Golpistas roubam usuários com PDFs e SMS, alerta Zimperium
TL;DR
Pesquisadores da Zimperium identificam duas campanhas de phishing que utilizam nomes respeitáveis, como PayPal e EZDriveMA, para roubar dados financeiros de usuários móveis. Os ataques, ocorridos entre fevereiro e abril de 2025, distribuem documentos PDF maliciosos via SMS e MMS, explorando a confiança dos usuários em mensagens de texto.
Pesquisadores da Zimperium identificam duas campanhas de phishing que utilizam nomes respeitáveis, como PayPal e EZDriveMA, para roubar dados financeiros de usuários móveis. Os ataques, ocorridos entre fevereiro e abril de 2025, distribuem documentos PDF maliciosos via SMS e MMS, explorando a confiança dos usuários em mensagens de texto.
A campanha do EZDriveMA gerou cerca de 2.145 domínios maliciosos rapidamente, enquanto o ataque ao PayPal combina phishing digital e vishing, ou phishing por voz. Pesquisas mostram que soluções de segurança tradicionais demoraram até 27 horas mais que sistemas de inteligência artificial para detectar essas ameaças.
EZDriveMA: pedágios falsos e infraestrutura rotativa
O ataque ao EZDriveMA inicia-se com uma mensagem contendo um PDF que se assemelha a uma notificação oficial sobre pedágio em atraso. Este documento inclui logotipos e formatação que buscam parecer legítimos. Dentro do PDF, um link redireciona a vítima a um site falso, coletando credenciais e dados pessoais.
Essa estratégia é diferenciada pela criação rápida de infraestrutura maliciosa, com 2.145 domínios gerados em dois meses. Os padrões analisados mostram a utilização de algoritmos de geração de domínios (DGA), onde dois prefixos dominam. A rapidez da rotação de domínios torna soluções tradicionais de bloqueio ineficazes.
Atraente por sua vasta base de usuários, o EZDriveMA beneficia-se da urgência criada pela possibilidade de multas, o que facilita a manipulação.
Campanha PayPal: duplo vetor e engenharia social
A campanha que finge ser do PayPal adota uma abordagem mais complexa. Um PDF simula uma compra de Bitcoin no valor de US$ 480,11, criando uma sensação de urgência. Os usuários são induzidos a cancelar a cobrança através de dois canais: um link para atendimento ao cliente e um número de telefone.
Ambas as ações são armadilhas. O link leva a uma página falsa que coleta dados, enquanto a ligação conecta os usuários a golpistas, que utilizam engenharia social para extrair informações confidenciais, incluindo detalhes de cartões de crédito.
A infraestrutura técnica revela mecanismos de ofuscação, incluindo o uso de serviços de encurtamento de URL para mascarar destinos finais e contornar ferramentas de segurança. O sistema de coleta permite mapear vítimas e avaliar a eficácia da campanha.
A eficácia dos ataques está na combinação de urgência, aparência profissional e distribuição via SMS, que é visualizada rapidamente pelos usuários.
Lacuna crítica de detecção
Um estudo comparou os tempos de detecção entre sistemas de inteligência artificial e bases de dados públicas. A diferença de até três dias demonstrou a superioridade da IA, que identifica padrões maliciosos em tempo real, enquanto listas públicas dependem de relatórios de vítimas.
O uso de detecções comportamentais demonstrou ser efetivo para identificar ameaças antes de serem catalogadas como maliciosas, mostrando a rapidez necessária para proteger usuários.
Por que PDFs como vetores?
Os PDFs oferecem vantagens tanto técnicas quanto psicológicas para os atacantes. Sua estrutura técnica permite ocultar URLs maliciosas através de complexidade, enquanto, psicologicamente, são aceitos em contextos profissionais e raramente questionados pelos usuários.
A distribuição por SMS potencializa essa situação, uma vez que mensagens são abertas em minutos, gerando uma falsa sensação de segurança.
Falta de proteção no canal
A maioria das soluções de segurança ainda não oferece análise eficaz para arquivos enviados por SMS/MMS. Apesar do avanço em sistemas de filtragem de mensagens, poucos verificam adequadamente os anexos PDF, resultando em um ponto cego.
As organizações geralmente implementam VPNs e firewalls, mas essas defesas não protegem dispositivos móveis quando os usuários acessam mensagens pessoais fora da rede corporativa.
Fluxo de ataque documentado
As campanhas são divididas em três etapas. A primeira envolve o envio de mensagens de texto com mensagens fraudulentas, como avisos de pedágio ou faturas. Na segunda, os usuários abrem documentos convincentes. Por último, os links redirecionam para sistemas falsos de coleta de credenciais ou levam a chamadas onde a engenharia social é aplicada.
Taxa de precisão e velocidade
A análise classificou 2.145 novos domínios com precisão de 98,46%. A detecção combina proteção em tempo real e classificação proativa, permitindo mapear domínios antes que usuários sejam atingidos. Cada hora de vantagem representa uma diminuição no número de vítimas potenciais, destacando a importância de tecnologias avançadas neste cenário de segurança cibernética.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
