Phishing

Recentemente, entidades israelenses de diversos setores, incluindo tecnologia e infraestrutura crítica, foram alvo de uma nova onda de ataques cibernéticos atribuídos ao grupo de hackers MuddyWater, vinculado ao Ministério da Inteligência e Segurança do Irã. Os ataques introduziram um backdoor inédito chamado MuddyViper, que permite aos invasores coletar informações do sistema, executar comandos e exfiltrar credenciais de login. As campanhas de phishing, que utilizam e-mails com anexos PDF, têm como objetivo infiltrar redes por meio de ferramentas de gerenciamento remoto legítimas. Além do MuddyViper, o grupo utiliza uma variedade de ferramentas, como Fooder, um loader que executa o backdoor, e outros RATs (Remote Access Trojans) que facilitam o controle remoto das máquinas comprometidas. A evolução das táticas do MuddyWater indica um aumento na sofisticação operacional, com um foco em furtividade e persistência. O ataque também coincide com a divulgação de documentos internos de um grupo de hackers iraniano, revelando uma estrutura organizacional complexa e hierárquica, o que sugere um aparato cibernético estatal bem estruturado. Essa situação levanta preocupações sobre a segurança cibernética em setores críticos, especialmente em um contexto onde o Brasil também enfrenta desafios semelhantes em sua infraestrutura.

O grupo de cibercriminosos conhecido como Tomiris tem sido associado a uma série de ataques direcionados a ministérios estrangeiros, organizações intergovernamentais e entidades governamentais na Rússia, com o objetivo de estabelecer acesso remoto e implantar ferramentas adicionais. A Kaspersky destaca uma mudança nas táticas do grupo, que agora utiliza serviços públicos como Telegram e Discord como servidores de comando e controle (C2), misturando tráfego malicioso com atividades legítimas para evitar a detecção. Mais de 50% dos e-mails de spear-phishing utilizados na campanha continham nomes e textos em russo, indicando que o foco principal são usuários de língua russa, além de alvos em países da Ásia Central. Os ataques utilizam uma combinação de shells reversos, implantes personalizados e frameworks de C2 de código aberto, como Havoc e AdaptixC2. A evolução das táticas do Tomiris enfatiza a importância da furtividade e da persistência a longo prazo, visando especificamente organizações governamentais e intergovernamentais. A Kaspersky alerta que a campanha de 2025 do Tomiris utiliza módulos de malware multilíngues para aumentar a flexibilidade operacional e evitar detecções.

O FBI alertou que, em 2025, hackers roubaram mais de US$ 262 milhões de alvos nos EUA através de esquemas de tomada de conta. Esses ataques, que afetam indivíduos, empresas e organizações, geralmente envolvem técnicas de engenharia social, como phishing, onde os criminosos manipulam as vítimas para que revelem suas credenciais de login. Após obter acesso, os atacantes podem redefinir senhas e transferir fundos para contas que controlam, frequentemente convertendo o dinheiro em criptomoedas para dificultar o rastreamento. O uso de inteligência artificial (IA) tem potencializado esses golpes, permitindo a criação de campanhas de phishing mais convincentes e sites falsos que imitam marcas conhecidas, como Amazon. O FBI também destacou o aumento de campanhas de phishing móvel, onde os atacantes se aproveitam de nomes de marcas confiáveis para induzir os usuários a clicar em links maliciosos. Para se proteger, o FBI recomenda que os usuários limitem a informação pessoal compartilhada online, monitorem suas contas financeiras e utilizem senhas complexas e únicas para cada conta.

Um estudo da NordVPN revelou um aumento alarmante de 250% em sites falsos que imitam grandes varejistas, como a Amazon, durante a Black Friday. Entre setembro e outubro, os sites fraudulentos que se passavam pela Amazon cresceram 232%, enquanto os que imitavam o eBay aumentaram 525%. Essa situação é preocupante, pois apenas 27% dos brasileiros se sentem capacitados para identificar golpes digitais, uma queda significativa em relação ao ano anterior. Além disso, 69% dos consumidores acreditam estar bem informados sobre ciberataques, mas mais de 70% já foram vítimas de algum tipo de fraude. Os golpistas utilizam táticas como a ‘falsa venda’, onde produtos inexistentes são anunciados, levando os consumidores a perder dinheiro e dados sensíveis. Para se proteger, é essencial verificar o endereço do site, desconfiar de ofertas muito vantajosas e checar a presença de informações de contato da loja. A conscientização e a cautela são fundamentais para evitar fraudes durante esse período de compras.

A Black Friday é um período de grandes ofertas, mas também de riscos elevados de fraudes online. O artigo de Lillian Sibila Dala Costa destaca a importância de estar atento a golpes que se intensificam durante essa temporada de compras. Mirella Kurata, CEO da DMK3, alerta que os cibercriminosos utilizam táticas como phishing, imitação de grandes varejistas e criação de links fraudulentos para enganar consumidores. Para evitar cair nessas armadilhas, o artigo apresenta sete dicas práticas: pesquisar preços em sites confiáveis, evitar links compartilhados, usar cartões virtuais, evitar Wi-Fi público, monitorar faturas, verificar a segurança dos sites e utilizar autenticação em dois fatores. Além disso, caso alguém caia em um golpe, é recomendado desconectar da internet, realizar uma varredura com antivírus e alterar senhas. O texto enfatiza a necessidade de cautela e desconfiança em relação a ofertas que parecem boas demais para serem verdade, especialmente durante a Black Friday.

A OpenAI alertou seus usuários sobre uma possível violação de segurança que afetou a Mixpanel, uma empresa de análise de dados. Um hacker conseguiu acesso não autorizado aos sistemas da Mixpanel no início de novembro, resultando na exportação de dados que incluíam nomes de clientes, e-mails, localização aproximada, sistema e navegador utilizados, além de IDs diversos. A OpenAI informou que muitos dos dados comprometidos podem ter sido obtidos através de ataques de phishing, que utilizam engenharia social para enganar usuários desprevenidos. A empresa recomendou que os usuários verifiquem mensagens suspeitas, especialmente aquelas que solicitam informações sensíveis. Em resposta ao incidente, a OpenAI decidiu remover a Mixpanel de seus serviços, mas continuará a colaborar com a empresa durante as investigações. É importante destacar que a violação não afetou diretamente o ChatGPT ou outros produtos da OpenAI relacionados a interações de chat. A quantidade exata de dados vazados ainda não foi determinada, mas a situação levanta preocupações sobre a segurança de dados em serviços amplamente utilizados.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade no Microsoft Teams que permite que atacantes contornem as proteções do Microsoft Defender for Office 365 através da funcionalidade de acesso de convidados. Quando um usuário atua como convidado em outro tenant, suas proteções são determinadas pelo ambiente anfitrião, não pela organização de origem. Essa situação se agrava com a nova funcionalidade do Teams, que permite que usuários conversem com qualquer pessoa via e-mail, incluindo aqueles que não utilizam a plataforma. A falta de proteção pode ser explorada por atacantes que criam ‘zonas livres de proteção’ em tenants maliciosos, onde podem enviar convites para usuários desavisados. Como os convites são enviados a partir da infraestrutura da Microsoft, eles podem passar despercebidos por soluções de segurança de e-mail. Para mitigar esse risco, recomenda-se que as organizações restrinjam as configurações de colaboração B2B a domínios confiáveis e treinem os usuários para desconfiar de convites não solicitados.

Uma nova pesquisa da Cato Networks revelou um ataque cibernético inovador denominado HashJack, que utiliza um truque simples para comprometer navegadores de inteligência artificial (IA). O ataque se baseia na injeção de comandos maliciosos após o símbolo ‘#’ em URLs legítimas, permitindo que cibercriminosos manipulem assistentes de IA para executar ações indesejadas, como roubo de dados e phishing. Essa técnica, que não é detectada por antivírus tradicionais, explora a confiança dos usuários em assistentes de IA, aumentando a eficácia do ataque em comparação com métodos de phishing convencionais.

O grupo de hackers conhecido como Bloody Wolf tem sido responsável por uma campanha de ataques cibernéticos que visa o Quirguistão desde junho de 2025, com a intenção de implantar o NetSupport RAT, um software de acesso remoto. De acordo com um relatório da Group-IB, a atividade do grupo se expandiu para o Uzbequistão, afetando setores como finanças, governo e tecnologia da informação. Os atacantes utilizam engenharia social, se passando pelo Ministério da Justiça do Quirguistão, enviando documentos PDF que contêm links maliciosos para arquivos Java Archive (JAR). Esses arquivos são projetados para instalar o NetSupport RAT, permitindo que os hackers mantenham controle sobre os sistemas comprometidos. A campanha no Uzbequistão é notável por implementar restrições geográficas, redirecionando solicitações de fora do país para um site legítimo, enquanto usuários internos são direcionados para o download do malware. A utilização de ferramentas de baixo custo e a exploração da confiança em instituições governamentais têm permitido ao Bloody Wolf operar com eficácia na região da Ásia Central.

O artigo destaca cinco tecnologias que cibercriminosos utilizam para enganar consumidores durante a Black Friday. Entre as táticas mencionadas, estão os anúncios falsos gerados por deepfakes, que imitam celebridades para atrair cliques em ofertas fraudulentas. Outra técnica é o phishing, onde golpistas usam modelos de linguagem avançados para criar mensagens personalizadas que parecem legítimas. Além disso, a clonagem de voz permite que criminosos imitem atendentes de suporte, enganando consumidores para que forneçam informações sensíveis. O uso de avaliações falsas em larga escala também é abordado, onde bots geram comentários positivos para produtos inexistentes. Por fim, chatbots maliciosos são utilizados em sites fraudulentos para coletar dados pessoais dos usuários. Para se proteger, o artigo recomenda desconfiar de ofertas que parecem boas demais, verificar a autenticidade de sites e evitar compartilhar informações pessoais em chamadas ou chats suspeitos.

Um estudo da McAfee revelou que os golpes baseados em inteligência artificial (IA) e deepfakes aumentaram 1.740% nos Estados Unidos em um ano, com quase metade da população já tendo encontrado tais fraudes durante compras online. Os deepfakes, que são vídeos ou áudios manipulados para imitar pessoas reais, tornaram-se tão sofisticados que 39% dos entrevistados afirmaram ter dificuldade em identificá-los. Além disso, 22% dos que acreditavam ser capazes de detectar fraudes acabaram caindo em golpes. Um exemplo notável foi um vídeo falso da cantora Taylor Swift, que promovia uma doação de panelas de luxo, enganando fãs e levando-os a sites fraudulentos. Para se proteger, especialistas recomendam desconfiar de anúncios que parecem bons demais para serem verdade e sempre verificar diretamente os sites oficiais das marcas. A pesquisa destaca a necessidade de vigilância constante e de uma abordagem crítica ao consumir conteúdo online, especialmente em épocas de festas, quando os golpes tendem a aumentar.

Na última semana, o cenário de cibersegurança foi marcado por uma série de incidentes e inovações em fraudes digitais. O botnet ShadowV2, baseado no Mirai, voltou a atacar dispositivos IoT, explorando vulnerabilidades conhecidas para formar uma rede de dispositivos comprometidos, com o objetivo de realizar ataques DDoS. Além disso, a Singapura implementou novas regras para bloquear mensagens fraudulentas que se passam por agências governamentais, visando reduzir o aumento de golpes online. O projeto Tor anunciou uma atualização significativa em seu algoritmo de criptografia, aumentando a segurança da rede contra ataques ativos. Em um relatório alarmante, a Kaspersky identificou cerca de 6,4 milhões de ataques de phishing, com foco em usuários de lojas online e sistemas de pagamento, especialmente durante a temporada de compras de 2025. Por fim, a NCA do Reino Unido desmantelou uma rede de lavagem de dinheiro que facilitava a evasão de sanções russas, destacando a interconexão entre cibercrime e crimes financeiros. Esses eventos ressaltam a necessidade urgente de fortalecer as defesas digitais e a vigilância contra novas táticas de cibercriminosos.

As empresas atualmente são desafiadas a manter entre 6 a 8 ferramentas de detecção de ameaças, consideradas essenciais na defesa cibernética. No entanto, muitos líderes de segurança enfrentam dificuldades para justificar a alocação de recursos para suas equipes de Centro de Operações de Segurança (SOC), resultando em investimentos assimétricos. Um estudo de caso recente revelou que, apesar de oito ferramentas de segurança de e-mail falharem em detectar um ataque de phishing sofisticado direcionado a executivos, as equipes do SOC conseguiram identificar a ameaça rapidamente após relatos de funcionários. Essa eficácia se deve a um investimento equilibrado ao longo do ciclo de alerta, que não negligencia o SOC. O artigo destaca que a falta de recursos no SOC pode dificultar a identificação de ameaças e sobrecarregar os analistas com alertas, comprometendo a capacidade de investigação. A adoção de plataformas de SOC baseadas em inteligência artificial (IA) está emergindo como uma solução eficaz, permitindo que equipes pequenas realizem investigações mais profundas e reduzam significativamente os falsos positivos. O investimento em SOC não apenas maximiza o retorno sobre os investimentos em ferramentas de detecção, mas também se torna crucial à medida que as ameaças se tornam mais sofisticadas.

O FBI alertou sobre um aumento significativo em fraudes de roubo de contas (ATO) nos Estados Unidos, onde cibercriminosos estão se passando por instituições financeiras para roubar dinheiro e informações sensíveis. Desde o início do ano, mais de 5.100 queixas foram registradas, resultando em perdas superiores a US$ 262 milhões. Os ataques geralmente envolvem técnicas de engenharia social, como mensagens de texto, chamadas e e-mails que exploram o medo dos usuários, além de sites falsos que imitam instituições financeiras. Os criminosos manipulam as vítimas a fornecerem suas credenciais de login, incluindo códigos de autenticação de múltiplos fatores. O FBI também destacou o uso de SEO para direcionar usuários a sites fraudulentos. Para se proteger, recomenda-se que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas regularmente e utilizem senhas complexas e únicas. O aumento das fraudes coincide com o uso de ferramentas de inteligência artificial por atacantes, que facilitam a criação de e-mails de phishing e sites falsos mais convincentes. Além disso, a exploração de vulnerabilidades em plataformas de e-commerce também foi observada, aumentando o risco de fraudes durante a temporada de compras.

Pesquisadores em cibersegurança alertam sobre uma nova campanha que utiliza iscas do tipo ClickFix e sites falsos de conteúdo adulto para enganar usuários a executar comandos maliciosos, disfarçados como uma ‘atualização crítica’ de segurança do Windows. Segundo um relatório da Acronis, a campanha redireciona usuários para sites de conteúdo adulto, como clones do xHamster e PornHub, onde uma tela falsa de atualização do Windows é exibida. Essa abordagem psicológica pressiona as vítimas a instalarem a atualização ‘urgente’.

O grupo de ameaças persistentes avançadas (APT) conhecido como APT31, vinculado à China, tem sido responsável por uma série de ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025. De acordo com pesquisadores da Positive Technologies, as empresas russas, especialmente aquelas que atuam como contratantes para agências governamentais, foram alvos frequentes. O APT31, ativo desde pelo menos 2010, utiliza serviços de nuvem legítimos, como o Yandex Cloud, para ocultar suas atividades de comando e controle (C2) e exfiltração de dados, misturando-se ao tráfego normal. Os ataques incluem técnicas sofisticadas, como phishing direcionado e o uso de ferramentas personalizadas para manter a persistência na rede das vítimas. Um dos métodos identificados foi o envio de e-mails com arquivos RAR que continham atalhos do Windows, permitindo a instalação de um loader chamado CloudyLoader. A utilização de ferramentas como SharpADUserIP e Tailscale VPN demonstra a adaptabilidade do grupo em explorar tanto recursos públicos quanto personalizados para suas operações. A capacidade do APT31 de permanecer indetectado por longos períodos representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a coleta de informações pode oferecer vantagens políticas e econômicas para a China.

Cibercriminosos estão explorando notificações de navegador como um novo vetor para ataques de phishing, utilizando uma plataforma chamada Matrix Push C2. Essa estrutura, que não requer arquivos, aproveita notificações push, alertas falsos e redirecionamentos de links para enganar vítimas em diferentes sistemas operacionais. Os atacantes induzem os usuários a permitir notificações de sites maliciosos ou comprometidos, enviando alertas que parecem ser do sistema operacional ou do próprio navegador, utilizando marcas confiáveis e linguagem convincente. Uma vez que a vítima clica em um botão de ‘Verificar’ ou ‘Atualizar’, é redirecionada para um site falso.

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Pesquisadores da Check Point Research alertam sobre uma nova onda de e-mails de phishing que utilizam o domínio legítimo @facebookmail.com para enganar administradores de contas do Facebook Ads. Esses e-mails, que aparentam ser comunicações oficiais da Meta, têm como objetivo roubar credenciais de acesso. Aproximadamente 40 mil e-mails foram enviados a cerca de 5 mil usuários em várias regiões, incluindo Austrália, Canadá, Europa e Estados Unidos. Os assuntos das mensagens incluem ‘Verificação de Conta Necessária’ e ‘Convite para parceria Meta Agency’. Ao clicar nos links, as vítimas são direcionadas a páginas fraudulentas que imitam o branding da Meta, hospedadas em domínios como vercel.app. A campanha é massiva e visa empresas que dependem da Meta para marketing, como setores automotivo, educacional e financeiro. Para se proteger, recomenda-se a ativação da autenticação em duas etapas e a verificação de convites diretamente na plataforma do Facebook Business antes de clicar em links suspeitos.

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

Um novo golpe de cibersegurança está se espalhando, onde criminosos utilizam a funcionalidade de compartilhamento de tela do WhatsApp para roubar dados pessoais e dinheiro de vítimas. Segundo uma pesquisa da ESET, os golpistas iniciam o ataque com uma videochamada inesperada de um número desconhecido, alegando ser de um banco ou suporte da Meta. Eles criam um clima de pânico, informando que a conta da vítima pode estar comprometida. Para resolver a situação, os golpistas pedem que a vítima compartilhe a tela ou instale aplicativos de acesso remoto, como AnyDesk ou TeamViewer. Essa técnica de engenharia social se baseia em confiança, urgência e controle, levando as vítimas a revelarem informações sensíveis, como senhas e dados bancários. A Meta já tomou medidas para combater essa ameaça, banindo milhões de contas fraudulentas e alertando os usuários sobre os riscos de compartilhar a tela com desconhecidos. O golpe já causou perdas significativas, como um caso em Hong Kong onde uma vítima perdeu R$ 3,69 milhões. É crucial que os usuários estejam cientes desses riscos e adotem práticas seguras ao utilizar plataformas de comunicação.

O malware Sneaky 2FA, associado ao modelo Phishing-as-a-Service (PhaaS), introduziu a funcionalidade Browser-in-the-Browser (BitB), facilitando ataques de phishing para roubo de credenciais de contas Microsoft. Essa técnica, documentada pelo pesquisador de segurança mr.d0x, utiliza HTML e CSS para criar janelas de navegador falsas que imitam páginas de login legítimas, enganando os usuários. O ataque começa com um URL suspeito que, após uma verificação de proteção contra bots, exibe um botão ‘Entrar com Microsoft’ para acessar um documento PDF. Ao clicar, o usuário é redirecionado para uma página de phishing que coleta informações de login. Além disso, os atacantes utilizam técnicas de carregamento condicional e obfuscação para evitar a detecção. A pesquisa também destaca a possibilidade de ataques que burlam métodos de autenticação resistentes a phishing, como os passkeys, por meio de extensões maliciosas que manipulam o processo de autenticação. Com a evolução contínua das técnicas de phishing, é crucial que usuários e organizações adotem medidas de segurança rigorosas, como políticas de acesso condicional, para mitigar o risco de sequestro de contas.

Um grupo de ameaças cibernéticas suspeito de espionagem, atribuído ao Irã, tem utilizado backdoors como TWOSTROKE e DEEPROOT para atacar indústrias de defesa e aviação no Oriente Médio. O grupo, identificado como UNC1549, foi monitorado entre 2023 e 2025, empregando técnicas sofisticadas para obter acesso inicial, como o abuso de relacionamentos com terceiros e campanhas de phishing direcionadas. Recentemente, a empresa PRODAFT associou o grupo a uma campanha que comprometeu 11 empresas de telecomunicações na Europa, utilizando engenharia social via LinkedIn. As cadeias de infecção incluem phishing para roubo de credenciais e exploração de vulnerabilidades em serviços como Citrix e Azure. Após a infiltração, as atividades dos atacantes incluem reconhecimento, movimentação lateral e roubo de informações sensíveis. Ferramentas personalizadas, como MINIBIKE e TWOSTROKE, são utilizadas para coletar dados do sistema e manter a persistência na rede alvo. O grupo se destaca por sua capacidade de evitar detecções e garantir acesso contínuo, utilizando técnicas como shells reversos SSH e domínios que imitam a indústria das vítimas.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

Os ataques de phishing estão se diversificando, com um em cada três ocorrendo fora do e-mail, especialmente no LinkedIn. Este artigo destaca como os atacantes estão utilizando a plataforma para realizar ataques direcionados, especialmente contra executivos de empresas nos setores financeiro e tecnológico. A natureza das mensagens diretas no LinkedIn permite que os ataques contornem as ferramentas tradicionais de segurança, que geralmente se concentram na proteção de e-mails. Além disso, a facilidade de criar contas falsas ou sequestrar contas legítimas torna o LinkedIn um alvo atraente para os criminosos. Os atacantes podem facilmente mapear perfis de empresas e identificar alvos de alto valor, aumentando a probabilidade de sucesso. A falta de proteção contra spam e a expectativa de interações profissionais tornam os usuários mais suscetíveis a cair em armadilhas. O impacto potencial desses ataques pode ser devastador, com acesso a dados críticos e funções empresariais. Portanto, é crucial que as empresas adotem medidas proativas para proteger suas redes e treinar seus funcionários sobre os riscos associados a essas novas formas de phishing.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.

No combate ao cibercrime, muitas vezes pensamos em hackers sofisticados e códigos complexos, mas o relatório da Verizon Business 2025 revela que quase 60% das violações de dados envolvem o fator humano. Técnicas de engenharia social, como phishing e pretexting, continuam a ser as mais comuns, utilizando elementos do nosso cotidiano digital, como notificações de entrega e solicitações de redefinição de senha, para enganar os usuários. Os criminosos cibernéticos estão se aproveitando da confiança que depositamos em plataformas digitais, criando armadilhas que se disfarçam como atualizações legítimas ou links de newsletters confiáveis. Além disso, novas táticas, como induzir usuários a copiar e colar comandos maliciosos, estão transformando ferramentas comuns em cúmplices involuntários. Mesmo a autenticação multifatorial (MFA), considerada uma defesa robusta, está sendo explorada por criminosos através de plataformas de phishing. A defesa mais eficaz contra essas ameaças não é apenas software, mas sim indivíduos informados e vigilantes. A cibersegurança deve ser uma preocupação coletiva, exigindo pensamento crítico e ceticismo em cada interação online.

Os ataques ’living off the land’ (LotL) são uma técnica de cibercrime que utiliza ferramentas legítimas já instaladas no sistema da vítima para realizar atividades maliciosas. Ao invés de depender de malwares que podem ser facilmente detectados por antivírus, os criminosos exploram softwares como o PowerShell e o WMI, que são essenciais para a administração do sistema. Isso torna a detecção desses ataques extremamente difícil, pois os programas de segurança não conseguem identificar a diferença entre ações benignas e maliciosas.

Pesquisadores da Socket identificaram uma extensão maliciosa chamada Safery: Ethereum Wallet, disponível na Chrome Web Store, que se disfarça como uma carteira de criptomoedas segura. Desde sua publicação em 29 de setembro de 2025, a extensão tem como objetivo roubar as seed phrases, que são as senhas utilizadas para recuperar carteiras de criptomoedas. A extensão contém uma backdoor que extrai essas frases mnemônicas e as envia disfarçadas como endereços de carteiras Sui, utilizando microtransações de 0,000001 SUI para ocultar o roubo. Essa técnica permite que os hackers obtenham as seed phrases sem a necessidade de um servidor de comando e controle, tornando o ataque mais difícil de detectar. Os especialistas recomendam que usuários de criptomoedas utilizem apenas extensões confiáveis e conhecidas, além de sugerirem que organizações realizem escaneamentos em busca de códigos maliciosos em extensões instaladas. A extensão ainda está disponível para download, o que representa um risco significativo para os usuários de criptomoedas.

Documentos obtidos pela Reuters revelam que a Meta, empresa responsável por plataformas como Facebook, Instagram e WhatsApp, obteve 10% de seu lucro anual em 2024, equivalente a US$ 16 bilhões, a partir de anúncios relacionados a fraudes e produtos ilegais. A investigação aponta que, ao longo de três anos, a Meta falhou em identificar e mitigar anúncios que direcionam usuários a lojas virtuais fraudulentas, golpes de investimento e comércio de produtos proibidos. Apesar de um porta-voz da Meta afirmar que os números foram inflacionados e que a empresa tomou medidas para reduzir esses anúncios, os documentos indicam que a companhia prioriza o lucro em vez de proteger os usuários. Em 2023, 96% dos 100.000 relatos de fraudes feitos pelos usuários foram ignorados. Embora a Meta tenha removido mais de 134 milhões de conteúdos fraudulentos em 2025, a documentação sugere que ainda é mais fácil anunciar fraudes em suas plataformas do que em concorrentes como o Google. A empresa planeja reduzir gradualmente o lucro proveniente de anúncios ilícitos, mas sem ações imediatas, mantendo uma política reativa em relação a regulamentações.

A Google entrou com um processo judicial no distrito de Nova York contra um grupo de hackers da China, conhecido por operar uma plataforma de phishing-as-a-service (PhaaS) chamada Lighthouse. Este grupo é acusado de realizar golpes massivos de smishing, afetando mais de 1 milhão de usuários em 120 países, utilizando a confiança em marcas como E-ZPass e USPS para enganar as vítimas. Os golpistas exploraram a reputação da Google e de outras empresas, criando sites fraudulentos que imitavam suas marcas, resultando em lucros estimados em até US$ 1 bilhão nos últimos três anos. A empresa está tomando medidas legais para desmantelar essa infraestrutura criminosa, com base em leis anticorrupção e de fraude computacional. A operação, conhecida como Smishing Triad, está ligada a mais de 17.500 domínios de phishing e comprometeu entre 12,7 milhões e 115 milhões de pagamentos por cartão nos Estados Unidos entre julho de 2023 e outubro de 2024. A evolução das ferramentas de cibercrime, como o Ghost Tap, também foi destacada, permitindo que os golpistas adicionassem detalhes de cartões de crédito a carteiras digitais em dispositivos móveis.

Cibercriminosos estão utilizando uma nova onda de ataques de phishing que se disfarçam como alertas de filtros de spam internos e notificações de mensagens seguras corporativas. O objetivo é roubar credenciais de e-mail, convencendo os destinatários de que algumas de suas mensagens legítimas foram atrasadas após uma atualização de sistema de segurança. Os e-mails, que aparentam ser profissionais, afirmam que mensagens específicas estão pendentes e precisam ser movidas manualmente para a caixa de entrada. Ao clicar em um botão que parece inofensivo, os usuários são redirecionados para um site de phishing que utiliza domínios confiáveis para evitar filtros de segurança. A página de phishing é altamente realista, com um formulário de login personalizado que solicita o e-mail e a senha do usuário, utilizando uma conexão WebSocket para roubo de dados em tempo real. Pesquisadores alertam que a melhor defesa é a conscientização sobre segurança, recomendando que os funcionários verifiquem a autenticidade de alertas inesperados e utilizem autenticação multifatorial. A crescente complexidade desses ataques indica uma evolução nas operações de phishing, tornando-as mais automatizadas e adaptativas.

Uma campanha de phishing em larga escala, atribuída a um grupo de ameaças de língua russa, tem como alvo clientes da indústria de hospitalidade, especialmente hóspedes de hotéis. Desde o início de 2025, mais de 4.300 domínios foram registrados para essa atividade, com 685 deles contendo o nome ‘Booking’, além de outros nomes populares como ‘Expedia’ e ‘Airbnb’. A campanha, que começou em fevereiro, utiliza um kit de phishing sofisticado que personaliza a página apresentada ao visitante com base em um identificador único na URL. Os ataques começam com e-mails de phishing que incentivam os destinatários a clicar em links para confirmar reservas, levando-os a sites falsos que imitam marcas conhecidas. Esses sites suportam 43 idiomas e utilizam um sistema de cookies para manter a aparência de marca durante a navegação. Após a inserção de dados do cartão de crédito, os atacantes tentam processar transações em segundo plano, enquanto uma janela de ‘chat de suporte’ aparece para enganar a vítima. A identidade do grupo por trás da campanha ainda é desconhecida, mas o uso de comentários em russo no código sugere sua origem. A campanha se alinha com outras atividades de phishing que visam a indústria hoteleira, levantando preocupações sobre a segurança de dados e conformidade com a LGPD.

O cenário de cibersegurança está em constante evolução, com hackers utilizando técnicas cada vez mais sofisticadas para comprometer sistemas confiáveis. O governo do Reino Unido propôs um novo projeto de lei, o Cyber Security and Resilience Bill, que visa fortalecer a segurança nacional e proteger serviços públicos essenciais, como saúde e energia, de ataques cibernéticos. Empresas de médio e grande porte que oferecem serviços de TI deverão relatar incidentes cibernéticos significativos em até 24 horas, com penalidades severas para violações. Além disso, um ex-funcionário da Intel foi acusado de roubar documentos classificados como ‘Top Secret’, levantando preocupações sobre a proteção de dados sensíveis. O OWASP atualizou sua lista das 10 principais ameaças a aplicações web, incluindo falhas na cadeia de suprimentos de software. Um estudo revelou que 65% das principais empresas de IA vazaram segredos no GitHub, destacando a vulnerabilidade de dados sensíveis. Uma nova campanha de phishing, que se disfarça como notificações do Facebook, já enviou mais de 40 mil e-mails fraudulentos, demonstrando como os atacantes exploram a confiança em plataformas conhecidas. Por fim, o navegador Firefox implementou novas defesas contra rastreamento online, enquanto um kit de phishing chamado Quantum Route Redirect está facilitando o roubo de credenciais do Microsoft 365, afetando usuários em 90 países.

O Google anunciou uma ação legal contra o ‘Lighthouse’, uma plataforma de Phishing-as-a-Service (PhaaS) que tem sido responsável por um aumento significativo de ataques de phishing via SMS, conhecidos como ‘smishing’, desde 2020. Com mais de 1 milhão de vítimas em mais de 120 países, os prejuízos nos EUA incluem o roubo de até 115 milhões de cartões de crédito. A investigação forense do Google revelou pelo menos 107 modelos de sites que usavam a marca oficial do Google para enganar usuários e coletar dados sensíveis, como credenciais de e-mail e informações bancárias. Os ataques geralmente envolvem mensagens de texto que simulam comunicações de organizações confiáveis sobre pacotes ou taxas de pedágio não pagas, levando as vítimas a sites fraudulentos. A ação legal do Google se baseia em várias leis, incluindo a Lei RICO, e busca desmantelar a infraestrutura do Lighthouse. Além disso, a empresa está promovendo três projetos de lei no Congresso dos EUA para fortalecer a resposta a operações criminosas. O Google também está implementando soluções tecnológicas, como IA para detectar fraudes em tempo real, visando proteger os usuários antes que interajam com conteúdos maliciosos.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

O Google entrou com uma ação civil no Tribunal Distrital dos EUA para o Sul de Nova York contra hackers baseados na China, responsáveis por uma plataforma de Phishing-as-a-Service (PhaaS) chamada Lighthouse. Essa plataforma já afetou mais de 1 milhão de usuários em 120 países, utilizando ataques de phishing via SMS que se disfarçam como mensagens de marcas confiáveis, como E-ZPass e USPS, para roubar informações financeiras. A operação, que gerou mais de um bilhão de dólares em três anos, utiliza templates fraudulentos que imitam a marca do Google, enganando os usuários. A empresa busca desmantelar a infraestrutura criminosa sob a Lei RICO e outras legislações. A plataforma Lighthouse, junto com outras como Darcula e Lucid, faz parte de um ecossistema de cibercrime interconectado que envia milhares de mensagens maliciosas, visando roubar dados sensíveis. Estima-se que entre 12,7 milhões e 115 milhões de cartões de pagamento tenham sido comprometidos nos EUA entre julho de 2023 e outubro de 2024. A crescente sofisticação dos ataques, incluindo o uso de ferramentas como Ghost Tap, representa uma ameaça significativa para a segurança digital.

Uma nova campanha de phishing, identificada pela Check Point Research, impactou mais de 5 mil empresas que utilizam o Facebook para publicidade. Os cibercriminosos enviaram cerca de 40 mil e-mails contendo links maliciosos, utilizando o domínio oficial da Meta para dar a impressão de legitimidade. A tática visa roubar credenciais e dados sigilosos, afetando especialmente setores como automotivo, educacional, imobiliário, hoteleiro e financeiro. Os e-mails fraudulentos foram elaborados para parecerem notificações reais do Meta Business Suite, o que aumentou a probabilidade de que os funcionários das empresas caíssem no golpe. A engenharia social foi utilizada para criar um senso de urgência, levando as vítimas a agir impulsivamente. A pesquisa destaca a gravidade do problema, pois os ataques foram realizados sob a aparência da própria plataforma da Meta, tornando-os mais perigosos do que tentativas comuns de phishing. Especialistas alertam que a credibilidade do domínio do remetente torna essas tentativas de phishing especialmente preocupantes, exigindo atenção redobrada das empresas.

Em 2025, o Brasil enfrenta um aumento alarmante de ataques digitais, com uma média de 15 incidentes por hora, segundo dados da Check Point Research. O levantamento aponta que, semanalmente, são registrados cerca de 2,6 mil ciberataques a empresas, representando um crescimento de 21% em relação ao ano anterior. Esse cenário se agrava durante períodos sazonais, como a Black Friday e o Natal, quando o comércio eletrônico intensifica suas atividades. Especialistas alertam que, durante essas épocas, as ameaças mais comuns incluem phishing, roubo de credenciais e ransomware, que podem comprometer tanto a operação das empresas quanto a confiança dos consumidores. Para mitigar esses riscos, é essencial que as empresas reforcem suas infraestruturas de segurança, adotando medidas como certificados SSL, autenticação de dois fatores e monitoramento constante de servidores. A proteção dos dados dos consumidores é crucial, especialmente em um ambiente onde fraudes e vazamentos de informações estão em alta. Portanto, a preparação e a vigilância são fundamentais para garantir uma experiência de compra segura durante as promoções de fim de ano.

Cibercriminosos estão aproveitando a angústia emocional de proprietários de iPhones que perderam seus dispositivos. O Centro Nacional de Cibersegurança da Suíça (NCSC) alertou sobre uma campanha de phishing direcionada, onde as vítimas recebem mensagens de texto enganosas afirmando que seu iPhone perdido ou roubado foi localizado no exterior. Essas mensagens parecem legítimas, contendo detalhes precisos do dispositivo, como modelo, cor e capacidade de armazenamento, possivelmente extraídos do próprio telefone roubado.

Nos últimos dez anos, a comunidade de cibercriminosos de língua inglesa conhecida como “The COM” evoluiu de um nicho focado na troca de nomes de usuário raros em redes sociais para uma economia subterrânea ágil que orquestra uma ampla gama de ataques globais. Com a queda de fóruns de alto perfil, como o RaidForums, a COM se adaptou, combinando habilidades de manipulação social com a expertise técnica de hackers focados em vazamentos de dados. As táticas incluem engenharia social, phishing, SIM swapping e recrutamento de insiders, com grupos como Lapsus$, ShinyHunters e Scattered Spider exemplificando essa nova abordagem. A COM opera como uma cadeia de suprimentos profissionalizada, onde papéis especializados colaboram em um modelo modular, facilitando a escalabilidade e inovação. A colaboração entre especialistas de língua inglesa e sindicatos de cibercrime de língua russa intensifica a ameaça, tornando a defesa mais desafiadora. Para se proteger, as organizações devem adotar defesas centradas na identidade, autenticação multifatorial resistente a phishing e monitoramento contínuo de ameaças internas, reconhecendo que a cibercriminalidade é tanto um negócio quanto uma performance, visando não apenas sistemas, mas também pessoas.

Um ator de ameaça de língua russa lançou uma campanha de phishing em larga escala, utilizando mais de 4.300 domínios registrados desde o início de 2025. O objetivo é fraudar indivíduos que planejam viagens, disfarçando-se como grandes plataformas de hotéis e reservas. A infraestrutura do ataque adota convenções de nomenclatura de domínio consistentes, incorporando palavras-chave como ‘confirmação’, ‘reserva’ e ‘verificação de cartão’, além de referências a hotéis de luxo para aumentar a credibilidade. O kit de phishing é dinâmico, personalizando cada página com base em um identificador único na URL, conhecido como ‘AD_CODE’, que ativa uma marcação em tempo real correspondente ao site falsificado. Os e-mails maliciosos são enviados sob a aparência de solicitações de feedback, levando as vítimas a clicar em links que as redirecionam para sites de phishing. Os domínios são registrados em blocos, utilizando gTLDs como .world e .help, e a campanha se expande com iscas traduzidas em 43 idiomas. A análise do site de phishing revela comentários em russo, ligando a campanha a círculos cibercriminosos de língua russa. A segurança deve monitorar domínios com palavras-chave de viagem e os usuários devem ser cautelosos com confirmações de reservas inesperadas.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

Golpistas estão aproveitando a esperança de usuários de iPhone que perderam seus dispositivos, enviando mensagens de phishing que se disfarçam como notificações do serviço ‘Find My’ da Apple. Essas mensagens afirmam que o iPhone perdido foi encontrado, levando as vítimas a um site falso que coleta credenciais do Apple ID. O golpe é sofisticado, utilizando detalhes precisos sobre o dispositivo, como modelo e cor, para parecer legítimo. A Swiss National Cyber Security Centre (NCSC) alerta que essa prática não só visa roubar informações pessoais, mas também remover o bloqueio de ativação do aparelho, permitindo que os golpistas revendam o dispositivo. A Apple já informou que nunca entra em contato por SMS ou e-mail para relatar a localização de um dispositivo perdido. Para se proteger, os usuários devem ativar o Modo Perdido pelo iCloud, manter seus cartões SIM seguros e evitar expor informações pessoais na tela de bloqueio. O uso de software antivírus e a ativação de firewalls também são recomendados para reduzir a exposição a ameaças online.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.