Modelos de linguagem de grande porte continuam inventando endereços na web que não existem.
Agora, atacantes começaram a comprar esses domínios inventados antes de qualquer outra pessoa e, em seguida, hospedam páginas de phishing neles para capturar tráfego direcionado por ferramentas de IA.
A Unit 42, da Palo Alto Networks, chama essa técnica de phantom squatting, e uma nova pesquisa da empresa mostra que ela já está acontecendo no mundo real.
O motivo de isso importar é a confiança.
Desenvolvedores e assistentes de IA tratam cada vez mais os links retornados por um modelo como se fossem reais.
Quando o modelo inventa um domínio que ainda não existe, quem o registra primeiro herda toda essa confiança equivocada, sem precisar de e-mail de phishing nem anúncio malicioso.
Para medir o problema, a Unit 42 fez dois modelos de IA responderem a 685.339 perguntas sobre 913 marcas conhecidas de setores como tecnologia, finanças, saúde, governo, jogos de azar e outros.
Os modelos produziram 2,1 milhões de links.
A inteligência de ameaças já havia classificado 13.229 deles como maliciosos, o que significa que a IA estava distribuindo endereços comprovadamente ruins.
Cerca de 250.000 dos domínios inventados ainda não tinham dono, cada um deles um alvo pronto para quem o registrasse primeiro.
Como funciona o phantom squatting
O ataque funciona porque um domínio recém-criado não tem reputação.
Listas de bloqueio, fontes de ameaças e sistemas de reputação precisam que um site apresente comportamento suspeito por um tempo antes de marcá-lo.
Um domínio fantasma recém-registrado não tem histórico, então esses filtros não têm o que sinalizar.
Quando eles finalmente percebem o problema, a vítima já foi levada ao site por uma ferramenta em que confia.
Dois pontos tornam isso ainda pior.
Os domínios falsos não estavam nos dados de treinamento.
Ambos os modelos foram lançados antes de os sites maliciosos reais existirem, então esses endereços vêm dos próprios padrões de linguagem dos modelos, e não da memória.
E esses padrões são consistentes.
Modelos diferentes muitas vezes inventam o mesmo domínio falso para a mesma pergunta, o que torna o próximo alvo do atacante fácil de prever.
Aumentar o nível de “criatividade” do modelo só gerou mais domínios inventados.
Como resumiram os pesquisadores da Unit 42, o vetor “explora uma propriedade estrutural das arquiteturas de LLM que permanece inerentemente impossível de corrigir com patch”.
Dois casos observados
Dois casos mostram o ciclo completo.
Em 8 de março de 2026, o sistema da Unit 42 previu que modelos de IA inventariam um domínio parecido com o de um marketplace on-line de um serviço postal nacional.
Os dois modelos o geraram em todos os níveis de temperatura, um forte indício de que tratavam o site falso como fato.
Vinte e três dias depois, em 31 de março, um atacante registrou exatamente esse domínio e colocou no ar um kit de phishing chamado Montana Empire.
O kit copiava a loja real em tempo real.
Ele roubava números de cartão, dados de transferência bancária e informações de documento nacional.
Um bot no Telegram permitia que o operador aprovasse manualmente os códigos de uso único das vítimas.
A pista apareceu nos arquivos remanescentes do projeto e nos logs de sessão, que mostraram que o criminoso construiu o kit com a ajuda de um assistente de programação com IA.
Atacante e defensor chegaram ao mesmo domínio falso da mesma forma, pedindo a uma IA.
No segundo caso, a Unit 42 identificou um domínio de serviço postal alucinado 51 dias antes de um atacante registrá-lo.
Em seguida, o invasor o envolveu em uma cópia perfeita da marca, acrescentou uma avaliação falsa de 4,8 estrelas e a alegação de mais de 2 milhões de usuários, e o usou para distribuir um aplicativo malicioso para Android.
Outros domínios detectados imitavam um grande banco dos Emirados Árabes Unidos que já vinha sendo explorado por um atacante havia quase um ano, um banco europeu e sites de apostas esportivas voltados a usuários de Bangladesh.
Uma técnica antiga com um novo alvo
O phantom squatting é a versão, aplicada a domínios, do slopsquatting, em que atacantes registram nomes falsos de pacotes de software que ferramentas de programação com IA inventam.
Isso não é hipotético.
Um grande estudo da USENIX mostrou que modelos que geram código sugerem rotineiramente nomes de pacotes que não existem, e a campanha PhantomRaven transformou exatamente esse comportamento em malware escondido em 126 pacotes npm, com mais de 86.000 instalações.
Isso aponta para uma mudança maior: a saída do modelo está se tornando a entrada.
Desenvolvedores, agentes e equipes de segurança agem com base em links e nomes gerados por IA antes que alguém os verifique, e a IA continua reduzindo o tempo que os defensores têm para reagir.
Esse cenário também surge em um ambiente em que o phishing de impersonação de marcas já virou um serviço pago, com kits como Lucid e Lighthouse montando 17.500 domínios falsos contra 316 marcas em 74 países.
O que fazer
Como os modelos alucinam de forma consistente, as equipes de segurança podem mapear quais domínios falsos um modelo provavelmente vai produzir e monitorar quem tenta registrá-los, muitas vezes com semanas de antecedência.
Para o restante das pessoas, as medidas práticas são simples:
Não confie em um link só porque uma IA o forneceu.
Confirme se o domínio é realmente o oficial antes de digitar uma senha ou colá-lo em código.
Impeça que agentes de IA abram ou baixem automaticamente conteúdo de links gerados pelo modelo sem uma verificação.
Um agente não tem o instinto de hesitar que uma pessoa pode ter.
Trate tudo o que um modelo escrever como um rascunho não verificado, e não como autoridade.
Essa janela está aberta e favorece quem agir primeiro.
A verdadeira questão, como a Unit 42 coloca, é apenas saber quem vai chegar a esses domínios antes, defensores ou atacantes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...