Pesquisadores de cibersegurança estão alertando para uma nova campanha que está usando ferramentas legítimas de criação de sites com inteligência artificial (IA) generativa, como DeepSite AI e BlackBox AI, para criar páginas de phishing replicando agências governamentais brasileiras como parte de uma campanha motivada financeiramente.
A atividade envolve a criação de sites semelhantes que imitam o Departamento Estadual de Trânsito do Brasil e o Ministério da Educação, que enganam usuários desavisados a fazer pagamentos injustificados por meio do sistema de pagamento PIX do país, disse Zscaler ThreatLabz.
Esses sites fraudulentos são artificialmente impulsionados usando técnicas de envenenamento de Search Engine Optimization (SEO) para aumentar sua visibilidade, aumentando assim a probabilidade de sucesso do ataque.
"A análise do código-fonte revela assinaturas de ferramentas de IA generativa, como comentários excessivamente explicativos destinados a guiar os desenvolvedores, elementos não funcionais que normalmente funcionariam em um site autêntico e tendências como estilização TailwindCSS, que é diferente dos kits de phishing tradicionais usados por atores de ameaça", disseram Jagadeeswar Ramanukolanu, Kartik Dixit e Yesenia Barajas da Zscaler.
O objetivo final dos ataques é servir formulários falsos que coletam informações pessoais sensíveis, incluindo números de Cadastro de Pessoas Físicas (CPF), números de identificação fiscal brasileiros, endereços residenciais e convencê-los a fazer um pagamento único de 87,40 reais ($16) aos atores da ameaça via PIX sob o pretexto de completar um exame psicométrico e médico ou garantir uma oferta de emprego.
Para aumentar ainda mais a legitimidade da campanha, as páginas de phishing são projetadas de tal forma que empregam coleta de dados em estágios, solicitando progressivamente informações adicionais da vítima, espelhando o comportamento dos sites autênticos.
Os números de CPF coletados também são validados no backend por meio de uma API criada pelo ator da ameaça.
"O domínio da API identificado durante a análise é registrado pelo ator da ameaça", disse a Zscaler.
"A API recupera dados associados ao número de CPF e preenche automaticamente a página de phishing com informações vinculadas ao CPF."
Diante disso, a empresa observou que é possível que os atacantes tenham adquirido números de CPF e detalhes do usuário através de violações de dados ou explorando APIs publicamente expostas com uma chave de autenticação, e então usado as informações para aumentar a credibilidade de suas tentativas de phishing.
"Embora essas campanhas de phishing estejam atualmente roubando relativamente pequenas quantias de dinheiro das vítimas, ataques semelhantes podem ser usados para causar muito mais danos", observou a Zscaler.
Campanha de Malspam Distribui Trojan Efimer para Roubar Criptomoedas
O Brasil também se tornou o foco de uma campanha de malspam que se passa por advogados de uma grande empresa para entregar um script malicioso chamado Efimer e roubar criptomoedas da vítima.
A empresa russa de cibersegurança Kaspersky disse que detectou a campanha de malspam em junho de 2025, com iterações iniciais do malware datando de outubro de 2024 e se espalhando via sites WordPress infectados.
"Esses e-mails falsamente reivindicavam que o domínio do destinatário infringia os direitos do remetente", disseram os pesquisadores Vladimir Gursky e Artem Ushkov.
"Esse script também inclui funcionalidades adicionais que ajudam os atacantes a espalhá-lo ainda mais, comprometendo sites WordPress e hospedando arquivos maliciosos lá, entre outras técnicas." Efimer, além de se propagar via sites WordPress comprometidos e e-mail, utiliza torrents maliciosos como vetor de distribuição, enquanto se comunica com seu servidor de comando e controle (C2) via rede TOR.
Além disso, o malware pode estender suas capacidades com scripts adicionais que podem forçar a abertura de senhas para sites WordPress e colher endereços de e-mail de sites especificados para futuras campanhas de e-mail.
"O script recebe domínios [do servidor C2] e itera por cada um para encontrar hiperlinks e endereços de e-mail nas páginas do site", disse a Kaspersky, observando que também serve como um módulo de spam projetado para preencher formulários de contato em sites alvo.
Na cadeia de ataque documentada pela Kaspersky, os e-mails vêm equipados com arquivos ZIP contendo outro arquivo protegido por senha e um arquivo vazio com um nome especificando a senha para abri-lo.
Dentro do segundo arquivo ZIP está um Malicious Windows Script File (WSF) que, quando lançado, infecta a máquina com Efimer.
Ao mesmo tempo, é exibida uma mensagem de erro para a vítima dizendo que o documento não pode ser aberto no dispositivo como mecanismo de distração.
Na realidade, o script WSF salva dois outros arquivos, "controller.js" (o componente trojan) e "controller.xml", e cria uma tarefa agendada no host usando configuração extraída de "controller.xml."
O "controller.js" é um malware clipper projetado para substituir os endereços de carteiras de criptomoedas que o usuário copia para sua área de transferência pelo endereço da carteira sob controle do atacante.
Ele também pode capturar capturas de tela e executar payloads úteis adicionais recebidas pelo servidor C2, conectando-se pela rede TOR após instalar um cliente proxy TOR no computador infectado.
A Kaspersky disse também ter descoberto uma segunda versão do Efimer que, além dos recursos de clipper, também incorpora recursos anti-VM e verifica navegadores da web como o Google Chrome e o Brave por extensões de carteiras de criptomoedas relacionadas ao Atomic, Electrum e Exodus, entre outros, e exfiltra os resultados da pesquisa de volta para o servidor C2.
A campanha estima ter impactado 5.015 usuários, com base em sua telemetria, com a maioria das infecções concentradas no Brasil, Índia, Espanha, Rússia, Itália, Alemanha, Reino Unido, Canadá, França e Portugal.
"Embora seu principal objetivo seja roubar e trocar carteiras de criptomoedas, ele também pode aproveitar scripts adicionais para comprometer sites WordPress e distribuir spam", disseram os pesquisadores.
"Isso permite que ele estabeleça uma infraestrutura maliciosa completa e se espalhe para novos dispositivos." "Outra característica interessante desse Trojan é sua tentativa de se propagar entre usuários individuais e ambientes corporativos.
No primeiro caso, os atacantes usam arquivos torrent como isca, supostamente para baixar filmes populares; no outro, eles enviam reivindicações sobre o suposto uso não autorizado de palavras ou frases registradas por outra empresa."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...