Sites do DETRAN e MEC são clonados por IA e usados em golpes de phishing no Brasil

Pesquisadores alertam para uma nova onda de ataques sofisticados no Brasil. Hackers estão utilizando ferramentas legítimas de inteligência artificial (IA) para criar sites falsos; em outra, um trojan versátil chamado Efimer está sendo distribuído em massa para roubar criptomoedas.

Uma campanha de phishing com motivação financeira está usando construtores de sites baseados em IA, como DeepSite AI e BlackBox AI, para criar réplicas perfeitas de páginas de órgãos do governo brasileiro. A denúncia vem do Zscaler ThreatLabz, que identificou a criação de sites fraudulentos imitando o Departamento Estadual de Trânsito (DETRAN) e o Ministério da Educação (MEC).

O objetivo dos hackers é enganar cidadãos para que realizem pagamentos indevidos através do sistema de pagamento instantâneo PIX.

Para garantir que as vítimas encontrem esses sites falsos, os invasores utilizam técnicas de envenenamento de SEO (Search Engine Optimization), que manipulam os resultados de busca para que as páginas fraudulentas apareçam no topo.

"A análise do código-fonte revela assinaturas de ferramentas de IA generativa", afirmaram Jagadeeswar Ramanukolanu, Kartik Dixit e Yesenia Barajas, da Zscaler. Segundo eles, os indícios incluem "comentários excessivamente explicativos destinados a orientar desenvolvedores, elementos não funcionais que normalmente funcionariam em um site autêntico e tendências como o estilo TailwindCSS, que é diferente dos kits de phishing tradicionais usados por hackers".

O golpe se desenrola com o preenchimento de formulários que coletam informações pessoais sensíveis, como números de Cadastro de Pessoas Físicas (CPF), endereços residenciais e outros dados. Em seguida, a vítima é convencida a fazer um pagamento único de R$ 87,40 via PIX, sob o pretexto de realizar um exame psicométrico e médico ou garantir uma oferta de emprego.

Para aumentar a credibilidade, as páginas de phishing empregam uma coleta de dados em etapas, solicitando as informações progressivamente, espelhando o comportamento dos sites autênticos. Os números de CPF coletados são validados em tempo real por meio de uma API criada pelo próprio hacker, que preenche automaticamente a página com os dados vinculados ao CPF, tornando o golpe ainda mais convincente.

A Zscaler observa que é possível que os invasores tenham obtido esses dados de CPF através de vazamentos anteriores ou explorando APIs públicas com chaves de autenticação expostas. "Embora essas campanhas de phishing estejam atualmente roubando quantias relativamente pequenas de dinheiro das vítimas, ataques semelhantes podem ser usados para causar danos muito maiores", alertou a empresa.

Paralelamente, o Brasil se tornou o foco principal de uma campanha de e-mail malicioso (malspam) que se passa por advogados de uma grande empresa para distribuir um script chamado Efimer, projetado para roubar criptomoedas. A empresa russa de cibersegurança Kaspersky detectou a campanha em junho de 2025, mas identificou que as primeiras versões do malware datam de outubro de 2024 e eram espalhadas por sites WordPress infectados.

"Esses e-mails alegavam falsamente que o nome de domínio do destinatário infringia os direitos do remetente", disseram os pesquisadores Vladimir Gursky e Artem Ushkov. "Este script também inclui funcionalidades adicionais que ajudam os invasores a espalhá-lo ainda mais, comprometendo sites WordPress e hospedando arquivos maliciosos neles".

O Efimer utiliza múltiplos vetores de distribuição:

• E-mails maliciosos e sites WordPress comprometidos.

• Torrents maliciosos, disfarçados de filmes populares.

• Comunicação com seu servidor de comando e controle (C2) através da rede TOR para anonimato.

O malware pode ter suas capacidades estendidas com scripts adicionais capazes de realizar ataques de força bruta para adivinhar senhas de sites WordPress e coletar endereços de e-mail para futuras campanhas.

Na cadeia de ataque, o e-mail contém um arquivo ZIP com outro arquivo ZIP protegido por senha e um arquivo de texto com a senha. Dentro do segundo ZIP está um arquivo Windows Script File (WSF) malicioso. Ao ser executado, ele infecta a máquina com o Efimer enquanto exibe uma falsa mensagem de erro. O script instala o componente trojan ("controller.js") e cria uma tarefa agendada para garantir sua persistência no sistema.

O "controller.js" atua como um malware "clipper": ele monitora a área de transferência do usuário e, quando detecta um endereço de carteira de criptomoedas, o substitui pelo endereço do hacker. Ele também pode capturar a tela e executar comandos adicionais recebidos do servidor C2. Uma segunda versão do Efimer possui recursos anti-máquina virtual (anti-VM) e verifica navegadores como Chrome e Brave em busca de extensões de carteiras de criptomoedas como Atomic, Electrum e Exodus.

A campanha já impactou cerca de 5.015 usuários internacionalmente, com a maioria das infecções concentrada no Brasil, seguido por Índia, Espanha, Rússia e outros países.

Via - THN