar links suspeitos e confirmar dados antes de realizar transações financeiras. A instalação de antivírus e o uso de senhas fortes também são recomendados.

Os infostealers são malwares projetados para roubar informações sensíveis de sistemas infectados, operando de forma discreta e silenciosa. Ao contrário de ransomwares, que sequestram dados, os infostealers se concentram em coletar credenciais, como nomes de usuário e senhas, armazenadas em navegadores como Google Chrome e Firefox. Esses dados são enviados para servidores controlados por cibercriminosos, permitindo acesso a contas de e-mail e redes sociais sem a necessidade de autenticação adicional.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Um novo golpe de cibersegurança tem chamado a atenção ao utilizar um pacote de API falso do WhatsApp, conhecido como ’lotusbail’, que já foi baixado mais de 56 mil vezes desde seu lançamento em maio de 2025. Especialistas da Koi Security alertam que, embora o pacote pareça funcional, ele é projetado para roubar credenciais do WhatsApp, interceptar mensagens e instalar um backdoor persistente no dispositivo da vítima. O ataque se concretiza através da captura de tokens de autenticação, permitindo que os hackers vinculem seu dispositivo à conta da vítima sem que esta perceba. Mesmo após a desinstalação do pacote, o acesso à conta permanece, pois a vinculação não é removida automaticamente. O malware utiliza técnicas de antidepuração para evitar ser detectado, tornando-se um risco significativo para os usuários do WhatsApp. Este incidente destaca a necessidade urgente de conscientização e proteção contra ameaças digitais, especialmente em plataformas amplamente utilizadas como o WhatsApp.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

Recentemente, um hacker conhecido como ‘Lovely’ invadiu os sistemas da Condé Nast, resultando no vazamento de dados sensíveis de mais de 2,3 milhões de leitores da WIRED. As informações comprometidas incluem e-mails, nomes, números de telefone, endereços e detalhes de contas. O hacker, que alegou não ter intenções maliciosas, tentou alertar a empresa sobre vulnerabilidades em seus sistemas, mas sem sucesso. Após um mês sem resposta, decidiu divulgar os dados em fóruns de hackers, onde outros usuários podem acessá-los mediante pagamento. Lovely também afirmou ter acesso a dados de outras publicações da Condé Nast, como Vogue e Vanity Fair. Especialistas em segurança alertam que os dados vazados podem ser utilizados em ataques de phishing, e recomendam que os usuários fiquem atentos a e-mails suspeitos, especialmente aqueles que se passam pela Condé Nast ou suas marcas. A situação destaca a importância da segurança de dados e a necessidade de vigilância constante por parte dos usuários.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

Com a chegada das festas de fim de ano, a atividade de golpistas aumenta, tornando essencial a adoção de medidas de segurança online. Especialistas da Norton VPN alertam que um simples clique em um link malicioso pode transformar as compras natalinas em um pesadelo. O aumento de sites fraudulentos, que cresceu mais de 250% antes do Black Friday de 2025, destaca a importância de estar atento a ofertas que parecem boas demais para serem verdade. Os golpistas estão se adaptando, utilizando e-mails, mensagens de texto e chamadas telefônicas para enganar os consumidores. Para se proteger, é fundamental usar o bom senso, verificar a legitimidade das ofertas digitando o endereço do site diretamente no navegador e não se deixar levar pela pressão do tempo. Além disso, ferramentas como proteção contra fraudes por IA e VPNs podem ajudar a mitigar riscos. A conscientização e a cautela são as melhores defesas contra essas ameaças durante a temporada de compras.

Com a aproximação das festas de fim de ano, golpistas estão aproveitando o aumento do tráfego de e-mails para aplicar fraudes que visam roubar informações pessoais e bancárias. Segundo a análise da X-Labs, os golpes se disfarçam como promoções de Natal ou notificações de pedidos, utilizando mensagens que parecem legítimas para evitar a desconfiança dos usuários. Esses e-mails, que passam por sistemas de envio em massa, apresentam formatação limpa e opções de cancelamento, o que ajuda a driblar sistemas básicos de detecção de spam.

O Brasil enfrenta uma crescente onda de golpes digitais, que utilizam engenharia social, inteligência artificial e automação para enganar vítimas. Os golpistas se aproveitam de eventos de grande visibilidade, como a declaração do Imposto de Renda e programas sociais, para criar campanhas de phishing que induzem as pessoas a fornecer dados pessoais ou realizar transferências via Pix. O uso de canais variados, como e-mails, SMS (smishing) e redes sociais, amplia o alcance dessas fraudes. Técnicas como vishing, whaling e clone phishing são comuns, e a clonagem de contas de WhatsApp se tornou uma prática recorrente, onde golpistas se passam por conhecidos para solicitar dinheiro. Para se proteger, é essencial ativar a verificação em duas etapas e estar atento a mensagens suspeitas. O aumento de 80% nas tentativas de phishing no Brasil, com mais de 553 milhões de ataques bloqueados em um ano, destaca a urgência de medidas de segurança mais robustas tanto para indivíduos quanto para empresas.

O Departamento de Justiça dos EUA anunciou a apreensão do domínio web3adspanels[.]org, que era utilizado para facilitar um esquema de fraude de tomada de conta bancária. Este domínio servia como um painel de controle para manipular credenciais de login bancário obtidas ilegalmente. Os criminosos veiculavam anúncios fraudulentos em motores de busca como Google e Bing, redirecionando usuários desavisados para sites falsos de bancos, onde suas credenciais eram coletadas por meio de um software malicioso. Até o momento, o esquema resultou em 19 vítimas nos EUA, incluindo duas empresas na Geórgia, com perdas estimadas em cerca de $28 milhões, sendo $14,6 milhões em perdas reais. O domínio apreendido armazenava as credenciais de login de milhares de vítimas e facilitava fraudes até recentemente. O FBI relatou mais de 5.100 queixas relacionadas a fraudes de tomada de conta bancária desde janeiro de 2025, totalizando perdas superiores a $262 milhões. O DoJ recomenda que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas e utilizem senhas complexas.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Um levantamento da Check Point Software revelou que os golpes de cibersegurança durante o período natalino de 2025 estão mais sofisticados, utilizando inteligência artificial para automatizar fraudes. Entre as ameaças destacadas, estão e-mails de phishing com temática natalina, que somaram 33.502 casos nas últimas duas semanas, e a criação de 10.000 anúncios falsos diariamente em redes sociais. Os golpistas têm se aproveitado de eventos como a Black Friday para lançar sites de varejo falsos, que imitam operações legítimas, incluindo carrinhos de compra e confirmações de e-mail. Além disso, golpes de sorteios e promoções fraudulentas têm inundado plataformas como Facebook e Instagram, onde contas recém-criadas alegam que as vítimas ganharam prêmios, solicitando taxas de envio. Para se proteger, os especialistas recomendam verificar URLs, desconfiar de solicitações de pagamento incomuns e evitar compartilhar informações pessoais sem ter buscado o serviço. O alerta é reforçado por instituições como o FBI e a Anatel, que promovem campanhas de conscientização como o movimento #FiqueEsperto.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

O malware fileless é uma nova forma de ataque cibernético que opera diretamente na memória RAM dos dispositivos, evitando a detecção por ferramentas tradicionais de segurança. Diferente dos vírus convencionais, que se instalam no disco rígido, esse tipo de malware utiliza técnicas conhecidas como ‘Living off the Land’, que aproveitam ferramentas legítimas do sistema, como PowerShell e macros do Office, para realizar ações maliciosas. O ataque geralmente começa com e-mails de phishing ou documentos comprometidos, que, ao serem abertos, executam comandos ocultos que não deixam vestígios permanentes no sistema. Isso torna a detecção extremamente difícil, pois não há arquivos maliciosos a serem escaneados. Casos como o da Equifax, onde dados de 147,9 milhões de pessoas foram expostos, ilustram a gravidade dessa ameaça. Para se proteger, é essencial atualizar softwares, ter cuidado com macros, usar ferramentas que monitoram comportamentos suspeitos e desativar funções desnecessárias. A vigilância constante e a higiene digital são fundamentais para evitar infecções por esse tipo de malware.

Uma nova campanha de phishing, identificada como GhostPairing, está sendo utilizada por cibercriminosos para roubar contas do WhatsApp. O ataque ocorre quando a vítima recebe uma mensagem de um contato conhecido, contendo um link que leva a uma página falsa do Facebook. Ao clicar, a vítima é induzida a fornecer seu número de telefone para ver um conteúdo supostamente legítimo. Em seguida, um código de pareamento é gerado e a vítima é instruída a usá-lo para vincular seu WhatsApp a um dispositivo comprometido. Isso permite que o hacker tenha acesso total ao histórico de conversas e mídias da vítima, possibilitando fraudes e enganos aos contatos da vítima sem que ela perceba. Embora a campanha tenha sido inicialmente observada na República Tcheca, especialistas alertam que pode se espalhar rapidamente para outras regiões. Para se proteger, é recomendado que os usuários verifiquem regularmente a aba de ‘dispositivos vinculados’ no WhatsApp e evitem clicar em links suspeitos.

Um grupo suspeito de estar alinhado à Rússia está sendo responsabilizado por uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais do Microsoft 365 e realizar ataques de tomada de conta. A atividade, que começou em setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare. Os ataques envolvem o uso de endereços de e-mail comprometidos de organizações governamentais e militares para atingir entidades em setores como governo, think tanks, educação superior e transporte nos EUA e na Europa. Os atacantes se apresentam como representantes de organizações legítimas e enviam links que supostamente levam a documentos relevantes, mas que na verdade redirecionam as vítimas para uma página de login da Microsoft. Ao inserir o código fornecido, os atacantes conseguem gerar um token de acesso e tomar controle da conta da vítima. A Proofpoint alerta que essa técnica de phishing foi documentada anteriormente e está sendo utilizada por diversos grupos, tanto estatais quanto motivados financeiramente, para obter acesso não autorizado a dados sensíveis. Para mitigar os riscos, recomenda-se a criação de políticas de Acesso Condicional que bloqueiem esse fluxo de autenticação para todos os usuários ou que permitam apenas para usuários aprovados.

As autoridades da Nigéria anunciaram a prisão de três suspeitos de fraudes na internet, envolvidos em ataques de phishing que visavam grandes corporações, incluindo o desenvolvedor do esquema RaccoonO365, um serviço de phishing como serviço (PhaaS). O principal suspeito, Okitipi Samuel, também conhecido como Moses Felix, é acusado de operar um canal no Telegram onde vendia links de phishing em troca de criptomoedas e hospedava portais de login fraudulentos utilizando credenciais de e-mail roubadas. A investigação, realizada em colaboração com a Microsoft e o FBI, resultou na apreensão de laptops e dispositivos móveis relacionados à operação. O RaccoonO365 é um grupo motivado financeiramente que permite a coleta de credenciais ao criar páginas de phishing que imitam os logins do Microsoft 365. Desde julho de 2024, estima-se que o esquema tenha levado ao roubo de pelo menos 5.000 credenciais de usuários em 94 países. A Microsoft, em uma ação civil, processou indivíduos envolvidos na operação, destacando o impacto financeiro e as violações de propriedade intelectual resultantes desses crimes cibernéticos. Além disso, a Google também está processando operadores de outro serviço PhaaS, o Darcula, que tem causado uma onda de smishing nos EUA.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

O grupo de ameaças cibernéticas norte-coreano Kimsuky está vinculado a uma nova campanha que distribui uma variante de malware para Android chamada DocSwap. O malware é disseminado por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística CJ Logistics. Os atacantes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar o malware em seus dispositivos móveis. A aplicação maliciosa, ao ser instalada, decripta um APK embutido e ativa um serviço que permite controle remoto (RAT) do dispositivo. Para contornar as advertências de segurança do Android, os atacantes apresentam o aplicativo como uma versão oficial e segura. Além disso, a campanha utiliza mensagens de smishing e e-mails de phishing que se passam por empresas de entrega para atrair as vítimas. Uma vez instalado, o malware pode registrar teclas, capturar áudio, acessar a câmera, realizar operações de arquivos e coletar dados sensíveis, como mensagens SMS e contatos. O ataque também inclui amostras disfarçadas de aplicativos legítimos, como um VPN, demonstrando a evolução das táticas do grupo. A análise revela que os sites de phishing estão associados a campanhas anteriores de coleta de credenciais, aumentando a preocupação com a segurança dos usuários na Coreia do Sul e potencialmente em outros locais, incluindo o Brasil.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.