Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que está utilizando legítimos generativos de inteligencia sintético generativa (IA), las herramientas de construcción de sitios web como AI y Blackbox AI de Deepsite para crear réplicas de páginas de phishing que imitan a las agencias gubernamentales brasileñas como parte de una campaña motivada financieramente.
La actividad implica la creación de sitios parecidos que imitan el Área de Tráfico y el Profesión de Educación del Estado de Brasil, que luego engañan a los usuarios a hacer pagos injustificados a través del sistema de cuota PIX del país, dijo Zscaler Amenazlabz.
Estos sitios fraudulentos se impulsan artificialmente utilizando técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para mejorar su visibilidad, aumentando así la probabilidad de éxito del ataque.
«El observación del código fuente revela firmas de herramientas de IA generativas, como comentarios excesivamente explicativos destinados a regir a los desarrolladores, medios no funcionales que generalmente funcionarían en un sitio web auténtico y tendencias como Tailwindcss Styling, que son diferentes de los kits de phishing tradicionales utilizados por los actores de amenazas», dicen Zscaler’s Jagadeeswar Ramanukolanu, Kartik Dixit, y YES YESOEN.
El objetivo final de los ataques es servir formas falsas que recopilan información personal confidencial, incluidos los números de Cadastro de Pessoas Físicas (CPF), los números de identificación de los contribuyentes brasileños, los números de identificación de los contribuyentes, y los convencen de hacer un cuota único de 87.40 reales ($ 16) a la amenaza de los actores de amenaza a través de la oportunidad de completar una psicométrica y un examen médico para el trabajo de trabajo.
Para aumentar aún más la legalidad de la campaña, las páginas de phishing están diseñadas de tal modo que emplean la resumen de datos por etapas solicitando progresivamente información adicional de la víctima, reflejando el comportamiento de los sitios web auténticos. Los números de CPF recopilados además se validan en el backend mediante una API creada por el actor de amenaza.
«El dominio API identificado durante el observación está registrado por el actor de amenaza», dijo Zscaler. «La API recupera los datos asociados con el número de CPF y poca automáticamente la página de phishing con información vinculada al CPF».
Dicho esto, la compañía señaló que es posible que los atacantes puedan poseer adquirido números de CPF y detalles del agraciado a través de violaciones de datos o aprovechando las API expuestas públicamente con una secreto de autenticación, y luego utilizaron la información para aumentar la credibilidad de sus intentos de phishing.
«Si correctamente estas campañas de phishing están robando cantidades relativamente pequeñas de capital de las víctimas, se pueden usar ataques similares para causar mucho más daño», señaló Zscaler.
La campaña de correo masivo distribuye Efimer Trojan para robar criptografía
Brasil además se ha convertido en el foco de una campaña de Malspam que se hace acaecer por abogados de una compañía importante para entregar un asunto bellaco llamado Efimer y robar la criptomoneda de una víctima. La compañía rusa de ciberseguridad Kaspersky dijo que detectó la campaña de correo masivo en junio de 2025, con la iteración temprana del malware que data hasta octubre de 2024 y se propuso a través de sitios web infectados de WordPress.
«Estos correos electrónicos reclamaron falsamente el nombre de dominio del destinatario infringido por los derechos del remitente», dijeron los investigadores Vladimir Gursky y Artem Ushkov. «Este script además incluye una funcionalidad adicional que ayuda a los atacantes a difundir aún más al comprometer los sitios de WordPress y alojando archivos maliciosos allí, entre otras técnicas».
Efimer, adicionalmente de propagarse a través de sitios de WordPress comprometidos y correo electrónico, aprovecha los torrentes maliciosos como vector de distribución, mientras se comunica con su servidor de comando y control (C2) a través de la red TOR. Por otra parte, el malware puede extender sus capacidades con scripts adicionales que pueden hacer contraseñas de fuerza bruta para sitios de WordPress y cosechar direcciones de correo electrónico de sitios web especificados para futuras campañas de correo electrónico.
«El script recibe dominios (del servidor C2) e itera a través de cada uno para encontrar hipervínculos y direcciones de correo electrónico en las páginas del sitio web», dijo Kaspersky, y señaló que además sirve como un módulo de spam diseñado para completar formularios de contacto en los sitios web de destino.
En la dependencia de ataque documentada por Kaspersky, los correos electrónicos vienen equipados con archivos zip que contienen otro archivo protegido por contraseña y un archivo infructifero con un nombre que especifica la contraseña para abrirlo. Presente en el interior del segundo archivo zip hay un archivo de script de Windows (WSF) bellaco que, cuando se alabarda, infecta la máquina con Efimer.
Al mismo tiempo, la víctima se muestra un mensaje de error que indica que el documento no se puede rasgar en el dispositivo como un mecanismo de distracción. En ingenuidad, el script WSF vigilante otros dos archivos, «Controller.js» (el componente troyano) y «regulador.xml», y crea una tarea programada en el host utilizando la configuración extraída de «Controller.xml».
El «Controller.js» es un malware Clipper diseñado para reemplazar las direcciones de la billetera de criptomonedas que el agraciado copia a su portapapeles con la dirección de la billetera bajo el control del atacante. Igualmente puede capturar capturas de pantalla y ejecutar cargas bártulos adicionales recibidas del servidor C2 conectándose a través de la red Tor luego de instalar un cliente TOR proxy en la computadora infectada.
Kaspersky dijo que además descubrió una segunda interpretación de Efimer que, adjunto con las características de Clipper, además incorpora características anti-VM y exploradores web de escaneos como Google Chrome y Brave para las extensiones de billeteras de criptomonedas relacionadas con atómico, electrum y exodus, entre otros, y exfiltra los resultados de la búsqueda del servidor C2.
Se estima que la campaña ha impactado a 5.015 usuarios, en función de su telemetría, con la mayoría de las infecciones concentradas en Brasil, India, España, Rusia, Italia, Alemania, el Reino Unido, Canadá, Francia y Portugal.
«Si correctamente su objetivo principal es robar e canjear billeteras de criptomonedas, además puede servirse scripts adicionales para comprometer los sitios de WordPress y distribuir SPAM», dijeron los investigadores. «Esto le permite establecer una infraestructura maliciosa completa y tirarse a nuevos dispositivos».
«Otra característica interesante de este troyano es su intento de propagar entre usuarios individuales y entornos corporativos. En el primer caso, los atacantes usan archivos torrent como cebo, supuestamente para descargar películas populares; en el otro, envían afirmaciones sobre el supuesto uso de palabras o frases registradas por otra compañía».
