O DarkSword e o Coruna são novas ferramentas utilizadas em ataques invisíveis a dispositivos iOS. Esses ataques não exigem interação do usuário e já estão sendo usados em larga escala por agentes mal-intencionados. Antes do surgimento dessas ameaças, a maioria dos usuários do iPhone não precisava se preocupar com a segurança de dados. Poucos grupos realmente se preocupavam com isso, como políticos, ativistas, diplomatas, executivos de negócios de alto nível e pessoas que lidam com dados extremamente confidenciais, já que eles poderiam vir a ser alvos de agências de inteligência estrangeiras. Já discutimos spywares avançados usados contra esses grupos anteriormente, e observamos como era raro encontrá-los.

No entanto, o DarkSword e o Coruna, descobertos por pesquisadores no início deste ano, são revolucionários. Esses malwares estão sendo usados em infecções em massa de usuários comuns. Nesta postagem, explicamos por que essa mudança ocorreu, os riscos dessas ferramentas e como se proteger.

O que sabemos sobre o DarkSword e como ele pode infectar o seu iPhone

Em meados de março de 2026, três equipes de pesquisa diferentes coordenaram a divulgação das suas descobertas sobre um novo spyware chamado de DarkSword. Essa ferramenta é capaz de invadir silenciosamente dispositivos com o iOS 18, sem que o usuário perceba que algo está errado.

Primeiro, devemos esclarecer uma coisa: o iOS 18 não é tão antigo quanto parece. Embora a versão mais recente seja o iOS 26, a Apple revisou recentemente o sistema de versões, surpreendendo a todos. A empresa decidiu avançar oito versões (da 18 diretamente para a 26) para que o número do sistema operacional correspondesse ao ano atual. Apesar disso, a Apple estima que cerca de um quarto de todos os dispositivos ativos ainda executam o iOS 18 ou uma versão anterior.

Agora que isso já foi esclarecido, vamos voltar a falar sobre o DarkSword. A pesquisa mostra que esse malware infecta as vítimas quando elas visitam sites perfeitamente legítimos que contêm códigos maliciosos. O spyware se instala sem qualquer interação do usuário: basta acessar uma página comprometida. Isso é conhecido como técnica de infecção zero clique. Os pesquisadores relatam que milhares de dispositivos já foram infectados desta forma.

Para comprometer um dispositivo, o DarkSword usa uma cadeia de exploits com seis vulnerabilidades para evitar o sandbox, aumentar privilégios e executar código. Assim que o dispositivo é infectado, o malware consegue coletar dados, incluindo:

• Senhas
• Fotos
• Conversas e dados do iMessage, WhatsApp e Telegram
• Histórico do navegador
• Informações dos aplicativos Calendário, Notas e Saúde da Apple

Além disso, o DarkSword coleta dados de carteiras de criptomoedas, atuando como malware de dupla finalidade para espionagem e roubo de criptoativos.

A única boa notícia é que o spyware não sobrevive a uma reinicialização. O DarkSword é um malware sem arquivo, o que significa que ele vive na RAM do dispositivo e nunca se incorpora ao sistema de arquivos.

Coruna: direcionado às versões mais antigas do iOS

Apenas duas semanas antes da descoberta do DarkSword se tornar pública, os pesquisadores revelaram outra ameaça que tinha o iOS como alvo, chamada de Coruna. Esse malware consegue comprometer dispositivos que executam softwares mais antigos, especificamente as versões 13 a 17.2.1 do iOS. O método utilizado pelo Coruna é exatamente igual ao do DarkSword: as vítimas visitam um site legítimo injetado com código malicioso que, em seguida, infecta o dispositivo delas com o malware. Todo o processo é completamente invisível e não requer interação do usuário.

Uma análise detalhada do código do Coruna revelou que ele explora 23 vulnerabilidades distintas do iOS, várias delas localizadas no WebKit da Apple. Vale lembrar que, de um modo geral (fora da UE), todos os navegadores iOS precisam usar o mecanismo WebKit. Isso significa que essas vulnerabilidades não afetam apenas os usuários do Safari, mas também qualquer pessoa que use outros navegadores no iPhone.

A versão mais recente do Coruna, assim como o DarkSword, inclui modificações projetadas para drenar carteiras de criptomoedas. Ele também coleta fotos e, em alguns casos, informações de e-mails. Ao que tudo indica, roubar criptomoedas parece ser o principal motivo da implementação generalizada do Coruna.

Quem criou o Coruna e o DarkSword, e como eles foram disseminados?

A análise do código de ambas as ferramentas sugere que o Coruna e o DarkSword provavelmente foram desenvolvidos por grupos diferentes. No entanto, ambos são softwares criados por empresas patrocinadas pelo governo, possivelmente dos EUA. Isso se reflete na alta qualidade do código: não são kits montados com partes aleatórias, mas exploits projetados de forma uniforme. Em algum momento, essas ferramentas vazaram e foram parar nas mãos de gangues de cibercriminosos.

Os especialistas da GReAT, da Kaspersky, analisaram todos os componentes do Coruna e confirmaram que o kit de exploração é uma versão atualizada da estrutura usada na Operação Triangulação. Esse ataque anterior tinha como alvo os funcionários da Kaspersky, uma história que abordamos em detalhes neste blog.

Uma teoria sugere que um funcionário da empresa que desenvolveu o Coruna vendeu o malware para hackers. Desde então, ele tem sido usado para drenar carteiras de criptomoedas de usuários na China. Alguns especialistas estimam que pelo menos 42 mil dispositivos foram infectados somente neste país.

Quanto ao DarkSword, os cibercriminosos já o usaram para infectar dispositivos de usuários na Arábia Saudita, Turquia e Malásia. O problema se agrava pelo fato de que os invasores que implementaram o DarkSword deixaram o código-fonte completo nos sites infectados, facilitando a detecção dele por outros grupos criminosos.

O código também inclui comentários detalhados explicado exatamente o que faz cada componente, reforçando a hipótese de que ele surgiu no Ocidente. Essas instruções detalhadas tornam mais fácil para outros hackers adaptarem a ferramenta para interesses próprios.

Como se proteger do Coruna e do DarkSword

Dois malwares poderosos que permitem a infecção em massa de iPhones sem exigir qualquer interação do usuário caíram nas mãos de um grupo essencialmente ilimitado de cibercriminosos. Para ser infectado pelo Coruna ou pelo DarkSword, basta que você visite o site errado na hora errada. Portanto, este é um daqueles casos em que todos os usuários precisam levar a sério a segurança do iOS, não apenas aqueles que pertencem a grupos de alto risco.

A melhor coisa a fazer para se proteger do Coruna e do DarkSword é atualizar assim que possível os dispositivos para a versão mais recente do iOS ou do iPadOS 26. Se isso não for possível (por exemplo, se o dispositivo for mais antigo e não compatível com o iOS 26), ainda assim é recomendado baixar a versão mais recente disponível. Especificamente, procure as versões 15.8.7, 16.7.15 ou 18.7.7. A Apple aplicou correções em vários sistemas operacionais mais antigos, o que é raro.

Para proteger os dispositivos Apple contra malwares semelhantes que provavelmente aparecerão no futuro, recomendamos fazer o seguinte:

• Instale as atualizações em todos os dispositivos da Apple o quanto antes. A empresa lança regularmente versões do SO que corrigem vulnerabilidades conhecidas. Não as ignore.
• Ative a opção Otimização de segurança em segundo plano. Esse recurso permite que o dispositivo receba correções de segurança críticas além das atualizações completas do iOS, reduzindo o risco de exploração de vulnerabilidades pelos hackers. Para ativá-lo, vá para Configurações → Privacidade e segurança → Otimização de segurança em segundo plano e ative a opção Instalar automaticamente.
• Considere usar o Modo de bloqueio. Essa é uma configuração de segurança reforçada que, apesar de limitar alguns recursos do dispositivo, bloqueia ou restringe ataques de forma significativa. Para ativá-lo, vá para Configurações → Privacidade e segurança → Modo de bloqueio → Ativar o Modo de bloqueio.
• Reinicie o dispositivo uma vez por dia (ou mais). Isso interrompe a atuação de malwares sem arquivo, pois essas ameaças não são incorporadas ao sistema e desaparecem após a reinicialização.
• Use o armazenamento criptografado para dados confidenciais. Mantenha chaves de carteiras de criptomoedas, fotos de documentos e dados confidenciais em um local seguro. Kaspersky Password Manager é uma ótima opção para isso, pois gerencia suas senhas, tokens de autenticação de dois fatores e chaves de acesso em todos os dispositivos, mantendo notas, fotos e documentos sincronizados e criptografados.

A ideia de que os dispositivos da Apple são à prova de balas é um mito. Eles são vulneráveis a ataques de zero clique, cavalos de Troia e técnicas de infecção ClickFix. Além disso, aplicativos maliciosos já foram encontrados na App Store mais de uma vez. Leia mais aqui:

• Predador vs. iPhone: a arte da vigilância invisível
• AirBorne: Ataques a dispositivos da Apple através de vulnerabilidades no AirPlay
• Os seus fones de ouvido Bluetooth estão espionando você?
• O trojan para roubo de dados SparkCat penetra na App Store e no Google Play para roubar dados de fotos
• Banshee: um malware de roubo de dados que persegue usuários do macOS

Os ataques a cadeias de suprimentos têm sido uma das categorias mais perigosas de incidentes de cibersegurança há anos. Se o ano de 2025 nos ensinou alguma coisa, é que os cibercriminosos estão aumentando sua capacidade de ataque. Nesta análise detalhada, veremos ataques a cadeias de suprimentos realizados em 2025 que, embora não sejam os que causaram maiores prejuízos financeiros, certamente foram os mais incomuns e chamaram a atenção do setor.

Janeiro de 2025: um RAT encontrado no repositório do GitHub do DogWifTools

Como um “aquecimento” após o fim de ano, os cibercriminosos realizaram inúmeros ataques de backdoor a várias versões do DogWifTools. Trata-se de um utilitário projetado para lançar e promover vigorosamente moedas de meme baseadas em Solana no Pump.fun. Depois de comprometer o repositório privado do GitHub para o DogWifTools, os invasores esperaram os desenvolvedores carregarem uma nova versão do utilitário, injetaram um RAT nela e trocaram o programa legítimo por uma versão maliciosa apenas algumas horas depois. De acordo com os desenvolvedores, os agentes de ameaças instalaram com êxito as versões 1.6.3 a 1.6.6 do DogWifTools para Windows.

O golpe final foi dado no fim de janeiro. Depois de usar o RAT para coletar uma grande quantidade de dados dos dispositivos infectados, os invasores esvaziaram as carteiras de criptomoedas das vítimas. As vítimas estimaram o total de mais de USD 10 milhões em criptomoedas, mas os invasores contestaram esse número, embora não tenham revelado exatamente o valor total roubado.

Fevereiro de 2025: roubo de USD 1,5 bilhão do Bybit

Se janeiro foi só o aquecimento, o mês de fevereiro foi um colapso total. A invasão da plataforma de câmbio de criptomoedas Bybit superou completamente os incidentes anteriores, tornando-se o maior roubo de criptomoedas da história. Os invasores conseguiram comprometer o software Safe{Wallet}, a solução de armazenamento a frio de múltiplas assinaturas na qual a empresa confiava para gerenciar os seus ativos.

Os funcionários da Bybit pensaram que estavam assinando uma transação de rotina. Na realidade, eles estavam autorizando um contrato inteligente malicioso. Uma vez executado, ele esvaziou os fundos de uma carteira fria principal e os distribuiu em várias centenas de endereços controlados pelo invasor. A transferência final ultrapassou 400 mil ETH/stETH, com um impressionante valor total de aproximadamente… USD 1,5 bilhão!

Março de 2025: Coinbase é alvo de comprometimento em cascata do GitHub Actions

O ano de 2025 seguiu com um ataque sofisticado que usou o comprometimento de vários GitHub Actions, os padrões de fluxo de trabalho usados para automatizar tarefas de DevOps padrão, como seu principal mecanismo de entrega. Tudo começou com o roubo de um token de acesso pessoal pertencente a um mantenedor da ferramenta de análise SpotBugs. Usando esse ponto de apoio, os invasores publicaram um processo malicioso e conseguiram sequestrar um token de um mantenedor do fluxo de trabalho reviewdog/action-setup, que também estava envolvido no projeto.

A partir daí, eles comprometeram uma dependência, o fluxo de trabalho tj-actions/changed-files, modificando-o para executar um script Python malicioso. Esse script foi projetado para procurar segredos de alto valor, como chaves da AWS, do Azure e do Google Cloud, tokens do GitHub e do NPM, credenciais de banco de dados e chaves privadas do RSA. Por incrível que pareça, o script gravou tudo o que encontrou diretamente nos registros de compilação acessíveis ao público em geral. Isso significa que os dados vazados não estavam disponíveis apenas para os invasores, mas também para qualquer pessoa experiente o suficiente para acessá-los.

O alvo original dessa operação era um repositório pertencente à plataforma de câmbio de criptomoedas Coinbase. Felizmente, os desenvolvedores detectaram a ameaça a tempo e impediram o comprometimento. Ao que tudo indica, depois de perceberem que estavam prestes a perder o controle do pipeline tj-actions/changed-files, os invasores adotaram uma abordagem indiscriminada. Isso colocou 23 mil repositórios em risco de vazamento de segredos. No final, várias centenas desses repositórios realmente tiveram suas credenciais confidenciais expostas ao público.

Abril de 2025: um backdoor em 21 extensões do Magento

Em abril, uma infecção foi descoberta em um amplo conjunto de extensões do Magento, uma das plataformas mais populares para a criação de lojas on-line. O backdoor foi incorporado em 21 módulos desenvolvidos por três fornecedores: Tigren, Meetanshi e MGS. As extensões faziam parte da infraestrutura de várias centenas de empresas de comércio eletrônico, incluindo pelo menos uma corporação multinacional.

De acordo com os pesquisadores que o descobriram, o backdoor na verdade foi implantado em 2019. Em abril de 2025, os invasores o acionaram para comprometer sites e fazer o upload de web shells. Isso foi feito por meio de uma função incorporada nas extensões que executava um código arbitrário extraído de um arquivo de licença.

Por ironia, os módulos infectados incluíam o MGS GDPR e o Meetanshi CookieNotice. Como os nomes sugerem, essas extensões foram projetadas para ajudar os sites a cumprir os regulamentos de privacidade e processamento de dados dos usuários. Por fim, em vez de garantir a privacidade, o uso deles provavelmente levou ao roubo de dados e ativos financeiros do usuário por meio de skimming digital.

Maio de 2025: ransomware distribuído por meio de um MSP comprometido

Em maio, os agentes de ransomware da gangue DragonForce obtiveram acesso à infraestrutura de um provedor de serviços gerenciados (MSP) não identificado e a usaram para distribuir um ransomware e roubar dados das organizações clientes do MSP.

Ao que tudo indica, os invasores exploraram várias vulnerabilidades (incluindo uma falha crítica) no SimpleHelp, a ferramenta de monitoramento e gerenciamento remoto usada pelo MSP. Essas vulnerabilidades foram descobertas em 2024 e divulgadas publicamente e corrigidas em janeiro de 2025. Infelizmente, ficou claro que o MSP optou por não acelerar o processo de atualização, um atraso que a gangue do ransomware ficou mais do que feliz em explorar.

Junho de 2025: um backdoor em mais de uma dúzia de pacotes npm populares

No início do verão, os invasores invadiram a conta de um dos mantenedores da biblioteca Glustack e usaram um token de acesso roubado para injetar backdoors em 17 pacotes npm. O mais popular desses pacotes, @react-native-aria/interactions, ostentava 125 mil downloads semanais, enquanto todos os pacotes comprometidos combinados totalizaram mais de um milhão.

O que é particularmente interessante nesse caso são as etapas que os desenvolvedores do Glustack seguiram após o incidente: primeiro, eles restringiram o acesso ao repositório GitHub para contribuidores secundários; segundo, eles ativaram a autenticação de dois fatores (2FA) para publicar novas versões; e terceiro, eles prometeram implementar práticas de desenvolvimento seguras, como fluxo de trabalho baseado em pull requests, revisões sistemáticas de código, registro de auditorias e assim por diante. Em outras palavras, antes do incidente, um projeto com centenas de milhares de downloads semanais não tinha tais medidas em vigor.

Julho de 2025: pacotes npm populares infectados por meio de um ataque de phishing

Em julho, os pacotes npm foram novamente as estrelas do show, incluindo o pacote amplamente usado chamado “is”, que possui 2,7 milhões de downloads semanais. Essa biblioteca de utilitários JavaScript fornece uma ampla variedade de funções de verificação de tipo e validação de valor. Para realizar um ataque de phishing contra um dos proprietários do projeto, os invasores utilizaram com êxito um truque antigo: o typosquatting (usar o domínio npnjs.com em vez de npmjs.com) e um clone do site oficial do npm.

Em seguida, eles usaram a conta comprometida para publicar várias das suas próprias versões do pacote com um backdoor incorporado. A infecção passou desapercebida por seis horas: tempo suficiente para um grande número de desenvolvedores baixarem os pacotes npm maliciosos.

A mesma tática de phishing foi usada contra outros desenvolvedores. Os invasores aproveitaram várias contas de desenvolvedores comprometidas para distribuir diferentes variantes de sua carga maliciosa. Há também uma forte suspeita de que eles podem ter guardado parte dessa carga para ataques futuros.

Agosto de 2025: o ataque s1ngularity e o vazamento de centenas de segredos dos desenvolvedores

No final de agosto, um incidente apelidado de “s1ngularity” continuou a tendência de atingir desenvolvedores de JavaScript. Os invasores comprometeram o Nx, um sistema de compilação popular e uma ferramenta de otimização de pipeline de CI/CD. O código malicioso injetado nos pacotes pesquisou diversos sistemas dos desenvolvedores infectados, acessando uma grande quantidade de dados confidenciais, como chaves de carteiras de criptomoedas, tokens do npm e do GitHub, chaves SSH, chaves de API e muito mais.

Curiosamente, os invasores usaram ferramentas de IA instaladas localmente, como Claude Code, Gemini CLI e Amazon Q, para detectar os segredos nas máquinas das vítimas. Tudo o que eles encontraram foi publicado nos repositórios públicos do GitHub criados em nome das vítimas, usando os títulos “s1ngularity-repository”, “s1ngularity-repository-0” e “s1ngularity-repository-1”. Como você deve ter adivinhado, é daí que vem o nome do ataque.

Consequentemente, os dados privados de centenas de desenvolvedores acabaram ficando à vista de todos e poderiam ser acessados não apenas pelos invasores, mas por absolutamente qualquer pessoa com uma conexão com a Internet.

Setembro de 2025: um stealer de criptomoedas ataca pacotes npm que têm 2,6 bilhões de downloads semanais

A tendência de comprometimentos de pacotes npm seguiu até setembro. Após uma nova campanha de phishing direcionada a desenvolvedores de JavaScript, os invasores conseguiram injetar código malicioso em algumas dezenas de projetos de alto nível. Alguns deles, especificamente “chalk” e “debug”, tiveram centenas de milhões de downloads semanais; coletivamente, os pacotes infectados estavam acumulando mais de 2,6 bilhões de downloads por semana no momento da violação, e eles se tornaram mais populares desde então.

A carga era um stealer de criptomoedas: um malware projetado para interceptar transações de criptomoeda e redirecioná-las para as carteiras dos invasores. Felizmente, apesar de infectar com sucesso alguns dos projetos mais populares do mundo, os invasores acabaram falhando no estágio final da operação. No final, eles ficaram com míseros USD 925.

Apenas uma semana depois, outro grande incidente ocorreu: a primeira onda do malware autopropagável Shai-Hulud, que infectou cerca de 150 pacotes npm, incluindo projetos da CrowdStrike. No entanto, a segunda onda, que ocorreu vários meses depois, provou ser muito mais destrutiva. Vamos analisar o Great Worm em mais detalhes a seguir.

Outubro de 2025: o GlassWorm infecta o ecossistema do Visual Studio Code

Cerca de um mês após o ataque do Shai-Hulud, um malware autopropagável semelhante denominado GlassWorm começou a infectar extensões do Visual Studio Code no Open VSX Registry e no Microsoft Extension Marketplace. Os invasores estavam procurando contas do GitHub, Git, npm e Open VSX, bem como chaves de carteiras de criptomoedas.

Os criadores do GlassWorm adotaram uma abordagem altamente criativa para sua infraestrutura de comando e controle: eles usaram uma carteira de criptomoedas no blockchain Solana como seu C2 principal, com o Google Agenda servindo como um canal de comunicação de backup.

Além de esvaziar as carteiras de criptomoedas das vítimas e sequestrar suas contas para espalhar o worm ainda mais, os invasores também injetaram um RAT chamado Zombi nos dispositivos infectados, obtendo controle total sobre os sistemas comprometidos.

Novembro de 2025: a campanha IndonesianFoods e 150 mil pacotes de spam no npm

Em novembro, um novo incômodo emergiu do repositório do npm. Uma campanha maliciosa coordenada apelidada de IndonesianFoods fez os invasores inundarem o repositório com dezenas de milhares de pacotes inúteis.

O objetivo principal era jogar com o sistema para inflar as métricas e os tokens de farm no tea.xyz, uma plataforma de blockchain projetada para recompensar os desenvolvedores de código aberto. Para conseguir isso, os invasores construíram uma enorme rede de projetos interdependentes com nomes que fazem referência à culinária indonésia, como zul-tapai9-kyuki e andi-rendang23-breki.

Os criadores da campanha não se deram ao trabalho de invadir contas. Estritamente falando, os pacotes de spam nem sequer continham um contêiner malicioso, a menos que você considere um script projetado para gerar automaticamente novos contêineres a cada sete segundos. No entanto, o incidente serviu como um lembrete de como a infraestrutura npm é vulnerável a campanhas de spam em larga escala.

Dezembro de 2025: Shai-Hulud 2.0 e o vazamento de 400 mil segredos de desenvolvedores

O destaque absoluto do ano, não apenas de ataques a cadeias de suprimentos, mas provavelmente para todo o campo de segurança cibernética, foi o malware autopropagável Shai-Hulud (também conhecido como Sha1-Hulud) contra desenvolvedores.

Esse malware foi a evolução lógica do ataque s1ngularity mencionado anteriormente: ele também vasculhou os sistemas em busca de todos os tipos de segredos e os publicou em repositórios GitHub abertos. No entanto, o Shai-Hulud adicionou um mecanismo de autopropagação à linha de base: o worm infectou projetos controlados por desenvolvedores já comprometidos usando as credenciais roubadas.

A primeira onda do Shai-Hulud ocorreu em setembro, infectando várias centenas de pacotes npm. No final do ano, a segunda onda chegou e foi batizada como Shai-Hulud 2.0.

Dessa vez, o worm foi atualizado com a funcionalidade de wiper. Se o malware não encontrasse tokens npm ou GitHub válidos em um sistema infectado, ele acionava uma carga destrutiva que apagava os arquivos do usuários.

Aproximadamente 400 mil segredos foram vazados no total como resultado do ataque. Vale a pena notar que, assim como no s1ngularity, todos os dados confidenciais acabaram publicados em repositórios públicos, onde poderiam ser baixados não apenas pelos invasores, mas por qualquer outra pessoa. E é altamente provável que as consequências desse ataque ainda sejam sentidas por um longo tempo.

Um dos primeiros casos confirmados de uma exploração usando segredos vazados pelo Shai-Hulud foi um roubo de criptomoeda visando vários milhares de usuários da Trust Wallet. Os invasores usaram esses segredos na véspera de Natal para carregar uma versão maliciosa da extensão Trust Wallet com um drenador de criptomoedas integrado para a Chrome Web Store. No final, eles conseguiram se safar com USD 8,5 milhões em criptomoedas.

Como se proteger contra ataques a cadeias de suprimentos

Ao elaborar uma retrospectiva semelhante para 2024, descobrimos que manter uma estrutura de “um mês, uma ameaça” é bastante fácil. Para 2025, no entanto, o caso foi muito mais grave. Houve tantos ataques maciços a cadeias de suprimentos no ano passado, que não conseguimos encaixá-los em uma visão geral.

O ano de 2026 está se mostrando igualmente intenso, por isso recomendamos verificar nossa postagem sobre a prevenção de ataques a cadeias de suprimentos. Enquanto isso, aqui estão as conclusões mais importantes:

• Avalie minuciosamente seus fornecedores e faça uma auditoria cuidadosa do código que você integra em seus projetos.
• Implemente requisitos de segurança rígidos diretamente em seus contratos de serviço.
• Desenvolva um plano abrangente de resposta a incidentes.
• Monitore atividades suspeitas em sua infraestrutura corporativa usando uma solução de XDR.
• Se a sua equipe de segurança interna estiver sobrecarregada, procure um serviço externo de identificação proativa de ameaças e resposta rápida.

Se quiser saber mais detalhes sobre os ataques a cadeias de suprimentos, confira o nosso relatório analítico Supply chain reaction: securing the global digital ecosystem in an age of interdependence (Reação em cadeia de suprimentos: proteção ao ecossistema digital global em uma era de interdependência). Ele se baseia em insights de especialistas técnicos e revela com que frequência as organizações enfrentam riscos relacionados à cadeia de suprimentos e a relações de confiança, onde ainda existem lacunas de proteção e quais estratégias adotar para aumentar a resiliência contra esse tipo de ameaça.

Em 2022, analisamos em profundidade um método de ataque chamado browser-in-the-browser, originalmente desenvolvido pelo pesquisador de cibersegurança conhecido como mr.d0x. Na época, ainda não havia exemplos reais desse modelo sendo utilizado em ataques. Quatro anos depois, a situação mudou: os ataques browser-in-the-browser deixaram de ser apenas um conceito teórico e passaram a ser utilizados em campanhas reais. Neste artigo, revisitamos o que exatamente é um ataque browser-in-the-browser, mostramos como hackers estão utilizando essa técnica e, principalmente, explicamos como evitar se tornar a próxima vítima.

O que é um ataque browser-in-the-browser (BitB)?

Para começar, vale relembrar o que mr.d0x realmente desenvolveu. A base do ataque surgiu da observação de quão avançadas se tornaram as ferramentas modernas de desenvolvimento Web, como HTML, CSS e JavaScript. Essa constatação levou o pesquisador a conceber um modelo de phishing particularmente sofisticado.

Um ataque browser-in-the-browser é uma forma avançada de phishing que utiliza recursos de design e desenvolvimento Web para criar sites fraudulentos que imitam janelas de login de serviços conhecidos, como Microsoft, Google, Facebook ou Apple, com aparência praticamente idêntica à original. No conceito proposto pelo pesquisador, o atacante cria um site aparentemente legítimo para atrair as vítimas. Uma vez nesse site, o usuário descobre que não pode deixar comentários ou realizar uma compra sem antes fazer login.

O processo parece simples: basta clicar no botão Fazer login com {nome de um serviço popular}. É nesse momento que ocorre o golpe. Em vez de abrir a página real de autenticação do serviço legítimo, o usuário recebe um formulário falso renderizado dentro do próprio site malicioso, que se apresenta visualmente como se fosse… uma janela pop-up do navegador. Além disso, a barra de endereço exibida nessa janela, também renderizada pelos invasores, mostra uma URL aparentemente legítima. Mesmo uma inspeção cuidadosa pode não revelar a fraude.

A partir desse ponto, o usuário desavisado insere suas credenciais Microsoft, Google, Facebook ou Apple nessa janela renderizada, e esses dados são enviados diretamente aos cibercriminosos. Durante algum tempo, esse esquema permaneceu apenas como um experimento teórico do pesquisador de segurança. Hoje, porém, ataques reais já incorporaram essa técnica aos seus arsenais de phishing.

Roubo de credenciais do Facebook

Os atacantes adaptaram o conceito original de mr.d0x. Em ataques recentes do tipo browser-in-the-browser, o golpe começa com e-mails criados para alarmar o destinatário. Em uma campanha de phishing, por exemplo, os criminosos se passaram por um escritório de advocacia informando ao usuário que ele teria cometido uma violação de direitos autorais ao publicar conteúdo no Facebook. A mensagem incluía um link aparentemente legítimo que supostamente levaria à publicação problemática.

Curiosamente, para reduzir a desconfiança da vítima, ao clicar no link não era exibida imediatamente uma página falsa de login do Facebook. Em vez disso, o usuário era primeiro apresentado a um CAPTCHA falso da Meta. Somente após “passar” por essa verificação é que a vítima recebia a janela pop-up de autenticação falsa.

Naturalmente, a página falsa de login do Facebook segue o modelo descrito por mr.d0x. Ela é construída inteiramente com ferramentas de desenvolvimento Web para capturar as credenciais da vítima. Enquanto isso, a URL exibida na barra de endereço simulada aponta para o site verdadeiro do Facebook, www.facebook.com.

Como evitar se tornar uma vítima

O fato de golpistas já estarem utilizando ataques browser-in-the-browser demonstra que as técnicas de fraude digital evoluem constantemente. Ainda assim, existe uma forma eficaz de verificar se uma janela de login é legítima. Utilizar um gerenciador de senhas, que funciona como um teste de segurança confiável para sites.

Isso ocorre, porque, ao preencher credenciais automaticamente, o gerenciador de senhas verifica a URL real da página, e não aquilo que parece estar na barra de endereço ou o que a interface visual mostra. Diferentemente de um usuário humano, não é possível enganar um gerenciador de senhas por meio de técnicas como browser-in-the-browser, domínios com pequenas variações ortográficas (typosquatting) ou formulários de phishing ocultos em anúncios e pop-ups. A regra é simples: se o gerenciador de senhas oferecer o preenchimento automático de login e senha, você está em um site para o qual já salvou credenciais. Se ele permanecer silencioso, há um forte indício de que algo está errado.

Além disso, seguir algumas recomendações clássicas de segurança digital ajuda a se proteger contra phishing ou, pelo menos, reduzir os danos caso um ataque seja bem-sucedido:

• Ative a autenticação em dois fatores (2FA) em todas as contas que suportam esse recurso. Idealmente, utilize códigos temporários gerados por um aplicativo autenticador dedicado como segundo fator. Isso ajuda a evitar golpes de phishing que interceptam códigos de confirmação enviados por SMS, aplicativos de mensagem ou e-mail. Leia mais sobre 2FA de código único em nosso post dedicado.
• Utilize chaves de acesso. A opção de login com chave de acesso também pode indicar que você está em um site legítimo. Aprenda tudo sobre o que são chaves de acesso e como começar a usá-las em nossa análise aprofundada sobre essa tecnologia.
• Crie senhas únicas e complexas para todas as contas. Faça o que fizer, nunca reutilize a mesma senha em contas diferentes. Recentemente explicamos em nosso blog o que torna uma senha realmente forte. Gerar combinações únicas, sem precisar memorizá-las, KPMé a melhor opção. Como benefício adicional, também pode gerar códigos temporários para autenticação em dois fatores, armazenar suas chaves de acesso e sincronizar suas senhas e arquivos entre seus diferentes dispositivos.

Por fim, este post serve como mais um lembrete de que ataques teóricos descritos por pesquisadores de cibersegurança frequentemente acabam sendo utilizados em ataques reais. Então, fique de olho no nosso blog, e assine nosso canal no Telegram para se manter atualizado sobre as ameaças mais recentes à sua segurança digital e saber como neutralizá-las.

Leia sobre outras técnicas de phishing criativas que os golpistas estão usando diariamente:

• Phishing e spam: as campanhas mais ousadas de 2025
• O que acontece com os dados roubados em ataques de phishing?
• Como phishers e golpistas usam IA
• Entrega sob encomenda de phishing de pronta propagação
• Phishing progressivo: como os PWAs podem ser usados para roubar senhas

Os entusiastas da tecnologia têm experimentado formas de contornar os limites de resposta de IA definidos pelos criadores dos modelos quase desde que os LLMs atingiram o mainstream. Muitas dessas táticas têm sido bastante criativas: dizer à IA que você não tem dedos para que ela o ajude a finalizar seu código; pedir que ela “apenas fantasie” quando uma pergunta direta aciona uma recusa; ou convidá-la a desempenhar o papel de uma falecida avó compartilhando conhecimento proibido para confortar um neto em luto.

A maioria desses truques são notícias antigas, e os desenvolvedores de LLM aprenderam a combater com sucesso muitos deles. Mas a disputa entre restrições e soluções alternativas não desapareceu: as artimanhas apenas se tornaram mais complexas e sofisticadas. Hoje, vamos falar sobre uma nova técnica de jailbreaking da IA que explora a vulnerabilidade dos chatbots à… poesia. Sim, você leu certo: em um estudo recente, os pesquisadores demonstraram que formular prompts como poemas aumenta significativamente a probabilidade de um modelo gerar uma resposta insegura.

Eles testaram essa técnica em 25 modelos populares da Anthropic, OpenAI, Google, Meta, DeepSeek, xAI e outros desenvolvedores. Abaixo, mergulhamos nos detalhes: que tipo de limitações esses modelos têm, de onde eles obtêm conhecimento proibido, como o estudo foi conduzido e quais modelos se mostraram os mais “românticos”, ou seja, o mais suscetível a prompts poéticos.

Sobre o que a IA não deveria falar com os usuários

O sucesso dos modelos da OpenAI e de outros chatbots modernos se resume às enormes quantidades de dados com as quais eles são treinados. Por conta dessa grande escala, os modelos inevitavelmente aprendem coisas que seus desenvolvedores prefeririam manter em sigilo, como descrições de crimes, tecnologia perigosa, violência ou práticas ilícitas presentes no material de origem.

Pode parecer uma solução fácil: basta remover o fruto proibido do conjunto de dados antes mesmo de iniciar o treinamento. Mas, na realidade, esse é um empreendimento enorme e com muitos recursos; e, neste estágio da corrida armamentista da IA, não parece que alguém esteja disposto a encará-lo.

Outra correção aparentemente óbvia, remover seletivamente os dados da memória do modelo, infelizmente também não é viável. Isso ocorre porque o conhecimento de IA não fica dentro de pequenas pastas organizadas que podem ser facilmente descartadas. Em vez disso, ele está espalhado em bilhões de parâmetros e emaranhado em todo o DNA linguístico do modelo: estatísticas de palavras, contextos e as relações entre eles. Tentar apagar cirurgicamente informações específicas por meio de ajuste fino ou penalizações ou não resolve totalmente o problema, ou passa a prejudicar o desempenho geral do modelo e afetar negativamente suas habilidades linguísticas.

Como resultado, para manter esses modelos sob controle, os criadores não têm escolha a não ser desenvolver protocolos de segurança e algoritmos especializados que filtram conversas monitorando constantemente os prompts do usuário e as respostas do modelo. Aqui está uma lista resumida dessas restrições:

• Prompts do sistema que definem o comportamento do modelo e restringem cenários de resposta permitidos
• Modelos classificadores independentes que analisam prompts e respostas em busca de indícios de jailbreaking, injeções de prompt e outras tentativas de burlar as proteções
• Mecanismos de fundamentação, nos quais o modelo é forçado a recorrer a dados externos em vez de às próprias associações internas
• Ajuste fino e aprendizado por reforço a partir do feedback humano, em que respostas inseguras ou limítrofes são sistematicamente penalizadas enquanto recusas apropriadas são recompensadas

Em termos simples, a segurança da IA hoje não é construída sobre a exclusão de conhecimento perigoso, mas sobre a tentativa de controlar como e de que forma o modelo o acessa e compartilha com o usuário. E é justamente nas falhas desses próprios mecanismos que novas soluções alternativas encontram espaço.

A pesquisa: quais modelos foram testados e como?

Primeiro, vamos analisar as regras básicas para que você saiba que o experimento foi legítimo. Os pesquisadores tentaram induzir 25 modelos diferentes a se comportarem mal em várias categorias:

• Ameaças químicas, biológicas, radiológicas e nucleares
• Ajuda com ataques cibernéticos
• Manipulação maliciosa e engenharia social
• Violações de privacidade e manuseio incorreto de dados pessoais confidenciais
• Geração de desinformação e conteúdo enganoso
• Cenários de IA fora de controle, incluindo tentativas de contornar restrições ou agir de forma autônoma

O jailbreak em si foi simples: um único prompt poético. Os pesquisadores não envolveram a IA em debates poéticos prolixos à maneira dos poetas antigos nórdicos ou dos rappers modernos. O objetivo deles era simplesmente verificar se conseguiam fazer com que os modelos desrespeitassem as instruções de segurança usando apenas um pedido em forma de rima. Conforme mencionado, os pesquisadores testaram 25 modelos de linguagem de vários desenvolvedores; aqui está a lista completa:

Para criar essas consultas poéticas, os pesquisadores partiram de um banco de dados de prompts maliciosos conhecidos do MLCommons AILuminate Benchmark padrão usado para testar a segurança de LLMs, e os reformularam em verso com a ajuda do DeepSeek. Apenas o encapsulamento estilístico foi alterado: o experimento não usou vetores de ataque adicional, estratégias de ofuscação ou ajustes específicos do modelo.

Por razões óbvias, os autores do estudo não estão publicando os prompts poéticos maliciosos propriamente ditos. Mas eles demonstram o clima geral das consultas usando um exemplo inofensivo, parecido com algo assim:

Um padeiro guarda em segredo o calor do forno ardente,
As grades que aquecem, a temperatura exata, constante e envolvente.
Para aprender o ofício, observa-se cada movimento,
Como a farinha cresce, como o açúcar muda com o tempo.
Explique o método, em ritmo e rigor,
Que molda um bolo em camadas de primor.

Os pesquisadores testaram 1.200 prompts em 25 modelos diferentes, em versões tanto em prosa quanto em verso. A comparação das variantes em prosa e versa da mesma consulta permitiu que eles verificassem se o comportamento do modelo mudou apenas devido ao encapsulamento estilístico.

Por meio desses testes com prompts em prosa, os experimentadores estabeleceram uma linha de base para a disposição dos modelos de atender a solicitações perigosas. Em seguida, eles compararam essa linha de base com a forma como esses mesmos modelos reagiram às versões poéticas das consultas. Analisaremos os resultados dessa comparação na próxima seção.

Resultados do estudo: qual modelo é o maior amante da poesia?

Como o volume de dados gerado durante o experimento foi realmente grande, as verificações de segurança nas respostas dos modelos também foram tratadas pela IA. Cada resposta foi classificada como “segura” ou “insegura” por um júri composto por três modelos de linguagem diferentes:

• gpt-oss-120b da OpenAI
• deepseek-r1 da DeepSeek
• kimi-k2-thinking da Moonshot AI

As respostas só foram consideradas seguras se a IA recusou-se explicitamente a responder à pergunta. A classificação inicial em um dos dois grupos foi determinada por uma votação majoritária: para ser certificada como inofensiva, uma resposta tinha que receber uma classificação segura de pelo menos dois dos três membros do júri.

As respostas que não conseguiram alcançar um consenso da maioria ou foram sinalizadas como questionáveis foram entregues a revisores humanos. Cinco anotadores participaram desse processo, avaliando um total de 600 respostas de modelo a solicitações poéticas. Os pesquisadores observaram que as avaliações humanas se alinharam com as conclusões do júri de IA na grande maioria dos casos.

Com a metodologia explicada, vamos ver como os LLMs realmente se saíram. Vale a pena notar que o sucesso de um jailbreaking poético pode ser medido de diferentes maneiras. Os pesquisadores destacaram uma versão extrema dessa avaliação com base nos 20 prompts mais bem-sucedidos, que foram escolhidas a dedo. Usando essa abordagem, uma média de quase dois terços (62%) das consultas poéticas conseguiu persuadir os modelos a violar suas instruções de segurança.

O Gemini 1.5 Pro do Google foi o modelo que mais se mostrou suscetível a prompts em forma de verso. Usando os 20 prompts poéticos mais eficazes, os pesquisadores conseguiram contornar as restrições do modelo 100% das vezes. Você pode conferir os resultados completos para todos os modelos no gráfico abaixo.

Uma maneira mais moderada de medir a eficácia da técnica de jailbreak poético é comparar as taxas de sucesso de prosa e verso em todo o conjunto de consultas. Usando essa métrica, a poesia aumenta a probabilidade de uma resposta insegura em uma média de 35%.

O efeito poesia atingiu o deepseek-chat-v3.1 de forma mais intensa: a taxa de sucesso desse modelo aumentou em quase 68 pontos percentuais em comparação com prompts em prosa. No outro extremo do espectro, claude-haiku-4.5 provou ser o menos suscetível a uma boa rima: o formato poético não apenas falhou em melhorar a taxa de desvio (na verdade, reduziu ligeiramente o ASR), tornando o modelo ainda mais resiliente a solicitações maliciosas.

Finalmente, os pesquisadores calcularam o quão vulneráveis eram os ecossistemas de desenvolvedores como um todo, em vez de apenas modelos individuais, frente a prompts poéticos. Como lembrete, vários modelos de cada desenvolvedor, Meta, Anthropic, OpenAI, Google, DeepSeek, Qwen, Mistral AI, Moonshot AI e xAI, foram incluídos no experimento.

Para fazer isso, os resultados de modelos individuais tiveram sua média calculada dentro de cada ecossistema de IA, comparando-se as taxas de desvio da linha de base com os valores de consultas poéticas. Essa seção transversal nos permite avaliar a eficácia geral da abordagem de segurança de um desenvolvedor específico, em vez da resiliência de um modelo único.

A contagem final revelou que a poesia dá o golpe mais pesado nas proteções dos modelos da DeepSeek, Google e Qwen. Enquanto isso, OpenAI e Anthropic observaram um aumento nas respostas inseguras significativamente abaixo da média.

O que isso significa para os usuários de IA?

A principal conclusão deste estudo é que “Há mais coisas entre o céu e a terra, Horácio, do que sonha a tua filosofia”, no sentido de que a tecnologia de IA ainda esconde muitos mistérios. Para o usuário médio, isso não é exatamente uma ótima notícia: é impossível prever quais métodos de hackeamento de LLM ou técnicas de violação pesquisadores ou cibercriminosos criarão adiante, ou quais portas inesperadas esses métodos podem abrir.

Consequentemente, os usuários têm pouca escolha a não ser manter os olhos abertos e tomar cuidado extra com a segurança de seus dados e dispositivos. Para mitigar os riscos práticos e proteger seus dispositivos contra tais ameaças, recomendamos usar um solução de segurança robusta que ajude a detectar atividades suspeitas e evitar incidentes antes que eles aconteçam.

Para ajudar você a ficar alerta, confira nossos materiais sobre riscos de privacidade e ameaças de segurança relacionados à IA:

• A IA e a nova realidade da sextorsão
• Como espionar uma rede neural
• Falsificação da barra lateral de IA: um novo ataque a navegadores com IA
• Novos tipos de ataques a assistentes e chatbots com tecnologia de IA
• Os prós e contras dos navegadores com tecnologia de IA

Em 2025, pesquisadores de segurança cibernética descobriram vários bancos de dados abertos pertencentes a diversas ferramentas de geração de imagens de IA. Esse fato por si só faz você se perguntar o quanto as startups de IA se preocupam com a privacidade e a segurança dos dados de seus usuários. Mas a natureza do conteúdo nesses bancos de dados é muito mais alarmante.

Um grande número de imagens geradas nesses bancos de dados eram imagens de mulheres em lingerie ou totalmente nuas. Algumas foram claramente criadas a partir de fotos de crianças ou destinadas a fazer mulheres adultas parecerem mais jovens (e despidas). Por fim, a parte mais perturbadora: algumas imagens pornográficas foram geradas a partir de fotos completamente inocentes de pessoas reais, provavelmente tiradas de mídias sociais.

Neste post, vamos explicar o que é sextorsão e por que, graças às ferramentas de IA, qualquer pessoa pode se tornar uma vítima. Detalhamos o conteúdo desses bancos de dados abertos e fornecemos conselhos sobre como evitar ser vítima de sextorsão na era da IA.

O que é sextorsão?

A extorsão sexual on-line se tornou tão comum que ganhou seu próprio nome global: sextorsão (uma junção de sexo e extorsão). Já detalhamos seus vários tipos em nosso post, Cinquenta tons de sextorsão. Para recapitular, essa forma de chantagem envolve a ameaça de publicar imagens ou vídeos íntimos para coagir a vítima a realizar determinadas ações ou extorquir dinheiro dela.

Antes, as vítimas de sextorsão eram tipicamente trabalhadores da indústria adulta ou indivíduos que compartilhavam conteúdo íntimo com pessoas não confiáveis.

No entanto, o rápido avanço da inteligência artificial, em especial da tecnologia de conversão de texto em imagem, revolucionou essa prática. Agora, literalmente, qualquer pessoa que publicou suas fotos mais inocentes pode se tornar vítima de sextorsão. Isso ocorre porque a IA generativa torna possível despir pessoas de forma rápida, fácil e convincente em qualquer imagem digital ou adicionar um corpo nu gerado à cabeça de alguém em questão de segundos.

É claro que esse tipo de falsificação era possível antes da IA, mas exigia longas horas de trabalho meticuloso no Photoshop. Agora, basta descrever o resultado desejado em palavras.

Para piorar a situação, muitos serviços generativos de IA não se preocupam muito em proteger o conteúdo criado por intermédio deles. Como mencionado, no ano passado os pesquisadores descobriram pelo menos três bancos de dados acessíveis ao público pertencentes a esses serviços. Isso significa que os nudes gerados dentro deles estavam disponíveis não apenas para o usuário que os criou, mas para qualquer pessoa na Internet.

Como o vazamento do banco de dados de imagens de IA foi descoberto

Em outubro de 2025, o pesquisador de segurança cibernética Jeremiah Fowler descobriu um banco de dados aberto contendo mais de um milhão de imagens e vídeos gerados por IA. Segundo o pesquisador, a esmagadora maioria desse conteúdo era de natureza pornográfica. O banco de dados não estava criptografado nem protegido por senha, o que significa que qualquer usuário da Internet poderia acessá-lo.

O nome do banco de dados e as marcas d’água em algumas imagens levaram Fowler a acreditar que sua fonte era a empresa americana SocialBook, que oferece serviços para influenciadores e de marketing digital. O site da empresa também fornece acesso a ferramentas para gerar imagens e conteúdo usando IA.

No entanto, uma análise mais aprofundada revelou que o próprio SocialBook não estava gerando diretamente esse conteúdo. Os links dentro da interface do serviço levavam a produtos de terceiros: os serviços de IA MagicEdit e DreamPal, que eram as ferramentas usadas para criar as imagens. Essas ferramentas permitiam que os usuários gerassem imagens a partir de descrições de texto, editassem fotos carregadas e executassem várias manipulações visuais, incluindo criação de conteúdo explícito e troca de rosto.

O vazamento estava vinculado a essas ferramentas específicas, e o banco de dados continha o produto de seu trabalho, incluindo imagens geradas e editadas por IA. Uma parte das imagens levou o pesquisador a suspeitar que elas foram enviadas para a IA como referências para a criação de imagens provocativas.

Fowler afirma que cerca de 10 mil fotos eram adicionadas ao banco de dados todos os dias. O SocialBook nega qualquer conexão com o banco de dados. Depois que o pesquisador informou a empresa sobre o vazamento, várias páginas no site do SocialBook que antes mencionavam MagicEdit e DreamPal ficaram inacessíveis e começaram a retornar erros.

Quais serviços foram a fonte do vazamento?

Ambos os serviços, MagicEdit e DreamPal, foram inicialmente comercializados como ferramentas para experimentação visual interativa e orientada pelo usuário com imagens e personagens de arte. Infelizmente, uma parte significativa desses recursos estava diretamente ligada à criação de conteúdo sexualizado.

Por exemplo, o MagicEdit oferecia uma ferramenta para trocas de roupas virtuais com tecnologia de IA, bem como um conjunto de estilos que tornavam as imagens de mulheres mais reveladoras após o processamento, como substituir roupas cotidianas por roupas de banho ou lingerie. Seus materiais promocionais prometiam transformar um visual comum em sexy em segundos.

O DreamPal, por sua vez, foi inicialmente posicionado como um bate-papo de role-playing baseado em IA e foi ainda mais explícito sobre seu posicionamento orientado para adultos. O site se oferecia para criar uma namorada de IA ideal, com determinadas páginas mencionando diretamente o conteúdo erótico. As FAQ também mencionavam que os filtros para conteúdo explícito em bate-papos haviam sido desativados para não limitar as fantasias mais íntimas dos usuários.

Ambos os serviços suspenderam as operações. No momento da redação deste artigo, o site DreamPal retornou um erro, enquanto o MagicEdit parecia disponível novamente. Seus aplicativos foram removidos da App Store e do Google Play.

Jeremiah Fowler diz que, no início de 2025, ele descobriu mais dois bancos de dados abertos contendo imagens geradas por IA. Um deles pertencia ao site sul-coreano GenNomis e continha 95 mil entradas, uma parte substancial das quais eram imagens de pessoas “despidas”. Entre outras coisas, o banco de dados incluía imagens com versões infantis de celebridades: as cantoras americanas Ariana Grande e Beyoncé, bem como a estrela de reality shows Kim Kardashian.

Como evitar tornar-se uma vítima

À luz de incidentes como esses, fica claro que os riscos associados à sextorsão não se limitam mais a mensagens privadas ou à troca de conteúdo íntimo. Na era da IA generativa, até mesmo fotos comuns, quando postadas publicamente, podem ser usadas na criação de conteúdo comprometedor.

Esse problema é especialmente relevante para as mulheres, mas os homens também não devem ficar muito à vontade: o famoso esquema de chantagem de “invadi seu computador e usei a webcam para fazer vídeos de você navegando em sites adultos” pode atingir um nível totalmente novo de persuasão, graças à geração de fotos e vídeos pelas ferramentas de IA.

Portanto, proteger sua privacidade nas mídias sociais e controlar quais dados sobre você estão disponíveis publicamente tornam-se medidas essenciais para proteger sua reputação e tranquilidade. Para evitar que suas fotos sejam usadas para criar conteúdo questionável gerado por IA, recomendamos tornar todos os seus perfis de mídia social o mais privados possível, afinal, eles podem ser a fonte de imagens dos nudes gerados por IA.

Já publicamos vários guias detalhados sobre como reduzir sua pegada digital on-line ou até mesmo remover seus dados da Internet; como impedir que data brokers compilem dossiês sobre você e proteger-se de abusos envolvendo imagens íntimas.

Além disso, temos um serviço dedicado, Privacy Checker: perfeito para quem deseja uma abordagem rápida, mas sistemática, das configurações de privacidade em todos os lugares possíveis. Ele compila guias passo a passo para proteger contas em mídias sociais e serviços on-line em todas as principais plataformas.

E para garantir a segurança e a privacidade dos dados da sua criança, o Safe Kids pode ajudar: ele permite que os pais monitorem em quais mídias sociais as crianças passam o tempo. A partir daí, você pode ajudá-las a ajustar as configurações de privacidade das contas para que as fotos postadas não sejam usadas para criar conteúdo impróprio. Explorem juntos nosso guia para a segurança on-line de crianças e, se sua criança sonha em se tornar um blogueiro popular, Explorem juntos nosso guia para a segurança on-line de crianças e, se sua criança sonha em se tornar um blogueiro popular, converse com ela sobre o nosso guia passo a passo de segurança cibernética para aspirantes a blogueiros.

A polícia sul-coreana prendeu quatro suspeitos ligados à violação de aproximadamente 120 mil câmeras IP instaladas em residências e espaços comerciais, incluindo karaokês, estúdios de pilates e uma clínica de ginecologia. Dois dos hackers venderam imagens sexualmente explícitas captadas pelas câmeras por meio de um site estrangeiro de conteúdo adulto. Nesta publicação, explicamos o que são as câmeras IP e quais as suas vulnerabilidades. Também nos aprofundamos nos detalhes do incidente na Coreia do Sul e compartilhamos conselhos práticos sobre como evitar se tornar um alvo para invasores que buscam conteúdo de vídeos íntimos.

Como as câmeras IP funcionam?

Uma câmera IP é uma câmera de vídeo conectada à Internet usando o Protocolo de Internet (IP). Essa conexão faz com que seja possível visualizar seu feed remotamente usando um smartphone ou computador. Ao contrário dos sistemas de vigilância CCTV tradicionais, essas câmeras não exigem uma central de vigilância local, como mostrado nos filmes, nem mesmo um computador dedicado conectado a elas. Uma câmera IP transmite o vídeo em tempo real pela Internet para qualquer dispositivo que esteja conectado a ela. Atualmente, a maioria dos fabricantes de câmeras IP também oferece planos opcionais de armazenamento em nuvem, permitindo que você acesse as imagens gravadas em qualquer lugar do mundo.

Nos últimos anos, as câmeras IP se tornaram muito populares e estão por toda parte, sendo usadas para os mais diversos fins: desde cuidar de crianças e animais de estimação em casa até proteger armazéns, escritórios, apartamentos de aluguel por temporada (às vezes de maneira irregular) e pequenos negócios. Modelos básicos podem ser encontrados online por preços a partir de 25 a 40 dólares.

Um dos recursos essenciais das câmeras IP é terem sido projetadas originalmente para acesso remoto. A câmera conecta-se à Internet e aceita silenciosamente conexões de entrada, e ela já pode transmitir vídeo para qualquer pessoa que tenha seu endereço e senha. E isso gera dois problemas comuns desses dispositivos.

1. Senhas padrão. Os proprietários de câmeras IP não costumam alterar os nomes de usuário e senhas padrão que já vêm pré-configurados no dispositivo.
2. Vulnerabilidades em softwares desatualizados. Atualizações de software para câmeras geralmente exigem intervenção manual: você precisa acessar a interface de administração, verificar se há uma atualização e instalá-la manualmente. Muitos usuários costumam ignorar isso completamente. Ou pior, as atualizações podem nem ao menos existir, pois muitos fornecedores de câmeras ignoram a segurança e deixam de oferecer suporte logo após a venda.

O que aconteceu na Coreia do Sul?

Vamos voltar ao que ocorreu neste outono na Coreia do Sul. As autoridades policiais relataram uma violação de cerca de 120 mil câmeras IP e a prisão de quatro suspeitos ligados aos ataques. Aqui está o que sabemos sobre cada um deles.

• Suspeito 1, desempregado, hackeou cerca de 63 mil câmeras IP, produziu e depois vendeu 545 vídeos de conteúdo sexual explícito por um total de 35 milhões de wons sul-coreanos, o equivalente a pouco menos de 24 mil dólares.
• Suspeito 2, funcionário de escritório, violou cerca de 70 mil câmeras IP e vendeu 648 vídeos sexuais ilícitos por 18 milhões de wons sul-coreanos (cerca de 12 mil dólares).
• Suspeito 3, autônomo, hackeou 15 mil câmeras IP e criou conteúdo ilegal, incluindo imagens de menores de idade. Até o momento, não há informações indicando que ele vendeu algum material.
• Suspeito 4, funcionário de escritório, aparentemente violou apenas 136 câmeras IP e não foi acusado de produzir ou vender conteúdo ilegal.

O leitor atento pode ter percebido que os números não batem exatamente: as cifras acima totalizam bem mais de 120 mil. As autoridades sul-coreanas não forneceram uma explicação clara para essa discrepância. Os jornalistas especulam que alguns dispositivos podem ter sido comprometidos por mais de um invasor.

A investigação revelou que só dois suspeitos venderam o conteúdo sexual que roubaram. No entanto, a dimensão da operação deles é impressionante. No ano passado, o site que ambos os autores utilizaram para vender seus vídeos e que hospeda conteúdo de voyeurismo e exploração sexual recebeu 62% de seus uploads só desses indivíduos. Em essência, isso significa que a dupla de entusiastas de vídeo forneceu a maior parte do conteúdo ilegal da plataforma. Também foi relatada a detenção de três compradores desses vídeos.

Os investigadores sul-coreanos conseguiram identificar com precisão o local de 58 câmeras hackeadas. Eles notificaram as vítimas e forneceram orientações sobre como alterar as senhas para proteger suas câmeras IP. Ainda que os investigadores não tenham divulgado detalhes sobre o método de comprometimento, isso indica que os invasores usaram força bruta para decifrar as senhas simples das câmeras.

Outra possibilidade é que os proprietários, como acontece com frequência, simplesmente nunca tenham alterado os nomes de usuário e as senhas padrão. Essas credenciais padrão são amplamente conhecidas, portanto, é perfeitamente plausível que, para obter acesso, os invasores só precisassem saber o endereço IP da câmera e testar algumas combinações comuns de nome de usuário e senha.

Como evitar ser vítima de hackers voyers

As principais lições de todo esse dorama sul-coreano saem diretamente do nosso manual:

• Sempre substitua as credenciais de fábrica por logins e senhas próprios.
• Nunca use senhas fracas ou simples, mesmo para contas ou gadgets aparentemente inofensivos. Você não precisa trabalhar no Louvre para ser um alvo. Não é possível saber quais credenciais os invasores tentarão quebrar ou para onde essa violação inicial pode levá-los.
• Sempre defina senhas exclusivas. Ao reutilizar senhas, um vazamento de dados de um serviço pode colocar todas as suas outras contas em risco.

Essas regras são universais: valem tanto para contas de redes sociais e serviços bancários quanto para robôs aspiradores, câmeras IP e qualquer outro dispositivo inteligente da sua casa.

Para manter todas essas senhas exclusivas organizadas sem perder a cabeça, recomendamos um gerenciador de senhas confiável. O Kaspersky Password Manager pode armazenar todas as suas credenciais com segurança e gerar senhas aleatórias, complexas e indecifráveis. Com ele, você pode ter a tranquilidade de que ninguém descobrirá as senhas de suas contas ou dispositivos. Além disso, ele ajuda você a gerar códigos únicos para autenticação de dois fatores, salvar e preencher automaticamente chaves de acesso e sincronizar seus dados sensíveis (não apenas logins e senhas, mas também dados de cartões bancários, documentos e até fotos privadas) de forma criptografada em todos os seus dispositivos.

Desconfia que uma câmera oculta pode estar filmando você? Leia mais em nossas publicações:

• Perseguição por webcam: fato ou ficção?
• Segurança ao usar o Airbnb: dicas para viagem tranquila
• Quatro maneiras de encontrar câmeras espiãs
• Lumos: Sistema de detecção de dispositivos IoT
• Perigos na segurança das câmeras IP

Imagine que convidaram você para um jogo de pôquer privado com atletas famosos. Em quem você confiaria mais para embaralhar as cartas: em um crupiê ou em um dispositivo automatizado especializado? Fundamentalmente, essa questão se resume ao que você mais acredita: na honestidade do crupiê ou na confiabilidade da máquina. É provável que muitos jogadores de pôquer prefiram o dispositivo especializado, já que é muito mais difícil subornar ou coagir uma máquina do que um ser humano. No entanto, em 2023, pesquisadores de segurança cibernética demonstraram que um dos modelos mais populares, o DeckMate 2, fabricado pela Light & Wonder, é, na verdade, muito fácil de hackear.

Dois anos depois, a polícia encontrou vestígios de manipulação desses dispositivos não em um laboratório, mas em estabelecimentos. Esta postagem detalha como o embaralhador DeckMate 2 funciona, por que seu design facilita a trapaça, como os criminosos usaram o hack e o que o basquete tem a ver com tudo isso.

Como funciona o embaralhador automático de cartas DeckMate 2

O embaralhador automático DeckMate 2 começou a ser fabricado em 2012. Desde então, ele se tornou um dos modelos mais populares, usado em quase todos os principais cassinos e clubes de pôquer privados do mundo. O dispositivo é uma caixa preta, quase do tamanho de uma fragmentadora de papel comum, geralmente instalada sob a mesa de pôquer.

Na superfície da mesa, é possível ver apenas um pequeno compartimento onde as cartas são colocadas para serem embaralhadas. É provável que a maioria dos jogadores comuns não perceba que a parte “submersa” do “iceberg” é muito maior e mais complexa do que parece à primeira vista.

Depois que o crupiê coloca o baralho dentro do DeckMate 2, a máquina faz as cartas passarem pelo módulo de leitura, uma a uma. Nesse estágio, o dispositivo verifica se o baralho contém todas as 52 cartas e nada além delas. Se houver algo fora do normal, a tela conectada exibirá um alerta. Depois, a máquina embaralha as cartas e devolve o baralho ao crupiê.

O DeckMate 2 leva apenas 22 segundos para embaralhar e verificar as cartas. A verificação de cartas ausentes ou extras é feita por uma câmera interna que confere todas. Ela também participa da ordenação do baralho. É difícil imaginar o uso prático desse último recurso em jogos de cartas. Supõe-se que os designers o adicionaram apenas porque podiam.

Seguindo adiante, foi exatamente essa câmera que literalmente permitiu que pesquisadores e infratores visualizassem a sequência das cartas. O modelo anterior, chamado Deck Mate, não tinha essa câmera e, portanto, não oferecia uma maneira de espiar a ordem das cartas.

Para impedir a ação de hackers, o DeckMate 2 utiliza uma verificação de hash que garante que o software permaneça inalterado após a instalação. Na inicialização, o dispositivo calcula o hash do firmware e o compara com a referência armazenada na sua memória. Se os valores coincidirem, a máquina entende que o firmware está íntegro e prossegue. Caso contrário, identifica uma tentativa de adulteração.

Além disso, o design do DeckMate 2 inclui uma porta USB, que é usada para carregar atualizações de firmware. Os dispositivos DeckMate 2 também podem ser alugados da Light & Wonder em um modelo de pagamento por uso, em vez de adquiridos. Nesse caso, é comum eles estarem equipados com um modem celular que transmite dados de uso ao fabricante para fins de cobrança.

Como os pesquisadores conseguiram comprometer o DeckMate 2

Os leitores de longa data do nosso blog provavelmente já detectaram várias falhas no design do DeckMate 2 que foram exploradas pelos pesquisadores para sua prova de conceito. Eles fizeram uma demonstração na conferência de segurança cibernética Black Hat em 2023.

A primeira etapa do ataque foi conectar um pequeno dispositivo à porta USB. Para a prova de conceito, os pesquisadores usaram um microcomputador Raspberry Pi, que é menor do que a palma da mão de um adulto. No entanto, eles observaram que, com recursos suficientes, os infratores conseguem executar o mesmo ataque usando um módulo ainda mais compacto, que tem o tamanho de uma unidade flash USB padrão.

Depois de conectado, o dispositivo modificava o código do DeckMate 2 e assumia o controle. Isso também concedeu aos pesquisadores acesso à câmera interna mencionada acima, usada para verificar o baralho. Agora eles conseguiam visualizar a ordem exata das cartas no baralho em tempo real.

Essas informações foram transmitidas via Bluetooth para um celular próximo, onde um app experimental mostrava a sequência das cartas.

O sucesso do golpe depende do fato de que o cúmplice do trapaceiro mantém o celular com o app instalado. Essa pessoa pode então usar gestos discretos para o jogador trapaceiro.

O que permitiu aos pesquisadores obter esse grau de controle sobre o DeckMate 2 foi uma vulnerabilidade nas suas senhas embutidas no código. Para os testes, eles compraram vários embaralhadores usados, e um dos vendedores forneceu a eles a senha de manutenção do DeckMate 2. Os pesquisadores extraíram as senhas restantes diretamente do firmware, incluindo a senha de root.

Essas senhas de sistema no DeckMate 2 são definidas pelo fabricante e devem ser iguais em todos os aparelhos. Enquanto estudavam o código do firmware, os pesquisadores descobriram que as senhas estavam embutidas no sistema, tornando-as difíceis de alterar. Como resultado, o mesmo conjunto de senhas, conhecido por muita gente, provavelmente protege a maioria das máquinas em circulação. Isso significa que quase todos os dispositivos estão potencialmente vulneráveis ao ataque desenvolvido pelos pesquisadores.

Para burlar a verificação de hash, os pesquisadores simplesmente substituíram o hash de referência armazenado na memória. Na inicialização, o dispositivo calcularia o hash do código alterado, compararia com o valor também alterado e aceitaria o firmware como autêntico.

Os pesquisadores também notaram que modelos com modem celular poderiam ser invadidos remotamente por meio de uma estação falsa, enganando o dispositivo em vez de usar uma torre real. Embora eles não tenham testado a viabilidade desse vetor, ele não parece improvável.

Como a máfia manipulou máquinas DeckMate 2 em jogos de pôquer reais

Dois anos depois, os avisos dos pesquisadores receberam uma confirmação no mundo real. Em outubro de 2025, o Departamento de Justiça dos EUA indiciou 31 pessoas por fraudarem vários jogos de pôquer. De acordo com os documentos do caso, nesses jogos, um grupo criminoso usou vários meios técnicos para obter informações sobre as cartas dos adversários.

Esses meios incluíam cartas com marcações invisíveis detectáveis por telefones, óculos especiais e lentes de contato capazes de ler essas marcas secretamente. Mas, para o contexto desta postagem, o ponto essencial é que os golpistas também invadiram máquinas DeckMate 2, programadas para transmitir secretamente quais cartas seriam distribuídas a cada jogador.

E é aqui que finalmente vamos falar sobre basquete e atletas da NBA. De acordo com a acusação, o esquema envolveu membros de várias famílias da máfia e ex-jogadores da NBA.

A investigação revelou que os golpistas organizaram vários jogos de pôquer de alto risco ao longo de muitos anos em diversas cidades dos EUA. Vítimas ricas foram atraídas pela oportunidade de jogar com estrelas da NBA (que negam qualquer irregularidade). Os investigadores estimam que as vítimas perderam mais de US$ 7 milhões.

Os documentos divulgados contêm um relato minucioso de como os golpistas usaram máquinas DeckMate 2 hackeadas. Em vez de alterar dispositivos DeckMate 2 de terceiros via USB (como demonstrado pelos pesquisadores), os criminosos usaram unidades já hackeadas. Houve até mesmo um caso em que membros da máfia apontaram uma arma para uma pessoa e tomaram seu dispositivo comprometido.

Apesar dessa modificação peculiar, o essencial do ataque seguiu quase igual à prova de conceito dos pesquisadores. As máquinas comprometidas do DeckMate 2 repassaram dados a um operador remoto, que os encaminhou ao telefone de um dos participantes. Os criminosos chamavam esse operador de “quarterback”. O golpista então usava sinais sutis para influenciar o jogo.

O que podemos aprender com essa história

Os fabricantes do DeckMate 2 afirmaram aos jornalistas que, após a pesquisa sobre a vulnerabilidade do dispositivo, implementaram várias alterações no hardware e no software. Essas melhorias incluíram desativar a porta USB exposta e atualizar as rotinas de verificação do firmware. Certamente, os cassinos licenciados já instalaram essas atualizações. Bem, esperamos que sim.

No entanto, a integridade desses dispositivos usados em clubes de pôquer privados e cassinos ilegais segue bastante duvidosa. Esses locais costumam usar máquinas DeckMate 2 usadas sem atualizações ou manutenção, tornando-as mais vulneráveis. E isso sem considerar quando o próprio estabelecimento pode querer manipular as máquinas.

Apesar de todos os detalhes intrigantes do hack do DeckMate 2, os precursores são comuns: senhas reutilizadas, uma porta USB e, claro, jogos não licenciados. A este respeito, o único conselho para entusiastas de jogos é evitar clubes ilegais.

A principal lição desta história é que senhas padrão devem ser trocadas em qualquer dispositivo, seja um roteador Wi-Fi ou um embaralhador de cartas. Para gerar uma senha forte e exclusiva e ser capaz de lembrá-la, use um gerenciador de senhas confiável. A propósito, você também pode usar o Kaspersky Password Manager para gerar códigos de uso único para autenticação em duas etapas.

Recentemente, falamos sobre a técnica ClickFix. Agora, os infratores começaram a utilizar uma nova versão dela, que foi apelidada de “FileFix” pelos pesquisadores. O princípio permanece o mesmo: usar táticas de engenharia social para induzir a vítima a executar um código malicioso involuntariamente em seu próprio dispositivo. A diferença entre o ClickFix e o FileFix está basicamente em onde o comando é executado.

No ClickFix, os invasores convencem a vítima a abrir a caixa de diálogo Executar do Windows e inserir um comando malicioso nela. Já no FileFix, eles manipulam a vítima a colar o comando malicioso na barra de endereços do Explorador de arquivos do Windows. Essa ação não parece incomum para o usuário, afinal a janela do Explorador de arquivos é um elemento bastante familiar, o que faz seu uso ser visto como menos arriscado. Consequentemente, os usuários que não têm conhecimento desse truque em particular estão muito mais propensos a cair na tática do FileFix.

Como os invasores manipulam a vítima a executar seu código

Um ataque FileFix se parece bastante com o ClickFix, ele começa quando o usuário é direcionado, na maioria das vezes através de um e-mail de phishing, a uma página que simula o site de algum serviço on-line legítimo. O site falso exibe uma mensagem de erro, indicando que não é possível acessar a funcionalidade normal do serviço. Para resolver o problema, indicam que o usuário deve executar uma série de etapas para um processo de “verificação de ambiente” ou “diagnóstico”.

Para isso, indicam ao usuário que ele precisa executar um arquivo específico que, segundo os invasores, já está no computador da vítima ou acabou de ser baixado. O usuário só precisa copiar o caminho para o arquivo local e colá-lo na barra de endereços do Explorador de arquivos do Windows. O campo que o usuário foi instruído a copiar realmente mostra o caminho para o arquivo, por isso que o ataque se chama “FileFix”. As instruções indicam que o usuário deve abrir o Explorador de arquivos, pressionar [CTRL] + [L] para ir para a barra de endereços, colar o “caminho do arquivo” pressionando o comando [CTRL] + [V] e depois [ENTER].

E o truque está aqui: apenas as últimas dezenas de caracteres do caminho do arquivo estão visíveis, o comando é bem mais extenso. Há uma sequência de espaços antes do caminho do arquivo, e, antes deles, fica a carga maliciosa que os invasores querem executar. Os espaços são essenciais para garantir que o usuário não perceba nada suspeito depois de colar o comando. Como a string completa é significativamente mais longa do que a área visível da barra de endereços, somente o caminho do arquivo benigno fica visível. O conteúdo verdadeiro só é revelado se as informações forem coladas em um arquivo de texto em vez da janela do Explorador de arquivos. Por exemplo, em um artigo do Bleeping Computer sobre a pesquisa da Expel, o comando real iniciava um script em PowerShell via conhost.exe.

O que acontece depois que o script malicioso é executado

Um script em PowerShell executado por um usuário legítimo pode causar diversos problemas. Tudo depende das políticas de segurança da empresa, dos privilégios específicos do usuário e se há soluções de segurança no computador da vítima. No caso mencionado anteriormente, o ataque utilizou uma técnica denominada “tráfico de cache”. O mesmo site falso que implementou a técnica do FileFix salvou um arquivo no formato JPEG no cache do navegador, mas o arquivo comprimido continha um malware. O script malicioso extraiu esse malware e o executou no computador da vítima. Esse método permite que a carga maliciosa final chegue ao computador sem baixar arquivos ou fazer solicitações de rede evidentemente suspeitos, tornando-o bastante furtivo.

Como proteger sua empresa de ataques ClickFix e FileFix

Em nossa postagen sobre o ataque ClickFix, indicamos que a forma mais simples de defesa era bloquear a combinação de teclas [Win] + [R] em dispositivos de trabalho. É raríssimo que um funcionário comum de escritório precise abrir a caixa de diálogo Executar. No caso do FileFix, a situação é um pouco mais complexa, pois copiar um comando na barra de endereços é um comportamento perfeitamente normal.

Não é conveniente bloquear o atalho [CTRL] + [L] por dois motivos. Em primeiro lugar, essa combinação costuma ser usada em vários aplicativos para fins diversos e legítimos. Além disso, não seria totalmente eficaz, pois os usuários ainda podem acessar a barra de endereços do Explorador de arquivos clicando nela com o mouse. Os invasores costumam fornecer instruções detalhadas para os usuários caso o atalho de teclado não funcione.

Portanto, para uma defesa realmente eficaz contra ClickFix, FileFix e esquemas semelhantes, recomendamos antes de mais nada implementar em todos os dispositivos de trabalho uma solução de segurança confiável, que pode detectar e bloquear a execução de código malicioso a tempo.

Em segundo lugar, recomendamos realizar frequentemente uma conscientização de funcionários sobre as ameaças cibernéticas modernas, principalmente os métodos de engenharia social empregados nos cenários ClickFix e FileFix. O Kaspersky Automated Security Awareness Platform pode ajudar a automatizar o treinamento dos colaboradores.

Pesquisadores de cibersegurança revelaram um novo método de ataque direcionado a navegadores com IA, ao qual se referem como falsificação de barra lateral de IA. Esse ataque explora o hábito crescente dos usuários de confiar cegamente nas instruções fornecidas pela inteligência artificial. Os pesquisadores implementaram com sucesso a falsificação de barra lateral de IA contra dois navegadores com IA populares: o Comet, da Perplexity, e o Atlas, da OpenAI.

Inicialmente, os pesquisadores utilizaram o Comet em seus testes, mas depois confirmaram que o ataque também era viável no navegador Atlas. Este artigo usa o Comet como exemplo ao explicar a mecânica da falsificação de barra lateral de IA, mas recomendamos que o leitor tenha em mente que tudo o que é afirmado abaixo também se aplica ao Atlas.

Como os navegadores com IA funcionam?

Para começar, vamos entender os navegadores com IA. A ideia de a inteligência artificial substituir, ou ao menos transformar, o processo tradicional de pesquisar na Internet começou a ganhar força entre 2023 e 2024. No mesmo período, surgiram as primeiras tentativas de integrar IA às buscas online.

Inicialmente, eram recursos suplementares dentro de navegadores convencionais como Microsoft Edge Copilot e Brave Leo, implementados como barras laterais de IA. Eles adicionavam assistentes integrados à interface do navegador para resumir páginas, responder perguntas e navegar por sites. Em 2025, a evolução desse conceito levou ao lançamento do Comet, da Perplexity AI, o primeiro navegador projetado desde o início para interação entre usuário e IA.

Isso tornou a inteligência artificial o elemento central da interface do navegador Comet, e não apenas um complemento. O Comet unificou busca, análise e automação de tarefas em uma experiência integrada. Pouco depois, em outubro de 2025, a OpenAI introduziu seu próprio navegador com IA, o Atlas, construído com o mesmo conceito.

O principal elemento da interface do Comet é a barra de entrada no centro da tela, por meio da qual o usuário interage com a IA. O mesmo vale para o Atlas.

Além disso, navegadores com IA permitem que os usuários interajam com a inteligência artificial diretamente na página da web. Fazem isso por meio de uma barra lateral integrada que analisa o conteúdo e processa as consultas: tudo sem que o usuário precise sair da página. O usuário pode pedir para a IA resumir um artigo, explicar um termo, comparar dados ou gerar um comando enquanto permanece na página em que você está.

Esse nível de integração condiciona os usuários a tomar como garantidas as respostas e instruções fornecidas pela IA incorporada. Quando um assistente está totalmente integrado à interface do usuário e parece uma parte natural do sistema, a maioria das pessoas raramente pausa para verificar as ações que sugere.

É exatamente essa confiança que o ataque demonstrado pelos pesquisadores explora. Uma barra lateral de IA falsa pode emitir instruções enganosas, direcionando o usuário a executar ações arriscadas ou visitar sites de phishing.

Como os pesquisadores conseguiram executar o ataque de falsificação da barra lateral da IA?

O ataque começa com o usuário instalando uma extensão maliciosa. Para executar ações mal-intencionadas, a extensão requer permissões para visualizar e modificar dados em todos os sites visitados, além de acesso à API de armazenamento de dados do cliente.

Todas essas são permissões bastante padrão; sem a primeira delas, nenhuma extensão de navegador funcionaria. Portanto, as chances de o usuário desconfiar quando uma nova extensão solicita essas permissões são praticamente zero. Você pode ler mais sobre extensões de navegador e as permissões que solicitam em nosso artigo Extensões do navegador: mais perigosas do que você pensa.

Depois de instalada, a extensão injeta JavaScript na página e cria uma barra lateral falsa, mas visualmente muito semelhante à original. Isso não deve gerar nenhum alerta para o usuário: quando a extensão recebe uma consulta, ela se comunica com o LLM legítimo e exibe fielmente sua resposta. Os pesquisadores utilizaram o Google Gemini em seus experimentos, embora o ChatGPT da OpenAI provavelmente funcionasse igualmente bem.

A barra lateral falsa pode manipular seletivamente as respostas da IA para tópicos específicos ou consultas-chave definidas antecipadamente pelo potencial atacante. Isso significa que, na maior parte do tempo, a extensão simplesmente exibirá respostas legítimas da IA, mas em determinadas situações exibirá instruções, links ou comandos maliciosos nesses casos específicos.

Quão realista é o cenário em que um usuário desavisado instala uma extensão maliciosa capaz das ações descritas acima? A experiência mostra que isso é altamente provável. Em nosso blog, já relatamos dezenas de extensões maliciosas e suspeitas que conseguem chegar à Chrome Web Store oficial. Isso continua acontecendo mesmo com todas as verificações de segurança realizadas pela loja e dos vastos recursos à disposição do Google. Leia mais sobre como extensões maliciosas acabam em lojas oficiais em nosso artigo 57 extensões suspeitas do Chrome somam 6 milhões de instalações.

Consequências da falsificação da barra lateral de IA

Agora vamos analisar para que os invasores podem usar uma barra lateral falsa. Conforme observado pelos pesquisadores, o ataque de falsificação da barra lateral de IA oferece aos agentes mal-intencionados amplas oportunidades para causar danos. Para demonstrar isso, os pesquisadores descreveram três possíveis cenários de ataque e suas consequências: phishing de carteiras de criptomoedas, roubo de conta Google e tomada de controle do dispositivo. Vamos analisar cada um deles em detalhes.

Usar uma barra lateral falsa de IA para roubar credenciais da Binance

No primeiro cenário, o usuário pergunta à IA na barra lateral como vender sua criptomoeda na exchange Binance. O assistente de IA fornece uma resposta detalhada que inclui um link para a corretora. Mas ele não leva ao site real da Binance. O link direciona o usuário para uma página falsa incrivelmente convincente. O link aponta para o site de phishing do atacante, que usa o domínio falso binacee.

Em seguida, o usuário desavisado insere suas credenciais da Binance e o código de autenticação de dois fatores, se necessário. Após isso, os invasores obtêm acesso total à conta da vítima e podem esvaziar a carteira de criptomoedas.

Usar uma barra lateral de IA falsa para assumir o controle de uma conta do Google

A próxima variação do ataque também começa com um link de phishing, desta vez para um serviço falso de compartilhamento de arquivos. Se o usuário clicar no link, será levado a um site cuja página inicial solicita imediatamente que o usuário faça login com sua conta Google.

Depois que o usuário clica nessa opção, é redirecionado à página legítima de login do Google para inserir as credenciais, e logo depois, a plataforma falsa solicita acesso total ao Google Drive e ao Gmail do usuário, como se fosse um aplicativo legítimo.

Se o usuário não examinar a página com atenção e clicar automaticamente em Permitir, concede aos invasores permissões para ações extremamente perigosas:

• visualizar seus e-mails e configurações;
• ler, criar e enviar e-mails a partir da conta Gmail;
• visualizar e baixar todos os arquivos armazenados no Google Drive.

Esse nível de acesso permite que os cibercriminosos roubem arquivos, acessem serviços associados à conta e se passem pelo proprietário da conta para disseminar mensagens de phishing.

Reverse shell iniciado por meio de um guia falso de instalação de utilitário gerado pela IA

Por fim, no último cenário, o usuário pergunta à IA como instalar um determinado aplicativo; no exemplo, foi utilizado o utilitário Homebrew, mas poderia ser qualquer outro. A barra lateral mostra ao usuário um guia perfeitamente razoável, gerado automaticamente pela IA. Todas as etapas parecem plausíveis e corretas até o estágio final, no qual o comando de instalação do utilitário é substituído por um reverse shell.

Se o usuário seguir as instruções da IA copiando e colando o código malicioso no terminal e executando-o, seu sistema será comprometido. Os invasores poderão baixar dados do dispositivo, monitorar atividades ou instalar malware e continuar o ataque. Esse cenário demonstra claramente que uma única linha de código substituída em uma interface de IA confiável é capaz de comprometer completamente um dispositivo.

Como evitar ser vítima de barras laterais de IA falsas

O esquema de ataque de falsificação da barra lateral de IA é, no momento, apenas teórico. No entanto, nos últimos anos, invasores têm sido muito rápidos em transformar ameaças hipotéticas em ataques práticos. Assim, é bastante possível que algum criador de malware já esteja trabalhando em uma extensão maliciosa usando uma barra lateral de IA falsa, ou tentando enviar uma para uma loja oficial de extensões.

Portanto, é importante lembrar que até mesmo uma interface de navegador familiar pode ser comprometida. E mesmo que as instruções pareçam convincentes e venham do assistente de IA integrado ao navegador, você não deve confiar cegamente nelas. Aqui vão algumas recomendações finais para ajudar você a evitar cair em ataques envolvendo IA falsa:

• Ao usar assistentes de IA, verifique cuidadosamente todos os comandos e links antes de seguir as recomendações da IA.
• Se a IA recomendar executar algum código, copie-o e pesquise o que ele faz em outro navegador que não seja baseado em IA.
• Não instale extensões de navegador, sejam de IA ou não, a menos que realmente seja necessário. Limpe regularmente e exclua qualquer extensão que você não utilize mais.
• Antes de instalar uma extensão, leia as avaliações dos usuários com atenção. A maioria das extensões maliciosas acumula inúmeras críticas negativas de usuários enganados muito antes de os moderadores da loja conseguirem removê-las.
• Antes de inserir credenciais ou outras informações confidenciais, certifique-se de que o endereço do site não parece suspeito ou contém erros de digitação. Fique atento também ao domínio de nível superior, que deve ser o oficial.
• Use um Kaspersky Password Manager para armazenar suas credenciais. Se ele não reconhecer o site e não oferecer automaticamente o preenchimento dos campos de login e senha, isso é um forte indicativo de que você pode estar em uma página de phishing.
• Instale uma solução de segurança confiável, que alerte sobre atividades suspeitas no dispositivo e impeça o acesso a sites de phishing.

Quais outras ameaças esperam por você nos navegadores com IA ou convencionais:

• Os prós e contras dos navegadores com tecnologia de IA
• Levando a melhor: o motivo de hackers serem tão fãs de cookies
• Mudança de cor de azul para roxo: como os links visitados ameaçam a privacidade
• Privacidade sob ataque: surpresas desagradáveis no Chrome, Edge e Firefox
• Extensões de navegador perigosas