Em muitos países, a primavera é a época tradicional para a apresentação de declarações de imposto de renda. Esses documentos são uma mina de ouro para as pessoas mal-intencionadas porque contêm uma grande quantidade de dados pessoais, como histórico profissional, renda, ativos, detalhes da conta bancária e por aí vai. Não é surpresa que os golpistas aumentem seus esforços nessa época; a internet está cheia de sites falsos projetados para parecerem exatamente recursos governamentais e autoridades fiscais.

Com a proximidade de prazos e números a serem analisados, a pressa de terminar tudo a tempo pode fazer com que as pessoas baixem a guarda. Na confusão, é fácil não perceber os sinais de que o site onde você está detalhando suas finanças não tem nenhuma conexão com o fisco, ou que o arquivo que acabou de ser baixado, supostamente de um fiscal, na verdade é malware.

Nesta postagem, detalharemos como esses sites fraudulentos de agências fiscais operam em diferentes países e o que é preciso evitar fazer para manter seu dinheiro e suas informações confidenciais seguros.

Brasileiros na mira

A temporada de declaração do Imposto de Renda no Brasil trouxe um aumento notável na atividade de cibercriminosos. Apenas em março, a Kaspersky identificou ao menos 61 domínios maliciosos registrados no país, todos utilizando o Leão como isca para enganar contribuintes e roubar informações sensíveis ou pagamentos indevidos.

Os ataques vão desde páginas falsas que simulam serviços oficiais até campanhas de phishing que se passam por comunicações legítimas de órgãos governamentais. O principal objetivo é induzir as vítimas a fornecer suas credenciais do Gov.br, plataforma oficial de serviços públicos digitais do Governo Federal, ou a realizar transferências financeiras sob pressão.

A principal estratégia da campanha é a abordagem clássica de criar sites fraudulentos que imitam páginas oficiais, utilizando termos como “IRPF”, “regularização”, “declaração” e até referências diretas à Receita Federal, como logotipos, para parecerem legítimos. Essas páginas são projetadas para confundir os usuários e aumentar as chances de acesso não autorizado a dados pessoais.

A campanha também incluiu o envio de e-mails falsos a contribuintes, informando sobre supostos problemas em suas declarações. Nessas mensagens, as vítimas são alertadas sobre irregularidades no CPF e incentivadas a resolver a situação com urgência, muitas vezes com promessas de benefícios, como descontos em multas.

Exemplo de notificação fraudulenta recebida por e-mail para pagamento, via PIX ou boleto, de falsa pendência com a Receita Federal do Brasil

Ao seguir as instruções, as vítimas são direcionadas a realizar pagamentos via PIX ou boleto, sistema de cobrança brasileiro com código de barras. Os prazos são sempre curtos, aumentando a pressão e reduzindo o tempo disponível para verificação. Os valores são enviados para contas de terceiros, o que dificulta a recuperação do dinheiro.

Além de sites de phishing que imitam recursos legítimos, nossos especialistas descobriram sites fraudulentos que prometem serviços pagos para preencher e auditar documentos fiscais, mas que, na prática, roubam dados de alto valor, como números do CPF.

Phishing contra contribuintes

Além do Brasil, os invasores estão falsificando sites de autoridades fiscais em vários outros países, inclusive os portais oficiais dos governos da Alemanha, França, Áustria, Suíça, Chile e Colômbia. O modus operandi é similar: nos sites fraudulentos, os golpistas coletam credenciais de serviços legítimos e roubam dados pessoais antes de se oferecerem para processar uma dedução fiscal, desde que a vítima forneça os dados do cartão de crédito. Em alguns casos, eles até cobram uma taxa por esse serviço fraudulento.

Um site que imita a autoridade fiscal chilena. A vítima é instruída a inserir os dados do cartão de crédito para receber uma restituição substancial de impostos, aproximadamente US$ 375. Em vez disso, os fundos são desviados da conta da vítima diretamente para os golpistas

Às vezes, a tática envolve acusações feitas em nome de órgãos governamentais. Na imagem abaixo, por exemplo, um suposto chefe de auditoria fiscal, em Paris, informa à vítima que ela forneceu informações de renda incompletas. Então, para evitar penalidades, a pessoa é instruída a baixar um documento e fazer as correções imediatamente. No entanto, o arquivo PDF esconde algo muito pior: malware.

Em vez de um documento oficial da autoridade fiscal francesa, a pessoa encontra malware no PDF, pronto para infectar o dispositivo

Na Colômbia, um site falso da direção nacional de impostos e alfândegas também solicita que as pessoas baixem documentos que devem ser “desbloqueados com uma chave de segurança”. Na realidade, trata-se simplesmente de um arquivo comprimido ZIP malicioso e protegido por senha.

Depois de inserir a senha, a pessoa abre um arquivo comprimido malicioso que infecta o dispositivo

Lucros de criptomoedas isentos de impostos

Os detentores de criptomoedas passaram a representar um alvo específico para os invasores. As autoridades fiscais alemãs falsas estão exigindo que os proprietários de carteiras “verifiquem seus ativos digitais” e citam os regulamentos da UE tendo como objetivo o cálculo de impostos. E, claro, há um “lado positivo”: obviamente, os ganhos com criptomoedas estão supostamente isentos de impostos! No entanto, para solicitar um benefício tão generoso, os usuários devem passar por um procedimento de “verificação”. O site ainda promete fazer a criptografia de dados usando um “protocolo SSL de 2048 bits”.

Para concluir o processo de “verificação”, os usuários são forçados a inserir a frase-semente, ou seja, a sequência exclusiva de palavras vinculadas a uma carteira de criptomoedas que concede acesso de recuperação total. Essa solicitação está associada a uma ameaça: a recusa em fornecer os dados levará a graves consequências legais, como multas de até um milhão de euros ou processo criminal.

Os invasores também aplicaram um golpe semelhante em usuários franceses. Eles criaram um “portal de conformidade tributária de criptomoedas” inexistente, que imita o design do site do ministério da economia e finanças da França. O site de phishing exige, agressivamente, que os residentes franceses enviem uma “declaração de ativos digitais”.

Depois que o usuário insere as informações pessoais, os golpistas solicitam que eles insiram manualmente a frase-semente ou “vinculem” a carteira de criptomoedas ao portal. Se a vítima seguir em frente, as carteiras MetaMask, Binance, Coinbase, Trust Wallet ou WalletConnect serão drenadas.

A IA pode ajudar com as declarações de impostos?

Quando você tem IA à disposição, capaz de gerar texto instantaneamente e preencher planilhas, há uma forte tentação de delegar tudo a ela. Infelizmente, isso pode gerar sérias consequências. Em primeiro lugar, todos os chatbots populares processam os dados em seus respectivos servidores, o que coloca suas informações confidenciais em risco de vazamento. Em segundo lugar, é comum que eles cometam erros incrivelmente tolos, e isso pode resultar em problemas reais com o fisco.

Antes de informar a um chatbot ou agente de IA quanto você ganhou no ano passado, juntamente com dados pessoais e bancários detalhados, lembre-se da frequência com que ocorrem vazamentos em serviços de IA e considere os riscos. Não informe sua renda para a IA, não forneça detalhes pessoais, como nome ou endereço, e, sob hipótese alguma, não carregue fotos ou números de documentos vitais, como passaportes, informações de seguro ou números de previdência social. Os arquivos que contêm informações confidenciais devem ser mantidos em contêineres criptografados, como o [placeholder KPM].

Se, mesmo assim, você ainda quiser usar ferramentas de IA, é recomendável executá-las localmente. Isso pode ser feito gratuitamente até mesmo em um laptop padrão, e já mostramos como configurar modelos de linguagem locais usando o DeepSeek como um exemplo. No entanto, a qualidade da saída desses modelos é geralmente inferior. É bem possível que a verificação dupla de cada dígito em uma resposta gerada por IA leve mais tempo do que apenas preencher a papelada manualmente. Não se esqueça, você é o único responsável perante a administração fiscal por quaisquer erros, e não a IA.

Por fim, fique atento aos modelos de phishing por IA que oferecem “assistência” com a declaração de impostos. Os especialistas da Kaspersky descobriram sites que pedem aos usuários o envio de notas fiscais, supostamente para a geração automatizada de declarações e solicitações de dedução. Porém, o que acontecia, de fato, era que os invasores coletavam os dados pessoais para revender na dark web ou para usar em futuros ataques de phishing, chantagem e esquemas de extorsão.

Os criadores de uma ferramenta de IA falsa solicitam aos usuários que carreguem documentos fiscais e garantem que o site não armazena nenhum dado do usuário. Na realidade, todas as informações inseridas, como nome, endereço, documentos, pessoa de contato e número de telefone acabam nas mãos de criminosos virtuais

Lembre-se de que serviços legítimos de IA alertam para não compartilhar dados confidenciais, e documentos fiscais se enquadram nessa categoria. Quaisquer ferramentas de IA que prometem oferecer ajuda para lidar com a papelada fiscal são simplesmente uma farsa.

Como proteger a si mesmo e às suas informações

• Faça você mesmo a sua declaração. O risco de encontrar golpistas é extremamente alto. Mesmo que uma empresa de consultoria seja legítima, a empresa receberá um dossiê completo seu: detalhes do passaporte, informações de emprego e renda, endereço e muito mais. Não se esqueça de que mesmo os serviços mais honestos não estão imunes a ataques e violações de dados.
• Cuidado com sites falsos. Use uma solução de segurança confiável que impede a visita a sites de phishing e bloqueia downloads de arquivos maliciosos.
• Mantenha todos os documentos importantes criptografados. Armazenar fotos, notas ou arquivos na área de trabalho ou manter mensagens com estrela em um aplicativo de mensagens não é uma forma segura de lidar com dados confidenciais. Um cofre seguro como o Kaspersky Password Manager pode armazenar mais do que apenas senhas e informações de cartão de crédito: ele também pode proteger documentos e até fotos.
• Não confie na IA. Mesmo os chatbots mais avançados são propensos a erros e alucinações e, em princípio, os desenvolvedores podem ler qualquer conversa que você tenha com a IA. Se você absolutamente precisar usar a IA, instale e execute uma versão local em seu próprio computador.
• Siga apenas os canais oficiais. O “inspetor fiscal chefe” do seu país ou cidade definitivamente não enviará uma mensagem para você, pois funcionários de alto escalão têm coisas mais importantes a fazer. Contate as autoridades fiscais apenas por canais oficiais e verifique o remetente de todos os e-mails recebidos. Na maioria das vezes, mesmo uma pequena diferença no nome ou no endereço é um sinal que revela uma campanha de phishing.

Leitura adicional sobre phishing e segurança de dados:

• Phishing e spam: as campanhas mais ousadas de 2025
• Como phishers e golpistas usam IA
• O que acontece com os dados roubados em ataques de phishing?
• Como desaparecer da Internet
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso

Motivação

O STX RAT representa mais um representante relevante da evolução contínua dos Remote Access Trojans (RATs) baseados em .NET, operando em um ecossistema onde acessibilidade, modularidade e baixo custo de entrada favorecem sua rápida disseminação entre atores de ameaça com diferentes níveis de sofisticação. Para a tomada de decisão de CISOs, o risco não reside apenas nas capacidades técnicas do malware, mas na combinação de três fatores críticos:

• Facilidade de aquisição e operação (commodity malware)
• Capacidade de persistência silenciosa em endpoints corporativos
• Integração com cadeias de ataque maiores (stealers, loaders, ransomware)

O STX RAT não é, isoladamente, uma ferramenta de alta sofisticação. No entanto, seu uso em campanhas oportunistas e sua capacidade de fornecer acesso contínuo ao ambiente comprometido o tornam um multiplicador de risco, frequentemente atuando como estágio intermediário para ataques mais destrutivos. Do ponto de vista de negócio, os principais impactos incluem:

• Exfiltração de dados sensíveis (credenciais, documentos, sessões)
• Comprometimento prolongado sem detecção
• Uso como ponto de apoio para ransomware
• Exposição regulatória (LGPD) e dano reputacional

A Evolução

O STX RAT se insere no ecossistema consolidado de RATs baseados em .NET, ao lado de famílias como AsyncRAT e QuasarRAT. Essas ferramentas compartilham características comuns:

• Código relativamente acessível
• Facilidade de customização
• Interfaces de controle amigáveis
• Distribuição via fóruns underground e canais fechados

Em 2025, cabe destacar que houve uma convergência entre três categorias de malware:

• RATs tradicionais (controle remoto)
• Infostealers (exfiltração rápida de dados)
• Loaders (entrega de payloads adicionais)

O STX RAT acompanha essa tendência ao oferecer:

• Capacidades de coleta de dados
• Execução remota de comandos
• Flexibilidade para integração com outros payloads

O STX segue a tend6encia de Malware-as-a-Service (MaaS), um modelo de negocio criminoso onde deliquentes menos experientes conseguem conduzir campanhas eficazes com baixo investimento técnico.

3. Análise de Kill Chain

3.1 Vetores de entrada

O STX RAT é tipicamente distribuído por meio de vetores amplamente conhecidos, porém ainda eficazes:

• Campanhas de phishing com anexos maliciosos
• Arquivos compactados contendo executáveis disfarçados
• Arquivos ISO, LNK e loaders
• Software pirata, cracks e keygens
• Malvertising

A eficácia desses vetores depende fortemente de engenharia social, frequentemente adaptada ao idioma e contexto regional, além de ser cada vez mais efetiva graças ao uso intensivo de IA.

3.2 Execução inicial

Após o acesso inicial:

• O usuário executa um loader ou dropper
• O payload é descompactado ou injetado em memória
• Pode haver uso de LOLBins (ex.: PowerShell) para execução indireta

3.3 Persistência

O STX RAT estabelece persistência utilizando:

• Chaves de registro (Run/RunOnce)
• Tarefas agendadas
• Cópias em diretórios persistentes do sistema

Essa persistência é projetada para se manter a reinicializações e ofuscar as ações de ferramentas, analistas e .

3.4 Expansão e pós-exploração

Embora não seja um framework completo, que inclua o movimento lateral, o acesso fornecido permite:

• Execução de ferramentas adicionais
• Download de payloads secundários
• Movimentação manual por operadores

4. Arquitetura Técnica do STX RAT

O STX RAT, por suas características de desenvolvimento, possui:

• Portabilidade
• Ofuscação
• Rápido desenvolvimento

4.1. Capacidades principais:

• Keylogging
• Captura de tela
• Gerenciamento de arquivos
• Execução remota de comandos
• Monitoramento do sistema

A comunicação entre cliente e servidor permite controle quase em tempo real.

5. Evasão

O STX RAT emprega técnicas comuns, porém eficazes:

5.1. Ofuscação

• Proteção de strings
• Packing do binário

5.2. Evasão de análise

• Detecção de ambiente virtual
• Delay de execução
• Verificação de sandbox

5.3. Evasão de defesa

• Uso de LOLBins
• Execução em memória (parcial)
• Possível bypass de mecanismos como AMSI

O objetivo não é invisibilidade total, mas reduzir a probabilidade de detecção automática.

6. Comando e Controle (C2)

A comunicação C2 geralmente utiliza:

• HTTP/HTTPS
• Portas customizadas
• Comunicação periódica (beaconing)

6.1. Características:

• Uso de VPS de baixo custo
• Rotação de IPs/domínios
• Infraestrutura descartável

Essa arquitetura favorece:

• Resiliência operacional
• Dificuldade de bloqueio completo

7. Impacto na América Latina

A América Latina apresenta condições favoráveis para disseminação do malware:

• Alta taxa de uso de software não licenciado
• Menor maturidade em segurança em PMEs
• Forte uso e eficácia de engenharia social

Setores frequentemente impactados:

• Financeiro
• Governo
• Pequenas e médias empresas

Campanhas costumam explorar:

• Idioma local (português ou espanhol)
• Temas como boletos, impostos, entregas e serviços bancários são os mais frequentes.

8. Técnicas, Táticas e procedimentos (TTPs)

O comportamento do STX RAT pode ser mapeado em diversas táticas:

a) Initial Access

• Phishing (T1566)

b) Execution

• User Execution (T1204)
• PowerShell (T1059.001)

c) Persistence

• Registry Run Keys (T1547.001)
• Scheduled Tasks (T1053)

d) Defense Evasion

• Obfuscated Files (T1027)
• Virtualization/Sandbox Evasion (T1497)

e) Command & Control

• Application Layer Protocol (T1071)

f) Exfiltration

• Exfiltration Over C2 Channel (T1041)

9. Estratégias de Detecção e Defesa

9.1. Controles técnicos

• EDR/XDR com análise comportamental
• Monitoramento de rede
• Detecção de anomalias

9.2. Hardening

• Bloqueio de macros
• Controle de execução de scripts
• Princípio do menor privilégio

9.3. Conscientização dos Usuários

• Treinamento contínuo contra phishing

Os ataques de ransomware estão longe de desacelerar. No último ano, foram registradas 11.796 vítimas diretas desse tipo de ciberataque ao redor do mundo, 1,3 vítimas por hora, segundo dados do BTTng da Apura Cyber Intelligence, plataforma de inteligência em ameaças cibernéticas. O impacto vai além dos números: empresas paralisadas, serviços essenciais comprometidos e milhões de pessoas expostas a riscos iminentes.

A onda de ataques abrange qualquer empresa de todos os segmentos, desde a saúde até os serviços públicos. Em maio passado, a Ascension Healthcare, uma das maiores operadoras de saúde dos EUA, foi alvo de um ataque cibernético que comprometeu sistemas críticos, incluindo registros médicos e comunicação interna. Hospitais ficaram sem acesso a informações essenciais por semanas, forçando equipes a recorrerem a procedimentos manuais. “Isso gerou riscos reais, com erros relatados no Kansas e em Detroit, que poderiam ter resultado em graves consequências médicas”, explica Anchises Moraes, Especialista de Theat Intel da Apura.

A Ascension não divulgou oficialmente o grupo por trás do ataque, mas investigações apontam para o Black Basta. Sete dos vinte e cinco mil servidores foram comprometidos, e 5,6 milhões de indivíduos receberam notificações sobre o possível vazamento de dados.

No Brasil, a TOTVS foi alvo do grupo BlackByte, com relatos de que dados da empresa foram acessados. A companhia informou seus acionistas, garantindo a continuidade dos serviços, mas sem dissipar completamente a incerteza. Já a Sabesp sofreu um ataque do grupo RansomHouse, que não apenas roubou dados, mas também os publicou posteriormente.

O futuro dos ataques: alvos menores, impactos maiores

Se antes os criminosos miravam grandes corporações exigindo valores exorbitantes, a tendência é que ataques menores, porém em massa, ganhem força em todo o mundo, incluindo o Brasil. Pequenas e médias empresas se tornaram alvos fáceis, já que possuem menos recursos para segurança e maior propensão a pagar resgates. “Elas têm mais dificuldade em recuperar dados roubados ou encriptados, tornando-se presas ideais para esses criminosos”, alerta Anchises.

A expansão internacional do grupo de cibercriminosos conhecido como Scattered Spider acendeu um sinal de alerta entre empresas latino-americanas. Especialistas em segurança apontam que, embora não haja registros confirmados de ataques desse grupo no Brasil ou vizinhos até o momento, seu alcance global e métodos sofisticados representam um risco iminente para organizações na região.

Com táticas de engenharia social elaboradas e capacidade de driblar defesas tradicionais, o Scattered Spider tem mirado grandes empresas em diversos países. “A questão não é mais ‘se’ seremos atacados, mas de ‘quando’ e ‘como’, afirma Felipe Guimarães, Chief Information Security Officer da Solo Iron. “As táticas empregadas pelo grupo exploram fragilidades universais, presentes em empresas em todo o mundo – o que inclui as empresas latino-americanas”, pondera o especialista.

Um dos maiores riscos é que os setores visados pelo Scattered Spider no exterior também são pilares econômicos na América Latina. O grupo historicamente focou suas ações em empresas de telecomunicações, terceirização de processos de negócios (BPO) e grandes empresas de tecnologia – indústrias que possuem ampla presença na região. Nos últimos tempos, foi observado um aumento de interesse do grupo pelo setor financeiro global, o que inclui bancos e instituições presentes no Brasil e países vizinhos.

“Isso significa que companhias latino-americanas, seja diretamente ou através de filiais e parceiras, podem entrar na mira à medida que o Scattered Spider amplia seu raio de atuação. Mesmo empresas que não operam internacionalmente devem se precaver, pois os criminosos podem enxergar organizações locais como pontes de entrada para fornecedores ou clientes globais, ou simplesmente como alvos lucrativos por si sós, caso identifiquem falhas de segurança exploráveis”, pontua Guimarães.

Na mira das agências de inteligência

Relatórios do FBI e da Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA descrevem o Scattered Spider como “especialista em engenharia social”, empregando diversas técnicas para roubar credenciais e burlar autenticações.

Entre os métodos documentados estão phishing por e-mail e SMS (smishing), ataques de vishing (ligações telefônicas fraudulentas) em que os criminosos se passam por equipe de TI da própria empresa, e até esquemas elaborados de SIM swap – quando convencem operadoras de telefonia a transferir o número de celular de uma vítima para um chip sob controle deles. Essas táticas permitem interceptar códigos de autenticação multifator (MFA) enviados via SMS ou aplicativos, dando aos invasores as chaves para acessar sistemas internos.

Alguns incidentes recentes no cenário latino-americano já envolveram vetores parecidos, como uso de ferramentas legítimas em ataques e exploração de credenciais vazadas, o que reforça a necessidade de vigilância. Em 2024, por exemplo, houve casos de gangues de ransomware operando na região que abusaram de softwares legítimos e brechas em procedimentos internos de empresas, aplicando práticas muito similares ao do Scattered Spider.

Estratégias de mitigação

Diante da crescente ameaça representada por grupos como o Scattered Spider, Guimarães recomenda a adoção de estratégias com foco especial em fortalecer métodos avançados de autenticação multifator (MFA), preferencialmente resistentes a phishing, como chaves físicas de segurança ou soluções baseadas em certificados digitais. Técnicas como MFA com validação numérica e a restrição do uso de SMS para autenticação são essenciais para reduzir o risco de engenharia social e ataques por fadiga de notificações, muito usados pelo grupo.

Além disso, a adoção de uma abordagem mais robusta em relação à gestão de identidades e acessos (IAM) é uma estratégia muito importante na contenção desse tipo de ameaça. “As identidades digitais estão se tornando uma nova superfície de ataque; por isso, é fundamental que as empresas implementem políticas rígidas de gestão de identidades, controle granular de acessos e monitoramento contínuo das atividades dos usuários”, destaca.

“Também é muito importante o controle rigoroso sobre ferramentas de acesso remoto e a implantação de monitoramento avançado. É recomendável que as organizações restrinjam o uso dessas ferramentas por meio de listas autorizadas e adotem sistemas robustos como EDR e DLP para identificar rapidamente atividades suspeitas”, finaliza o especialista.

Com o avanço acelerado da inteligência artificial generativa e a naturalização do trabalho digital em escala global, o phishing ganhou novas formas e complexidade. Se antes os golpes se restringiam a e-mails genéricos com links suspeitos, hoje eles simulam comunicações internas com impressionante realismo. Para se ter uma ideia dessa transformação, de acordo com relatório da KnowBe4, somente no primeiro trimestre de 2025, 60,7% das simulações clicadas no primeiro trimestre de 2025 imitavam comunicações de equipes internas, sendo que 49,7% mencionavam diretamente o setor de Recursos Humanos.

A frequência desses ataques também revela o quanto esse tipo de ciberataque se consolidou como uma ameaça constante e altamente eficaz. Segundo dados da GreatHorn, mais da metade das organizações (57%) relata lidar com tentativas de phishing diariamente ou pelo menos uma vez por semana. Já a CSO Online aponta que 80% dos incidentes de segurança cibernética reportados atualmente têm origem nesse tipo de golpe.

Para Vinicius Gallafrio, CEO da MadeinWeb, empresa referência em soluções digitais e inteligência artificial, os ataques de phishing deixaram de ser óbvios e evoluíram para se camuflar nas práticas do dia a dia corporativo. ”Mesmo com o avanço de tecnologias de proteção, o fator humano segue como a principal porta de entrada para invasores, explorando, sobretudo, a rotina e a pressa das equipes. Esses golpes exploram a linguagem comum entre colegas, imitam padrões visuais internos e simulam urgências típicas de lideranças ou do RH. O desafio está em perceber o que parece legítimo, mas não é. Por isso, mais do que tecnologia, precisamos cultivar uma cultura de segurança entre os colaboradores”, comenta.

Diante desse novo cenário, identificar comportamentos suspeitos exige atenção a sinais cada vez mais sutis. O primeiro passo é observar mudanças no tom da mensagem: pedidos urgentes, tom de cobrança inesperado e linguagem excessivamente formal ou fora do padrão da empresa são indícios comuns.

Outra característica marcante dos golpes mais recentes é o uso de horários estratégicos para envio, como início da manhã, finais de expediente ou períodos de maior volume de trabalho. O objetivo é capturar a atenção em momentos de menor vigilância. Além disso, ferramentas corporativas como mensageiros internos e plataformas de colaboração passaram a ser usadas como canal de disseminação de phishing, imitando interações autênticas entre colegas e gestores.

Com isso, o papel das equipes de segurança da informação vai além da aplicação de políticas técnicas ou da adoção de ferramentas robustas. É preciso estabelecer uma vigilância coletiva e constante, onde cada colaborador se reconheça como elo fundamental da defesa corporativa. A identificação de padrões sutis de fraude, o questionamento de comunicações atípicas e o reporte ágil de atividades suspeitas devem fazer parte do cotidiano organizacional.

“Nenhuma tecnologia, por mais avançada que seja, substitui o olhar atento de um time bem preparado. O phishing de 2025 não engana pela técnica, mas pelo contexto, e é nisso que precisamos estar atentos. A segurança digital começa onde termina a automatização: no senso crítico humano, na colaboração e na capacidade de questionar o que parece normal demais para ser verdade”, conclui

Mesmo com o avanço da tecnologia e da inteligência artificial, falhas humanas como senhas fracas e configurações incorretas em nuvem continuam sendo o principal gatilho de ataques, causando prejuízos milionários às empresas. Para se ter uma ideia, segundo dados da IBM, o custo médio de uma violação de dados no Brasil chegou a R$7,19 milhões, sendo o phishing, responsável por 16% das violações, e o uso indevido de IA os vetores mais comuns. O relatório aponta ainda que, no cenário global, o prejuízo médio por ataque chega a US$4,44 milhões, evidenciando que o impacto financeiro das violações permanece elevado independentemente da região.

Segundo especialistas, o cenário se torna ainda mais crítico porque, quanto mais avançadas e complexas são as tecnologias, maior é o impacto de erros simples cometidos por pessoas. Além disso, outro relatório da IBM aponta que 63% das empresas afetadas não possuem políticas consolidadas de governança de IA, o que aumenta o risco de erros na operação de tecnologias críticas.

Para Rafael Dantas, Head de Cibersegurança da TLD, empresa referência em tecnologia, esses números mostram que a vulnerabilidade humana deixou de ser um tema comportamental e passou a ser uma questão estratégica. “A tecnologia evoluiu, mas o ponto de falha mais explorado ainda é o comportamento das pessoas. Quando uma empresa ignora treinamento, governança e orientação contínua, ela amplia exponencialmente a probabilidade de que um erro cotidiano se transforme em um incidente milionário”, afirma.

A análise global da Fortinet reforça esse movimento ao mostrar que configurações em nuvem permanecem entre as principais portas de entrada para ataques. Permissões abertas, identidades mal definidas, senhas padrão e chaves expostas seguem sendo falhas humanas que facilitam acessos indevidos. Para completar, o relatório identificou um aumento de 500% na circulação de credenciais corporativas roubadas em fóruns clandestinos, impulsionado por hábitos inseguros de colaboradores.

O preparo adequado reduz tanto ataques externos quanto violações internas. “Mesmo com o avanço técnico das ameaças — que hoje exploram IA, automação e ataques cada vez mais sofisticados — grande parte dos incidentes ainda nasce do básico: um clique em link malicioso, uma credencial exposta ou um desvio de procedimento. O investimento em tecnologia precisa caminhar junto com a capacitação contínua. Segurança não é só sobre ferramentas. É sobre comportamento, cultura e repetição diária.”, comenta Rafael Dantas.

Treinamentos contínuos, simulações, revisão de permissões, processos robustos de governança e cultura ativa de reporte são os elementos que reduzem drasticamente a superfície de ataque. Empresas que conseguem engajar suas equipes em segurança têm resultados concretos: menos incidentes, respostas mais rápidas e danos menores. Pessoas preparadas são, hoje, o maior diferencial para reduzir riscos.

Em um cenário em que ataques se tornam mais rápidos e automatizados, o maior desafio continua sendo humano. Capacitar pessoas deixou de ser uma iniciativa periférica e se tornou uma das principais medidas para proteger operações, reputação e continuidade das empresas.

Um novo estudo divulgado pela Mimecast revelou um dado alarmante sobre segurança da informação: 95% das falhas de segurança registradas em 2024 foram causadas por erro humano. Este número, por si só, lança uma luz sobre uma realidade que, apesar dos impressionantes avanços tecnológicos e da crescente sofisticação dos ataques virtuais, persiste como nosso maior calcanhar de Aquiles: a deficiência em educação digital. No Brasil, esse desafio se agiganta, expondo um abismo preocupante entre a tecnologia disponível e o comportamento dos usuários.

A segurança cibernética, em sua essência, depende fundamentalmente do comportamento humano. De nada adianta termos as mais robustas muralhas digitais se, por dentro, as portas são inadvertidamente abertas por aqueles que deveriam ser os primeiros a protegê-las. Observamos no dia a dia uma série de práticas inseguras que persistem justamente pela falta de conhecimento básico sobre os riscos digitais.

O usuário, muitas vezes, não sabe como se proteger online. Erros como o uso da mesma senha em múltiplas plataformas, a suscetibilidade a golpes de phishing elementares, o compartilhamento excessivo de informações pessoais nas redes sociais e a confiança ingênua em mensagens que apelam para a urgência ou emoção são incrivelmente comuns. Esta vulnerabilidade não é um acaso, mas o reflexo direto de uma base educacional que ainda não incorporou a segurança digital como pilar essencial.

Uma questão social

O problema é sistêmico e se manifesta em diversas esferas. Nas escolas, onde a cidadania digital deveria ser cultivada desde a infância, o tema da cibersegurança é frequentemente negligenciado ou tratado de forma superficial. As universidades, por sua vez, ainda falham em integrar de maneira robusta a segurança cibernética nos currículos, até mesmo nos cursos de Tecnologia da Informação. Muitos profissionais chegam ao mercado sem as noções básicas para proteger os sistemas e dados com os quais irão trabalhar, uma lacuna que deveria ser impensável na era digital.

Uma pesquisa do DataSenado comprovou que a atenção deve estar nos mais jovens e com formação incompleta. Segundo o estudo, 27% das pessoas que perderam dinheiro em crimes digitais estão na faixa de 16 a 29 anos, e 35% possuem ensino médio completo, seguido por 29% com ensino superior incompleto.

No ambiente corporativo, a mentalidade reativa ainda predomina. Embora algumas empresas invistam em treinamentos, a maioria só se mobiliza após a ocorrência de um incidente de segurança, quando o prejuízo já está consolidado. Falta a cultura da prevenção, do investimento contínuo na capacitação dos colaboradores para que se tornem uma linha de defesa ativa, e não um ponto de falha.

Vemos, inclusive, resistência por parte da população em adotar medidas simples, mas eficazes, como a autenticação de dois fatores ou o uso de senhas fortes. Essa hesitação muitas vezes nasce da percepção de que tais medidas são incômodas ou da falsa sensação de que “isso só acontece com os outros”, um perigoso equívoco alimentado pela falta de entendimento sobre a real dimensão dos riscos.

Desafios da modernidade

O cenário se torna ainda mais complexo com o avanço da inteligência artificial, que potencializa ameaças como deepfakes e golpes de engenharia social cada vez mais personalizados e convincentes. Diante disso, a educação digital precisa evoluir. Não basta apenas ensinar a técnica de como usar uma ferramenta de segurança; é crucial desenvolver o pensamento crítico, a capacidade de identificar manipulação emocional e desinformação. Precisamos formar cidadãos digitais conscientes, capazes de discernir e agir com prudência no ambiente online.

Para começar a mudar esse panorama, o primeiro passo é tratar a cibersegurança como um direito e um dever fundamental da cidadania digital. Isso implica uma ação coordenada que envolva instituições públicas liderando campanhas nacionais de conscientização, a inclusão efetiva do tema nos currículos escolares desde os anos iniciais, a capacitação de servidores públicos e a criação de políticas públicas que incentivem a educação digital para todos os segmentos da população. A mídia tem um papel crucial na disseminação de informação de qualidade, e o setor privado deve assumir sua responsabilidade na formação contínua de seus colaboradores e na promoção de uma cultura de segurança.

Ignorar a educação digital é deixar a porta aberta para ameaças que podem comprometer não apenas dados pessoais e financeiros, mas a própria infraestrutura crítica do país e a confiança nas interações digitais. Investir em conhecimento e conscientização é, hoje, a estratégia mais inteligente e eficaz para fortalecer nossas defesas e construir um Brasil digitalmente mais seguro e resiliente.

Se você já leu ou ouviu o termo “ataque cibernético” pode ter se perguntado como esse tipo de ataque acontece no mundo real e quais os reais impactos eles podem gerar, seja para as empresas que sofreram o golpe ou para as pessoas de maneira geral.

Recentemente, a Apura Cyber Intelligence apresentou seu relatório sobre o panorama da cibersegurança no mundo no último ano, em que aborda uma série de incidentes que aconteceram durante o ano. O relatório mostra como os criminosos realizaram tais ataques e quais foram as consequências para as empresas e indivíduos atingidos. Além disso, o relatório também abordou uma série de operações realizadas por autoridades contra grupos cibercriminosos.

Marco Romer, Coordenador de Reports na Apura, explica que, cada vez que um ataque é deflagrado, empresas de cibersegurança como a Apura estudam o caso para poder entender onde houve falhas e, assim, desenvolver técnicas mais refinadas que aumentem a efetividade das medidas de seguranças contra esses tipos de ataques.

Alguns incidentes no Brasil e no mundo

Em um dos acontecimentos mais importantes de 2024 no setor de tecnologia, a Snowflake, renomada empresa de computação em nuvem, enfrentou um grave vazamento de dados. A Mandiant, empresa de segurança pertencente ao Google, identificou que aproximadamente 165 clientes potenciais da Snowflake, incluindo a Pure Storage, a Neiman Marcus e a AT&T, foram alvo de uma campanha coordenada de exploração de credenciais roubadas. O caso foi agravado por falhas na implementação de medidas de segurança essenciais, como a adoção de autenticação multifatorial, e pela reutilização de senhas antigas.

“A investigação conduzida pela Mandiant, identificou que a ação comprometeu dados de aproximadamente 110 milhões de clientes apenas da AT&T, abrangendo praticamente toda a base de usuários da operadora. O volume de informações expostas demonstra a extensão e a gravidade do incidente, evidenciando o potencial de alcance de ataques cibernéticos bem-sucedidos”, explica Romer. “Fica claro também, que o ataque a uma única empresa, neste caso a Snowflake, pode atingir várias outras, demonstrando a necessidade de a segurança cibernética ser pensada e estruturada ao longo de toda a cadeia de suprimentos”, acrescenta.

Outro incidente ocorreu com a Ascension Healthcare, uma das principais operadoras de saúde dos EUA, que enfrentou um ataque de ransomware que paralisou suas operações clínicas. O episódio, detectado em maio, interrompeu serviços importantes, como registros médicos eletrônicos, forçando os hospitais a recorrerem a métodos manuais, como notas manuscritas, o que aumentou os riscos de erros médicos. Em um caso angustiante, um enfermeiro no Kansas quase cometeu um grave erro de dosagem devido à confusão causada pela falta dos sistemas eletrônicos.

No Brasil, uma onda de o golpe por SMS, também conhecido como “smishing”, se destacou pela velocidade e alcance. Criminosos exploraram mensagens SMS para enganar milhares de pessoas. Entre as principais modalidades de fraude,  só neste ano, centenas de sites falsos foram criados para enganar vítimas por meio de falsas notificações de encomendas, avisos de valores a receber e alertas de cassação da CNH encheram as caixas de entrada dos brasileiros. As mensagens continham links que levavam a sites fraudulentos, semelhantes a portais de empresas de logística e órgãos governamentais, induzindo as vítimas a pagar supostas taxas por meio de boleto ou pagamento instantâneo.

Os golpes por SMS continuam a representar uma séria ameaça à segurança digital dos brasileiros em 2025. Segundo pesquisa da Norton divulgada em março, 54% das tentativas de fraude no país foram feitas por SMS, sendo que 43% das pessoas que receberam essas mensagens acabaram caindo no golpe. Mais alarmante: 77% dessas vítimas sofreram prejuízos financeiros, com perdas que vão de R$ 1,2 mil a até R$ 40 mil. De acordo com a Febraban, o total de perdas financeiras causadas por golpes no Brasil saltou de R$ 8,6 bilhões, em 2023, para R$ 10,1 bilhões em 2024 — um crescimento de 17%.

“Conseguimos identificar com o auxílio de nossa ferramenta de inteligência de ameaças e técnicas de investigação em fontes abertas que mais de 300 domínios falsos foram usados apenas em campanhas que simulavam comunicações dos Correios, ampliando significativamente o alcance e o impacto dos golpes”, diz o coordenador.

Em abril de 2024, o sistema financeiro do Governo Federal, conhecido como SIAFI, foi alvo de um ousado esquema de desvio de recursos. Criminosos conseguiram alterar dados bancários de um fornecedor, desviando R$ 3,5 milhões do Ministério da Gestão e Inovação. Para isso, utilizaram técnicas como phishing e certificados digitais falsos, aproveitando-se de credenciais de servidores públicos.

Operações contra grupos de cibercriminosos

No caso do SIAFI, a investigação da Polícia Federal revelou um esquema criminoso que desviava recursos destinados ao pagamento dos salários de servidores públicos, utilizando contas de “laranjas” para ocultar as transações. Esses recursos eram posteriormente convertidos em criptomoedas através de exchanges e instituições de pagamento especializadas.

Durante a operação, foram cumpridos 19 mandados de busca e apreensão e três de prisão temporária em diversos estados, incluindo Minas Gerais, Bahia, Rio de Janeiro, São Paulo e o Distrito Federal. Em resposta ao ocorrido, o Tesouro Nacional, responsável pelo SIAFI, implementou medidas adicionais de segurança, como a autenticação com múltiplos fatores (MFA) para usuários autorizados, visando reforçar a proteção do sistema e prevenir futuros incidentes.

Outras ações bem sucedidas implementadas pelas autoridades com a colaboração de empresas de cibersegurança foram realizadas em 2024. Operações nacionais e internacionais contra o cibercrime tiveram como foco o combate a grupos de ransomware e a grupos especializados em ataques DDoS.

A “Operação Cronos”, por exemplo, marcou um ponto de virada na luta contra o grupo LockBit, temido por sua série de ataques de ransomware desde 2019. As forças da lei dos EUA, do Reino Unido e da União Europeia conseguiram apreender domínios e revelar a identidade do líder do grupo, Dmitry Yuryevich Khoroshev. Vários afiliados foram presos, e a operação demonstrou a colaboração global necessária para combater o cibercrime.

Simultaneamente, a “Operação PowerOFF” desmantelou 27 serviços de aluguel de ataques DDoS em uma ação coordenada entre 15 países. Além de remover plataformas online usadas para fins maliciosos, a operação prendeu indivíduos-chave e responsabilizou centenas de usuários.

Outra vitória significativa ocorreu com a “Operação Magnus”, que focou nos malwares Redline e Meta Infostealer, dois dos mais utilizados para roubo de informações pessoais em todo o mundo. A polícia holandesa e o FBI apreenderam servidores e emitiram alertas globais, culminando na acusação do desenvolvedor russo Maxim Rudometov.

“As operações realizadas em 2024 reforçam a importância da cooperação internacional na luta contra o cibercrime, não só entre as nações, mas também do setor público com o privado. Se os criminosos evoluem em ousadia e táticas a cada ano, as forças da lei estão sempre empenhadas em provar que é só uma questão de tempo até que estes criminosos sejam inevitavelmente levados a encarar a justiça e a pagar por seus crimes”, ressalta Romer.

Sobre a Apura Cyber Intelligence, acesse: https://apura.com.br/

A engrenagem do cibercrime não para de evoluir, e 2025 chega com um alerta vermelho para líderes de tecnologia, segurança e governança digital. Lançado nesta quarta-feira (23), a nova edição do Data Breach Investigations Report (DBIR), da norte-americana Verizon, escancara um cenário em mutação: crescimento nos ataques com uso de inteligência artificial, exploração de falhas de dia zero nos dispositivos de borda e um fator humano que insiste em deixar a porta entreaberta para os criminosos.

Neste ciclo, o relatório analisou 22.052 incidentes de segurança, dos quais 12.195 resultaram em violações de dados confirmadas, o maior volume já registrado em uma edição do estudo. O levantamento cobre o período entre 1º de novembro de 2023 e 31 de outubro de 2024, com participação de empresas de todos os portes e setores. E, mais uma vez, o Brasil marcou presença: pelo sétimo ano consecutivo, a Apura Cyber Intelligence contribuiu com sua análise sobre o cenário nacional de ameaças.

“Esse tipo de colaboração nos permite entender melhor o comportamento do cibercrime em diferentes regiões e estar no centro das discussões mais relevantes sobre cibersegurança no mundo”, afirma Sandro Süffert, fundador e CEO da Apura. “Essa troca internacional nos permite entender o que está acontecendo lá fora e ajustar nossas ações ao que faz sentido aqui – e vice-versa. Esse equilíbrio entre o panorama global e a realidade local é o que torna nossa atuação mais eficaz e diferenciada”.

Entre os dados mais preocupantes, está o aumento de violações causadas por abuso de credenciais (22%) e exploração de vulnerabilidades (20%), com destaque para o uso de exploits de dia zero em VPNs e dispositivos de borda. Esses equipamentos, aliás, estiveram no centro de 22% das falhas exploradas no ano passado, um grande salto comparado aos 3% do ano anterior.

Apesar dos esforços das empresas em aplicar correções de segurança em seus equipamentos, apenas 54% das falhas foram totalmente resolvidas, com um prazo médio de 32 dias para “fechar a porta”, tempo mais do que suficiente para os criminosos agirem.

O fator humano ainda aparece em 60% das violações. E as brechas se multiplicam na medida em que cresce o envolvimento de terceiros, agora presentes em 30% dos incidentes, o dobro do registrado no ciclo anterior. O uso compartilhado (e muitas vezes descuidado) de credenciais, especialmente em ambientes externos, segue sendo um calcanhar de Aquiles. Para se ter uma ideia, o estudo identificou que o tempo médio para remediar segredos vazados em repositórios GitHub foi de 94 dias.

Outro alerta grave: os malwares do tipo “infostealer”, focados no roubo de dados, aparecem com força. Segundo o DBIR, 30% dos dispositivos infectados por esse tipo de ameaça eram corporativos, sendo que quase metade dos sistemas comprometidos (46%) misturava credenciais pessoais e profissionais — uma combinação explosiva que cresce com políticas permissivas de BYOD (bring your own device), ainda comuns em muitas empresas.

No front do ransomware, o relatório detectou aumento de 37% nas ocorrências em relação ao ciclo anterior. O tipo de ataque esteve presente em 44% das violações analisadas. Ainda assim, os valores pagos aos extorsionistas caíram: de uma mediana de US$ 150 mil em 2023 para US$ 115 mil em 2024. A boa notícia? 64% das empresas vítimas optaram por não pagar o resgate.

Mas o impacto é desigual: entre grandes corporações, o ransomware apareceu em 39% das violações. Já nas pequenas e médias empresas, esse número sobe para 88%, o que reforça a realidade vulnerável do middle market.

Uma das grandes novidades do relatório foi a inclusão da inteligência artificial como vetor de ataque. O uso de GenAI (inteligência artificial generativa) por criminosos se tornou evidente em 2025, com o dobro de e-mails maliciosos usando textos sintéticos em comparação com dois anos atrás, segundo parceiros da Verizon.

Mas o perigo não está apenas no lado ofensivo. O relatório revela que 15% dos funcionários acessam ferramentas de IA generativa com frequência em dispositivos corporativos, muitas vezes com contas pessoais (72%) ou e-mails corporativos sem autenticação adequada (17%) — criando brechas para o vazamento de dados sensíveis para fora do ambiente empresarial.

“Há poucos anos, falar de inteligência artificial em ataques cibernéticos soaria como ficção. Hoje, criminosos usam GenAI para automatizar fraudes, escrever e-mails de phishing mais convincentes e até escalar ataques com uma velocidade inédita. Isso muda o jogo. E nos obriga a pensar em defesa com a mesma sofisticação e agilidade”, comenta Süffert.

O DBIR 2025 apresenta uma breve análise regional do cenário de ameaças e traz um recorte com o panorama dos ataques cibernéticos na América Latina. Dentre os 657 incidentes analisados na região, a maioria com divulgação de dados confirmada (413), os principais padrões de ataque foram a intrusão de sistemas, o uso de engenharia social e os ataques básicos a aplicações Web – ao todo eles representam 99% das violações. Praticamente todas as violações identificadas na região envolveram atores de ameaça externos e 1% envolveram parceiros. As principais motivações foram o ganho financeiro (84%) e a espionagem (27%), com comprometimento de dados internos (97%) e de segredos corporativos (27% dos casos).

Com mais de 150 páginas, o DBIR 2025 reafirma seu papel como o mapa da segurança cibernética global. O estudo deixa claro: a guerra digital continua, e os ataques estão mais rápidos, inteligentes e invisíveis. A boa notícia é que, com dados e colaboração internacional, também evoluem as defesas.

Ou como resumiu o CEO da Apura: “Relatórios como o DBIR não se limitam a contar o que já aconteceu. Eles acendem luzes sobre o que está por vir”, diz Sandro Süffert, CEO da Apura. “Em um ambiente onde o cibercrime evolui na velocidade da tecnologia, ter acesso a dados confiáveis e análises profundas deixou de ser um diferencial, virou questão de sobrevivência”.

Sobre a Apura Cyber Intelligence: https://apura.com.br/

O relatório Data Breach Investigations Report 2025 já está disponível para download. Acesse em: https://www.verizon.com/business/resources/reports/dbir/

Pesquisadores do Netskope Threat Labs descobriram uma nova versão do malware XWorm circulando em ataques ativos, com funcionalidades inéditas que dificultam a detecção e aumentam a persistência nos sistemas infectados. O XWorm 6.0 é capaz de burlar ferramentas de segurança, se proteger contra remoção e se manter ativo mesmo após um desligamento forçado.

O XWorm se espalha por meio de scripts disfarçados em mensagens ou arquivos aparentemente legítimos, baixando um código malicioso que se executa inteiramente na memória, sem deixar rastros visíveis. A nova versão ainda bloqueia a ação do antivírus, modificando a memória do sistema para escapar de escaneamentos automáticos.

Outro destaque é que se o XWorm 6.0 for executado com privilégios de administrador, ele automaticamente se sinaliza como um “processo crítico”, o que impede sua finalização mesmo por administradores. Se for finalizado à força, o sistema irá travar e exigir a reinicialização, e neste momento o malware se ativa novamente.

A análise da Netskope mostra que essa nova versão também identifica se está sendo executada em ambientes de análise ou simulação, e se encerra automaticamente para evitar a detecção por especialistas de segurança.

Mais informações com detalhes técnicos desta descoberta estão disponíveis no blog da Netskope.

Em um dos painéis mais aguardados do Cyber Security Summit 2025, o especialista Yuri Diógenes, PhD em Cybersecurity, professor da Universidade do Texas em Dallas e líder global de ciberdefesa na Microsoft, encerrou o evento com uma palestra contundente sobre o novo cenário dos conflitos internacionais. Sob o tema “Quando as Fronteiras Ficam Nebulosas: Ciberataques de Estados-Nação em Conflitos Modernos”, o especialista mostrou como o ciberespaço se consolidou como o quinto domínio da guerra moderna — ao lado da terra, do ar, do mar e do espaço — e advertiu que empresas e governos já estão sendo afetados diretamente por esse tipo de ataque.

“Quando há um embate entre Estados, o primeiro ataque não é mais militar, é cibernético. Ele vem em forma de campanhas de desinformação, ataques distribuídos e sabotagem digital. O ciberespaço se tornou a nova linha de frente dos conflitos modernos”, afirmou Diógenes.

Segundo levantamento da Microsoft apresentado durante a palestra, uma em cada três infraestruturas críticas no mundo já foi alvo de ataques conduzidos por grupos vinculados a Estados-nação. Desde 2020, o número desses incidentes cresceu mais de 200%, impulsionado por tensões políticas e disputas regionais. O especialista destacou que o Brasil também pode sofrer efeitos colaterais de ofensivas direcionadas a outros países, especialmente em cadeias globais de suprimento.

Ao apresentar exemplos da guerra Rússia-Ucrânia e de ataques recentes no Oriente Médio, Diógenes mostrou que os ataques digitais tornaram-se o primeiro passo das ofensivas militares. “Antes de tanques cruzarem fronteiras, já vemos ofensivas cibernéticas contra infraestruturas críticas e sistemas de defesa. É um playbook de guerra que combina poder cibernético e força cinética”, explicou.

Ele lembrou ainda que setores privados também são alvos frequentes, mesmo fora das zonas de conflito. “Quando um provedor de soluções é comprometido, todas as organizações que confiam naquela cadeia são vítimas em potencial. A infiltração em um elo estratégico pode causar efeitos em cascata na economia global”, destacou.

IA e desinformação: a nova face dos ataques

O pesquisador também alertou para o uso crescente da inteligência artificial (IA) em campanhas de desinformação e manipulação social. De acordo com ele, entre janeiro de 2024 e outubro de 2025 houve um crescimento exponencial de ataques que utilizam IA em alguma etapa da operação. “A IA vem sendo usada para criar desinformação em massa, explorando fontes que parecem confiáveis, veículos de comunicação, personalidades e até familiares. O resultado é um caos informacional difícil de conter”, afirmou.

Entre os exemplos citados, estão deepfakes hiper-realistas, clonagem de vozes e manipulação de vídeos e áudios para fraudes e disseminação de fake news. “O cidadão comum não tem ferramentas para diferenciar o real do falso. Isso aumenta a vulnerabilidade social e política das democracias”, alertou.

Ao encerrar sua apresentação, Diógenes reforçou que o risco cibernético é, hoje, uma extensão do risco geopolítico e da competitividade nacional, exigindo uma mudança na postura das lideranças empresariais. “Gerenciar risco cibernético é gerenciar a competitividade nacional. O que acontece na Europa ou no Oriente Médio pode afetar diretamente o mercado brasileiro. As empresas precisam estar preparadas para impactos indiretos e colaterais”, afirmou.

Para o especialista, o caminho passa por três pilares: visibilidade, colaboração e mentalidade estratégica. “Segurança não pode ser apenas um tema operacional. Precisa estar na mesa de decisão executiva. Quando os conflitos se espalham para o ciberespaço, a preparação define a resiliência”, concluiu.​

A escalada de tensões entre Irã e Israel ganha um novo e perigoso capítulo no ciberespaço. Um relatório divulgado pela Check Point Research revela que o grupo de ciberespionagem iraniano conhecido como Educated Manticore, com ligações diretas ao Corpo da Guarda Revolucionária Islâmica (IRGC-IO), intensificou campanhas direcionadas contra acadêmicos, jornalistas e especialistas de tecnologia israelenses.

Alvos: Especialistas e Acadêmicos de Prestígio

De acordo com a investigação, o Educated Manticore concentrou esforços em atacar profissionais de alto nível, incluindo professores de ciência da computação de universidades renomadas de Israel, pesquisadores de cibersegurança e jornalistas. As ações, sofisticadas e cuidadosamente planejadas, fazem parte de uma ofensiva de espionagem digital que visa obter acesso indevido a contas de e-mail e outros serviços críticos.

Os invasores se passam por pesquisadores, executivos ou analistas de empresas de cibersegurança fictícias, estabelecendo contato inicial por e-mail ou até mesmo por mensagens no WhatsApp. Com uma comunicação polida, bem estruturada e aparentemente legítima — muitas vezes auxiliada por inteligência artificial —, os criminosos buscam conquistar a confiança das vítimas e direcioná-las para links maliciosos.

Phishing Personalizado e Engenharia Social Avançada

Uma vez estabelecido o contato, os alvos são conduzidos para falsas páginas de login do Gmail, Outlook ou Yahoo, desenvolvidas com tecnologia moderna baseada em Single Page Applications (SPA) usando React. Essas páginas simulam com precisão o fluxo de autenticação de grandes provedores de e-mail, incluindo etapas de autenticação multifator (2FA), captura de senhas e códigos de verificação.

Além disso, o kit de phishing desenvolvido pelo grupo conta com keyloggers ocultos, capazes de registrar todas as teclas digitadas, mesmo que o usuário não finalize o processo. As informações são transmitidas em tempo real para os servidores dos atacantes, potencializando o roubo de credenciais e comprometendo ainda mais as contas das vítimas.

Um aspecto que chamou atenção dos analistas foi o uso de convites falsos do Google Meet, hospedados no próprio serviço Google Sites, o que dá uma aparência ainda mais legítima às páginas maliciosas. Ao clicarem nas imagens desses convites, as vítimas são redirecionadas a sites sob o controle dos atacantes.

Infraestrutura Robusta e Expansão da Campanha

A infraestrutura da Educated Manticore é ampla e bem estruturada. Desde janeiro de 2025, o grupo registrou mais de 130 domínios diferentes — muitos relacionados a temas como tecnologia, comunicação e educação —, utilizados para hospedar as páginas de phishing e gerenciar as operações clandestinas. A maioria desses domínios foi registrada através do provedor NameCheap.

Os especialistas também identificaram uma sobreposição significativa com outra célula de operações, conhecida como GreenCharlie, o que sugere uma possível ramificação ou subgrupo da Educated Manticore atuando de forma coordenada.

Entre os domínios maliciosos monitorados estão sendly-ink[.]shop, idea-home[.]online, live-meet[.]info, bestshopu[.]online, entre muitos outros. Além disso, diversos endereços IP associados à operação foram mapeados, fortalecendo as evidências de uma infraestrutura técnica bem organizada.

Ameaça Persistente e Alerta Global

Apesar da crescente exposição e dos esforços da comunidade de segurança cibernética, o Educated Manticore segue atuando com rapidez e agressividade, demonstrando grande capacidade de adaptação e evasão. A campanha atual, ao explorar o contexto geopolítico e acadêmico, representa uma ameaça grave à integridade das instituições israelenses e ao ecossistema global de cibersegurança.

“Esses ataques evidenciam como o ciberespaço se tornou um dos principais campos de batalha no atual conflito Irã-Israel”, alertam os pesquisadores da Check Point. A expectativa é de que o grupo continue investindo em táticas de roubo de identidade e coleta de informações, principalmente de indivíduos envolvidos em ambientes acadêmicos, científicos e tecnológicos estratégicos.

Indicadores de Comprometimento (IOCs)

A Check Point Research divulgou uma lista de domínios e endereços IP associados à infraestrutura maliciosa do Educated Manticore. Profissionais e empresas de tecnologia são fortemente aconselhados a implementar medidas de monitoramento e bloqueio desses indicadores em suas redes.

Entre os principais IOCs identificados estão:

Endereços IP:

• 185.130.226[.]71

• 45.12.2[.]158

• 45.143.166[.]230

• 91.222.173[.]141

• 194.11.226[.]9

Domínios Notórios:

• sendly-ink[.]shop

• idea-home[.]online

• live-meet[.]info

• bestshopu[.]online

• live-message[.]online

A lista completa de domínios e IPs está disponível no relatório técnico da Check Point.

Conclusão

O caso do Educated Manticore reforça o papel crítico da cibersegurança no cenário geopolítico atual. A sofisticação técnica, combinada a uma estratégia agressiva de engenharia social, demonstra que grupos apoiados por Estados seguem explorando vulnerabilidades humanas e tecnológicas para alcançar seus objetivos de espionagem.

Especialistas recomendam vigilância redobrada, treinamentos contínuos de conscientização e o uso de autenticação forte e verificada, especialmente entre profissionais que atuam em áreas sensíveis de tecnologia e pesquisa.