Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que está utilizando legítimos generativos de inteligencia artificial generativa (IA), las herramientas de construcción de sitios web como AI y Blackbox AI de Deepsite para crear réplicas de páginas de phishing que imitan a las agencias gubernamentales brasileñas como parte de una campaña motivada financieramente.
La actividad implica la creación de sitios parecidos que imitan el Departamento de Tráfico y el Ministerio de Educación del Estado de Brasil, que luego engañan a los usuarios a hacer pagos injustificados a través del sistema de pago PIX del país, dijo Zscaler Amenazlabz.
Estos sitios fraudulentos se impulsan artificialmente utilizando técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para mejorar su visibilidad, aumentando así la probabilidad de éxito del ataque.
«El análisis del código fuente revela firmas de herramientas de IA generativas, como comentarios excesivamente explicativos destinados a guiar a los desarrolladores, elementos no funcionales que generalmente funcionarían en un sitio web auténtico y tendencias como Tailwindcss Styling, que son diferentes de los kits de phishing tradicionales utilizados por los actores de amenazas», dicen Zscaler’s Jagadeeswar Ramanukolanu, Kartik Dixit, y YES YESOEN.
El objetivo final de los ataques es servir formas falsas que recopilan información personal confidencial, incluidos los números de Cadastro de Pessoas Físicas (CPF), los números de identificación de los contribuyentes brasileños, los números de identificación de los contribuyentes, y los convencen de hacer un pago único de 87.40 reales ($ 16) a la amenaza de los actores de amenaza a través de la oportunidad de completar una psicométrica y un examen médico para el trabajo de trabajo.
Para aumentar aún más la legitimidad de la campaña, las páginas de phishing están diseñadas de tal manera que emplean la recopilación de datos por etapas solicitando progresivamente información adicional de la víctima, reflejando el comportamiento de los sitios web auténticos. Los números de CPF recopilados también se validan en el backend mediante una API creada por el actor de amenaza.
«El dominio API identificado durante el análisis está registrado por el actor de amenaza», dijo Zscaler. «La API recupera los datos asociados con el número de CPF y poca automáticamente la página de phishing con información vinculada al CPF».
Dicho esto, la compañía señaló que es posible que los atacantes puedan haber adquirido números de CPF y detalles del usuario a través de violaciones de datos o aprovechando las API expuestas públicamente con una clave de autenticación, y luego utilizaron la información para aumentar la credibilidad de sus intentos de phishing.
«Si bien estas campañas de phishing están robando cantidades relativamente pequeñas de dinero de las víctimas, se pueden usar ataques similares para causar mucho más daño», señaló Zscaler.
La campaña de correo masivo distribuye Efimer Trojan para robar criptografía
Brasil también se ha convertido en el foco de una campaña de Malspam que se hace pasar por abogados de una compañía importante para entregar un guión malicioso llamado Efimer y robar la criptomoneda de una víctima. La compañía rusa de ciberseguridad Kaspersky dijo que detectó la campaña de correo masivo en junio de 2025, con la iteración temprana del malware que data hasta octubre de 2024 y se propuso a través de sitios web infectados de WordPress.
«Estos correos electrónicos reclamaron falsamente el nombre de dominio del destinatario infringido por los derechos del remitente», dijeron los investigadores Vladimir Gursky y Artem Ushkov. «Este script también incluye una funcionalidad adicional que ayuda a los atacantes a difundir aún más al comprometer los sitios de WordPress y alojando archivos maliciosos allí, entre otras técnicas».
Efimer, además de propagarse a través de sitios de WordPress comprometidos y correo electrónico, aprovecha los torrentes maliciosos como vector de distribución, mientras se comunica con su servidor de comando y control (C2) a través de la red TOR. Además, el malware puede extender sus capacidades con scripts adicionales que pueden hacer contraseñas de fuerza bruta para sitios de WordPress y cosechar direcciones de correo electrónico de sitios web especificados para futuras campañas de correo electrónico.
«El script recibe dominios (del servidor C2) e itera a través de cada uno para encontrar hipervínculos y direcciones de correo electrónico en las páginas del sitio web», dijo Kaspersky, y señaló que también sirve como un módulo de spam diseñado para completar formularios de contacto en los sitios web de destino.
En la cadena de ataque documentada por Kaspersky, los correos electrónicos vienen equipados con archivos zip que contienen otro archivo protegido por contraseña y un archivo vacío con un nombre que especifica la contraseña para abrirlo. Presente dentro del segundo archivo zip hay un archivo de script de Windows (WSF) malicioso que, cuando se lanza, infecta la máquina con Efimer.
Al mismo tiempo, la víctima se muestra un mensaje de error que indica que el documento no se puede abrir en el dispositivo como un mecanismo de distracción. En realidad, el script WSF guarda otros dos archivos, «Controller.js» (el componente troyano) y «controlador.xml», y crea una tarea programada en el host utilizando la configuración extraída de «Controller.xml».
El «Controller.js» es un malware Clipper diseñado para reemplazar las direcciones de la billetera de criptomonedas que el usuario copia a su portapapeles con la dirección de la billetera bajo el control del atacante. También puede capturar capturas de pantalla y ejecutar cargas útiles adicionales recibidas del servidor C2 conectándose a través de la red Tor después de instalar un cliente TOR proxy en la computadora infectada.
Kaspersky dijo que también descubrió una segunda versión de Efimer que, junto con las características de Clipper, también incorpora características anti-VM y exploradores web de escaneos como Google Chrome y Brave para las extensiones de billeteras de criptomonedas relacionadas con atómico, electrum y exodus, entre otros, y exfiltra los resultados de la búsqueda del servidor C2.
Se estima que la campaña ha impactado a 5.015 usuarios, en función de su telemetría, con la mayoría de las infecciones concentradas en Brasil, India, España, Rusia, Italia, Alemania, el Reino Unido, Canadá, Francia y Portugal.
«Si bien su objetivo principal es robar e intercambiar billeteras de criptomonedas, también puede aprovechar scripts adicionales para comprometer los sitios de WordPress y distribuir SPAM», dijeron los investigadores. «Esto le permite establecer una infraestructura maliciosa completa y extenderse a nuevos dispositivos».
«Otra característica interesante de este troyano es su intento de propagar entre usuarios individuales y entornos corporativos. En el primer caso, los atacantes usan archivos torrent como cebo, supuestamente para descargar películas populares; en el otro, envían afirmaciones sobre el presunto uso de palabras o frases registradas por otra compañía».