Cyber threats

O cenário de fraudes digitais no Brasil apresenta números que chamam atenção. No primeiro trimestre de 2025, os dados da Serasa Experian revelam mais de um milhão de tentativas de fraude por mês – o equivalente a uma nova investida a cada 2,2 segundos. Esse volume intenso, que contribuiu para perdas de R$ 10,1 bilhões em 2024, reflete uma sofisticação crescente por parte dos adversários cibernéticos. Nesse contexto emerge o Crocodilus, um trojan bancário que redefine as regras do jogo. Diferente dos malwares tradicionais que roubam credenciais para uso posterior, ele sequestra sessões bancárias e executa transações fraudulentas em tempo real, enquanto o usuário legítimo permanece logado e, na maioria das vezes, inconsciente do ataque. Essa capacidade de Device Takeover (DTO) representa uma evolução técnica significativa que expõe limitações dos modelos de segurança baseados em perímetro. A sofisticação do Crocodilus, que combina engenharia social, abuso de funcionalidades do sistema operacional e canais de comunicação furtivos, torna firewalls e antivírus tradicionais insuficientes.  Neste artigo, vamos analisar a anatomia técnica do Crocodilus, entender por que o Brasil se consolidou como laboratório global para essas ameaças e apresentar as estratégias de defesa necessárias para neutralizar este tipo de ameaça. Crocodilus vs. Trojans Tradicionais: Por que esta ameaça exige uma nova abordagem de defesa Nos últimos anos, os malwares bancários seguiram um padrão previsível de atuação, com foco em captura de credenciais para uso posterior. No entanto, o Crocodilus marca uma ruptura nesse modelo ao operar em tempo real e durante sessões legítimas, elevando a complexidade e a urgência da resposta de segurança.   A tabela a seguir compara os trojans bancários tradicionais com o Crocodilus 4.0 e destaca os impactos diretos para a estratégia de defesa das organizações. O ecossistema do “Cangaço Digital”: Por que o Brasil é o laboratório global de trojans bancários O surgimento de uma ameaça como o Crocodilus no Brasil não é um acaso. O país consolidou-se como um epicentro global para o desenvolvimento e a disseminação de malwares financeiros.  De acordo com um relatório da Kaspersky, a América Latina registrou um crescimento de 70% nos ataques a dispositivos móveis entre agosto de 2023 e julho de 2024, com o Brasil liderando de forma isolada, somando 1,8 milhão de bloqueios de ataques nesse período.  Mais do que um alvo, o Brasil é um polo de inovação para o cibercrime: estima-se que 13 das 18 famílias mais frequentes de trojans bancários em atividade tenham origem brasileira. Este cenário é alimentado por um volume de ataques incessante. Dados da Serasa Experian do primeiro trimestre de 2025 revelam mais de um milhão de tentativas de fraude por mês, o que equivale a uma nova tentativa a cada 2,2 segundos. O setor de “Bancos e Cartões” é o alvo preferencial, concentrando 54% de todas as investidas.  A rápida digitalização dos serviços financeiros, impulsionada por tecnologias como o Pix, criou uma superfície de ataque vasta e extremamente lucrativa, atraindo organizações criminosas que migraram suas operações para o ambiente virtual. Este fenômeno foi apropriadamente classificado como “cangaço digital” pelo diretor-geral da Polícia Federal, Andrei Passos Rodrigues, elevando a fraude de um problema puramente técnico para uma questão de segurança pública e estabilidade econômica.  Consequentemente, a pressão regulatória sobre as instituições financeiras aumenta, com órgãos como o Banco Central do Brasil (BACEN) exigindo controles mais rígidos e uma capacidade de resposta a incidentes cada vez mais ágil e eficaz. Operar neste ambiente exige mais do que tecnologia; exige uma profunda compreensão das táticas, técnicas e procedimentos (TTPs) locais, que estão na vanguarda das ameaças globais. Anatomia de um Predador: A engenharia técnica do Crocodilus O Crocodilus opera com uma precisão cirúrgica, combinando múltiplos vetores de entrada com técnicas avançadas para tomar o controle do dispositivo e evadir a detecção. Sua cadeia de infecção é multivetorial. Em campanhas observadas na Europa, os operadores utilizaram anúncios maliciosos no Facebook, prometendo bônus e promoções para induzir as vítimas a baixar um aplicativo falso. O malware também se disfarça de aplicativos populares, como o Google Chrome, ou de atualizações de sistema para enganar o usuário.5 Um dos vetores mais insidiosos, e de grande relevância para o ambiente corporativo, envolve o uso de engenharia social por e-mail. O ataque se inicia com uma mensagem de phishing, frequentemente disfarçada de um boleto ou fatura pendente. Anexado ao e-mail, há um arquivo PDF malicioso. Ao ser aberto, este documento executa um código que, por sua vez, injeta um script JavaScript no navegador ou diretamente no sistema da vítima. Esse script é o ponto de partida para baixar o payload principal do Crocodilus e iniciar a fase de tomada de controle. Uma vez instalado, o malware foca em obter a permissão para utilizar os Serviços de Acessibilidade do Android. Esta é a sua “chave mestra”.  Com essa permissão, o Crocodilus ganha a capacidade de: Para roubar credenciais de forma eficaz, o Crocodilus emprega overlay attacks avançados, sobrepondo telas de login falsas, porém idênticas às originais, sobre os aplicativos bancários legítimos. Para garantir que suas atividades fraudulentas não sejam percebidas, ele pode ativar um modo stealth, exibindo uma tela preta e silenciando o dispositivo enquanto drena a conta da vítima. A comunicação com seus servidores de Comando e Controle (C2) é outro ponto de sofisticação. O malware estabelece canais WebSocket cifrados, uma tecnologia que cria uma conexão persistente e bidirecional.  Diferente do tráfego HTTP/S convencional, o tráfego WebSocket é mais difícil de ser inspecionado por firewalls e gateways de segurança, garantindo aos atacantes um canal de comunicação estável e furtivo para enviar comandos e exfiltrar dados. Para completar, o código do Crocodilus é protegido por múltiplas camadas de evasão, incluindo empacotamento, criptografia XOR e um design “emaranhado” que visa frustrar tentativas de engenharia reversa por parte de analistas de segurança. Aprofundando o ataque: o que torna o Crocodilus tão difícil de detectar A evolução do Crocodilus não está apenas na superfície do sistema, ela se estende às camadas mais profundas, onde as ferramentas de segurança tradicionais têm pouca visibilidade. Sua arquitetura modular e uso de

Em 2025, os ataques cibernéticos atingiram um pico alarmante, um relatório recente feito pela Hiscox Cyber Readiness revelou que 67% das organizações globais sofreram pelo menos um ataque cibernético nos últimos 12 meses, sendo que no Brasil, a média semanal chegou a 2.766 tentativas por empresa. Segundo esse mesmo relatório o número global subiu drasticamente dos 53% do ano anterior, marcando o quarto aumento anual consecutivo.  Ao longo desse artigo, iremos explicar por que a curva segue crescente, iremos mapear os princípiais vetores de intrusão de 2025, e trazer para você práticas para migrar a defesa reativa para um modelo de defesa proativa. Panorama dos ataques cibernéticos em 2025 Os números deixam claro que 2025 vem sendo um ano desafiador em termos de segurança digital. O salto para 67% de empresas atacadas globalmente representa um aumento acentuado na taxa de incidentes e acende um alerta para todos os setores.  Conforme mencionado, essa elevação mantém uma tendência preocupante de crescimento ano após ano. Para contextualizar essa evolução, o gráfico abaixo ilustra a porcentagem de organizações que reportaram ataques cibernéticos nos últimos anos, segundo os relatórios anuais da Hiscox: Além de multiplicar‐se em volume, os ataques diversificaram métodos e objetivos, o que nos leva aos vetores mais críticos de 2025. No Brasil, por exemplo, o número de ataques semanais por organização praticamente dobrou em 2024, atingindo uma média de 2.766 ataques semanais no 2º trimestre, um aumento de 67% em relação a 2023. No 3º trimestre de 2024, a média subiu para 2.766 ataques semanais por organização, impressionantes 95% acima do mesmo período do ano anterior.  Além da quantidade de ataques, a persistência e determinação dos atacantes aumentaram. No cenário global, 17% das organizações relataram ter sofrido mais de 50 ataques distintos em apenas um ano, um indicativo claro de agentes maliciosos incansáveis e de campanhas automatizadas que vasculham a internet em busca de alvos vulneráveis.  Em outras palavras, entender como os criminosos entram é tão importante quanto saber quantas vezes entram. Os vetores de ataques estão cada vez mais diversificados Segundo o relatório, “business email compromise” (BEC), ou comprometimento de e-mail corporativo, foi novamente o ponto de entrada mais comum para invasores, repetindo o primeiro lugar pelo segundo ano consecutivo.  Esse tipo de ataque envolve geralmente phishing direcionado, em que o criminoso engana alguém da empresa para obter acesso indevido (por exemplo, assumindo o controle de uma conta de e-mail interna).  No Reino Unido, um subtipo de BEC, fraudes de desvio de pagamentos representou 57% dos ataques reportados em 2024, ilustrando como engenharia social e técnicas de phishing continuam extremamente eficazes contra organizações despreparadas. A exploração de vulnerabilidades em sistemas e aplicações A cada ano, milhares de novas falhas de segurança (CVE) são descobertas e divulgadas publicamente e os atacantes correm para explorar aquelas que ficam sem correção. Uma infraestrutura sem gerenciamento adequado de patches pode ser comprometida em questão de horas após a revelação de uma falha crítica.  Em ambientes de multicloud e adoção acelerada de novas tecnologias, manter todas as ferramentas integradas e atualizadas é um desafio. Brechas não corrigidas funcionam como portas escancaradas para invasores, permitindo desde ataques de ransomware até roubos silenciosos de dados. Portanto, entender as principais ameaças e vetores é o primeiro passo; o próximo é avaliar os impactos que esses ataques podem trazer. Principais ameaças e vetores em 2025 : phishing, ransomware e falha humana Phishing, BEC e o elo humano fraco Ataques baseados em phishing e suas variantes direcionadas, como spear phishing e BEC – permanecem entre os vetores mais prevalentes em 2025. Esses golpes exploram o elo mais vulnerável da segurança: as pessoas.  Quase metade (46%) das organizações que sofreram violações identificaram um erro ou ação de um funcionário como ponto inicial da invasão. Isso inclui casos em que alguém clicou em um link malicioso, abriu um anexo infectado ou compartilhou credenciais achando que a solicitação vinha de fonte confiável.  Por esse motivo, empresas em todo o mundo têm investido em conscientização: 65% dos líderes aumentaram o treinamento de segurança cibernética para colaboradores remotos, visando reduzir esse risco humano. Mesmo assim, a engenharia social evolui e engana até usuários cautelosos. E-mails fraudulentos hoje imitam com perfeição comunicações legítimas de parceiros ou diretores da empresa, levando vítimas a tomar ações danosas.  No ataque BEC típico, o invasor intercepta ou falsifica uma conversa de e-mail corporativo para solicitar um pagamento indevido – muitas vezes se passando por um fornecedor ou superior hierárquico. Em ambientes com pouca verificação de procedimentos, as perdas podem ser enormes. A sofisticação cresceu tanto que nesses tipos de ataques estão sendo usados domínios falsos e QR Codes maliciosos. A lição aqui é clara: a falha humana continua sendo um fator crítico em segurança, e abordá-la requer tanto tecnologia (filtros de e-mail, autenticação multifator) quanto educação contínua dos usuários. Ransomware: a ameaça esmagadora  Se o phishing é a porta de entrada, o ransomware é possivelmente o visitante indesejado mais temido ao atravessá-la.  Nos últimos anos, os ataques de ransomware dispararam em volume e impacto. Janeiro de 2025 marcou um recorde histórico, com 590 incidentes de ransomware documentados globalmente apenas nesse mês  um número cinco vezes maior que o registrado em janeiro de 2022.  No acumulado de 2024, houve 5.414 ataques de ransomware divulgados publicamente, representando um aumento de 11% em relação a 2023. Mais da metade das organizações já vivenciou um ataque de ransomware: 59% das empresas foram alvo desse tipo de extorsão no último ano. Diante desses dados, fica evidente que não se trata mais de “se” sua empresa será atacada, mas “quando”. O modus operandi também se sofisticou. Ataques antes oportunistas tornaram-se operações meticulosas e repetíveis, muitas vezes conduzidas por gangues especializadas que funcionam como empresas criminosas. Elas invadem redes, exfiltram dados sigilosos (96% dos casos incluem exfiltração antes da criptografia (tática double extortion)) e só então criptografam os sistemas, aumentando a pressão para o pagamento do resgate.  Em suma, o ransomware consolidou-se como uma das ameaças mais urgentes da atualidade. Nenhuma empresa, grande ou pequena, pode ignorar

A ascensão do Brasil no ranking global de ataques DDoS no Brasil mostra que o país se tornou um alvo crítico na geopolítica digital. Em apenas três meses segundo relatórios da Cloudfare, mais de 20,5 milhões de ataques DDoS foram registrados globalmente, um salto impressionante de 358% em comparação ao ano anterior (e 198% acima do início de 2024).  A própria Cloudflare reportou ter bloqueado esse volume massivo de tentativas no 1º trimestre, incluindo mais de 700 ataques “hipervolumétricos” (acima de 1 Tbps de tráfego cada), uma média de oito megataques por dia. Esses números assombrosos ilustram como os ataques de Distributed Denial of Service (DDoS) voltaram a subir exponencialmente, alimentados por agentes de ameaça cada vez mais audaciosos e uma superfície de ataque digital em expansão.  Nesse contexto global turbulento, o Brasil desponta simultaneamente como vítima frequente e fonte emergente dessas ofensivas, configurando um cenário de duplo risco que acende um sinal de alerta para a segurança digital no país. Crescimento global e o papel do Brasil nos ataques DDoS em 2025 Relatórios recentes elaborados pela Cloudfare confirmam que o Brasil está entre os 10 países mais visados por DDoS no mundo. No ranking da Cloudflare para o 1º trimestre de 2025, o país ocupou a 6ª posição em quantidade de ataques recebidos, mantendo-se exatamente na mesma posição de alto risco já registrada no final de 2024.  Essa persistência no Top 10 indica que os fatores que tornam o Brasil um alvo atraente são estruturais e contínuos, não apenas eventos pontuais. De fato, somente no segundo semestre de 2024 o Brasil sofreu mais de 514 mil ataques DDoS. O maior desses atingiu picos de 788 Gbps de banda e 251 milhões de pacotes por segundo, magnitude capaz de congestionar praticamente qualquer infraestrutura. Ou seja, mesmo antes da onda global de 2025, o país já enfrentava um volume e intensidade elevadíssimos de ataques. Paralelamente, o Brasil também se destacou como foco de origem de tráfego malicioso. No começo de 2025, o país saltou para a 6ª posição entre as maiores origens de ataques DDoS do mundo, subindo sete colocações em relação ao relatório anterior. A ascensão do Brasil como ponto de origem de tráfego malicioso revela falhas estruturais de segurança em ISPs e a falta de hardening em dispositivos conectados. Por que o Brasil virou origem de tantos ataques DDoS em 2025 Uma série de fatores estruturais, tecnológicos e sociais transformou o país em terreno fértil para a proliferação de botnets e a execução de ataques de negação de serviço: Em números: 514 mil ataques em apenas seis meses; picos de 788 Gbps/251 Mpps; 6ª posição tanto como alvo quanto como origem de DDoS em 2025. Esse avanço sugere uma proliferação alarmante de redes zumbis dentro do território nacional, dispositivos comprometidos (desde computadores e servidores até câmeras e IoT) recrutados por botnets para disparar ataques. Em outras palavras, além de ser alvo, o Brasil tornou-se um notável exportador de ataques, evidenciando falhas de segurança generalizadas que permitiram a infecção em larga escala de ativos domésticos.  Esse fenômeno traz riscos duplos: não só contribui para ameaças globais, mas também pode facilmente se voltar contra infraestruturas brasileiras, caso essas botnets locais sejam direcionadas a alvos internos. Ademais, tal notoriedade negativa pode levar a bloqueios preventivos de endereços IP brasileiros no exterior, prejudicando tráfego legítimo e a reputação digital do país.  O recado é claro, o panorama de ameaças DDoS no Brasil é crítico e persistente, requerendo uma estratégia robusta e coordenada de mitigação a longo prazo, em vez de meras reações pontuais. Setores mais visados e impactos operacionais e financeiros Nem todos os alvos são atingidos por DDoS com a mesma frequência ou impacto, os agressores tendem a mirar setores cujos serviços são críticos ou cuja indisponibilidade gera maiores prejuízos.  No cenário global, por exemplo, o setor de Jogos de Azar e Cassinos liderou a lista de alvos no início de 2025, seguido de perto por Telecomunicações e Serviços de Internet. Esse padrão também se reflete no Brasil, ainda que com particularidades locais.  Os setores mais visados em ataques DDoS e os potenciais impactos Infraestrutura de Telecomunicações e Internet Provedores de telecom (operadoras de telefonia, internet e data centers) estão no topo da lista de vítimas de DDoS no Brasil. Apenas no segundo semestre de 2024, as operadoras de telecomunicação sem fio sofreram cerca de 48.845 ataques DDoS, com picos de tráfego chegando a 433 Gbps.  Em segundo lugar, ficaram os grandes provedores de hospedagem e infraestrutura de TI. A razão é estratégica, derrubar um provedor fundamental cria um efeito cascata, um ataque bem-sucedido a uma grande telco pode degradar o acesso à internet de milhares de empresas e usuários, enquanto atingir um provedor de nuvem/hospedagem tira do ar inúmeros sites e serviços de uma vez.  Em suma, os atacantes miram esses setores pela possibilidade de causar danos colaterais em larga escala, maximizando o impacto de uma única ofensiva. Isso torna a proteção de telecom e backbone da internet uma prioridade nacional, já que a indisponibilidade ampla desses serviços críticos repercute em toda a economia. Serviços Financeiros e Saúde Instituições financeiras figuram consistentemente entre os alvos preferenciais de criminosos digitais. Globalmente, no 1º tri de 2025, o segmento de Fintech/Financeiro concentrou 54% dos ataques DDoS de aplicação e 22% dos de rede, liderando as estatísticas em nível mundial.  O setor financeiro concentra mais da metade dos ataques de aplicação no mundo, com destaque para fintechs e bancos digitais que operam 24/7. Um ataque de 30 minutos pode interromper milhões em transações e provocar reações em cadeia no mercado. No Brasil, não por acaso, bancos comerciais aparecem entre os setores mais atacados (6ª posição em volume de ataques no fim de 2024). A motivação é clara, serviços financeiros lidam com transações vitais e dados sensíveis, de modo que uma queda de sistema provoca interrupção de pagamentos, prejuízo imediato e perdas de confiança.  Além disso, ataques DDoS muitas vezes servem de cortina de fumaça para invasões mais graves, como roubo de dados e

No dinâmico e implacável cenário da cibersegurança global, a agilidade na resposta a ameaças é um diferencial vital para a sobrevivência digital das organizações. Contudo, um panorama alarmante se desenvolve na América Latina, a região apresenta uma média de MTTR (Mean Time to Remediate – Tempo Médio para Remediar) extremamente elevada para vulnerabilidades críticas (classificadas como High/Critical no CVSS – Common Vulnerability Scoring System), com janelas de exposição que, segundo levantamentos de threat intelligence (inteligência de ameaças) em 2025, chegam a ultrapassar 290 dias. Esse dado vai muito além dos SLAs (Service Level Agreements – Acordos de Nível de Serviço) recomendados por frameworks de segurança como o NIST CSF (Cybersecurity Framework) e a norma ISO/IEC 27001. Para as grandes empresas que formam a espinha dorsal da economia regional – operando em setores cruciais como financeiro, industrial, varejo e infraestrutura crítica – essa exposição prolongada a riscos cibernéticos transcende o departamento de TI. Torna-se uma questão fundamental de continuidade de negócios, conformidade regulatória e preservação da reputação duramente conquistada. Enquanto estas organizações investem em inovação e transformação digital, a gestão eficaz de vulnerabilidades surge como um pilar essencial, mas frequentemente subestimado, para a sustentabilidade e segurança a longo prazo. Este artigo mergulha nos dados mais recentes que expõem a gravidade desta situação na América Latina em 2025, analisa os riscos multifacetados inerentes a essa demora para as corporações e explora como uma abordagem proativa, integrada e especializada em cibersegurança pode ser a chave para reverter este quadro e fortalecer a resiliência digital das organizações na região, protegendo-as do risco invisível que a lentidão na correção representa. O Panorama Alarmante: Dados Revelam a Lenta Resposta Latino-Americana Para compreender a magnitude do desafio enfrentado pelas corporações na América Latina, é crucial analisar os dados concretos que pintam este quadro em 2025. Relatórios de referência como o Data Breach Investigations Report (DBIR) 2025 e análises complementares da Tenable Research lançam luz sobre a disparidade entre a velocidade dos ataques e a lentidão das correções na região. Os números são, no mínimo, preocupantes e exigem atenção imediata das lideranças empresariais. Quase Sete Meses para Agir: A Média Regional Embora haja variações, os números de 2025 continuam a indicar uma demora significativa na remediação. A análise da Tenable sobre 17 vulnerabilidades críticas frequentemente exploradas em dispositivos de perímetro revelou um tempo médio global de remediação de 209 dias. Na América Latina, a média ficou ligeiramente melhor, em 203 dias. Contudo, “melhor” neste contexto ainda significa quase sete meses de exposição potencial a ataques. A situação torna-se ainda mais crítica quando observamos casos específicos: falhas como as CVE-2023-6548 e CVE-2023-6549 da Citrix viram a média latino-americana chegar a 196 dias, enquanto outras, como as CVE-2023-46805 e CVE-2024-21887 da Ivanti, levaram, em alguns setores globais, até 294 dias para serem corrigidas, mesmo sendo exploradas ativamente por cibercriminosos. O DBIR 2025 corrobora essa dificuldade, apontando que, mesmo para vulnerabilidades em dispositivos de borda – um foco crescente de ataques –, apenas cerca de 54% foram totalmente corrigidas ao longo do período analisado (Nov 2023 – Out 2024), com uma média preocupante de 32 dias apenas para iniciar o processo de correção. Isso sugere que, embora a ação inicial possa ocorrer em um mês, a remediação completa em todo o parque tecnológico das grandes empresas pode se arrastar por muito mais tempo, mantendo a porta aberta para incidentes. A Janela de Oportunidade para Cibercriminosos A lentidão na aplicação de patches contrasta drasticamente com a agilidade dos adversários. A Tenable Research reitera que cibercriminosos levam, em média, apenas cinco dias para começar a explorar uma vulnerabilidade recém-descoberta ou divulgada. Essa diferença abissal entre o tempo de resposta das empresas (meses) e a velocidade de exploração dos atacantes (dias) cria uma janela de oportunidade imensa. Falhas críticas, especialmente em sistemas expostos à internet ou que servem de ponte para redes internas, permanecem vulneráveis por tempo suficiente para permitir não apenas a exploração inicial, mas também o movimento lateral, a exfiltração de dados e a implantação de ransomware ou outras cargas maliciosas. Vulnerabilidades em Ascensão como Vetor de Ataque A consequência direta dessa lentidão é o aumento da eficácia da exploração de vulnerabilidades como tática de ataque preferencial. O DBIR 2025 confirma essa tendência alarmante: a exploração de vulnerabilidades como vetor de acesso inicial cresceu 34% em relação ao ano anterior, alcançando 20% de todas as violações analisadas. Este método agora rivaliza diretamente com o abuso de credenciais (22%), historicamente o vetor mais comum. O relatório atribui parte desse crescimento à exploração de falhas, incluindo zero-days, em VPNs e dispositivos de borda, que representaram 22% das explorações de vulnerabilidades, um salto expressivo em relação aos 3% do ano anterior. Isso é particularmente relevante para as grandes empresas latino-americanas, que possuem infraestruturas complexas e uma superfície de ataque externa mais ampla e visada. Estes números de 2025 não são meras estatísticas; são um alerta contundente sobre a necessidade urgente de repensar as estratégias de gestão de vulnerabilidades na América Latina. A demora na correção não é apenas um risco técnico, mas uma ameaça direta à continuidade dos negócios, à reputação das empresas e à segurança dos dados de clientes e parceiros, exigindo uma abordagem mais eficiente e proativa. O framework MITRE ATT&CK®, referência global para táticas e técnicas de adversários, documenta a exploração de aplicações públicas (técnica T1190 – Exploit Public-Facing Application) como uma das principais rotas de acesso inicial (Initial Access). Grupos APT (Advanced Persistent Threat) sofisticados, como o Volt Typhoon (associado à China), têm utilizado esta técnica, explorando falhas em dispositivos de borda de fabricantes como Fortinet e Zyxel em campanhas recentes para se infiltrar em redes de infraestrutura crítica. O Custo da Inércia: Riscos e Impactos da Demora na Correção A estatística de quase 300 dias para corrigir vulnerabilidades críticas na América Latina não é apenas um número em um relatório; é um cronômetro correndo contra a segurança e a estabilidade das grandes empresas. Cada dia que uma falha crítica permanece aberta representa um convite explícito a atores maliciosos, cujas

No nosso dia a dia digital, confiamos em uma série de aplicativos que se tornaram extensões de nossa comunicação, trabalho e lazer. A vulnerabilidade em aplicativos populares pode transformar essas ferramentas confiáveis em vetores de ataque, plataformas como WhatsApp, Telegram, Zoom e Microsoft Teams são vistas como ambientes seguros, parte integrante de nossa rotina. No entanto, essa familiaridade pode gerar uma falsa sensação de segurança, mascarando riscos significativos. Recentemente, uma vulnerabilidade descoberta no WhatsApp serviu como um alerta contundente, mas ele não está sozinho: mesmo os aplicativos mais populares e confiáveis podem se tornar vetores de ataques cibernéticos sofisticados. O Caso WhatsApp (CVE-2025-30401): Uma Análise Detalhada Em abril de 2025, a Meta corrigiu uma falha crítica no WhatsApp para Windows, rastreada como CVE-2025-30401. Descrita como uma vulnerabilidade de “spoofing” (falsificação, uma técnica onde um atacante disfarça uma comunicação de uma fonte desconhecida como sendo de uma fonte conhecida e confiável), ela permitia que um atacante enviasse um anexo malicioso que, embora exibido com um ícone e tipo MIME aparentemente seguro (como uma imagem ou documento), na verdade acionava o manipulador de arquivos errado ao ser aberto pelo usuário. Essencialmente, o usuário via um ícone de imagem, mas ao clicar, poderia estar executando um código malicioso escondido. O perigo real residia na possibilidade de Execução Remota de Código (RCE). Um atacante poderia, através de engenharia social, convencer a vítima a abrir o anexo disfarçado, instalando malware, spyware ou ransomware no sistema Windows do usuário. A exploração bem-sucedida poderia comprometer dados pessoais, credenciais e, em ambientes corporativos, servir como ponto de entrada para a rede da organização.  Esta vulnerabilidade específica recebeu uma pontuação CVSS (Common Vulnerability Scoring System, um padrão da indústria para avaliar a severidade de vulnerabilidades de segurança) de 6.7, classificando-a como de severidade MÉDIA. A probabilidade de exploração estimada pelo EPSS (Exploit Prediction Scoring System, que estima a probabilidade de uma vulnerabilidade ser explorada ativamente) era relativamente baixa (cerca de 0.18% nos 30 dias seguintes à sua divulgação), mas o risco principal residia na possibilidade de Execução Remota de Código (RCE). Entendendo a Execução Remota de Código (RCE) A Execução Remota de Código (RCE) representa uma das falhas mais críticas em sistemas de software. Ela permite que um invasor execute comandos arbitrários em um sistema remoto, geralmente sem autorização, explorando brechas em aplicações, serviços ou sistemas operacionais. A capacidade de executar código remotamente equivale, em muitos casos, a um comprometimento total do sistema ou aplicativo afetado. No contexto da vulnerabilidade do WhatsApp (CVE-2025-30401), o risco principal envolvia múltiplos vetores de ataque por meio de engenharia social, visando induzir a vítima à abertura do anexo malicioso disfarçado. A execução desses arquivos poderia resultar na instalação de malware, spyware ou ransomware nos sistemas Windows das vítimas. Uma exploração bem-sucedida permitiria o comprometimento de informações pessoais e credenciais sensíveis. Em ambientes corporativos, essa exploração funcionaria como um ponto de entrada crucial para a rede interna, viabilizando movimentações laterais e ataques mais avançados, como a exfiltração de dados sigilosos ou a implantação de backdoors persistentes (portas dos fundos que garantem acesso futuro ao sistema pelo atacante). É importante notar que a exploração bem-sucedida de uma vulnerabilidade RCE não é sempre garantida e depende de vários fatores, incluindo a configuração específica do sistema alvo, as medidas de segurança existentes (como antivírus e firewalls) e a sofisticação do exploit (código que explora a vulnerabilidade) utilizado pelo atacante. Táticas, Técnicas e Procedimentos (TTPs) Associados a Exploits como o CVE-2025-30401 Os atacantes utilizam uma variedade de TTPs (mapeados frequentemente no framework MITRE ATT&CK®) para explorar vulnerabilidades como esta: Exemplos Notórios de Vulnerabilidades RCE: Além do WhatsApp: Outros Gigantes na Mira O incidente do WhatsApp, embora significativo, é apenas um exemplo recente em uma longa lista de vulnerabilidades que afetam aplicativos populares: Esses casos ilustram uma tendência clara: cibercriminosos estão constantemente buscando e explorando brechas em softwares amplamente utilizados, aproveitando a confiança depositada pelos usuários e a complexidade inerente a essas plataformas. A pressão por novas funcionalidades muitas vezes compete com a necessidade de testes de segurança exaustivos, criando janelas de oportunidade para ataques. A Armadilha da Confiança Cega: Por Que a Vigilância é Essencial? A confiança excessiva na segurança intrínseca de aplicativos populares cria uma armadilha perigosa. As organizações podem negligenciar a aplicação rigorosa de políticas de atualização, e os usuários podem se tornar complacentes, clicando em links ou baixando anexos sem a devida cautela. Essa combinação de fatores aumenta exponencialmente o risco de comprometimento. É crucial entender que a segurança de um aplicativo não é estática. Novas vulnerabilidades são descobertas constantemente, e os desenvolvedores correm para lançar correções (patches). No entanto, existe sempre uma janela de oportunidade entre a descoberta da falha e a aplicação da correção, período durante o qual os sistemas permanecem vulneráveis. Atrasos na atualização de softwares, seja por parte da organização ou do usuário final, ampliam essa janela de risco. Além disso, a própria arquitetura de muitos aplicativos modernos, com integrações complexas e dependência de bibliotecas de terceiros, aumenta a complexidade da gestão de vulnerabilidades. Uma falha em um componente pode repercutir em todo o sistema, criando pontos de entrada inesperados para atacantes. A complacência é, talvez, o maior inimigo da segurança digital. Acreditar que “isso não vai acontecer comigo” ou que “o aplicativo é muito grande para ser inseguro” é um erro que pode custar caro. Construindo a Defesa: Estratégias Proativas Contra Ameaças Ocultas Diante desse cenário, a postura reativa não é mais suficiente. As organizações precisam adotar uma abordagem de segurança proativa e em camadas, que reconheça os riscos inerentes até mesmo aos aplicativos mais confiáveis. Algumas estratégias são fundamentais: Governança de Identidade e Acessos (IGA): O Controle Centralizado na Era da Confiança Zero Nesse contexto de vigilância constante e necessidade de controle granular, as soluções de Governança de Identidade e Acessos (IGA) emergem como um pilar estratégico. A Asper, especialista na implementação e gerenciamento da plataforma SailPoint, líder global em segurança de identidade, oferece soluções robustas de IGA que permite às organizações gerenciar e proteger o acesso a

Nos últimos anos, o cibercrime evoluiu não apenas em sofisticação técnica, mas em estratégia. A nova tática que vem ganhando força em 2025 é o uso de plataformas legítimas, como serviços de armazenamento em nuvem, repositórios de código, fóruns corporativos  e até redes sociais para distribuir malwares de forma furtiva e eficaz. O grande trunfo dessa abordagem é a quebra de confiança: ao trafegar seus códigos maliciosos por caminhos “seguros”, os criminosos conseguem burlar defesas tradicionais, dificultar a detecção por antivírus e aumentar drasticamente o alcance de seus ataques. Neste artigo, vamos revelar como essa técnica vem sendo usada por grupos de cibercriminosos, quais os malwares mais recentes que se aproveitam dessa estratégia e, principalmente, como sua empresa pode se proteger com monitoramento contínuo, resposta a incidentes e tecnologias de ponta. A nova face do cibercrime: Como plataformas legítimas estão sendo exploradas Um novo vetor: a confiança como arma Em vez de depender de links suspeitos ou arquivos vindos de canais obscuros, cibercriminosos passaram a explorar o que há de mais familiar no dia a dia corporativo: plataformas legítimas. Elas são confiáveis, amplamente usadas e muitas vezes ignoradas pelas defesas tradicionais, tornando-se terreno fértil para códigos maliciosos. Plataformas conhecidas, ameaças ocultas Serviços como Google Drive, Dropbox, GitHub, Discord, Microsoft Teams e Slacl, essenciais para a produtividade e colaboração estão sendo utilizados como canais de distribuição de malwares. A camuflagem é eficaz: arquivos maliciosos se escondem sob a aparência de documentos inofensivos ou links rotineiros. Exemplos de ameaças atuais: Quando o malware está atrás de um link comum A sofisticação dessas ameaças não está apenas na técnica de ocultação, mas na personalização e adaptabilidade dos malwares utilizados. O Banshee Stealer, por exemplo, é uma ameaça que se esconde em arquivos compartilhados por Google Drive. Uma vez instalado, ele rouba dados de autenticação, cookies, histórico de navegação e até tokens de acesso bancário. Já o ResolverRAT foi identificado circulando em comunidades do Discord, disfarçado como ferramentas utilitárias. Seu diferencial está na capacidade de estabelecer controle remoto completo da máquina comprometida, transformando-a em um ponto de espionagem silencioso. O AsyncRAT, por sua vez, aproveita repositórios públicos do GitHub para disseminação, e já foi utilizado em campanhas direcionadas contra empresas de tecnologia, oferecendo controle persistente e funcionalidades de keylogger e exfiltração de arquivos. Outro nome relevante é o RedLine Stealer, que circula por Dropbox ou plataformas de compartilhamento de arquivos como payload escondido em executáveis aparentemente inofensivos. Seu foco principal é roubo de dados e exploração de sistemas internos. Quando o digital rotineiro vira armadilha Essa nova fase do cibercrime transforma rotinas comuns em potenciais brechas. Plugins duvidosos, links encurtados, arquivos ZIP e extensões mascaradas estão entre os métodos mais usados para disseminar ameaças, exigindo um olhar mais atento e sistemas de defesa mais sofisticados. O funcionamento desses ataques segue um fluxo meticulosamente planejado. Primeiro, o cibercriminoso escolhe uma plataforma amplamente confiável como Google Drive, GitHub ou Discord para hospedar o malware.  O objetivo é simples: utilizar a reputação positiva desses serviços para mascarar a intenção maliciosa do arquivo. A seguir, ele distribui o link para esse conteúdo infectado por meio de campanhas de phishing, mensagens em redes sociais, e-mails corporativos ou até via automação em fóruns técnicos. Muitas vezes, a mensagem vem acompanhada de um pretexto legítimo como uma suposta fatura, um convite ou uma colaboração em projeto elevando o índice de cliques. Quando o arquivo é baixado e executado, o malware inicia sua comunicação com um servidor de comando e controle (C2), permitindo que o atacante acione funcionalidades extras. A partir daí, a infecção pode escalar rapidamente: roubando credenciais, interceptando códigos de autenticação, transformando o endpoint em um proxy residencial para mascarar tráfego criminoso ou até participando de campanhas de DDoS. Por que a detecção está mais difícil? A sofisticação dos ataques que usam plataformas legítimas mudou completamente o jogo da cibersegurança. O que antes era facilmente filtrado por antivírus ou políticas básicas de firewall, agora passa despercebido por grande parte das soluções tradicionais. Camuflagem em ambientes familiares A confiança é uma arma poderosa e os atacantes sabem disso. Ao explorar plataformas que já fazem parte do dia a dia corporativo, como Google Drive, OneDrive, GitHub e Microsoft Teams, os cibercriminosos conseguem disfarçar o comportamento malicioso. Essas plataformas, por serem amplamente confiáveis e integradas a fluxos operacionais legítimos, muitas vezes escapam dos filtros tradicionais de segurança. Isso permite que arquivos perigosos passem como documentos inofensivos ou que links maliciosos sejam tratados como comunicações rotineiras. Esse tipo de disfarce reduz drasticamente a suspeita dos usuários e dificulta a ação dos sistemas automatizados, que tendem a confiar em domínios com boa reputação. O resultado? A janela entre infecção e detecção se alarga muitas vezes, com alto custo para a empresa. Fragmentação da cadeia de infecção As campanhas de malware de 2025 não são mais simples ou lineares. Hoje, os cibercriminosos criam cadeias fragmentadas e distribuídas de infecção: um e-mail pode conter um link aparentemente confiável, que direciona para um repositório de arquivos como Dropbox ou WeTransfer, onde um script ou arquivo ZIP desencadeia o ataque. Essa fragmentação torna mais difícil para ferramentas de segurança correlacionarem os eventos. Um alerta isolado pode parecer irrelevante até que, somado a outros, revele a verdadeira ameaça. Enquanto isso, o malware já está ativo, coletando dados ou abrindo portas para outros ataques. Obfuscação e engenharia de evasão Para evitar a detecção por sistemas de antivírus, firewalls ou gateways de segurança, os atacantes utilizam técnicas de obfuscação, embaralhando o código malicioso com camadas de codificação, compressão ou encriptação. Isso dificulta a análise estática (antes da execução) e até mesmo a inspeção durante o tráfego. Além disso, os malwares modernos utilizam técnicas condicionais, nas quais o código malicioso só é ativado em situações específicas como após um clique, em determinados horários, ou dependendo da localização geográfica da vítima. Essa inteligência adaptativa torna a detecção em tempo real ainda mais desafiadora, exigindo mecanismos de sandboxing, análise comportamental e investigação contínua. Limitações das ferramentas tradicionais Antivírus convencionais, baseados em assinaturas conhecidas, simplesmente

O crescimento das botnets no Brasil coloca empresas e usuários em risco, com dispositivos sendo usados em ataques sem que os donos percebam. Recentemente, um alerta crítico chamou atenção para o Brasil: dos 1,6 milhão de dispositivos infectados globalmente, cerca de 400 mil estão em território nacional, colocando o país entre os epicentros dessa nova ameaça. Esses dispositivos, em sua maioria TV Boxes piratas, já estão sendo utilizados para ataques de negação de serviço (DDoS), distribuição de malware e fraudes digitais, comprometendo não apenas usuários domésticos, mas também redes corporativas. Mais do que nunca, compreender o funcionamento das botnets, seus impactos e as estratégias de defesa tornou-se essencial para empresas que desejam proteger sua operação e manter a continuidade dos negócios. Ao longo deste artigo, vamos revelar como essas ameaças silenciosas se formam, qual o real impacto sobre organizações de todos os portes e, principalmente, como é possível fortalecer a segurança digital para resistir a esse novo cenário de riscos. Prepare-se para uma imersão estratégica no universo das botnets, e descubra como transformar ameaças em oportunidade de blindar seu futuro digital. O que é uma Botnet e por que ela é tão perigosa? Botnets: quando seu dispositivo vira uma ameaça sem você perceber Uma botnet é uma rede de dispositivos “sequestrados” por cibercriminosos. Cada equipamento infectado, seja ele um computador, roteador, TV Box, smartphone ou qualquer outro dispositivo IoT, torna-se um “zumbi” controlado remotamente sem o conhecimento do usuário. Esses dispositivos são usados de forma coordenada para realizar uma variedade de atividades maliciosas, operando muitas vezes de maneira silenciosa, sem levantar suspeitas imediatas. Como as botnets transformam riscos isolados em ameaças globais As botnets têm finalidades diversas, que incluem: Ataques DDoS (Distributed Denial of Service), nos quais a sobrecarga de servidores, sites e aplicações com tráfego malicioso pode tirar serviços do ar, causando prejuízos financeiros e danos à reputação. Elas também são usadas para a distribuição de malwares em larga escala, propagando infecções rapidamente por redes inteiras. Outro uso comum é o roubo de dados: credenciais, informações financeiras, dados sensíveis corporativos e pessoais são capturados silenciosamente. Por fim, botnets impulsionam campanhas de phishing, disparando e-mails e mensagens fraudulentas para enganar usuários e obter acesso privilegiado a sistemas e informações. O elo fraco da IoT: como a conectividade amplia a ameaça Com a explosão da Internet das Coisas (IoT), houve um aumento exponencial na quantidade de dispositivos conectados à internet, muitos deles sem qualquer proteção adequada. Dispositivos como câmeras IP, smart TVs, roteadores domésticos e TV Boxes se tornaram alvos fáceis para cibercriminosos, ampliando consideravelmente a superfície de ataque disponível para a formação de botnets cada vez mais massivas e difíceis de conter. Hoje, um único dispositivo IoT comprometido pode ser a porta de entrada silenciosa para ataques devastadores dentro de redes corporativas e residenciais. O caso BadBox 2.0: Um alerta para o Brasil Dentro da máquina: Como o BadBox 2.0 opera Após a ativação, os dispositivos comprometidos pela botnet BadBox 2.0 se conectam automaticamente a servidores de comando e controle (C2), permitindo que agentes maliciosos assumam o controle remoto dessas máquinas. A partir daí, os dispositivos podem ser utilizados para diferentes fins criminosos, como: Essa versatilidade transforma cada dispositivo em um vetor de ataque dinâmico — e invisível à primeira vista. Indicadores de comprometimento (IOCs) Para auxiliar na identificação de comportamentos suspeitos associados à botnet BadBox 2.0, é essencial monitorar determinados domínios, endereços IP e hostnames maliciosos. Abaixo, listamos alguns dos principais IOCs identificados: Domínios suspeitos:bluefish[.]work, giddy[.]cc, joyfulxx[.]com, mtcpuouo[.]com, pasiont[.]com, ztword[.]com, pixelscast[.]com, swiftcode[.]work, tvsnapp[.]com. Endereços IP monitorados:92.63.197[.]14, 139.162.36[.]224, 172.104.186[.]191, 139.162.40[.]221, 143.42.75[.]145, 192.46.227[.]25. Hostnames comprometidos:cool[.]hbmc[.]net, sg100[.]idcloudhost[.]com, www[.]bluefish[.]work, www[.]giddy[.]cc, www[.]msohu[.]shop, cast[.]jutux[.]work, home[.]1ztop[.]work, old[.]1ztop[.]work. Esses IOCs podem ser usados para criar regras de bloqueio em firewalls, detecção via SIEM ou ações de threat hunting. Táticas e técnicas usadas: Mapeamento MITRE ATT&CK A operação da BadBox 2.0 segue padrões técnicos reconhecidos internacionalmente, especialmente no ecossistema MITRE ATT&CK. Entre as táticas e técnicas observadas: Mapear essas táticas permite desenvolver respostas alinhadas a frameworks internacionais e aprimorar os controles existentes. Entendendo a ameaça por trás do BadBox 2.0 O BadBox 2.0 é uma botnet massiva que surgiu a partir da infecção de TV Boxes piratas, muitas delas já contaminadas diretamente na fábrica. A operação foi descoberta por investigações internacionais publicadas em março de 2025, envolvendo especialistas em segurança cibernética e agências de inteligência. O funcionamento é alarmante: ao conectar esses dispositivos aparentemente inofensivos à rede, eles passam a operar silenciosamente como pontos de apoio para crimes digitais, executando tarefas maliciosas sem o conhecimento dos usuários. No total, 1,6 milhão de dispositivos foram comprometidos, dos quais 400 mil estavam ativos no Brasil,  evidenciando a posição de destaque do país no cenário global de botnets. Esses dispositivos são utilizados para lançar ataques DDoS contra infraestruturas críticas, propagar ransomware e malwares bancários, além de criar redes de proxies para esconder atividades ilícitas. O grande diferencial do BadBox 2.0 é sua sofisticação. Ele utiliza técnicas de evasão avançadas, dificultando a detecção pelas soluções de segurança tradicionais e se atualiza remotamente, adaptando-se para escapar de bloqueios e patches de segurança. Como o BadBox 2.0 impacta empresas e consumidores Embora o foco inicial pareça ser consumidores finais, o verdadeiro impacto do BadBox 2.0 recai sobre empresas de todos os tamanhos. A disseminação massiva de dispositivos infectados aumenta a superfície de ataque para infiltração em redes corporativas por meio de funcionários em home office. Além disso, esses dispositivos permitem a utilização da infraestrutura corporativa para realizar ataques externos, comprometendo reputações e operações. O tráfego mascarado gerado pelas botnets também facilita o roubo de dados estratégicos e propriedade intelectual, expondo as empresas a riscos severos. Empresas que não controlam o acesso de dispositivos externos correm o risco de se tornarem vítimas ou vetores involuntários em ataques ainda mais abrangentes. O que aprendemos com o caso BadBox 2.0 O principal aprendizado com o BadBox 2.0 é que ameaças invisíveis estão muito mais próximas do que se imagina. Não se trata apenas de proteger servidores e data centers: o desafio agora é controlar o que