Pesquisadores da empresa Cofense identificaram uma nova campanha maliciosa que mistura phishing com malware para roubar muitas informações sensíveis das vítimas de forma mais eficaz. O golpe mostra que os criminosos estão cada vez mais criativos e persistentes ao contornar barreiras de segurança.
No primeiro modo de ataque, em dezembro de 2024, os criminosos instalaram o malware Muck Stealer nos computadores das vítimas. Depois da infecção, era apresentada uma página falsa de login — quando a pessoa inseria seus dados ali, mais informações eram capturadas. Já em janeiro de 2025, o esquema funcionou ao contrário: primeiro vinha a página de phishing pedindo credenciais, e logo após o clique ou o envio, o malware era automaticamente baixado para o dispositivo da vítima.
Algumas das variantes desse tipo de ataque envolvem procedimentos sofisticados: mandar emails que se parecem com instituições confiáveis (como agências governamentais), com questionários, links maliciosos e depois instalação de RATs (Remote Access Trojans). Também há versões que se adaptam ao sistema operacional da vítima — Windows ou Android — para entregar o malware apropriado. Esse tipo de combinação — phishing + malware — eleva muito o risco, porque mesmo que você não insira senha em página falsa, pode acabar infectado por um software malicioso depois.
Dica de prevenção
Desconfie de emails com links ou anexos inesperados, mesmo que pareçam vir de instituições conhecidas; confirme por outros canais.
Verifique cuidadosamente URLs antes de inserir credenciais: domínios errados, letras trocadas ou extensões suspeitas são sinais de alerta.
Mantenha sistemas operacionais, programas e antivírus sempre atualizados para reduzir vulnerabilidades exploráveis.
Use software antimalware confiável e com proteção em tempo real; habilite firewall e monitore atividades de rede suspeitas.
Segmente acessos em dispositivos corporativos e controle permissões de aplicativos, evitando que qualquer instalação oculta se torne possível.
Treine colaboradores para reconhecer phishing e entendam que clicar em link ou baixar algo suspeito pode comprometer dados importantes.
No fim, esse novo tipo de ataque evidencia que só uma defesa em camadas — autenticação forte, vigilância de rede, educação de usuários e resposta rápida — pode reduzir muito os prejuízos. Se você busca uma solução confiável que fortaleça identidade digital, controle de acesso, proteção contra phishing e malware, conheça MFA Vault — ferramenta para segurança robusta em nível corporativo. Saiba mais em mfa2go.com