Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que está utilizando legítimos generativos de inteligencia químico generativa (IA), las herramientas de construcción de sitios web como AI y Blackbox AI de Deepsite para crear réplicas de páginas de phishing que imitan a las agencias gubernamentales brasileñas como parte de una campaña motivada financieramente.
La actividad implica la creación de sitios parecidos que imitan el Sección de Tráfico y el Tarea de Educación del Estado de Brasil, que luego engañan a los usuarios a hacer pagos injustificados a través del sistema de suscripción PIX del país, dijo Zscaler Amenazlabz.
Estos sitios fraudulentos se impulsan artificialmente utilizando técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para mejorar su visibilidad, aumentando así la probabilidad de éxito del ataque.
“El exploración del código fuente revela firmas de herramientas de IA generativas, como comentarios excesivamente explicativos destinados a orientar a los desarrolladores, rudimentos no funcionales que generalmente funcionarían en un sitio web auténtico y tendencias como Tailwindcss Styling, que son diferentes de los kits de phishing tradicionales utilizados por los actores de amenazas”, dicen Zscaler’s Jagadeeswar Ramanukolanu, Kartik Dixit, y YES YESOEN.
El objetivo final de los ataques es servir formas falsas que recopilan información personal confidencial, incluidos los números de Cadastro de Pessoas Físicas (CPF), los números de identificación de los contribuyentes brasileños, los números de identificación de los contribuyentes, y los convencen de hacer un suscripción único de 87.40 reales ($ 16) a la amenaza de los actores de amenaza a través de la oportunidad de completar una psicométrica y un examen médico para el trabajo de trabajo.
Para aumentar aún más la legalidad de la campaña, las páginas de phishing están diseñadas de tal guisa que emplean la compilación de datos por etapas solicitando progresivamente información adicional de la víctima, reflejando el comportamiento de los sitios web auténticos. Los números de CPF recopilados asimismo se validan en el backend mediante una API creada por el actor de amenaza.
“El dominio API identificado durante el exploración está registrado por el actor de amenaza”, dijo Zscaler. “La API recupera los datos asociados con el número de CPF y poca automáticamente la página de phishing con información vinculada al CPF”.
Dicho esto, la compañía señaló que es posible que los atacantes puedan poseer adquirido números de CPF y detalles del heredero a través de violaciones de datos o aprovechando las API expuestas públicamente con una esencia de autenticación, y luego utilizaron la información para aumentar la credibilidad de sus intentos de phishing.
“Si acertadamente estas campañas de phishing están robando cantidades relativamente pequeñas de efectivo de las víctimas, se pueden usar ataques similares para causar mucho más daño”, señaló Zscaler.
La campaña de correo masivo distribuye Efimer Trojan para robar criptografía
Brasil asimismo se ha convertido en el foco de una campaña de Malspam que se hace tener lugar por abogados de una compañía importante para entregar un grímpola ladino llamado Efimer y robar la criptomoneda de una víctima. La compañía rusa de ciberseguridad Kaspersky dijo que detectó la campaña de correo masivo en junio de 2025, con la iteración temprana del malware que data hasta octubre de 2024 y se propuso a través de sitios web infectados de WordPress.
“Estos correos electrónicos reclamaron falsamente el nombre de dominio del destinatario infringido por los derechos del remitente”, dijeron los investigadores Vladimir Gursky y Artem Ushkov. “Este script asimismo incluye una funcionalidad adicional que ayuda a los atacantes a difundir aún más al comprometer los sitios de WordPress y alojando archivos maliciosos allí, entre otras técnicas”.
Efimer, encima de propagarse a través de sitios de WordPress comprometidos y correo electrónico, aprovecha los torrentes maliciosos como vector de distribución, mientras se comunica con su servidor de comando y control (C2) a través de la red TOR. Encima, el malware puede extender sus capacidades con scripts adicionales que pueden hacer contraseñas de fuerza bruta para sitios de WordPress y cosechar direcciones de correo electrónico de sitios web especificados para futuras campañas de correo electrónico.
“El script recibe dominios (del servidor C2) e itera a través de cada uno para encontrar hipervínculos y direcciones de correo electrónico en las páginas del sitio web”, dijo Kaspersky, y señaló que asimismo sirve como un módulo de spam diseñado para completar formularios de contacto en los sitios web de destino.
En la condena de ataque documentada por Kaspersky, los correos electrónicos vienen equipados con archivos zip que contienen otro archivo protegido por contraseña y un archivo hueco con un nombre que especifica la contraseña para abrirlo. Presente interiormente del segundo archivo zip hay un archivo de script de Windows (WSF) ladino que, cuando se venablo, infecta la máquina con Efimer.
Al mismo tiempo, la víctima se muestra un mensaje de error que indica que el documento no se puede aclarar en el dispositivo como un mecanismo de distracción. En ingenuidad, el script WSF observancia otros dos archivos, “Controller.js” (el componente troyano) y “compensador.xml”, y crea una tarea programada en el host utilizando la configuración extraída de “Controller.xml”.
El “Controller.js” es un malware Clipper diseñado para reemplazar las direcciones de la billetera de criptomonedas que el heredero copia a su portapapeles con la dirección de la billetera bajo el control del atacante. Incluso puede capturar capturas de pantalla y ejecutar cargas enseres adicionales recibidas del servidor C2 conectándose a través de la red Tor a posteriori de instalar un cliente TOR proxy en la computadora infectada.
Kaspersky dijo que asimismo descubrió una segunda interpretación de Efimer que, adyacente con las características de Clipper, asimismo incorpora características anti-VM y exploradores web de escaneos como Google Chrome y Brave para las extensiones de billeteras de criptomonedas relacionadas con atómico, electrum y exodus, entre otros, y exfiltra los resultados de la búsqueda del servidor C2.
Se estima que la campaña ha impactado a 5.015 usuarios, en función de su telemetría, con la mayoría de las infecciones concentradas en Brasil, India, España, Rusia, Italia, Alemania, el Reino Unido, Canadá, Francia y Portugal.
“Si acertadamente su objetivo principal es robar e trocar billeteras de criptomonedas, asimismo puede disfrutar scripts adicionales para comprometer los sitios de WordPress y distribuir SPAM”, dijeron los investigadores. “Esto le permite establecer una infraestructura maliciosa completa y tirarse a nuevos dispositivos”.
“Otra característica interesante de este troyano es su intento de propagar entre usuarios individuales y entornos corporativos. En el primer caso, los atacantes usan archivos torrent como cebo, supuestamente para descargar películas populares; en el otro, envían afirmaciones sobre el supuesto uso de palabras o frases registradas por otra compañía”.
