Os agentes mal-intencionados estão aperfeiçoando suas campanhas com animações de “aparência profissional” e usando serviços de malware “comercialmente disponíveis”.
Por Redação, com Europa Press – de Madri
Os criminosos cibernéticos continuam aprimorando suas técnicas de enganação para induzir os usuários a baixar malware em seus dispositivos, aproveitando animações sofisticadas, como barras de carregamento falsas ou solicitações de senha que dão credibilidade e um senso de urgência, além de malware de assinatura.
Isso se reflete no mais recente Relatório de Ameaças à Segurança da HP, da sua solução HP Wolf Security, que alerta que os agentes mal-intencionados estão aperfeiçoando suas campanhas com animações de “aparência profissional” e usando serviços de malware “comercialmente disponíveis”.
Com base na análise de “milhões de endpoints” que executam a solução de julho a setembro deste ano, a HP destacou um aumento nas campanhas maliciosas que combinam o uso de imagens persuasivas, juntamente com plataformas populares como o Discord, onde essas imagens são hospedadas, e kits de malware atualizados regularmente para contornar as ferramentas de segurança.
Avisos legais falsos
Como exemplo disso, nos ataques cibernéticos analisados, os especialistas identificaram campanhas nas quais os invasores se fizeram passar pelo Ministério Público da Colômbia e enviaram notificações legais falsas por e-mail.
Sob o pretexto de resolver as notificações, os agentes mal-intencionados guiavam as vítimas para um site falso do governo, que incluía uma animação de rolagem que exigia que o usuário solicitasse uma suposta “senha única”, mas que, na realidade, abria um arquivo mal-intencionado protegido.
Conforme explicaram, uma vez aberto o arquivo, ele exibia uma pasta com uma biblioteca de vínculo dinâmico (DLL) oculta, que era manipulada para instalar o malware PureRAT em segundo plano. Como resultado, os criminosos cibernéticos conseguiram obter o controle total do dispositivo.
Além do risco envolvido nesse tipo de golpe, a HP também enfatizou que os casos estudados mostraram uma grande facilidade de evasão das medidas de segurança do computador usando o sideload de DLL. De fato, apenas 4% dos casos foram detectados por sistemas antivírus.
Atualização falsa da Adobe
Em outro caso exposto no relatório, os criminosos cibernéticos usaram como isca um PDF falso com a marca Adobe, que parecia ser uma atualização do leitor de PDF, mas que na verdade redirecionava os usuários atacados para um site fraudulento.
Nesses ataques, a animação no site exibia uma barra de progresso falsa que imitava a usada pela Adobe, incentivando o usuário a baixar um executável do ScreenConnect. Esse arquivo era modificado e significava que, ao se conectar a servidores controlados pelos atacantes, eles conseguiam sequestrar o dispositivo.
Discord como uma estrutura de hospedagem
Da mesma forma, em outros casos estudados, a HP observou que agentes mal-intencionados usaram a plataforma Discord como uma infraestrutura de hospedagem para tirar proveito de sua reputação estabelecida.
Nesse sentido, eles conseguiram hospedar um malware que, antes de ser ativado, desativou a proteção de integridade da memória do sistema operacional Windows 11. Depois disso, a cadeia de infecção continuou com a implantação do malware Phantom Stealer, dedicado ao roubo de informações relevantes, como credenciais e dados financeiros.
Como ponto comum, os ataques descritos coincidem no fato de os atacantes usarem animações sofisticadas, como barras de carregamento falsas ou solicitações de senha. Essa técnica, além de dar credibilidade, também introduz um senso de urgência nos sites maliciosos, conforme explica o pesquisador sênior de ameaças do HP Security Lab, Patrick Schläpfer.
Da mesma forma, Schläpfer também apontou como os agentes mal-intencionados dependem de malware baseado em assinatura, como o Phantom Stealer, para fornecer funcionalidade completa e constantemente atualizada. Isso permite que eles “fiquem à frente das soluções baseadas em detecção e reduzam o esforço necessário para executar campanhas”, como ele disse, mesmo antes das novas proteções do Windows.
O sequestro de cookies de sessão está em alta
Além disso, a HP também alertou sobre o aumento dos ataques de sequestro de cookies de sessão, bem como sobre o aumento de credenciais roubadas e a disseminação de malware destinado a roubar informações.
Isso ocorre porque, como eles explicaram, em vez de tentar obter senhas de alguma forma ou contornar a autenticação multifator, os criminosos cibernéticos estão indo direto para a captura de cookies que provam que o usuário já está conectado. Dessa forma, eles podem enganar o serviço em questão e obter acesso a sistemas ou informações mais confidenciais.
Como prova disso, a HP compartilhou que, de acordo com sua análise, 57% das principais famílias de malware detectadas no terceiro trimestre deste ano eram softwares de roubo de informações com recursos de roubo de cookies.
Malware ativo sob controle
Com tudo isso em mente, a empresa de tecnologia também destacou o valor das ferramentas que permitem o isolamento de ameaças, de modo que o malware evita os sistemas de detecção, mas é ativado em um ambiente de contêiner seguro de forma controlada. Dessa forma, serviços como o HP Wolf Security permitem que as técnicas usadas pelos criminosos cibernéticos sejam analisadas de forma atualizada.
Especificamente, a HP detalhou que, até o momento, eles identificaram como os usuários abriram mais de 55 bilhões de anexos, páginas da Web e arquivos baixados, “sem violações”.
Entre as técnicas de ataque mais comuns observadas com essa técnica, pelo menos 11% das ameaças identificadas pelo serviço de e-mail HP Sure Click conseguiram escapar de um ou mais scanners de gateway.
Da mesma forma, descobriu-se que os arquivos compactados representam 45% dos métodos de entrega de malware, um aumento de cinco pontos em relação ao trimestre anterior de 2025. Da mesma forma, 11% das ameaças bloqueadas pelo HP Wolf Security eram arquivos PDF, um aumento de 3% em relação ao trimestre anterior.
