Phishing

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

Pesquisadores de cibersegurança identificaram quatro novos kits de phishing: BlackForce, GhostFrame, InboxPrime AI e Spiderman, que facilitam o roubo de credenciais em grande escala. O BlackForce, detectado pela primeira vez em agosto de 2025, é projetado para realizar ataques Man-in-the-Browser (MitB) e capturar senhas de uso único (OTPs), burlando a autenticação multifatorial (MFA). Vendido em fóruns do Telegram, o kit já foi utilizado para se passar por marcas renomadas como Disney e Netflix. O GhostFrame, descoberto em setembro de 2025, utiliza um iframe oculto para redirecionar vítimas a páginas de phishing, enquanto o InboxPrime AI automatiza campanhas de e-mail malicioso usando inteligência artificial, permitindo que atacantes simulem comportamentos humanos reais. Por fim, o Spiderman replica páginas de login de bancos europeus, oferecendo uma plataforma completa para gerenciar campanhas de phishing. Esses kits representam uma ameaça crescente, especialmente para empresas que dependem de autenticação digital, exigindo atenção redobrada das equipes de segurança.

Um novo kit de phishing, conhecido como Spiderman, foi identificado por especialistas da Varonis em circulação na dark web, visando clientes de bancos e provedores de serviços financeiros na Europa. Este kit permite que cibercriminosos automatizem ataques para roubar dados pessoais em tempo real, facilitando a criação de páginas falsas que imitam sites legítimos. O Spiderman é considerado uma das ferramentas mais perigosas de 2025, com ataques já registrados em cinco países, incluindo Alemanha, Bélgica e Espanha.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

O grupo de hackers iraniano MuddyWater foi identificado utilizando uma nova backdoor chamada UDPGangster, que opera através do protocolo UDP para fins de comando e controle (C2). A atividade de ciberespionagem tem como alvo usuários na Turquia, Israel e Azerbaijão, conforme relatado pelo Fortinet FortiGuard Labs. O malware permite o controle remoto de sistemas comprometidos, possibilitando a execução de comandos, exfiltração de arquivos e implantação de cargas adicionais, tudo isso através de canais UDP que visam evitar defesas de rede tradicionais.

O phishing é uma técnica de cibercrime que visa enganar usuários para coletar dados sensíveis, como senhas e informações bancárias. Desde sua origem nos anos 1990, essa prática evoluiu, utilizando engenharia social e tecnologias avançadas, como inteligência artificial, para criar ataques mais sofisticados. Os cibercriminosos manipulam as vítimas por meio de mensagens que geram urgência ou curiosidade, como alertas de contas bloqueadas ou ofertas imperdíveis. Para se proteger, é essencial saber identificar e-mails falsos. Sinais básicos incluem verificar o remetente, usar o teste do mouseover para checar links e desconfiar de saudações genéricas. Além disso, técnicas mais avançadas, como spoofing de domínio e ataques homográficos, são frequentemente utilizadas para enganar os usuários. Para evitar ser enganado, recomenda-se não interagir com mensagens suspeitas, não clicar em links e utilizar ferramentas de análise para verificar a segurança de links. A desconfiança é a melhor defesa contra esses ataques.

Após a Black Friday, os consumidores devem estar atentos a uma nova onda de golpes que ocorrem após a finalização das compras. Golpistas utilizam técnicas de phishing e engenharia social para explorar a ansiedade dos consumidores em relação ao recebimento de produtos. Um dos métodos mais comuns envolve o envio de e-mails ou mensagens falsas informando sobre problemas com a entrega, como taxas pendentes ou reembolsos, levando as vítimas a fornecer dados pessoais ou a realizar pagamentos indevidos. Além disso, fraudes mais sofisticadas têm sido registradas, como a devolução de produtos com caixas vazias ou adulteradas, e o uso de dados roubados para solicitar reembolsos indevidos. O Mapa da Fraude 2025 da Serasa Experian indica que, no sábado após a Black Friday, foram bloqueadas 17,8 mil tentativas de fraude, totalizando R$ 27,6 milhões. Para se proteger, os consumidores devem evitar clicar em links suspeitos, verificar a autenticidade das comunicações e utilizar autenticação em duas etapas. A segurança dos sistemas de devolução e reembolso deve ser reforçada pelas empresas para mitigar esses riscos.

Com o aumento das tecnologias de inteligência artificial, o phishing se tornou uma ameaça ainda mais comum na internet. Essa técnica de engenharia social manipula usuários para que acreditem que estão acessando serviços legítimos, levando-os a clicar em links maliciosos. Para se proteger, o artigo sugere algumas estratégias. A primeira é verificar a URL no VirusTotal, uma ferramenta que analisa links e arquivos em busca de malwares. Embora útil, essa abordagem não é infalível, já que domínios de phishing podem mudar rapidamente. Outra dica é passar o cursor sobre o link antes de clicar, permitindo que o usuário veja o endereço real. Se o link parecer suspeito, é importante compará-lo com o site oficial da empresa. Para uma investigação mais profunda, o artigo recomenda usar o ICANN para verificar a infraestrutura do domínio. Além disso, o uso de gerenciadores de senhas e autenticação em dois fatores pode aumentar a segurança. O artigo enfatiza a importância de não clicar em links recebidos por mensagens, preferindo acessar sites diretamente por meio de buscadores. Essas práticas são essenciais para evitar cair em golpes de phishing.

Uma nova campanha de phishing, identificada pela Push Security, utiliza convites falsos do Calendly para roubar contas do Google Workspace e do Facebook. Os cibercriminosos se passam por recrutadores de marcas conhecidas, como Disney e Uber, criando e-mails que imitam comunicações legítimas. A técnica de spoofing é empregada para usar nomes de funcionários reais, aumentando a credibilidade do golpe. Ao clicar no link do convite, a vítima é direcionada a uma página falsa do Calendly, que utiliza CAPTCHA, e posteriormente a uma página de phishing que tenta capturar as credenciais de login. A campanha é direcionada principalmente a contas de gestores de anúncios do Google, com mecanismos de proteção contra análise, como bloqueadores de VPN. O uso de inteligência artificial para criar os e-mails e as páginas de phishing torna o ataque ainda mais sofisticado e perigoso, especialmente por contornar a autenticação em duas etapas. Com 31 URLs identificadas, a ameaça se espalha rapidamente, exigindo atenção redobrada dos usuários e das empresas.

Uma pesquisa da Redbelt Security revelou um aumento alarmante de 75% no Golpe da Tarefa, também conhecido como Golpe das Missões ou da Renda Extra, que se tornou uma das principais ameaças cibernéticas no Brasil. Em setembro de 2024, foram identificados 128 grupos ativos na deep web, um salto significativo em relação aos 73 grupos do ano anterior. Essa fraude, originada no sudeste asiático, foi adaptada ao contexto brasileiro, utilizando plataformas como Telegram e WhatsApp para atrair vítimas com propostas de trabalho temporário e pequenas tarefas remuneradas. Inicialmente, os golpistas oferecem pagamentos baixos para criar confiança, mas logo começam a exigir depósitos progressivos, levando a perdas financeiras significativas. O golpe evoluiu para uma fraude híbrida, combinando phishing, engenharia social e distribuição de malwares, incluindo trojans que podem comprometer dispositivos móveis. Os criminosos se aproveitam da reputação de grandes marcas para enganar as vítimas, o que também prejudica a imagem dessas empresas. A situação exige uma resposta não apenas em termos de segurança digital, mas também de educação social, para que os usuários aprendam a desconfiar de ofertas que parecem boas demais para serem verdade.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos que evidenciam a constante evolução das ameaças digitais. Um dos casos mais alarmantes foi o ataque ao pool yETH da Yearn Finance, que resultou na perda de aproximadamente 9 milhões de dólares devido a uma falha na contabilidade interna do protocolo. O atacante explorou uma vulnerabilidade que permitiu a criação de uma quantidade astronômica de tokens, destacando a eficiência do ataque no contexto de finanças descentralizadas (DeFi).

O cenário de cibersegurança está mudando drasticamente com a ascensão de ferramentas de inteligência artificial que facilitam ataques de phishing. Hoje, até mesmo indivíduos sem habilidades de programação podem lançar campanhas sofisticadas, equiparando-se a hackers patrocinados por estados. O artigo destaca três ferramentas principais que estão transformando o panorama das ameaças: WormGPT, que gera e-mails de comprometimento empresarial (BEC) com alta personalização; FraudGPT, um serviço de hacking que oferece um conjunto completo de ferramentas por uma assinatura mensal; e SpamGPT, que permite testes A/B em fraudes em larga escala. A eficácia das estratégias tradicionais de detecção de e-mails está em declínio, pois as mensagens geradas por IA são indistinguíveis das legítimas. A solução proposta é mudar o foco da defesa, não apenas bloqueando e-mails, mas protegendo identidades e neutralizando ataques no ponto de acesso, garantindo que os hackers não consigam obter credenciais. O artigo conclui que, para enfrentar essa nova realidade, é essencial que as empresas adotem uma abordagem proativa e inteligente na defesa contra essas ameaças emergentes.

Um homem de 44 anos foi condenado a sete anos e quatro meses de prisão na Austrália por realizar um ataque do tipo ’evil twin’, onde criou uma rede Wi-Fi falsa em voos domésticos. O criminoso, cuja identidade não foi revelada, foi indiciado em julho de 2024 após a polícia confiscar seus equipamentos e confirmar sua participação em atividades maliciosas em aeroportos de Perth, Melbourne e Adelaide. O ataque consistia em configurar um ponto de acesso Wi-Fi com o mesmo nome da rede legítima, enganando os passageiros que se conectavam a ele. Assim que conectados, os usuários eram redirecionados para uma página de phishing que coletava dados de redes sociais. O criminoso tinha como alvo principal mulheres, buscando acessar suas credenciais para monitorar suas atividades online e roubar conteúdos privados. Para se proteger de ataques semelhantes, especialistas recomendam o uso de VPNs, gerenciadores de senhas e a desativação da conexão automática ao Wi-Fi, além de considerar o uso de hotspots pessoais em vez de redes públicas.

Pesquisadores da Unit 42, da Palo Alto Networks, alertam sobre o uso de Grandes Modelos de Linguagem (LLMs) por cibercriminosos. Ferramentas como WormGPT 4 e KawaiiGPT estão sendo utilizadas para facilitar a criação de malwares e ataques cibernéticos. O WormGPT, que ressurgiu em sua quarta versão, permite que hackers, mesmo sem experiência, desenvolvam códigos de ransomware e mensagens de phishing. Por exemplo, foi solicitado ao WormGPT que criasse um código para encriptar arquivos PDF em sistemas Windows, resultando em um script PowerShell que utiliza o algoritmo AES-256. Já o KawaiiGPT, uma alternativa comunitária, pode gerar mensagens de spear-phishing e scripts para movimentação lateral em sistemas, demonstrando a facilidade com que cibercriminosos podem automatizar ataques. Ambas as LLMs têm atraído a atenção de hackers, com comunidades ativas no Telegram, o que torna a situação ainda mais preocupante para a cibersegurança. A análise indica que o uso dessas ferramentas não é mais uma ameaça teórica, mas uma realidade crescente, exigindo atenção redobrada das empresas para proteger seus dados e sistemas.

Recentemente, entidades israelenses de diversos setores, incluindo tecnologia e infraestrutura crítica, foram alvo de uma nova onda de ataques cibernéticos atribuídos ao grupo de hackers MuddyWater, vinculado ao Ministério da Inteligência e Segurança do Irã. Os ataques introduziram um backdoor inédito chamado MuddyViper, que permite aos invasores coletar informações do sistema, executar comandos e exfiltrar credenciais de login. As campanhas de phishing, que utilizam e-mails com anexos PDF, têm como objetivo infiltrar redes por meio de ferramentas de gerenciamento remoto legítimas. Além do MuddyViper, o grupo utiliza uma variedade de ferramentas, como Fooder, um loader que executa o backdoor, e outros RATs (Remote Access Trojans) que facilitam o controle remoto das máquinas comprometidas. A evolução das táticas do MuddyWater indica um aumento na sofisticação operacional, com um foco em furtividade e persistência. O ataque também coincide com a divulgação de documentos internos de um grupo de hackers iraniano, revelando uma estrutura organizacional complexa e hierárquica, o que sugere um aparato cibernético estatal bem estruturado. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente em um contexto onde o Brasil também enfrenta desafios semelhantes em sua infraestrutura.

O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.

O FBI alertou que, em 2025, hackers roubaram mais de US$ 262 milhões de alvos nos EUA através de esquemas de tomada de conta. Esses ataques, que afetam indivíduos, empresas e organizações, geralmente envolvem técnicas de engenharia social, como phishing, onde os criminosos manipulam as vítimas para que revelem suas credenciais de login. Após obter acesso, os atacantes podem redefinir senhas e transferir fundos para contas que controlam, frequentemente convertendo o dinheiro em criptomoedas para dificultar o rastreamento. O uso de inteligência artificial (IA) tem potencializado esses golpes, permitindo a criação de campanhas de phishing mais convincentes e sites falsos que imitam marcas conhecidas, como Amazon. O FBI também destacou o aumento de campanhas de phishing móvel, onde os atacantes se aproveitam de nomes de marcas confiáveis para induzir os usuários a clicar em links maliciosos. Para se proteger, o FBI recomenda que os usuários limitem a informação pessoal compartilhada online, monitorem suas contas financeiras e utilizem senhas complexas e únicas para cada conta.

Um estudo da NordVPN revelou um aumento alarmante de 250% em sites falsos que imitam grandes varejistas, como a Amazon, durante a Black Friday. Entre setembro e outubro, os sites fraudulentos que se passavam pela Amazon cresceram 232%, enquanto os que imitavam o eBay aumentaram 525%. Essa situação é preocupante, pois apenas 27% dos brasileiros se sentem capacitados para identificar golpes digitais, uma queda significativa em relação ao ano anterior. Além disso, 69% dos consumidores acreditam estar bem informados sobre ciberataques, mas mais de 70% já foram vítimas de algum tipo de fraude. Os golpistas utilizam táticas como a ‘falsa venda’, onde produtos inexistentes são anunciados, levando os consumidores a perder dinheiro e dados sensíveis. Para se proteger, é essencial verificar o endereço do site, desconfiar de ofertas muito vantajosas e checar a presença de informações de contato da loja. A conscientização e a cautela são fundamentais para evitar fraudes durante esse período de compras.

A Black Friday é um período de grandes ofertas, mas também de riscos elevados de fraudes online. O artigo de Lillian Sibila Dala Costa destaca a importância de estar atento a golpes que se intensificam durante essa temporada de compras. Mirella Kurata, CEO da DMK3, alerta que os cibercriminosos utilizam táticas como phishing, imitação de grandes varejistas e criação de links fraudulentos para enganar consumidores. Para evitar cair nessas armadilhas, o artigo apresenta sete dicas práticas: pesquisar preços em sites confiáveis, evitar links compartilhados, usar cartões virtuais, evitar Wi-Fi público, monitorar faturas, verificar a segurança dos sites e utilizar autenticação em dois fatores. Além disso, caso alguém caia em um golpe, é recomendado desconectar da internet, realizar uma varredura com antivírus e alterar senhas. O texto enfatiza a necessidade de cautela e desconfiança em relação a ofertas que parecem boas demais para serem verdade, especialmente durante a Black Friday.

A OpenAI alertou seus usuários sobre uma possível violação de segurança que afetou a Mixpanel, uma empresa de análise de dados. Um hacker conseguiu acesso não autorizado aos sistemas da Mixpanel no início de novembro, resultando na exportação de dados que incluíam nomes de clientes, e-mails, localização aproximada, sistema e navegador utilizados, além de IDs diversos. A OpenAI informou que muitos dos dados comprometidos podem ter sido obtidos através de ataques de phishing, que utilizam engenharia social para enganar usuários desprevenidos. A empresa recomendou que os usuários verifiquem mensagens suspeitas, especialmente aquelas que solicitam informações sensíveis. Em resposta ao incidente, a OpenAI decidiu remover a Mixpanel de seus serviços, mas continuará a colaborar com a empresa durante as investigações. É importante destacar que a violação não afetou diretamente o ChatGPT ou outros produtos da OpenAI relacionados a interações de chat. A quantidade exata de dados vazados ainda não foi determinada, mas a situação levanta preocupações sobre a segurança de dados em serviços amplamente utilizados.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade no Microsoft Teams que permite que atacantes contornem as proteções do Microsoft Defender for Office 365 através da funcionalidade de acesso de convidados. Quando um usuário atua como convidado em outro tenant, suas proteções são determinadas pelo ambiente anfitrião, não pela organização de origem. Essa situação se agrava com a nova funcionalidade do Teams, que permite que usuários conversem com qualquer pessoa via e-mail, incluindo aqueles que não utilizam a plataforma. A falta de proteção pode ser explorada por atacantes que criam ‘zonas livres de proteção’ em tenants maliciosos, onde podem enviar convites para usuários desavisados. Como os convites são enviados a partir da infraestrutura da Microsoft, eles podem passar despercebidos por soluções de segurança de e-mail. Para mitigar esse risco, recomenda-se que as organizações restrinjam as configurações de colaboração B2B a domínios confiáveis e treinem os usuários para desconfiar de convites não solicitados.

Uma nova pesquisa da Cato Networks revelou um ataque cibernético inovador denominado HashJack, que utiliza um truque simples para comprometer navegadores de inteligência artificial (IA). O ataque se baseia na injeção de comandos maliciosos após o símbolo ‘#’ em URLs legítimas, permitindo que cibercriminosos manipulem assistentes de IA para executar ações indesejadas, como roubo de dados e phishing. Essa técnica, que não é detectada por antivírus tradicionais, explora a confiança dos usuários em assistentes de IA, aumentando a eficácia do ataque em comparação com métodos de phishing convencionais.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

O artigo destaca cinco tecnologias que cibercriminosos utilizam para enganar consumidores durante a Black Friday. Entre as táticas mencionadas, estão os anúncios falsos gerados por deepfakes, que imitam celebridades para atrair cliques em ofertas fraudulentas. Outra técnica é o phishing, onde golpistas usam modelos de linguagem avançados para criar mensagens personalizadas que parecem legítimas. Além disso, a clonagem de voz permite que criminosos imitem atendentes de suporte, enganando consumidores para que forneçam informações sensíveis. O uso de avaliações falsas em larga escala também é abordado, onde bots geram comentários positivos para produtos inexistentes. Por fim, chatbots maliciosos são utilizados em sites fraudulentos para coletar dados pessoais dos usuários. Para se proteger, o artigo recomenda desconfiar de ofertas que parecem boas demais, verificar a autenticidade de sites e evitar compartilhar informações pessoais em chamadas ou chats suspeitos.

Um estudo da McAfee revelou que os golpes baseados em inteligência artificial (IA) e deepfakes aumentaram 1.740% nos Estados Unidos em um ano, com quase metade da população já tendo encontrado tais fraudes durante compras online. Os deepfakes, que são vídeos ou áudios manipulados para imitar pessoas reais, tornaram-se tão sofisticados que 39% dos entrevistados afirmaram ter dificuldade em identificá-los. Além disso, 22% dos que acreditavam ser capazes de detectar fraudes acabaram caindo em golpes. Um exemplo notável foi um vídeo falso da cantora Taylor Swift, que promovia uma doação de panelas de luxo, enganando fãs e levando-os a sites fraudulentos. Para se proteger, especialistas recomendam desconfiar de anúncios que parecem bons demais para serem verdade e sempre verificar diretamente os sites oficiais das marcas. A pesquisa destaca a necessidade de vigilância constante e de uma abordagem crítica ao consumir conteúdo online, especialmente em épocas de festas, quando os golpes tendem a aumentar.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e inovações em fraudes digitais. O botnet ShadowV2, baseado no Mirai, voltou a atacar dispositivos IoT, explorando vulnerabilidades conhecidas para formar uma rede de dispositivos comprometidos, com o objetivo de realizar ataques DDoS. Além disso, a Singapura implementou novas regras para bloquear mensagens fraudulentas que se passam por agências governamentais, visando reduzir o aumento de golpes online. O projeto Tor anunciou uma atualização significativa em seu algoritmo de criptografia, aumentando a segurança da rede contra ataques ativos. Em um relatório alarmante, a Kaspersky identificou cerca de 6,4 milhões de ataques de phishing, com foco em usuários de lojas online e sistemas de pagamento, especialmente durante a temporada de compras de 2025. Por fim, a NCA do Reino Unido desmantelou uma rede de lavagem de dinheiro que facilitava a evasão de sanções russas, destacando a interconexão entre cibercrime e crimes financeiros. Esses eventos ressaltam a necessidade urgente de fortalecer as defesas digitais e a vigilância contra novas táticas de cibercriminosos.

As empresas atualmente são desafiadas a manter entre 6 a 8 ferramentas de detecção de ameaças, consideradas essenciais na defesa cibernética. No entanto, muitos líderes de segurança enfrentam dificuldades para justificar a alocação de recursos para suas equipes de Centro de Operações de Segurança (SOC), resultando em investimentos assimétricos. Um estudo de caso recente revelou que, apesar de oito ferramentas de segurança de e-mail falharem em detectar um ataque de phishing sofisticado direcionado a executivos, as equipes do SOC conseguiram identificar a ameaça rapidamente após relatos de funcionários. Essa eficácia se deve a um investimento equilibrado ao longo do ciclo de alerta, que não negligencia o SOC. O artigo destaca que a falta de recursos no SOC pode dificultar a identificação de ameaças e sobrecarregar os analistas com alertas, comprometendo a capacidade de investigação. A adoção de plataformas de SOC baseadas em inteligência artificial (IA) está emergindo como uma solução eficaz, permitindo que equipes pequenas realizem investigações mais profundas e reduzam significativamente os falsos positivos. O investimento em SOC não apenas maximiza o retorno sobre os investimentos em ferramentas de detecção, mas também se torna crucial à medida que as ameaças se tornam mais sofisticadas.

O FBI alertou sobre um aumento significativo em fraudes de roubo de contas (ATO) nos Estados Unidos, onde cibercriminosos estão se passando por instituições financeiras para roubar dinheiro e informações sensíveis. Desde o início do ano, mais de 5.100 queixas foram registradas, resultando em perdas superiores a US$ 262 milhões. Os ataques geralmente envolvem técnicas de engenharia social, como mensagens de texto, chamadas e e-mails que exploram o medo dos usuários, além de sites falsos que imitam instituições financeiras. Os criminosos manipulam as vítimas a fornecerem suas credenciais de login, incluindo códigos de autenticação de múltiplos fatores. O FBI também destacou o uso de SEO para direcionar usuários a sites fraudulentos. Para se proteger, recomenda-se que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas regularmente e utilizem senhas complexas e únicas. O aumento das fraudes coincide com o uso de ferramentas de inteligência artificial por atacantes, que facilitam a criação de e-mails de phishing e sites falsos mais convincentes. Além disso, a exploração de vulnerabilidades em plataformas de e-commerce também foi observada, aumentando o risco de fraudes durante a temporada de compras.

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

O grupo de ameaças persistentes avançadas (APT) conhecido como APT31, vinculado à China, tem sido responsável por uma série de ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025. De acordo com pesquisadores da Positive Technologies, as empresas russas, especialmente aquelas que atuam como contratantes para agências governamentais, foram alvos frequentes. O APT31, ativo desde pelo menos 2010, utiliza serviços de nuvem legítimos, como o Yandex Cloud, para ocultar suas atividades de comando e controle (C2) e exfiltração de dados, misturando-se ao tráfego normal. Os ataques incluem técnicas sofisticadas, como phishing direcionado e o uso de ferramentas personalizadas para manter a persistência na rede das vítimas. Um dos métodos identificados foi o envio de e-mails com arquivos RAR que continham atalhos do Windows, permitindo a instalação de um loader chamado CloudyLoader. A utilização de ferramentas como SharpADUserIP e Tailscale VPN demonstra a adaptabilidade do grupo em explorar tanto recursos públicos quanto personalizados para suas operações. A capacidade do APT31 de permanecer indetectado por longos períodos representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a coleta de informações pode oferecer vantagens políticas e econômicas para a China.

Cibercriminosos estão explorando notificações de navegador como um novo vetor para ataques de phishing, utilizando uma plataforma chamada Matrix Push C2. Essa estrutura, que não requer arquivos, aproveita notificações push, alertas falsos e redirecionamentos de links para enganar vítimas em diferentes sistemas operacionais. Os atacantes induzem os usuários a permitir notificações de sites maliciosos ou comprometidos, enviando alertas que parecem ser do sistema operacional ou do próprio navegador, utilizando marcas confiáveis e linguagem convincente. Uma vez que a vítima clica em um botão de ‘Verificar’ ou ‘Atualizar’, é redirecionada para um site falso.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Pesquisadores da Check Point Research alertam sobre uma nova onda de e-mails de phishing que utilizam o domínio legítimo @facebookmail.com para enganar administradores de contas do Facebook Ads. Esses e-mails, que aparentam ser comunicações oficiais da Meta, têm como objetivo roubar credenciais de acesso. Aproximadamente 40 mil e-mails foram enviados a cerca de 5 mil usuários em várias regiões, incluindo Austrália, Canadá, Europa e Estados Unidos. Os assuntos das mensagens incluem ‘Verificação de Conta Necessária’ e ‘Convite para parceria Meta Agency’. Ao clicar nos links, as vítimas são direcionadas a páginas fraudulentas que imitam o branding da Meta, hospedadas em domínios como vercel.app. A campanha é massiva e visa empresas que dependem da Meta para marketing, como setores automotivo, educacional e financeiro. Para se proteger, recomenda-se a ativação da autenticação em duas etapas e a verificação de convites diretamente na plataforma do Facebook Business antes de clicar em links suspeitos.

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

Um novo golpe de cibersegurança está se espalhando, onde criminosos utilizam a funcionalidade de compartilhamento de tela do WhatsApp para roubar dados pessoais e dinheiro de vítimas. Segundo uma pesquisa da ESET, os golpistas iniciam o ataque com uma videochamada inesperada de um número desconhecido, alegando ser de um banco ou suporte da Meta. Eles criam um clima de pânico, informando que a conta da vítima pode estar comprometida. Para resolver a situação, os golpistas pedem que a vítima compartilhe a tela ou instale aplicativos de acesso remoto, como AnyDesk ou TeamViewer. Essa técnica de engenharia social se baseia em confiança, urgência e controle, levando as vítimas a revelarem informações sensíveis, como senhas e dados bancários. A Meta já tomou medidas para combater essa ameaça, banindo milhões de contas fraudulentas e alertando os usuários sobre os riscos de compartilhar a tela com desconhecidos. O golpe já causou perdas significativas, como um caso em Hong Kong onde uma vítima perdeu R$ 3,69 milhões. É crucial que os usuários estejam cientes desses riscos e adotem práticas seguras ao utilizar plataformas de comunicação.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

Os ataques de phishing estão se diversificando, com um em cada três ocorrendo fora do e-mail, especialmente no LinkedIn. Este artigo destaca como os atacantes estão utilizando a plataforma para realizar ataques direcionados, especialmente contra executivos de empresas nos setores financeiro e tecnológico. A natureza das mensagens diretas no LinkedIn permite que os ataques contornem as ferramentas tradicionais de segurança, que geralmente se concentram na proteção de e-mails. Além disso, a facilidade de criar contas falsas ou sequestrar contas legítimas torna o LinkedIn um alvo atraente para os criminosos. Os atacantes podem facilmente mapear perfis de empresas e identificar alvos de alto valor, aumentando a probabilidade de sucesso. A falta de proteção contra spam e a expectativa de interações profissionais tornam os usuários mais suscetíveis a cair em armadilhas. O impacto potencial desses ataques pode ser devastador, com acesso a dados críticos e funções empresariais. Portanto, é crucial que as empresas adotem medidas proativas para proteger suas redes e treinar seus funcionários sobre os riscos associados a essas novas formas de phishing.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.