Hackers usam PDFs para se passarem por Microsoft
2 de Julho de 2025

Pesquisadores de cibersegurança estão alertando para campanhas de phishing que se passam por marcas populares e enganam os alvos para que entrem em contato com números de telefone operados pelos atores de ameaças.

"Uma parte significativa de ameaças por email com payloads em PDF convence as vítimas a ligar para números de telefone controlados pelos adversários, exibindo outra técnica popular de engenharia social conhecida como Entrega de Ataque Orientada por Telefone (Telephone-Oriented Attack Delivery - TOAD), também conhecida como phishing de retorno de chamada," disse o pesquisador da Cisco Talos, Omid Mirzaei, em um relatório compartilhado com a imprensa.

Uma análise de e-mails de phishing com anexos em PDF entre 5 de maio e 5 de junho de 2025 revelou que a Microsoft e a Docusign são as marcas mais falsificadas.

NortonLifeLock, PayPal e Geek Squad estão entre as marcas mais falsificadas em emails TOAD com anexos em PDF.

A atividade faz parte de ataques de phishing mais amplos que tentam aproveitar a confiança que as pessoas têm em marcas populares para iniciar ações maliciosas.

Essas mensagens normalmente incorporam anexos em PDF apresentando marcas legítimas como Adobe e Microsoft para escanear códigos QR maliciosos que apontam para páginas falsas de login da Microsoft ou clicar em links que redirecionam os usuários para páginas de phishing que se passam por serviços como o Dropbox.

E-mails de phishing com código QR e payloads em PDF também foram encontrados aproveitando anotações em PDF para embutir os URLs dentro de uma nota adesiva, comentário ou campos de formulário dentro de um anexo em PDF, enquanto vinculam os códigos QR a uma página web autêntica para dar a impressão de que as mensagens são confiáveis.

Em ataques baseados em TOAD, as vítimas são persuadidas a ligar para um número de telefone na tentativa de resolver um problema ou confirmar uma transação.

Durante a ligação, o atacante se passa por um representante legítimo de atendimento ao cliente e engana a vítima para que ela divulgue informações sensíveis ou instale malware em seus dispositivos.

A maioria das campanhas TOAD depende da ilusão de urgência, mas sua eficácia muitas vezes depende de quão convincentemente os atacantes imitam fluxos de trabalho reais de suporte - usando táticas de call center roteirizadas, música de espera e até identificações de chamadas falsificadas.

Esta técnica tem sido um método popular entre os atores de ameaças para instalar trojans bancários em dispositivos Android e programas de acesso remoto em máquinas de vítimas para obter acesso persistente.

Em maio de 2025, o Federal Bureau of Investigation (FBI) dos EUA alertou sobre tais ataques perpetrados por um grupo com motivação financeira chamado Luna Moth para invadir redes alvo se passando por pessoal do departamento de TI.

"Os atacantes usam comunicação direta por voz para explorar a confiança da vítima em chamadas telefônicas e a percepção de que a comunicação por telefone é uma maneira segura de interagir com uma organização," disse Mirzaei.

Além disso, a interação ao vivo durante uma ligação permite que os atacantes manipulem as emoções e respostas da vítima empregando táticas de engenharia social.

A Cisco Talos disse que a maioria dos atores de ameaças usa números de Voice over Internet Protocol (VoIP) para permanecer anônima e dificultar o rastreamento, com alguns números sendo reutilizados consecutivamente por até quatro dias, permitindo que os atacantes realizem ataques de engenharia social em várias etapas usando o mesmo número.

"A falsificação de marca é uma das técnicas de engenharia social mais populares, e continua sendo usada por atacantes em diferentes tipos de ameaças por email," disse a empresa.

Portanto, um motor de detecção de falsificação de marca desempenha um papel fundamental na defesa contra ataques cibernéticos.

Nos últimos meses, campanhas de phishing também capitalizaram em um recurso legítimo no Microsoft 365 (M365) chamado Envio Direto para falsificar usuários internos e entregar e-mails de phishing sem a necessidade de comprometer uma conta.

O método inovador foi empregado para visar mais de 70 organizações desde maio de 2025, por Varonis.

Essas mensagens falsificadas não só parecem originárias de dentro da organização vítima, como também aproveitam o fato de que endereços de host inteligente seguem um padrão previsível ("<nome_do_inquilino>.mail.protection.outlook.com") para enviar os emails de phishing sem necessidade de autenticação.Esta táctica partilha semelhanças com vishing, golpes de suporte técnico e comprometimento de email comercial (BEC), mas difere no vetor de entrega e persistência.

Enquanto alguns atacantes pressionam as vítimas a baixar softwares de acesso remoto como AnyDesk ou TeamViewer, outros as encaminham através de portais de pagamento falsos ou se passam por departamentos de cobrança para colher informações de cartão de crédito - ampliando a superfície de ataque além do simples roubo de credenciais.

Em um e-mail de phishing enviado em 17 de junho de 2025, o corpo da mensagem se assemelhava a uma notificação de correio de voz e incluía um anexo em PDF que continha um código QR direcionando os destinatários para uma página de colheita de credenciais do Microsoft 365.

"Em muitas de suas tentativas iniciais de acesso, o ator de ameaças utilizou a funcionalidade de Envio Direto do M365 para visar uma organização individual com mensagens de phishing que estavam sujeitas a menos escrutínio em comparação com email de entrada padrão," disse o pesquisador de segurança Tom Barnea.

Esta simplicidade torna o Envio Direto um vetor atraente e de baixo esforço para campanhas de phishing.

A revelação ocorre quando uma nova pesquisa da Netcraft encontrou que pedir a modelos de linguagem grandes (LLMs) onde fazer login em 50 marcas diferentes em vários setores como finanças, varejo, tecnologia e utilidades sugeriu hostnames não relacionados como respostas que não eram de propriedade das marcas em primeiro lugar.

"Dois terços das vezes, o modelo retornou a URL correta," disse a empresa.

Mas no terço restante, os resultados se desdobraram assim: quase 30% dos domínios estavam não registrados, estacionados ou de outra forma inativos, deixando-os abertos para aquisição.

Outros 5% direcionavam os usuários para empresas completamente não relacionadas.

Isso também significa que os usuários poderiam ser enviados para um site falso apenas perguntando a um chatbot de inteligência artificial (AI) onde fazer login, abrindo a porta para falsificação de marca e ataques de phishing quando os atores de ameaças assumem o controle desses domínios não registrados ou não relacionados.

Com atores de ameaças já usando ferramentas alimentadas por AI para criar páginas de phishing em escala, o último desenvolvimento marca uma nova reviravolta onde os cibercriminosos estão procurando manipular a resposta de um LLM exibindo URLs maliciosas como respostas a consultas.

Netcraft disse que também observou tentativas de envenenar assistentes de codificação de IA como Cursor, publicando APIs falsas no GitHub que abrigam funcionalidade para rotear transações no blockchain Solana para uma carteira controlada pelo atacante.

"O atacante não apenas publicou o código," disse o pesquisador de segurança Bilaal Rashid.

Eles lançaram tutoriais de blog, fóruns de P&R e dezenas de repositórios no GitHub para promovê-lo.

Múltiplas contas falsas do GitHub compartilharam um projeto chamado Moonshot-Volume-Bot, disseminado em contas com bios ricas, imagens de perfil, contas de mídia social e atividade de codificação crível.

Essas não eram contas descartáveis - elas foram elaboradas para serem indexadas pelos pipelines de treinamento de IA.

Os desenvolvimentos também seguem os esforços concertados por parte dos atores de ameaças para injetar em websites renomados (por exemplo, domínios .gov ou .edu) com JavaScript ou HTML projetado para influenciar os motores de busca a priorizar sites de phishing nos resultados de pesquisa.

Isso é realizado por um mercado ilícito chamado Hacklink.

O serviço "permite que cibercriminosos comprem acesso a milhares de websites comprometidos e injetem código malicioso projetado para manipular algoritmos de motores de busca," disse o pesquisador de segurança Andrew Sebborn.

Os golpistas usam painéis de controle Hacklink para inserir links para websites de phishing ou ilícitos no código-fonte de domínios legítimos, mas comprometidos.

Esses links de saída estão associados a palavras-chave específicas para que os websites hackeados sejam servidos nos resultados de pesquisa quando os usuários buscam termos relevantes.

Para piorar as coisas, os atores podem alterar o texto que aparece no resultado da pesquisa para corresponder às suas necessidades sem precisar assumir o controle do site em questão, impactando a integridade da marca e a confiança do usuário.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...