Phishing

No combate ao cibercrime, muitas vezes pensamos em hackers sofisticados e códigos complexos, mas o relatório da Verizon Business 2025 revela que quase 60% das violações de dados envolvem o fator humano. Técnicas de engenharia social, como phishing e pretexting, continuam a ser as mais comuns, utilizando elementos do nosso cotidiano digital, como notificações de entrega e solicitações de redefinição de senha, para enganar os usuários. Os criminosos cibernéticos estão se aproveitando da confiança que depositamos em plataformas digitais, criando armadilhas que se disfarçam como atualizações legítimas ou links de newsletters confiáveis. Além disso, novas táticas, como induzir usuários a copiar e colar comandos maliciosos, estão transformando ferramentas comuns em cúmplices involuntários. Mesmo a autenticação multifatorial (MFA), considerada uma defesa robusta, está sendo explorada por criminosos através de plataformas de phishing. A defesa mais eficaz contra essas ameaças não é apenas software, mas sim indivíduos informados e vigilantes. A cibersegurança deve ser uma preocupação coletiva, exigindo pensamento crítico e ceticismo em cada interação online.

Os ataques ’living off the land’ (LotL) são uma técnica de cibercrime que utiliza ferramentas legítimas já instaladas no sistema da vítima para realizar atividades maliciosas. Ao invés de depender de malwares que podem ser facilmente detectados por antivírus, os criminosos exploram softwares como o PowerShell e o WMI, que são essenciais para a administração do sistema. Isso torna a detecção desses ataques extremamente difícil, pois os programas de segurança não conseguem identificar a diferença entre ações benignas e maliciosas.

Pesquisadores da Socket identificaram uma extensão maliciosa chamada Safery: Ethereum Wallet, disponível na Chrome Web Store, que se disfarça como uma carteira de criptomoedas segura. Desde sua publicação em 29 de setembro de 2025, a extensão tem como objetivo roubar as seed phrases, que são as senhas utilizadas para recuperar carteiras de criptomoedas. A extensão contém uma backdoor que extrai essas frases mnemônicas e as envia disfarçadas como endereços de carteiras Sui, utilizando microtransações de 0,000001 SUI para ocultar o roubo. Essa técnica permite que os hackers obtenham as seed phrases sem a necessidade de um servidor de comando e controle, tornando o ataque mais difícil de detectar. Os especialistas recomendam que usuários de criptomoedas utilizem apenas extensões confiáveis e conhecidas, além de sugerirem que organizações realizem escaneamentos em busca de códigos maliciosos em extensões instaladas. A extensão ainda está disponível para download, o que representa um risco significativo para os usuários de criptomoedas.

Documentos obtidos pela Reuters revelam que a Meta, empresa responsável por plataformas como Facebook, Instagram e WhatsApp, obteve 10% de seu lucro anual em 2024, equivalente a US$ 16 bilhões, a partir de anúncios relacionados a fraudes e produtos ilegais. A investigação aponta que, ao longo de três anos, a Meta falhou em identificar e mitigar anúncios que direcionam usuários a lojas virtuais fraudulentas, golpes de investimento e comércio de produtos proibidos. Apesar de um porta-voz da Meta afirmar que os números foram inflacionados e que a empresa tomou medidas para reduzir esses anúncios, os documentos indicam que a companhia prioriza o lucro em vez de proteger os usuários. Em 2023, 96% dos 100.000 relatos de fraudes feitos pelos usuários foram ignorados. Embora a Meta tenha removido mais de 134 milhões de conteúdos fraudulentos em 2025, a documentação sugere que ainda é mais fácil anunciar fraudes em suas plataformas do que em concorrentes como o Google. A empresa planeja reduzir gradualmente o lucro proveniente de anúncios ilícitos, mas sem ações imediatas, mantendo uma política reativa em relação a regulamentações.

A Google entrou com um processo judicial no distrito de Nova York contra um grupo de hackers da China, conhecido por operar uma plataforma de phishing-as-a-service (PhaaS) chamada Lighthouse. Este grupo é acusado de realizar golpes massivos de smishing, afetando mais de 1 milhão de usuários em 120 países, utilizando a confiança em marcas como E-ZPass e USPS para enganar as vítimas. Os golpistas exploraram a reputação da Google e de outras empresas, criando sites fraudulentos que imitavam suas marcas, resultando em lucros estimados em até US$ 1 bilhão nos últimos três anos. A empresa está tomando medidas legais para desmantelar essa infraestrutura criminosa, com base em leis anticorrupção e de fraude computacional. A operação, conhecida como Smishing Triad, está ligada a mais de 17.500 domínios de phishing e comprometeu entre 12,7 milhões e 115 milhões de pagamentos por cartão nos Estados Unidos entre julho de 2023 e outubro de 2024. A evolução das ferramentas de cibercrime, como o Ghost Tap, também foi destacada, permitindo que os golpistas adicionassem detalhes de cartões de crédito a carteiras digitais em dispositivos móveis.

Cibercriminosos estão utilizando uma nova onda de ataques de phishing que se disfarçam como alertas de filtros de spam internos e notificações de mensagens seguras corporativas. O objetivo é roubar credenciais de e-mail, convencendo os destinatários de que algumas de suas mensagens legítimas foram atrasadas após uma atualização de sistema de segurança. Os e-mails, que aparentam ser profissionais, afirmam que mensagens específicas estão pendentes e precisam ser movidas manualmente para a caixa de entrada. Ao clicar em um botão que parece inofensivo, os usuários são redirecionados para um site de phishing que utiliza domínios confiáveis para evitar filtros de segurança. A página de phishing é altamente realista, com um formulário de login personalizado que solicita o e-mail e a senha do usuário, utilizando uma conexão WebSocket para roubo de dados em tempo real. Pesquisadores alertam que a melhor defesa é a conscientização sobre segurança, recomendando que os funcionários verifiquem a autenticidade de alertas inesperados e utilizem autenticação multifatorial. A crescente complexidade desses ataques indica uma evolução nas operações de phishing, tornando-as mais automatizadas e adaptativas.

Uma campanha de phishing em larga escala, atribuída a um grupo de ameaças de língua russa, tem como alvo clientes da indústria de hospitalidade, especialmente hóspedes de hotéis. Desde o início de 2025, mais de 4.300 domínios foram registrados para essa atividade, com 685 deles contendo o nome ‘Booking’, além de outros nomes populares como ‘Expedia’ e ‘Airbnb’. A campanha, que começou em fevereiro, utiliza um kit de phishing sofisticado que personaliza a página apresentada ao visitante com base em um identificador único na URL. Os ataques começam com e-mails de phishing que incentivam os destinatários a clicar em links para confirmar reservas, levando-os a sites falsos que imitam marcas conhecidas. Esses sites suportam 43 idiomas e utilizam um sistema de cookies para manter a aparência de marca durante a navegação. Após a inserção de dados do cartão de crédito, os atacantes tentam processar transações em segundo plano, enquanto uma janela de ‘chat de suporte’ aparece para enganar a vítima. A identidade do grupo por trás da campanha ainda é desconhecida, mas o uso de comentários em russo no código sugere sua origem. A campanha se alinha com outras atividades de phishing que visam a indústria hoteleira, levantando preocupações sobre a segurança de dados e conformidade com a LGPD.

O cenário de cibersegurança está em constante evolução, com hackers utilizando técnicas cada vez mais sofisticadas para comprometer sistemas confiáveis. O governo do Reino Unido propôs um novo projeto de lei, o Cyber Security and Resilience Bill, que visa fortalecer a segurança nacional e proteger serviços públicos essenciais, como saúde e energia, de ataques cibernéticos. Empresas de médio e grande porte que oferecem serviços de TI deverão relatar incidentes cibernéticos significativos em até 24 horas, com penalidades severas para violações. Além disso, um ex-funcionário da Intel foi acusado de roubar documentos classificados como ‘Top Secret’, levantando preocupações sobre a proteção de dados sensíveis. O OWASP atualizou sua lista das 10 principais ameaças a aplicações web, incluindo falhas na cadeia de suprimentos de software. Um estudo revelou que 65% das principais empresas de IA vazaram segredos no GitHub, destacando a vulnerabilidade de dados sensíveis. Uma nova campanha de phishing, que se disfarça como notificações do Facebook, já enviou mais de 40 mil e-mails fraudulentos, demonstrando como os atacantes exploram a confiança em plataformas conhecidas. Por fim, o navegador Firefox implementou novas defesas contra rastreamento online, enquanto um kit de phishing chamado Quantum Route Redirect está facilitando o roubo de credenciais do Microsoft 365, afetando usuários em 90 países.

O Google anunciou uma ação legal contra o ‘Lighthouse’, uma plataforma de Phishing-as-a-Service (PhaaS) que tem sido responsável por um aumento significativo de ataques de phishing via SMS, conhecidos como ‘smishing’, desde 2020. Com mais de 1 milhão de vítimas em mais de 120 países, os prejuízos nos EUA incluem o roubo de até 115 milhões de cartões de crédito. A investigação forense do Google revelou pelo menos 107 modelos de sites que usavam a marca oficial do Google para enganar usuários e coletar dados sensíveis, como credenciais de e-mail e informações bancárias. Os ataques geralmente envolvem mensagens de texto que simulam comunicações de organizações confiáveis sobre pacotes ou taxas de pedágio não pagas, levando as vítimas a sites fraudulentos. A ação legal do Google se baseia em várias leis, incluindo a Lei RICO, e busca desmantelar a infraestrutura do Lighthouse. Além disso, a empresa está promovendo três projetos de lei no Congresso dos EUA para fortalecer a resposta a operações criminosas. O Google também está implementando soluções tecnológicas, como IA para detectar fraudes em tempo real, visando proteger os usuários antes que interajam com conteúdos maliciosos.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

O Google entrou com uma ação civil no Tribunal Distrital dos EUA para o Sul de Nova York contra hackers baseados na China, responsáveis por uma plataforma de Phishing-as-a-Service (PhaaS) chamada Lighthouse. Essa plataforma já afetou mais de 1 milhão de usuários em 120 países, utilizando ataques de phishing via SMS que se disfarçam como mensagens de marcas confiáveis, como E-ZPass e USPS, para roubar informações financeiras. A operação, que gerou mais de um bilhão de dólares em três anos, utiliza templates fraudulentos que imitam a marca do Google, enganando os usuários. A empresa busca desmantelar a infraestrutura criminosa sob a Lei RICO e outras legislações. A plataforma Lighthouse, junto com outras como Darcula e Lucid, faz parte de um ecossistema de cibercrime interconectado que envia milhares de mensagens maliciosas, visando roubar dados sensíveis. Estima-se que entre 12,7 milhões e 115 milhões de cartões de pagamento tenham sido comprometidos nos EUA entre julho de 2023 e outubro de 2024. A crescente sofisticação dos ataques, incluindo o uso de ferramentas como Ghost Tap, representa uma ameaça significativa para a segurança digital.

Uma nova campanha de phishing, identificada pela Check Point Research, impactou mais de 5 mil empresas que utilizam o Facebook para publicidade. Os cibercriminosos enviaram cerca de 40 mil e-mails contendo links maliciosos, utilizando o domínio oficial da Meta para dar a impressão de legitimidade. A tática visa roubar credenciais e dados sigilosos, afetando especialmente setores como automotivo, educacional, imobiliário, hoteleiro e financeiro. Os e-mails fraudulentos foram elaborados para parecerem notificações reais do Meta Business Suite, o que aumentou a probabilidade de que os funcionários das empresas caíssem no golpe. A engenharia social foi utilizada para criar um senso de urgência, levando as vítimas a agir impulsivamente. A pesquisa destaca a gravidade do problema, pois os ataques foram realizados sob a aparência da própria plataforma da Meta, tornando-os mais perigosos do que tentativas comuns de phishing. Especialistas alertam que a credibilidade do domínio do remetente torna essas tentativas de phishing especialmente preocupantes, exigindo atenção redobrada das empresas.

Em 2025, o Brasil enfrenta um aumento alarmante de ataques digitais, com uma média de 15 incidentes por hora, segundo dados da Check Point Research. O levantamento aponta que, semanalmente, são registrados cerca de 2,6 mil ciberataques a empresas, representando um crescimento de 21% em relação ao ano anterior. Esse cenário se agrava durante períodos sazonais, como a Black Friday e o Natal, quando o comércio eletrônico intensifica suas atividades. Especialistas alertam que, durante essas épocas, as ameaças mais comuns incluem phishing, roubo de credenciais e ransomware, que podem comprometer tanto a operação das empresas quanto a confiança dos consumidores. Para mitigar esses riscos, é essencial que as empresas reforcem suas infraestruturas de segurança, adotando medidas como certificados SSL, autenticação de dois fatores e monitoramento constante de servidores. A proteção dos dados dos consumidores é crucial, especialmente em um ambiente onde fraudes e vazamentos de informações estão em alta. Portanto, a preparação e a vigilância são fundamentais para garantir uma experiência de compra segura durante as promoções de fim de ano.

Cibercriminosos estão aproveitando a angústia emocional de proprietários de iPhones que perderam seus dispositivos. O Centro Nacional de Cibersegurança da Suíça (NCSC) alertou sobre uma campanha de phishing direcionada, onde as vítimas recebem mensagens de texto enganosas afirmando que seu iPhone perdido ou roubado foi localizado no exterior. Essas mensagens parecem legítimas, contendo detalhes precisos do dispositivo, como modelo, cor e capacidade de armazenamento, possivelmente extraídos do próprio telefone roubado.

Nos últimos dez anos, a comunidade de cibercriminosos de língua inglesa conhecida como “The COM” evoluiu de um nicho focado na troca de nomes de usuário raros em redes sociais para uma economia subterrânea ágil que orquestra uma ampla gama de ataques globais. Com a queda de fóruns de alto perfil, como o RaidForums, a COM se adaptou, combinando habilidades de manipulação social com a expertise técnica de hackers focados em vazamentos de dados. As táticas incluem engenharia social, phishing, SIM swapping e recrutamento de insiders, com grupos como Lapsus$, ShinyHunters e Scattered Spider exemplificando essa nova abordagem. A COM opera como uma cadeia de suprimentos profissionalizada, onde papéis especializados colaboram em um modelo modular, facilitando a escalabilidade e inovação. A colaboração entre especialistas de língua inglesa e sindicatos de cibercrime de língua russa intensifica a ameaça, tornando a defesa mais desafiadora. Para se proteger, as organizações devem adotar defesas centradas na identidade, autenticação multifatorial resistente a phishing e monitoramento contínuo de ameaças internas, reconhecendo que a cibercriminalidade é tanto um negócio quanto uma performance, visando não apenas sistemas, mas também pessoas.

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Golpistas estão aproveitando a esperança de usuários de iPhone que perderam seus dispositivos, enviando mensagens de phishing que se disfarçam como notificações do serviço ‘Find My’ da Apple. Essas mensagens afirmam que o iPhone perdido foi encontrado, levando as vítimas a um site falso que coleta credenciais do Apple ID. O golpe é sofisticado, utilizando detalhes precisos sobre o dispositivo, como modelo e cor, para parecer legítimo. A Swiss National Cyber Security Centre (NCSC) alerta que essa prática não só visa roubar informações pessoais, mas também remover o bloqueio de ativação do aparelho, permitindo que os golpistas revendam o dispositivo. A Apple já informou que nunca entra em contato por SMS ou e-mail para relatar a localização de um dispositivo perdido. Para se proteger, os usuários devem ativar o Modo Perdido pelo iCloud, manter seus cartões SIM seguros e evitar expor informações pessoais na tela de bloqueio. O uso de software antivírus e a ativação de firewalls também são recomendados para reduzir a exposição a ameaças online.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.

O smishing e o vishing são formas de phishing que utilizam SMS e chamadas telefônicas, respectivamente, para enganar as vítimas e roubar informações pessoais. O smishing combina mensagens de texto com engenharia social, frequentemente se disfarçando como comunicações de bancos ou empresas conhecidas, alertando sobre problemas urgentes que exigem ação imediata, como o bloqueio de contas ou entrega de pacotes. Já o vishing envolve ligações telefônicas em que golpistas se passam por funcionários de instituições financeiras ou autoridades, solicitando dados sensíveis sob pretextos de urgência. Ambas as táticas exploram a confiança das vítimas e podem resultar em sérios danos financeiros e de privacidade. Para se proteger, é fundamental estar atento a sinais de alerta, como mensagens ou ligações que exigem informações pessoais e sempre verificar a autenticidade das comunicações recebidas.

A nova funcionalidade do Microsoft Teams, que permite que usuários iniciem chats com qualquer pessoa apenas utilizando um endereço de e-mail, levanta sérias preocupações de segurança. Essa atualização, que será lançada em novembro de 2025, visa facilitar a colaboração, mas especialistas em cibersegurança alertam que pode se tornar um vetor primário para campanhas de phishing e distribuição de malware. A capacidade de convidar participantes externos como convidados, sem processos de validação, amplia a superfície de ataque para agentes maliciosos. Os atacantes podem enviar convites falsos que parecem ser de parceiros de negócios legítimos, levando os usuários a clicarem em links maliciosos ou a revelarem credenciais sensíveis. Além disso, a possibilidade de exposição acidental de dados confidenciais aumenta, especialmente em ambientes de trabalho híbridos. Para mitigar esses riscos, recomenda-se que as organizações desativem a funcionalidade por meio do PowerShell e implementem autenticação multifatorial, auditorias regulares de políticas e treinamentos de conscientização sobre phishing. A Microsoft reconheceu as implicações de segurança e aconselhou as empresas a atualizarem suas documentações internas e treinarem suas equipes de suporte.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

O artigo aborda o ciclo de comprometimento de credenciais, destacando como usuários, como Sarah do departamento de contabilidade, podem inadvertidamente entregar suas informações de login a cibercriminosos através de e-mails de phishing. O texto descreve as etapas desse ciclo, desde a criação de credenciais pelos usuários até a exploração ativa por hackers, que podem levar a roubo de dados e ataques de ransomware. Os vetores comuns de comprometimento incluem campanhas de phishing, reutilização de senhas e vazamentos de chaves de API. O impacto real de um comprometimento de credenciais pode ser devastador, resultando em invasões de contas, roubo de dados e aumento de custos operacionais. O artigo enfatiza a importância de ações proativas para detectar credenciais comprometidas, como o uso de ferramentas como o Credential Checker da Outpost24, que ajuda a identificar se as credenciais de uma empresa estão expostas em repositórios de vazamentos. A urgência em proteger as credenciais é destacada, considerando que muitas podem já estar comprometidas sem o conhecimento da organização.

Em julho de 2025, a empresa de cibersegurança Doctor Web foi acionada por uma organização estatal russa devido a atividades suspeitas de spam originadas de seus e-mails internos. Uma investigação forense revelou que a organização foi alvo de uma campanha de ciberespionagem sofisticada pelo grupo de hackers conhecido como Cavalry Werewolf. Os atacantes utilizaram anexos de phishing com variantes de malware para infiltrar a rede governamental e coletar dados sensíveis, incluindo documentos internos e detalhes de configuração da rede. O malware principal, BackDoor.ShellNET.1, estabeleceu conexões de shell reverso com servidores remotos, permitindo a execução de comandos. Após garantir o acesso, os invasores baixaram cargas adicionais usando ferramentas legítimas do sistema, como BITSADMIN, para escalar a intrusão e estabelecer persistência. A investigação revelou um vasto arsenal de ferramentas utilizadas, incluindo trojans e backdoors que permitiram a execução remota de comandos e movimentação lateral na rede. O grupo Cavalry Werewolf também se destacou pelo uso de comunicação externa e backdoors controlados via Telegram, mantendo acesso prolongado à rede comprometida. A análise mapeou as técnicas utilizadas ao framework MITRE ATT&CK, destacando a gravidade e a complexidade do ataque.

Pesquisadores de cibersegurança da Sekoia identificaram uma campanha de phishing sofisticada que visa clientes da indústria de hospitalidade em todo o mundo, utilizando contas de hotéis comprometidas do Booking.com. Os atacantes exploram dados de clientes roubados, como identificadores pessoais e detalhes de reservas, para realizar fraudes bancárias altamente credíveis desde abril de 2025.

A metodologia do ataque é de múltiplas etapas, começando com e-mails maliciosos enviados a administradores de hotéis a partir de contas de e-mail corporativas comprometidas. Esses e-mails imitam comunicações do Booking.com, com linhas de assunto que mencionam solicitações de clientes e códigos de rastreamento, enganando os destinatários. Os links contidos nos e-mails redirecionam as vítimas para páginas falsas que imitam o Booking.com, onde são induzidas a executar comandos do PowerShell disfarçados, resultando na instalação do malware PureRAT em seus sistemas.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

Pesquisadores da Proofpoint identificaram um novo grupo de ameaças ligado ao Irã, denominado UNK_SmudgedSerpent, que realizou operações de phishing voltadas para acadêmicos e especialistas em política externa entre junho e agosto de 2025. As campanhas utilizaram táticas de engenharia social, ferramentas de colaboração falsificadas e software legítimo de monitoramento remoto para infiltrar alvos focados em questões geopolíticas e domésticas do Irã.

O grupo começou com conversas benignas sobre mudanças sociais no Irã, mas rapidamente evoluiu para o envio de links para coleta de credenciais e cargas administrativas remotas. Um dos ataques mais notáveis envolveu a falsificação do e-mail de Suzanne Maloney, diretora do Brookings Institution, que contatou membros de think tanks com convites para colaboração que levavam a páginas de login falsas do Microsoft 365. O uso de software comercial para gerenciamento remoto, como o PDQConnect, permitiu acesso contínuo aos sistemas das vítimas.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

Hackers estão colaborando com gangues de crime organizado para roubar cargas diretamente das cadeias de suprimentos, conforme relatado pela ProofPoint. Esses ataques envolvem o envio de links maliciosos para empresas de logística, permitindo que os criminosos acessem sistemas e redirecionem remessas para destinos fraudulentos. Através de engenharia social, os hackers conseguem identificar cargas de alto valor e se passam por representantes legítimos, manipulando motoristas e eliminando notificações de despachantes. Embora não haja relatos de violência, a possibilidade de danos físicos aos motoristas é uma preocupação real. O roubo de cargas já representa um custo anual de aproximadamente 34 bilhões de dólares, e a digitalização das cadeias de suprimentos aumenta a vulnerabilidade a esses ataques. A combinação de habilidades cibernéticas e táticas tradicionais de roubo sugere uma evolução preocupante no crime, exigindo atenção redobrada das empresas de logística e transporte.

Com a aproximação das férias de fim de ano, uma pesquisa da Proofpoint revela que mais da metade dos principais sites de turismo no Brasil, como Booking, Airbnb e Tripadvisor, não adotam práticas adequadas de segurança digital. O estudo analisou 20 plataformas populares e constatou que 55% delas não implementam medidas básicas, como o bloqueio de e-mails falsos, o que aumenta o risco de fraudes online. Embora 80% dos sites utilizem o protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance), apenas 45% o fazem de forma avançada, deixando uma brecha para cibercriminosos que podem falsificar identidades e aplicar técnicas de phishing. Para evitar golpes, os usuários devem desconfiar de links suspeitos, verificar a autenticidade de mensagens e evitar senhas fracas. A pesquisa destaca a necessidade urgente de melhorias na segurança digital dessas plataformas, especialmente em um período em que o turismo tende a aumentar.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

Uma nova campanha de phishing tem como alvo executivos do setor financeiro no LinkedIn, conforme identificado pela Push Security. Os cibercriminosos enviam mensagens diretas com convites falsos para reuniões de diretoria, utilizando a isca de uma oportunidade de trabalho promissora. Ao clicar no link contido na mensagem, a vítima é redirecionada por várias páginas até chegar a um site falso que simula uma plataforma de compartilhamento de dados do LinkedIn. Esse site apresenta documentos falsos e, ao tentar acessá-los, a vítima é levada a uma página que exige autenticação na Microsoft, onde uma técnica chamada Adversary-in-the-Middle (AITM) é utilizada para roubar credenciais de login e cookies do navegador.

Pesquisadores de segurança da Arctic Wolf Labs alertaram sobre um ataque cibernético direcionado a diplomatas europeus, realizado por um grupo de hackers conhecido como Mustang Panda, vinculado ao governo chinês. O ataque utiliza uma vulnerabilidade zero-day no Windows, identificada como CVE-2025-9491, que permite a exploração de arquivos .LNK maliciosos. Esses arquivos foram enviados em e-mails de phishing, disfarçados como convites para eventos diplomáticos, como workshops de defesa da OTAN. Ao serem abertos, os arquivos executam um Trojan de Acesso Remoto (RAT) chamado PlugX, que concede acesso persistente ao sistema comprometido, permitindo a espionagem e a exfiltração de dados. A vulnerabilidade, que é considerada de alta severidade, foi associada a campanhas de espionagem que datam de 2017. A exploração requer interação do usuário, o que a torna menos crítica, mas ainda assim representa um risco significativo para a segurança de informações sensíveis. O ataque destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados diplomáticos e governamentais.

Os ciberataques estão se tornando cada vez mais inteligentes e difíceis de prevenir. Recentemente, hackers utilizaram ferramentas discretas e exploraram falhas de segurança recém-descobertas, atacando sistemas confiáveis e aproveitando-se de vulnerabilidades em questão de horas. As ameaças incluem espionagem, fraudes em empregos, ransomware avançado e phishing complexo, colocando até mesmo backups criptografados em risco. Um dos principais incidentes desta semana foi a exploração de uma falha crítica no Motex Lanscope Endpoint Manager, atribuída a um ator de espionagem cibernética suspeito da China, que implantou uma backdoor chamada Gokcpdoor em redes-alvo. Além disso, ataques de hackers russos à Ucrânia destacaram o uso de ferramentas administrativas comuns para roubo de dados, enquanto um novo malware bancário para Android, chamado Herodotus, imita o comportamento humano para evitar detecções. O ransomware Qilin também se destacou por utilizar o Windows Subsystem for Linux para lançar ataques em sistemas Windows, aumentando sua eficácia. A rápida exploração de vulnerabilidades, como as listadas na lista de CVEs críticos da semana, ressalta a necessidade urgente de ações corretivas por parte das organizações.

Um novo conjunto de ataques cibernéticos tem como alvo empresas de transporte e logística, com o objetivo de instalar softwares de monitoramento remoto (RMM) para roubo de cargas. De acordo com a Proofpoint, esses ataques estão em andamento desde junho de 2025 e envolvem a colaboração com grupos de crime organizado. Os produtos mais visados incluem alimentos e bebidas, que são frequentemente vendidos online ou enviados para o exterior. Os atacantes utilizam técnicas como phishing direcionado e comprometimento de contas de e-mail para infiltrar-se nas empresas. Uma vez dentro, eles podem manipular sistemas, deletar reservas e coordenar o transporte de cargas sob nomes de transportadoras comprometidas. O uso de softwares RMM é vantajoso para os atacantes, pois permite que eles operem de forma discreta, já que essas ferramentas são comuns em ambientes corporativos e frequentemente não são sinalizadas como maliciosas. A situação representa um risco significativo para a segurança da cadeia de suprimentos, especialmente em um setor tão crítico quanto o de transporte e logística.

No último Fórum Latinoamericano de Segurança da ESET, realizado no Uruguai, especialistas discutiram as tendências em cibersegurança até 2026, destacando o uso crescente da inteligência artificial (IA) em crimes virtuais. Pesquisadores como Martina López e Mario Micucci alertaram para o aumento do uso de IA agêntica, que permite a execução de ataques cibernéticos com mínima intervenção humana, especialmente em phishing e spear-phishing. Além disso, a evolução dos ransomwares, incluindo o modelo ransomware-as-a-service (RaaS), foi enfatizada, com a introdução de ransomwares desenvolvidos com IA, como o LunaLock. A regulamentação da IA também foi um ponto central, com a necessidade de legislações que garantam transparência e proteção contra abusos, como deepfakes. O Ato de Inteligência Artificial da União Europeia foi citado como um exemplo positivo, exigindo que empresas informem sobre o uso de IA. O artigo conclui que a cibersegurança enfrentará desafios significativos, com a necessidade de auditorias eficazes e regulamentações que protejam a integridade dos dispositivos tecnológicos.

Nos últimos tempos, a popularidade dos QR Codes cresceu, especialmente em locais públicos, onde muitos usuários os escaneiam em busca de conteúdos divertidos. No entanto, essa prática pode ser extremamente arriscada. Cibercriminosos estão utilizando QR Codes falsos para aplicar golpes, como phishing, que visam roubar dados pessoais e financeiros. Um exemplo comum é o uso de QR Codes que prometem ‘Wi-Fi Grátis’, mas que redirecionam os usuários para sites fraudulentos que imitam páginas legítimas, capturando informações sensíveis. Além disso, os golpistas podem induzir vítimas a realizar transferências financeiras erradas por meio de códigos falsos, como no caso do golpe do Pix. Outro risco é a instalação de malwares, que podem comprometer dispositivos móveis ao baixar arquivos maliciosos. Os QR Codes também podem conectar usuários a redes Wi-Fi maliciosas, permitindo que criminosos monitorem o tráfego de dados. Por fim, mesmo que menos grave, o direcionamento para conteúdos impróprios pode causar constrangimento. Portanto, é fundamental ter cautela ao escanear QR Codes desconhecidos, especialmente em ambientes públicos.

O grupo de ameaças conhecido como UNC6384, associado à China, está vinculado a uma nova onda de ataques que exploram uma vulnerabilidade não corrigida em atalhos do Windows, visando entidades diplomáticas e governamentais na Europa entre setembro e outubro de 2025. Os ataques foram direcionados a organizações diplomáticas na Hungria, Bélgica, Itália e Países Baixos, além de agências governamentais na Sérvia. A cadeia de ataque começa com e-mails de spear-phishing que contêm URLs maliciosas, levando à entrega de arquivos LNK que exploram a vulnerabilidade ZDI-CAN-25373, identificada como CVE-2025-9491. Esses arquivos são projetados para desencadear uma sequência de ataques que culminam na implantação do malware PlugX, um trojan de acesso remoto. O PlugX é conhecido por suas capacidades de acesso remoto, incluindo execução de comandos, registro de teclas e upload/download de arquivos. A evolução do malware foi observada, com a redução do tamanho dos artefatos de 700 KB para 4 KB, indicando um desenvolvimento ativo. A campanha se alinha com os interesses estratégicos da China em relação à coesão das alianças europeias e iniciativas de defesa.

Pesquisadores de segurança descobriram uma sofisticada campanha de phishing multilíngue que visa organizações governamentais e financeiras na Ásia Oriental e Sudeste Asiático. A campanha utiliza arquivos ZIP como iscas, entregues por meio de páginas de phishing em três idiomas: chinês, inglês e japonês. A análise técnica revelou 28 páginas de phishing interconectadas, todas com scripts de backend idênticos, operando a partir de uma infraestrutura automatizada centralizada. Os atacantes, originários de Taiwan e China continental, expandiram suas operações para o Japão, Indonésia, Malásia, Tailândia e Camboja, indicando um alvo coordenado em múltiplas jurisdições. Os arquivos ZIP têm nomes enganosos adaptados a cada região, como “Lista de Faturas Fiscais” em chinês e “Documentos de Declaração de Impostos” em inglês. A campanha representa uma evolução nas táticas de ataque, passando de ondas de phishing localizadas para uma abordagem regionalizada, capaz de atingir simultaneamente públicos multilíngues. Especialistas recomendam que organizações bloqueiem domínios maliciosos e implementem detecções em gateways de e-mail para arquivos ZIP com temas financeiros ou governamentais.

O Google anunciou que suas defesas contra fraudes em Android protegem usuários globalmente, bloqueando mais de 10 bilhões de chamadas e mensagens suspeitas mensalmente. A empresa impediu que mais de 100 milhões de números suspeitos utilizassem os Serviços de Comunicação Ricos (RCS), evitando que fraudes fossem enviadas. Recentemente, o Google implementou links mais seguros no aplicativo Google Messages, alertando os usuários sobre URLs em mensagens marcadas como spam. A análise de relatórios de usuários revelou que fraudes de emprego são as mais comuns, seguidas por golpes financeiros relacionados a contas falsas e esquemas de investimento. O Google também observou um aumento em mensagens fraudulentas enviadas em grupos, o que pode tornar as fraudes menos suspeitas. As mensagens fraudulentas seguem um padrão de envio, com picos de atividade nas manhãs de segunda-feira. Os golpistas utilizam táticas como ‘Spray and Pray’ e ‘Bait and Wait’ para enganar as vítimas, e a operação é apoiada por fornecedores que oferecem serviços de envio em massa. O cenário de mensagens fraudulentas é volátil, com golpistas mudando constantemente de estratégia para evitar a detecção.