Expertos en ciberseguridad han descubierto una sofisticada campaña de phishing en Brasil que aprovecha plataformas legítimas de creación de sitios web con inteligencia artificial generativa, como DeepSite AI y BlackBox AI, para producir réplicas convincentes de portales gubernamentales.

De acuerdo con Zscaler ThreatLabz, los atacantes imitan páginas del Departamento Estatal de Tránsito y del Ministerio de Educación de Brasil, engañando a las víctimas para que realicen pagos fraudulentos mediante el sistema de pagos instantáneos PIX.

Para aumentar su visibilidad, estos sitios maliciosos emplean técnicas de envenenamiento de optimización en motores de búsqueda (SEO poisoning), logrando aparecer en posiciones destacadas en los resultados de búsqueda y atrayendo a más usuarios desprevenidos.

El análisis del código fuente reveló indicadores claros de diseño generado por IA, como comentarios excesivamente descriptivos para desarrolladores, funciones no operativas que simulan elementos reales, y estilos como TailwindCSS, inusuales en los kits de phishing tradicionales.

Robo de datos y fraude de pagos

El objetivo final es recolectar información personal sensible —incluyendo números de CPF (identificación fiscal brasileña), direcciones residenciales y otros datos— y convencer a las víctimas de realizar un pago único de 87,40 reales (aproximadamente 16 dólares). Estos cobros se presentan como requisitos para exámenes psicométricos o médicos, o como parte de procesos de solicitud de empleo.

Para dar mayor credibilidad, los sitios falsos solicitan los datos en varias etapas, imitando el flujo de servicios gubernamentales reales. Los números de CPF robados son validados en el backend mediante una API controlada por los atacantes, que puede extraer datos asociados y autocompletar los formularios con información auténtica.

Según Zscaler, los delincuentes podrían haber obtenido estos registros de CPF a través de filtraciones de datos previas o mediante APIs expuestas, lo que incrementa el realismo de la estafa. Aunque las pérdidas monetarias por víctima son relativamente pequeñas, advierten que la misma técnica podría escalarse para ataques mucho más dañinos.

El troyano Efimer se propaga por malspam para robar criptomonedas

Brasil también ha sido golpeado por una campaña masiva de malspam que distribuye el troyano Efimer, un malware diseñado para robar monederos de criptomonedas.

Detectado por primera vez por Kaspersky en junio de 2025, con versiones iniciales que datan de octubre de 2024, Efimer se propaga mediante sitios de WordPress comprometidos, torrents maliciosos y correos electrónicos de phishing.

El engaño por correo simula ser un aviso legal de abogados corporativos, alegando infracción de nombre de dominio. Los archivos ZIP adjuntos ocultan un Windows Script File (WSF) que, al ejecutarse, instala Efimer mientras muestra un falso mensaje de error para distraer al usuario.

Una vez activo, Efimer despliega dos archivos —controller.js y controller.xml— y crea una tarea programada para mantener su persistencia. Su función principal es secuestrar el portapapeles, reemplazando direcciones de monederos de criptomonedas copiadas con otras controladas por los atacantes. Además, puede tomar capturas de pantalla, descargar malware adicional y conectarse a una infraestructura de comando y control (C2) basada en TOR.

Una variante más reciente añade verificaciones anti-máquina virtual y escanea navegadores como Chrome y Brave en busca de extensiones de monederos como Atomic, Electrum y Exodus, enviando los resultados al servidor C2.

Alcance global

Kaspersky estima que la campaña ha afectado al menos a 5,015 usuarios en todo el mundo, con infecciones concentradas en Brasil, India, España, Rusia, Italia, Alemania, Reino Unido, Canadá, Francia y Portugal.

Además del robo de criptomonedas, Efimer puede forzar credenciales de WordPress, recolectar direcciones de correo y enviar spam, permitiendo a los atacantes construir una infraestructura maliciosa completa capaz de expandirse.

De forma interesante, el malware apunta tanto a usuarios individuales como a entornos corporativos: en el primer caso, usa torrents de películas pirateadas como señuelo; en el segundo, emplea falsas reclamaciones legales para engañar a las empresas.A newer variant adds anti-virtual machine checks and scans browsers like Chrome and Brave for popular crypto wallet extensions, including Atomic, Electrum, and Exodus, exfiltrating the findings to the C2 server.

Fuente: https://thehackernews.com/2025/08/ai-tools-fuel-brazilian-phishing-scam.html