Google says hackers used AI to help build a zero-day exploit targeting 2FA, raising concerns about AI-assisted hacking.
The post Google Says Hackers Used AI to Build Zero-Day Exploit appeared first on TechRepublic.
Microsoft flagged 8.3 billion phishing emails as attackers turned to QR codes, fake CAPTCHAs, PhaaS kits, and file-based payloads.
The post Microsoft Flagged 8.3B Phishing Emails in Q1 as QR Codes, CAPTCHAs Rise appeared first on TechRepublic.
The joint effort, led by Microsoft, Europol, and industry partners, aimed to target the infrastructure of Tycoon 2FA phishing-as-a-service platform responsible for tens of millions of fraudulent emails reaching over 500,000 organizations each month worldwide.
By mid‑2025, the service accounted for approximately 62 percent of all phishing attempts Microsoft blocked, including more than 30 million emails in a single month. That placed Tycoon2FA among the largest phishing operations globally. Despite extensive defenses, the service is linked to an estimated 96,000 distinct phishing victims worldwide since 2023, including more than 55,000 Microsoft customers.
Resecurity acquired access to Tycoon 2FA, widely used by thousands of cybercriminals to impersonate real users and gain unauthorized access to email and online service accounts, including Microsoft 365, Outlook, and Gmail. As one of its evasion mechanisms, the PhaaS leveraged URL rotation by abusing open redirect vulnerabilities on third-party websites. Another mechanism that enables the protection of malicious instances generated by Tycoon 2FA is the misuse of Cloudflare (Workers).
“The author of Tycoon 2FA is actively updating the tool with regular kit updates.” reads the report published by Resecurity. “What makes Tycoon 2FA so special is that the kit effectively combines multiple methods to deliver phishing at scale—from PDF attachments to QR codes.”
Taking this infrastructure offline cuts off a major pipeline for account takeovers and helps protect people and organizations from follow‑on attacks such as data theft, ransomware, business email compromise, and financial fraud.
Follow me on Twitter: @securityaffairs and Facebook and Mastodon
(SecurityAffairs – hacking, PhaaS)
Em 2022, analisamos em profundidade um método de ataque chamado browser-in-the-browser, originalmente desenvolvido pelo pesquisador de cibersegurança conhecido como mr.d0x. Na época, ainda não havia exemplos reais desse modelo sendo utilizado em ataques. Quatro anos depois, a situação mudou: os ataques browser-in-the-browser deixaram de ser apenas um conceito teórico e passaram a ser utilizados em campanhas reais. Neste artigo, revisitamos o que exatamente é um ataque browser-in-the-browser, mostramos como hackers estão utilizando essa técnica e, principalmente, explicamos como evitar se tornar a próxima vítima.
Para começar, vale relembrar o que mr.d0x realmente desenvolveu. A base do ataque surgiu da observação de quão avançadas se tornaram as ferramentas modernas de desenvolvimento Web, como HTML, CSS e JavaScript. Essa constatação levou o pesquisador a conceber um modelo de phishing particularmente sofisticado.
Um ataque browser-in-the-browser é uma forma avançada de phishing que utiliza recursos de design e desenvolvimento Web para criar sites fraudulentos que imitam janelas de login de serviços conhecidos, como Microsoft, Google, Facebook ou Apple, com aparência praticamente idêntica à original. No conceito proposto pelo pesquisador, o atacante cria um site aparentemente legítimo para atrair as vítimas. Uma vez nesse site, o usuário descobre que não pode deixar comentários ou realizar uma compra sem antes fazer login.
O processo parece simples: basta clicar no botão Fazer login com {nome de um serviço popular}. É nesse momento que ocorre o golpe. Em vez de abrir a página real de autenticação do serviço legítimo, o usuário recebe um formulário falso renderizado dentro do próprio site malicioso, que se apresenta visualmente como se fosse… uma janela pop-up do navegador. Além disso, a barra de endereço exibida nessa janela, também renderizada pelos invasores, mostra uma URL aparentemente legítima. Mesmo uma inspeção cuidadosa pode não revelar a fraude.
A partir desse ponto, o usuário desavisado insere suas credenciais Microsoft, Google, Facebook ou Apple nessa janela renderizada, e esses dados são enviados diretamente aos cibercriminosos. Durante algum tempo, esse esquema permaneceu apenas como um experimento teórico do pesquisador de segurança. Hoje, porém, ataques reais já incorporaram essa técnica aos seus arsenais de phishing.
Os atacantes adaptaram o conceito original de mr.d0x. Em ataques recentes do tipo browser-in-the-browser, o golpe começa com e-mails criados para alarmar o destinatário. Em uma campanha de phishing, por exemplo, os criminosos se passaram por um escritório de advocacia informando ao usuário que ele teria cometido uma violação de direitos autorais ao publicar conteúdo no Facebook. A mensagem incluía um link aparentemente legítimo que supostamente levaria à publicação problemática.
Os invasores enviaram mensagens em nome de um escritório de advocacia fictício alegando violação de direitos autorais, acompanhadas de um link que supostamente direcionava ao post problemático no Facebook. Fonte
Curiosamente, para reduzir a desconfiança da vítima, ao clicar no link não era exibida imediatamente uma página falsa de login do Facebook. Em vez disso, o usuário era primeiro apresentado a um CAPTCHA falso da Meta. Somente após “passar” por essa verificação é que a vítima recebia a janela pop-up de autenticação falsa.
Isso não é um pop-up real do navegador, mas um elemento da própria página que imita uma tela de login do Facebook. Esse truque permite que os invasores exibam um endereço aparentemente legítimo. Fonte
Naturalmente, a página falsa de login do Facebook segue o modelo descrito por mr.d0x. Ela é construída inteiramente com ferramentas de desenvolvimento Web para capturar as credenciais da vítima. Enquanto isso, a URL exibida na barra de endereço simulada aponta para o site verdadeiro do Facebook, www.facebook.com.
O fato de golpistas já estarem utilizando ataques browser-in-the-browser demonstra que as técnicas de fraude digital evoluem constantemente. Ainda assim, existe uma forma eficaz de verificar se uma janela de login é legítima. Utilizar um gerenciador de senhas, que funciona como um teste de segurança confiável para sites.
Isso ocorre, porque, ao preencher credenciais automaticamente, o gerenciador de senhas verifica a URL real da página, e não aquilo que parece estar na barra de endereço ou o que a interface visual mostra. Diferentemente de um usuário humano, não é possível enganar um gerenciador de senhas por meio de técnicas como browser-in-the-browser, domínios com pequenas variações ortográficas (typosquatting) ou formulários de phishing ocultos em anúncios e pop-ups. A regra é simples: se o gerenciador de senhas oferecer o preenchimento automático de login e senha, você está em um site para o qual já salvou credenciais. Se ele permanecer silencioso, há um forte indício de que algo está errado.
Além disso, seguir algumas recomendações clássicas de segurança digital ajuda a se proteger contra phishing ou, pelo menos, reduzir os danos caso um ataque seja bem-sucedido:
Por fim, este post serve como mais um lembrete de que ataques teóricos descritos por pesquisadores de cibersegurança frequentemente acabam sendo utilizados em ataques reais. Então, fique de olho no nosso blog, e assine nosso canal no Telegram para se manter atualizado sobre as ameaças mais recentes à sua segurança digital e saber como neutralizá-las.
Leia sobre outras técnicas de phishing criativas que os golpistas estão usando diariamente:
O Android aumenta constantemente as restrições de aplicativos com o intuito de impedir que golpistas consigam usar softwares maliciosos para roubar dinheiro, senhas e informações confidenciais de usuários. No entanto, uma nova vulnerabilidade apelidada de Pixnapping é capaz de driblar todas as camadas de proteção do Android, possibilitando que um invasor leia os pixels de imagem da tela de forma imperceptível, ou seja, faça uma captura de tela.
Um aplicativo malicioso sem nenhuma permissão pode ver senhas, saldos de contas bancárias, códigos de uso único e qualquer outra informação que o usuário do Android visualizar na tela. Felizmente, no momento, o Pixnapping é apenas um projeto baseado em pesquisa e ainda não está sendo explorado ativamente por atores de ameaças. Resta esperar que o Google corrija completamente a vulnerabilidade antes que o código de ataque seja incorporado a malwares do mundo real. Atualmente, a vulnerabilidade Pixnapping (CVE-2025-48561) deve afetar todos os smartphones modernos com sistema Android, incluindo os que executam as versões mais recentes deste sistema.
Conforme demonstrado pelo SparkCat, um malware de roubo de dados que usa OCR, os atores de ameaças já dominam o processamento de imagens. Se houver uma informação valiosa em uma imagem no smartphone, o malware poderá detectá-la, executar o reconhecimento óptico de caracteres diretamente no telefone e, em seguida, extrair os dados para o servidor do invasor. O SparkCat é particularmente significativo por ter conseguido se infiltrar nos marketplaces de aplicativos oficiais, incluindo a App Store. Não seria difícil para um aplicativo malicioso infectado com Pixnapping replicar esse truque, até mesmo porque o ataque não exige permissões especiais. Um aplicativo aparentemente útil e legítimo pode enviar simultânea e silenciosamente códigos únicos de autenticação multifator, senhas de carteiras de criptomoedas e qualquer outra informação aos golpistas.
Visualizar os dados necessários conforme são exibidos, em tempo real, também é uma tática popular usada pelos agentes maliciosos. Nessa abordagem de engenharia social, eles entram em contato com a vítima por meio de um aplicativo de mensagens e a convencem, sob vários pretextos, a ativar o compartilhamento de tela.
Os pesquisadores conseguiram capturar o conteúdo de outros aplicativos combinando métodos já conhecidos de roubo de pixels de navegadores e de unidades de processamento gráfico (GPUs) de telefones ARM. Furtivamente, o aplicativo de ataque sobrepõe janelas translúcidas às informações desejadas e, em seguida, analisa como o sistema de vídeo combina os pixels das janelas em uma imagem final.
Em 2013, pesquisadores descreveram um ataque em que um site foi capaz de carregar outro dentro de sua própria janela (usando um iframe) e, ao executar operações legítimas de sobreposição e transformação de imagens, deduzir exatamente o que foi desenhado ou escrito no outro site. Embora os navegadores mais modernos tenham conseguido evitar esse ataque específico, um grupo de pesquisadores dos EUA descobriu como realizá-lo no Android.
O aplicativo malicioso envia uma chamada do sistema para o aplicativo de destino. No Android, isso é conhecido como Intent. Os Intents costumam permitir tanto a inicialização simples do aplicativo quanto a abertura imediata de um navegador a partir de uma URL específica ou de um aplicativo de mensagens a partir de uma conversa com um contato específico. O aplicativo de ataque envia um Intent desenvolvido para forçar o aplicativo alvo a renderizar a tela com as informações confidenciais. São utilizadas bandeiras especiais de inicialização ocultas. Então, o aplicativo de ataque envia um Intent de inicialização para si mesmo. Essa combinação específica de ações faz com que o aplicativo não apareça na tela da vítima, mas exiba as informações solicitadas pelo invasor em uma janela em segundo plano.
No segundo estágio do ataque, o aplicativo malicioso sobrepõe várias janelas translúcidas com a janela oculta do aplicativo afetado, cada uma delas cobrindo e desfocando o conteúdo da janela abaixo de si. Esse mecanismo complexo permanece invisível para o usuário, mas o Android calcula cuidadosamente como seria a aparência dessa combinação de janelas se o usuário a trouxesse para o primeiro plano.
O aplicativo de ataque só é capaz de ler diretamente os pixels das suas próprias janelas translúcidas; o invasor não tem acesso direto à imagem combinada final, que incorpora o conteúdo da tela do aplicativo da vítima. Para contornar essa restrição, os pesquisadores empregam dois truques engenhosos: (i) o pixel que se deseja roubar é isolado dos outros ao seu redor, sobrepondo o aplicativo da vítima com uma janela fosca com um único ponto transparente compatível com o pixel desejado; (ii) coloca-se uma camada de ampliação com o desfoque elevado habilitado por cima dessa combinação.
Como a vulnerabilidade Pixnapping funciona
Para decifrar o mush resultante e determinar o valor do pixel da janela inferior, os pesquisadores se aproveitaram de outra vulnerabilidade famosa, a GPU.zip (esse link pode se parecer com o link de um arquivo, mas conduz ao site de uma pesquisa). Essa vulnerabilidade baseia-se no fato de que todos os smartphones modernos comprimem os dados de qualquer imagem enviada da CPU para a GPU. Essa compactação não gera perdas (como um arquivo ZIP), mas a velocidade de compactação e descompactação sofre alterações dependendo das informações transmitidas. A GPU.zip possibilita que um invasor analise o tempo necessário de compactação dos dados. E ao cronometrar essas operações, o invasor pode deduzir quais dados estão sendo transferidos. Com a ajuda da GPU.zip, o pixel isolado, desfocado e ampliado da janela do aplicativo da vítima pode ser lido com êxito pelo aplicativo malicioso.
Roubar algo significativo requer que todo o processo de roubo de pixels seja repetido centenas de vezes, pois ele precisa ser feito para cada ponto separadamente. No entanto, isso é totalmente viável dentro de um curto período de tempo. Nessa demonstração em vídeo do ataque, um código de seis dígitos do Google Authenticator foi extraído com sucesso em apenas 22 segundos, enquanto o código ainda estava válido.
Os engenheiros do Google possuem quase duas décadas de experiência no combate a diversos ataques de privacidade, o que resultou na criação de uma defesa estratificada contra a captura ilegal de telas e vídeos. Uma lista completa dessas proteções necessitaria de várias páginas. Portanto, selecionamos apenas algumas das principais:
Infelizmente, o Pixnapping dribla todas essas restrições existentes e não exige nenhuma permissão especial. O aplicativo invasor só precisa de dois recursos fundamentais: renderizar suas próprias janelas e enviar chamadas do sistema (Intents) para outros aplicativos. Essas são as estruturas operacionais básicas do Android. Portanto, é muito difícil restringi-las.
A viabilidade do ataque foi confirmada nas versões 13 a 16 do Android em dispositivos Google Pixel das gerações 6 a 9, bem como no Samsung Galaxy S25. Os pesquisadores acreditam que também seja possível executar o ataque em outros dispositivos Android, já que todos os seus mecanismos são padrão. No entanto, pode haver nuances relacionadas à implementação da segunda fase do ataque (a técnica de ampliação de pixel).
O Google lançou um patch em setembro depois de ser notificado do ataque ocorrido em fevereiro. Infelizmente, o método escolhido para corrigir a vulnerabilidade não era confiável o suficiente, e os pesquisadores rapidamente criaram uma maneira de contornar o patch. O Google planeja uma nova tentativa de eliminar a vulnerabilidade na atualização de dezembro. Quanto à GPU.zip, não há planos de lançar um patch para esse canal de vazamento de dados. Desde que a falha se tornou pública em 2024, nenhum fabricante de GPU de smartphone anunciou planos para evitá-la até o momento.
As opções do usuário para se defender contra o Pixnapping são limitadas. Recomendamos as seguintes medidas:
Que outros métodos de ataque fora do padrão existem no Android
- Spywares que fingem ser um antivírus
- Cavalos de Troia instalados em smartphones Android falsos
- Roubo de dados durante o carregamento do smartphone
- Suas fotos de gato estão em risco: a ameaça representada pelo novo Cavalo de Troia SparkKitty
- Como o Necro Trojan atacou 11 milhões de usuários do Android
Entrar