Uma nova campanha de phishing tem chamado a atenção por explorar documentos PDF falsos hospedados na rede de distribuição de conteúdo (CDN) do Webflow para roubar dados financeiros. O método consiste em enganar usuários por meio de um CAPTCHA falso, tornando a fraude mais convincente e difícil de ser detectada.
Como funciona o golpe
Desde o segundo semestre de 2024, criminosos cibernéticos vêm atraindo vítimas que buscam documentos como livros e gráficos em mecanismos de busca, levando-as a acessar arquivos PDF maliciosos hospedados no Webflow CDN.
Dentro desses arquivos, há uma imagem imitando um CAPTCHA, que ao ser clicada redireciona o usuário para uma página de phishing. Para tornar o ataque mais sofisticado, essa página contém um CAPTCHA legítimo do Cloudflare Turnstile, criando uma falsa sensação de segurança.
Após completar o CAPTCHA, a vítima é direcionada para um site onde um botão de “download” aparece, supostamente para acessar o documento desejado. No entanto, ao tentar baixar o arquivo, surge um pop-up solicitando informações pessoais e detalhes do cartão de crédito. Se a vítima inserir os dados, o site apresenta uma mensagem de erro e solicita que a tentativa seja repetida mais duas ou três vezes. Após essas tentativas, o usuário é redirecionado para uma página de erro HTTP 500, enquanto os criminosos já capturaram suas informações.
Phishing avançado e novas ameaças
O ataque ocorre em um momento em que especialistas em segurança digital alertam sobre novas ferramentas avançadas de phishing. Um exemplo é o kit de phishing Astaroth, vendido em fóruns cibercriminosos por US$ 2.000.
Notícias Relacionadas
Segurança digital
Clientes confirmam que dados vazados do Oracle Cloud são legítimos, apesar de negação da empresa
Apesar da Oracle negar uma violação no Oracle Cloud, empresas afetadas confirmaram a autenticidade dos dados vazados. O incidente levanta preocupações sobre segurança e credenciais expostas, enquanto a Oracle se mantém firme em sua negativa.
Segurança cibernética
Google corrige falha crítica no Chrome explorada em ataques
O Google lançou um patch emergencial para corrigir a vulnerabilidade CVE-2025-2783 no Chrome, explorada em ataques direcionados a organizações russas. A falha permitia a execução remota de código e foi utilizada em campanhas de espionagem cibernética.
Diferente de ataques tradicionais, o Astaroth emprega um proxy reverso estilo Evilginx para interceptar o tráfego entre usuários e serviços legítimos, como Gmail, Yahoo e Microsoft. Isso permite capturar credenciais, tokens de autenticação e cookies de sessão em tempo real, tornando ineficaz a autenticação de dois fatores (2FA).
Como se proteger
Para evitar cair nesse tipo de golpe, siga estas recomendações:
- Desconfie de arquivos PDF encontrados por meio de buscas na internet.
- Verifique a URL do site antes de inserir credenciais ou informações financeiras.
- Utilize soluções de segurança que detectem páginas de phishing avançadas.
- Habilite autenticação multifator com métodos mais robustos, como chaves de segurança físicas.
Os ataques cibernéticos estão cada vez mais sofisticados, exigindo que usuários e empresas adotem medidas preventivas constantes para evitar prejuízos financeiros e vazamento de informações.
