O ecossistema de ameaças cibernéticas vem evoluindo de forma alarmante.
A primeira quinzena de junho de 2025 não apenas confirmou a crescente sofisticação dos ataques, mas também expôs vulnerabilidades estruturais profundas nas organizações.
De infostealers disfarçados de proxyware a campanhas que abusam de ferramentas legítimas para garantir acesso persistente a redes corporativas, passando por vulnerabilidades exploradas ativamente por grupos APT.
Tudo isso mostra, que as fronteiras tradicionais de segurança já não são suficientes. Estamos diante de um novo cenário, onde o acesso inicial virou mercadoria, e o roubo de identidade digital não depende somente mais de senhas.
Confira no nosso artigo as ameaças emergentes, táticas sofisticadas, abusos de infraestrutura legítima e um mercado clandestino cada vez mais ativo.
BrowserVenom: infostealer como proxy silencioso para o roubo de sessões autênticas
O infostealer BrowserVenom foi identificado em junho de 2025, segundo estudo da Resecurity, como uma ameaça que transforma máquinas comprometidas em plataformas de interceptação de tráfego.
Disfarçado como uma aplicação legítima de proxyware, ele modifica atalhos de navegadores para redirecionar o tráfego por servidores sob controle do atacante. Essa técnica permite a coleta de cookies de sessão, tokens de autenticação, dados financeiros e até o conteúdo de e-mails.
A ameaça se dissemina por meio de um site falso do modelo de IA chinês. Com altas taxas de infecção no Brasil, Cuba, México, Egito e África do Sul, o BrowserVenom possui capacidades como evasão de antivírus, persistência via registro do Windows e manipulação de tráfego HTTPS.
Simultaneamente, o Brasil se consolidou como um campo de batalha para grupos de ransomware globais e Atores de Ameaça Persistente (APTs).
O grupo APT Stealth Falcon, por exemplo, foi observado explorando ativamente a vulnerabilidade de zero day CVE-2025-33053 em campanhas de espionagem, um risco que se estende a alvos de alto valor no Brasil.
Phantom Enigma: extensões maliciosas miram bancos brasileiros
A campanha “Phantom Enigma” utiliza e-mails de phishing que simulam notas fiscais eletrônicas para instalar scripts PowerShell maliciosos. O objetivo é instalar uma extensão para navegadores baseados em Chromium, que só se ativa quando a vítima acessa o site do Banco do Brasil.
A extensão intercepta o token de autenticação bancária, injeta QR Codes fraudulentos na interface do site e pode exibir telas falsas para retardar a detecção da fraude.
Eles verificam inclusive a presença do software de proteção bancária “Diebold Warsaw”, amplamente utilizado no Brasil, para garantir eficácia no roubo.
RMM como vetor de acesso inicial
Desde janeiro deste ano, a Cisco vem acompanhando uma campanha que utiliza ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM) como N-able RMM e PDQ Connect para invadir redes corporativas.
Os invasores se aproveitam do período gratuito de testes desses softwares e os instalam após campanhas de phishing com iscas de NF-e.
Uma vez instalados, os RMMs fornecem controle total sobre as máquinas vítimas, e esse acesso é posteriormente vendido por Initial Access Brokers (IABs) na dark web. Isso torna o cibercrime acessível mesmo para grupos com baixa capacidade técnica — bastando comprar o acesso já pronto.
Insights Danresa:
A liderança precisa compreender que cibersegurança não é um centro de custo — é uma alavanca de continuidade, reputação e competitividade.
Alinhar os investimentos de segurança aos riscos de negócio mais críticos é fundamental para garantir resiliência cibernética real. Isso exige governança de dados madura, integração entre áreas de risco, segurança e compliance, além de uma gestão criteriosa da cadeia de suprimentos, onde parceiros e terceiros são frequentemente o elo mais vulnerável.
Organizações resilientes são aquelas que tratam a segurança não como um projeto isolado, mas como um componente estratégico da sua operação e da sua capacidade de resposta.
Vazamento de credenciais, brokers e espionagem global
De acordo com o Global Threat Report da CrowdStrike e análises da Kaspersky, mais de 1 bilhão de credenciais ligadas a brasileiros já circulam em fóruns clandestinos. A CrowdStrike identificou 107 access brokers oferecendo acesso a 428 organizações latino-americanas, enquanto a Kaspersky detectou mais de 100 ofertas ativas de acesso a redes de empresas brasileiras.
Além disso, o Brasil entrou no radar de grupos de espionagem patrocinados por Estados-nação:
- O grupo Stealth Falcon, ligado ao Oriente Médio, agora atua no Brasil.
- Grupos chineses miram setores de defesa e telecom.
Vulnerabilidades Críticas - Junho 2025
Microsoft Patch Tuesday, liberado em 10 de junho, trouxe correções para 66 falhas, incluindo duas que exigiram atenção imediata: uma vulnerabilidade zero-day ativamente explorada (CVE-2025-33053) e outra com prova de conceito pública (CVE-2025-33073).
Confira abaixo as outras vulnerabilidades críticas.
Transforme cibersegurança em decisão estratégica de negócio
Segundo a PwC, apenas 15% das empresas brasileiras conseguem quantificar o risco cibernético em termos de impacto ao negócio.
Incluir o CISO nas decisões de planejamento é parte essencial dessa transformação, especialmente considerando que apenas 21% desses profissionais têm esse nível de participação no Brasil, bem abaixo da média global.
Além disso, é fundamental reforçar a governança sobre fornecedores e parceiros. Casos envolvendo vazamento interno por parte de contratados e vazamento de dados de grandes instituições financeiras, demonstram que o elo mais fraco pode estar fora do perímetro.
Também é preciso ir além da MFA. Com a popularização de infostealers e o roubo massivo de cookies de sessão, proteger o acesso depois do login tornou-se tão importante quanto autenticar corretamente.
Do ponto de vista técnico, a prioridade imediata é aplicar os patches para as vulnerabilidades CVE-2025-33053 e CVE-2025-33073, ambas com alto potencial de exploração, além de bloquear os IOCs das campanhas identificadas, como Phantom Enigma, BrowserVenom e os ataques via ferramentas RMM.
Monitorar qualquer instalação não autorizada desses softwares deve se tornar parte da rotina de defesa, assim como assegurar que os backups sejam imutáveis, testados regularmente e capazes de resistir a tentativas de sabotagem.
Por fim, times de segurança devem adotar uma abordagem ativa de threat hunting, baseada em TTPs reais observados no cenário atual, e não apenas em indicadores tradicionais.
Fale com um especialista e esteja à frente das ameaças
A combinação de vulnerabilidades críticas, campanhas avançadas de infecção, espionagem geopolítica e ataques à infraestrutura essencial elevam o risco cibernético brasileiro ao nível mais alto em anos. Nesse cenário, a reação não pode mais ser reativa. Ela precisa ser estratégica, rápida e coordenada.
Se sua organização ainda depende de respostas isoladas, ferramentas desconectadas ou planos de contingência frágeis, está vulnerável.
A Danresa atua justamente na construção de estruturas resilientes de cibersegurança, aliando inteligência de ameaças, tecnologia de ponta e visão integrada de risco.
Não espere o próximo incidente. Entre em contato com a Danresa e transforme sua defesa digital em um ativo estratégico.
0 comentário