O cenário de cibersegurança no Brasil acaba de ganhar um alerta preocupante. Pesquisadores identificaram uma nova onda de ataques que combina inteligência artificial e malware sofisticado para enganar usuários e roubar dinheiro — incluindo criptomoedas.
De um lado, criminosos estão usando construtores de sites com IA, como DeepSite AI e BlackBox AI, para criar réplicas quase perfeitas de páginas de órgãos do governo brasileiro, como o DETRAN e o Ministério da Educação (MEC). Do outro, um malware chamado Efimer está sendo distribuído em massa para invadir computadores e furtar ativos digitais.
Falsos sites do governo criados por IA
Segundo o Zscaler ThreatLabz, os golpistas usam esses sites clonados para aplicar golpes via PIX. A abordagem é simples, mas eficaz:
- A vítima acessa uma página falsa idêntica ao site oficial.
- É convidada a preencher formulários com dados sensíveis, como CPF e endereço.
- Recebe uma cobrança de R$ 87,40, supostamente para exames ou taxas de emprego.
O truque é reforçado por um processo de coleta de informações em etapas, imitando a experiência dos sites reais. Além disso, os CPFs informados são verificados em tempo real por uma API criada pelos próprios hackers, que preenche automaticamente dados associados, tornando a fraude ainda mais convincente.
Possível uso de dados vazados
A Zscaler alerta que as informações usadas para validar CPFs podem ter vindo de vazamentos anteriores ou de APIs públicas mal protegidas. Apesar do valor cobrado ser baixo, esse tipo de ataque pode escalar para fraudes de maior impacto.
SEO envenenado para atrair vítimas
Para garantir que as páginas falsas ganhem visibilidade, os criminosos empregam técnicas de SEO poisoning, manipulando resultados de busca para colocar seus sites fraudulentos no topo.
Os indícios do uso de IA incluem comentários desnecessários no código, recursos não funcionais e padrões de design (como TailwindCSS) que diferem dos kits tradicionais de phishing.
Malware Efimer: o roubo de criptomoedas em segundo plano
Paralelamente, o Brasil lidera como alvo da campanha do Efimer, detectada pela Kaspersky. O malware é distribuído principalmente via e-mails falsos que se passam por advogados, mas também circula por:
- Sites WordPress comprometidos
- Torrents maliciosos disfarçados de filmes
- Rede TOR para comunicação com o servidor de comando e controle
O processo de infecção é elaborado: o e-mail contém um arquivo ZIP que, dentro, traz outro ZIP protegido por senha e um script malicioso no formato WSF. Ao ser executado, o script instala o trojan, cria tarefas agendadas para persistência e exibe uma falsa mensagem de erro.
Como o Efimer age
O núcleo do ataque, chamado controller.js, atua como um “clipper” — ele monitora a área de transferência e substitui endereços de carteiras de criptomoedas por outros controlados pelos criminosos.
Além disso, pode:
- Capturar a tela do usuário
- Executar comandos remotos
- Verificar navegadores em busca de extensões de carteiras como Atomic, Electrum e Exodus
- Executar ataques de força bruta contra sites WordPress
A versão mais recente ainda conta com recursos anti-máquina virtual, dificultando a análise por especialistas em segurança.
Impacto global
Até agora, estima-se que cerca de 5 mil usuários foram afetados, sendo a maioria no Brasil, seguida por Índia, Espanha e Rússia.
💡 Dica de segurança: Sempre verifique o endereço oficial dos sites, evite clicar em links recebidos por e-mail e mantenha antivírus e navegadores atualizados. Quando o assunto envolve pagamento via PIX ou criptomoedas, redobre a atenção. que ataques sofisticados podem comprometer sistemas apenas com a visita a um site malicioso.
