Golpes no TikTok usam vídeos falsos para espalhar vírus em computadores com Windows e macOS, alerta Redbelt Security

Relatório da consultoria de cibersegurança que mapeia vulnerabilidades exploradas globalmente também destaca uma campanha no Brasil envolvendo spam de NF-e e o uso de softwares legítimos de acesso remoto, além de trazer alertas sobre sistemas Google, Microsoft, Chrome, entre outros.

9 Min
CAREN GODOY
03/06/2025 12h42 - Atualizado há 1 dia

Golpes no TikTok usam vídeos falsos para espalhar vírus em computadores com Windows e macOS, alerta Redbelt
Imagem ilustrativa_internet
A Redbelt Security, consultoria especializada em cibersegurança, reuniu em um relatório inédito as principais vulnerabilidades exploradas por agentes de ameaças no Brasil e no mundo recentemente. O levantamento detalha diferentes tipos de ataques, desde o uso de extensões falsas do Chrome até o aproveitamento de softwares corporativos legítimos para infiltração em sistemas, com destaque para uma campanha que atinge executivos brasileiros por meio de e-mails falsos com notas fiscais e ferramentas de monitoramento remoto (RMM). O objetivo do relatório é alertar empresas de todos os portes e setores sobre os métodos mais recentes usados por cibercriminosos e desmistificar a ideia de que grandes organizações são inatingíveis. Ao expor essas falhas, a empresa espera contribuir para a prevenção de novos ataques e para a adoção de uma postura mais estratégica e proativa em segurança da informação.
As vulnerabilidades recentemente identificadas são:

  • ClickFix: golpes envolvendo vídeos no TikTok e aplicativos falsos estão sendo usados para espalhar malwares em computadores com Windows e macOS: uma técnica conhecida como ClickFix vem ganhando força: ela induz o próprio usuário a executar comandos maliciosos no computador, acreditando que está ativando programas como Windows, Office ou Spotify. O conteúdo é apresentado por vídeos tutoriais falsos, muitas vezes produzidos com ajuda de inteligência artificial, e compartilhado por perfis que já foram removidos da plataforma. Ao seguir os passos, a vítima instala sem perceber programas espiões que roubam senhas, dados bancários e outras informações sensíveis.Usuários de Mac também estão sendo alvo de outro golpe: versões falsas do aplicativo Ledger Live, bastante usado por quem tem criptomoedas. Esses apps clonados roubam informações como senhas e frases de recuperação (seed phrases), fundamentais para acessar carteiras digitais. Os criminosos chegam a simular mensagens de erro para enganar o usuário e pedir dados sigilosos. A pesquisadora Junestherry Dela Cruz alerta que criminosos estão usando cada vez mais plataformas populares e métodos criativos para aplicar golpes, e o uso de vídeos tutoriais falsos é uma evolução perigosa da engenharia social.
  • Google relata 75 vulnerabilidades de dia zero exploradas em 2024, sendo 44% direcionadas a produtos de segurança corporativa: o Google revelou que, ao longo de 2024, foram observadas 75 vulnerabilidades do tipo "dia zero" (zero-day, em inglês) sendo ativamente exploradas. Esse tipo de falha se refere a vulnerabilidades ainda desconhecidas pelos fornecedores de software no momento do ataque, ou seja, para as quais não há correção disponível (patch). Embora o número represente uma queda em relação aos 98 casos registrados em 2023, ainda supera os 63 identificados em 2022. Do total, 44% tiveram como alvo produtos corporativos, com destaque para softwares e dispositivos de segurança, segmento que concentrou 20 dessas falhas. O Microsoft Windows foi o sistema mais afetado (22 vulnerabilidades), seguido por Android (7), Chrome (7), Safari (3), iOS (2) e Firefox (1). No caso do Android, parte das falhas envolvia componentes de terceiros. Entre as 33 vulnerabilidades que atingiram diretamente softwares e dispositivos corporativos, 20 estavam ligadas a soluções de segurança e rede de empresas como Ivanti, Palo Alto Networks e Cisco. No total, 18 fornecedores distintos foram atacados, número próximo aos 22 registrados em 2023. As empresas mais afetadas por exploits de dia zero foram: Microsoft (26), Google (11), Ivanti (7) e Apple (5). Segundo o Google, a espionagem cibernética patrocinada por Estados-nação segue como a principal motivação por trás desses ataques.
  • Falha no seletor de arquivos do Microsoft OneDrive permite acesso total de aplicativos ao armazenamento em nuvem: pesquisadores descobriram uma falha crítica no OneDrive File Picker, ferramenta da Microsoft usada para selecionar e enviar arquivos na nuvem. A vulnerabilidade permite que sites ou aplicativos obtenham acesso completo ao conteúdo da conta do usuário, mesmo quando este autoriza o envio de apenas um arquivo. Aplicações populares como ChatGPT, Slack, Trello e ClickUp podem ser afetadas, por utilizarem integração com o OneDrive. Segundo a empresa Oasis Security, o problema está na concessão de permissões excessivas: o seletor solicita acesso de leitura a toda a unidade, sem aplicar escopos refinados via OAuth (padrão que permite a autorização segura de acesso a recursos sem compartilhar senhas). Além disso, o aviso de consentimento exibido aos usuários é vago e não esclarece o nível real de acesso. A Microsoft reconheceu a falha após a divulgação responsável, mas ainda não lançou uma correção. Enquanto isso, recomenda-se desativar uploads via OAuth no OneDrive e evitar o uso de tokens de atualização. Tokens de acesso devem ser armazenados com segurança e descartados quando não forem mais necessários.
  • Mais de 100 extensões falsas do Chrome sequestram sessões, roubam credenciais e injetam anúncios: uma campanha maliciosa, ativa desde fevereiro de 2024, distribuiu mais de 100 extensões falsas para o navegador Google Chrome. Embora se apresentem como utilitários legítimos, essas extensões contêm funções ocultas para roubar dados, executar comandos remotos e rodar código malicioso. Entre as ações realizadas estão: roubo de credenciais e cookies, sequestro de sessões de login, injeção de anúncios, redirecionamentos maliciosos e manipulação do DOM (Document Object Model, estrutura usada para representar documentos web). Essas extensões abusam de permissões excessivas concedidas via o arquivo manifest.json, podendo interagir com todos os sites visitados e carregar scripts de domínios controlados pelos invasores. Algumas páginas usadas para enganar vítimas se apresentam como serviços legítimos, como DeepSeek, DeBank e FortiVPN, induzindo o usuário a instalar os complementos. Após a instalação, as extensões capturam cookies, estabelecem comunicação com servidores remotos via WebSocket (protocolo de comunicação em tempo real) e transformam o navegador da vítima em um proxy de tráfego. O Google já removeu as extensões da Chrome Web Store. Como prevenção, é importante instalar apenas extensões de desenvolvedores verificados, revisar as permissões solicitadas e verificar avaliações antes da instalação.
  • Malware Horabot se espalha pela América Latina por meio de phishing com tema de fatura: uma campanha de phishing tem sido usada para disseminar o malware Horabot, com foco em usuários do sistema Windows na América Latina, especialmente no México, Guatemala, Colômbia, Peru, Chile e Argentina. De acordo com o Fortinet FortiGuard Labs, os ataques utilizam e-mails falsos com temas financeiros, como faturas ou cobranças, para induzir vítimas a abrir arquivos maliciosos. Após a infecção, o malware pode roubar credenciais de e-mail, coletar listas de contatos e instalar trojans bancários, softwares que furtam dados financeiros. A campanha também utiliza a automação COM do Microsoft Outlook (tecnologia que permite controle automatizado de aplicativos) para enviar e-mails diretamente das contas comprometidas, espalhando o ataque em redes corporativas ou domésticas. O Horabot emprega múltiplos scripts, como VBScript, AutoIt e PowerShell, para realizar reconhecimento do sistema, extrair dados e instalar cargas adicionais. O VBScript coleta informações do computador e as envia a um servidor remoto. Em seguida, o AutoIt libera o trojan via uma DLL (biblioteca de vínculo dinâmico) maliciosa, enquanto o PowerShell é responsável por propagar o phishing, usando os contatos extraídos do Outlook da vítima.
  • Executivos brasileiros são alvo de campanha com spam de NF-e e uso de ferramentas legítimas de RMM:pesquisadores vêm monitorando uma campanha ativa desde janeiro de 2025, com foco em executivos brasileiros (C-Level), além de equipes financeiras e de RH em organizações privadas, educacionais e governamentais. Os ataques começam com e-mails de spam que simulam notas fiscais eletrônicas (NF-e) ou cobranças bancárias. Ao clicar no link, o usuário é direcionado a um falso arquivo do Dropbox, que instala uma ferramenta de RMM (Remote Monitoring and Management, ou Monitoramento e Gerenciamento Remoto). Ferramentas como N-able RMM Remote Access e PDQ Connect têm sido utilizadas para conceder ao invasor acesso de leitura e gravação ao sistema do usuário. Após o acesso inicial, os cibercriminosos podem instalar outros softwares de controle remoto, como o ScreenConnect, para manter o controle contínuo do dispositivo. Embora legítimas, essas ferramentas se tornam maliciosas quando instaladas sem consentimento, pois operam de maneira discreta e muitas vezes escapam à detecção de soluções de segurança tradicionais, sendo interpretadas como ferramentas de uso comum em departamentos de TI.

Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
CAREN GODOY DE FARIA
[email protected]


Notícias Relacionadas »
  • ADATA Premier Extreme microSDXC SD Express 7.1: pr
    04/06/2025
  • Indeed firma parceria com a Udemy para capacitar p
    04/06/2025
  • Jeitto apresenta o GINGA Lab: o motor de inovação
    04/06/2025
  • Samsung Electronics apresenta inovações em eletrod
    04/06/2025
  • Zapia lança solução inédita no Brasil: assistente
    04/06/2025
  • Programa de assinaturas digitais pode ser invadido
    04/06/2025
  • Check Point Software alerta sobre o aumento de smi
    04/06/2025
  • Última semana para se inscrever: Multinacional ofe
    04/06/2025
  • Shopping Tamboré recebe Xdome: Game Experience com
    04/06/2025
    • © 2025 Itaquera em Notícias - Todos os direitos reservados
    Plataforma Web Jornalismo
    WebMedia