Le campagne di phishing stanno subendo una rapida evoluzione grazie all'utilizzo degli strumenti di intelligenza artificiale. In Brasile, nuovi attacchi informatici sfruttano piattaforme AI come DeepSite AI e BlackBox AI per creare siti clone che imitano perfettamente agenzie governative, tra cui il Dipartimento di Stato del Traffico e il Ministero dell'Educazione. Questi siti fraudolenti sono progettati per ingannare gli utenti e indurli a fornire dati personali sensibili, come il numero CPF e l'indirizzo, e a effettuare pagamenti tramite il sistema PIX, sempre più popolare nel paese.

SEO poisoning e tecniche avanzate di ingegneria sociale

Gli attaccanti utilizzano tecniche avanzate di SEO poisoning per aumentare la visibilità dei siti di phishing nei risultati dei motori di ricerca, massimizzando così le possibilità di colpire nuove vittime. L'analisi dei codici sorgente di questi siti ha rivelato elementi tipici delle piattaforme AI, come commenti esplicativi pensati per sviluppatori e stili CSS moderni, segnando la differenza rispetto ai kit di phishing tradizionali. Inoltre, i moduli di raccolta dati sono strutturati in modo da simulare il percorso degli utenti su siti autentici, aumentando la fiducia delle vittime.

Verifica automatica dei dati e raccolta informazioni sensibili

Un elemento distintivo della campagna è la verifica dei dati forniti dagli utenti tramite API registrate dagli stessi criminali informatici, che consentono di validare e popolare automaticamente i form con informazioni reali, rendendo l’attacco ancora più credibile. È possibile che parte dei dati sensibili venga raccolta anche tramite precedenti violazioni di dati o API pubbliche esposte senza adeguata sicurezza.

La minaccia Efimer e il furto di criptovalute

Parallelamente, il Brasile è nel mirino di un’altra minaccia: Efimer, un trojan diffuso attraverso campagne di malspam che si spacciano per comunicazioni legali da parte di studi di avvocati. Il malware viene distribuito tramite archivi ZIP protetti da password, che all’interno contengono uno script malevolo. Una volta eseguito, Efimer installa un clipper in grado di intercettare e modificare gli indirizzi dei wallet di criptovalute copiati negli appunti, reindirizzando i fondi verso i criminali.

Efimer comunica con i server di comando tramite la rete TOR e può essere aggiornato con ulteriori script che permettono di diffondere il malware attraverso siti WordPress compromessi e campagne di spam automatizzate. Le versioni più recenti di Efimer includono funzioni anti-VM e la capacità di rubare dati dai principali browser, prendendo di mira le estensioni per portafogli come Atomic, Electrum ed Exodus. Secondo le analisi, questa campagna ha colpito oltre 5000 utenti, principalmente in Brasile, ma anche in altri paesi.