Resumo

• Hackers estão usando LLMs para criar páginas de phishing em tempo real no navegador.
• A técnica permite criar scripts únicos para cada vítima, adaptando o conteúdo do golpe.
• Os cibercriminosos conseguem escapar de análises de rede utilizando domínios confiáveis, transformando-os em interfaces de roubo de credenciais.

Pesquisadores da Unit 42, divisão de inteligência em ameaças da Palo Alto Networks, identificaram uma evolução crítica nos ataques de engenharia social: o uso de modelos de linguagem em grande escala (LLMs) para criar páginas de phishing que montam o código malicioso no navegador da vítima em tempo real.

O método permite que uma página aparentemente inofensiva se transforme em uma interface de roubo de credenciais personalizada. Ao utilizar domínios confiáveis de gigantes da tecnologia para entregar o conteúdo malicioso, os golpistas conseguem escapar até de ferramentas de análise de rede.

Inteligência artificial gera o código na hora

Em um cenário comum, o usuário clica em um link que o leva a um site hospedado em um domínio suspeito com código malicioso. Na nova abordagem, a vítima visita uma URL que não possui nada malicioso visível. Uma vez que a página é carregada, ela executa scripts que fazem solicitações de API para serviços de IA legítimos e populares.

Utilizando técnicas de engenharia de prompt, os cibercriminosos conseguem enganar os filtros de segurança dos LLMs para retornarem trechos de código JavaScript. Esse código é então montado e executado instantaneamente no navegador do usuário, criando a página de phishing.

A abordagem garante vantagens aos criminosos. Primeiro, cada vítima recebe uma versão diferente do script, impedindo a detecção por assinaturas digitais. Além disso, o tráfego de rede parece legítimo, já que os dados são trocados com infraestruturas de IA (como as do Google ou OpenAI) que raramente são bloqueadas em redes corporativas.

Segundo, o conteúdo pode ser adaptado com base na localização ou endereço de e-mail da vítima, tornando o golpe muito mais convincente.

Como se proteger das ameaças geradas por IA?

A detecção ainda é possível via rastreadores aprimorados baseados em navegador, que são capazes de monitorar a execução de scripts em tempo real. Essa solução, no entanto, é voltada às empresas e administradores de TI.

Para o usuário comum, valem as recomendações para se proteger de golpes de phishing.

Hackers recorrem aos LLMs para criar golpes mais convincentes

Resumo

• O spyware Landfall explorou uma falha zero-day em celulares Galaxy, permitindo invasão via imagem maliciosa em apps de mensagens.
• O ataque, focado no Oriente Médio, visou modelos Galaxy S22, S23, S24 e da linha Z, afetando usuários em países como Marrocos, Irã, Iraque e Turquia.
• A vulnerabilidade CVE-2025-21042 foi corrigida em abril de 2025, e o Landfall tinha semelhanças com ataques do grupo Stealth Falcon.

Pesquisadores da Palo Alto Networks revelaram uma campanha de espionagem digital que teve como alvo celulares da linha Galaxy, da Samsung. O ataque, que durou quase um ano, explorou uma vulnerabilidade até então desconhecida pela empresa sul-coreana – o que a classifica como uma falha zero-day.

Batizado de Landfall, o spyware foi descoberto em julho de 2024 e se aproveitava de uma brecha no Android da Samsung. Ela permitia que hackers invadissem os dispositivos por meio do envio de uma imagem maliciosa, geralmente compartilhada por aplicativos de mensagens, sem que o usuário precisasse realizar qualquer ação.

Quem são os afetados?

De acordo com o relatório da Unit 42, divisão de cibersegurança da Palo Alto Networks, o spyware tinha alcance limitado e mirava alvos específicos – o que sugere uma operação de espionagem, e não uma disseminação em massa. Os indícios apontam que as vítimas estavam concentradas no Oriente Médio, incluindo usuários em países como Marrocos, Irã, Iraque e Turquia.

Um dos endereços IP associados ao malware chegou a ser classificado como malicioso pela equipe nacional de resposta cibernética da Turquia (USOM), reforçando a hipótese de que cidadãos turcos estavam entre os alvos. A vulnerabilidade usada, registrada como CVE-2025-21042, foi corrigida pela Samsung em abril de 2025 — meses após o início dos ataques.

O pesquisador sênior Itay Cohen, da Unit 42, explicou que o caso “foi um ataque de precisão contra indivíduos específicos”, e não uma campanha de disseminação de malware em larga escala.

O que o spyware fazia?

O Landfall tinha acesso amplo aos dados dos dispositivos comprometidos, podendo extrair fotos, mensagens, contatos e registros de chamadas, além de ativar o microfone e rastrear a localização das vítimas.

A análise do código revelou que o malware citava especificamente modelos como Galaxy S22, S23, S24 e alguns da linha Z, embora especialistas acreditem que outros aparelhos com Android 13 a 15 também tenham sido afetados.

O relatório também identificou semelhanças entre a infraestrutura digital usada pelo Landfall e a de um grupo conhecido como Stealth Falcon, vinculado a ataques anteriores contra jornalistas e ativistas nos Emirados Árabes Unidos. Ainda assim, os pesquisadores afirmam que não há provas suficientes para atribuir o caso a um governo ou fornecedor de vigilância específicos.

App espião atinge celulares Galaxy a partir de falha desconhecida

💾