){kind=small}
)
Pesquisadores da Zimperium identificaram duas campanhas de phishing que usam nomes do PayPal e do EZDriveMA, sistema eletrônico de pedágio de Massachusetts, para roubar credenciais e dados financeiros de usuários móveis. Os ataques distribuem PDFs maliciosos por SMS e MMS, explorando a confiança que usuários depositam em mensagens de texto e a aparência legítima de documentos.
Entre fevereiro e abril de 2025, a campanha direcionada ao EZDriveMA gerou aproximadamente 2.145 domínios maliciosos em rápida sucessão. A que imita o PayPal combina phishing digital com vishing (phishing por voz), oferecendo dois vetores simultâneos de ataque. Em ambos os casos, soluções de segurança tradicionais levaram até 27 horas a mais que sistemas de inteligência artificial embarcados para detectar as ameaças.
Nossos vídeos em destaque
EZDriveMA: pedágios falsos e infraestrutura rotativa
O golpe direcionado ao sistema de pedágio de Massachusetts começa com uma mensagem de texto contendo um PDF anexado que imita uma notificação oficial de pedágio não pago. O documento usa logos, formatação profissional e linguagem formal para parecer legítimo. Dentro do PDF, há um link que direciona a vítima para um site falso onde credenciais de login, dados pessoais e informações bancárias são capturadas.
O que diferencia esta campanha é a escala e velocidade de criação de infraestrutura maliciosa. Entre fevereiro e abril, atacantes geraram aproximadamente 2.145 domínios em dois meses, concentrados nos TLDs .xin, .top e .vip. A análise de padrões revela uso de algoritmos de geração de domínios (DGA). Dois prefixos dominam: "paytoll" responde por 74,7% dos registros, e "ezdrivema-com" por 11,8%. Combinados, representam 86% do dataset.
A velocidade de rotação torna listas de bloqueio tradicionais ineficazes. Quando um domínio é identificado e bloqueado, dezenas de novos já estão ativos. A estratégia permite que atacantes mantenham campanhas ativas por períodos prolongados sem interrupção significativa.
O EZDriveMA serve como alvo atraente devido à sua grande base de usuários e à confiança que motoristas depositam em notificações de pedágio. A ameaça de multas e penalidades cria urgência que facilita a manipulação.
Campanha PayPal: duplo vetor e engenharia social
A campanha que imita o PayPal adota abordagem mais sofisticada. O PDF simula uma fatura de compra de Bitcoin no valor de US$ 480,11 — uma transação que a vítima não realizou. O documento cria urgência ao sugerir que o usuário precisa cancelar a cobrança imediatamente. Para isso, oferece duas opções: clicar em um link para "chat ao vivo" ou ligar para um número de suporte.
Ambas as opções são armadilhas. O link redireciona para uma página falsa que coleta nome e email, dados que podem ser usados em ataques subsequentes ou vendidos em mercados criminosos. O número de telefone conecta a vítima com golpistas que aplicam engenharia social em tempo real para extrair credenciais completas, detalhes de cartão de crédito e até contornar autenticação de dois fatores através de manipulação psicológica.
A infraestrutura técnica revela camadas de ofuscação. O vetor digital usa o serviço de encurtamento urlzs[.]com para mascarar o destino real. O link redireciona para um endereço IP direto (146[.]70[.]41[.]215) na porta não-padrão 81. Essa combinação contorna filtros baseados em reputação de domínios e regras de firewall que monitoram apenas portas HTTP/HTTPS convencionais.
O script server-side (.aspx) inclui parâmetro de rastreamento individual (linkid), permitindo que atacantes mapeiem cada vítima e meçam taxas de conversão da campanha.
O vetor de voz usa linha VoIP da operadora ONVOY, LLC — infraestrutura frequentemente associada às operações de call center descartáveis. O número apresentou pontuação alta em análises de risco de fraude.
O que torna esses ataques particularmente eficazes é a combinação de urgência, aparência profissional e o canal de distribuição. Mensagens de texto são visualizadas rapidamente, usuários confiam mais em comunicações recebidas no celular, e telas pequenas dificultam a inspeção cuidadosa de links antes de clicar.
Lacuna crítica de detecção
O relatório comparou tempos de detecção entre sistemas de IA embarcados e bases de dados públicas de phishing. A diferença chegou a três dias em alguns casos.
A comparação envolveu dois tipos de detecção. No lado do cliente, a IA instalada no dispositivo analisa links em tempo real quando o usuário tenta acessá-los, identificando padrões maliciosos mesmo em domínios completamente novos. No lado do backend, sistemas monitoram a internet em busca de domínios recém-criados e os classificam proativamente antes que qualquer vítima os acesse. Ambas as abordagens identificam ameaças por comportamento e padrões, não por listas de sites conhecidos.
Bases de dados públicas de phishing, por outro lado, funcionam como listas negras compartilhadas pela indústria de segurança. Dependem de processo reativo: alguém precisa cair no golpe e reportar, empresas analisam manualmente, adicionam o domínio à lista, e então distribuem a atualização. Esse ciclo leva tempo.
No lado do cliente, detecções comportamentais diretas no dispositivo identificaram domínios como paytollgbju[.]xin três dias antes de aparecerem em listas de terceiros. Casos com janelas menores ainda registraram vantagens de 6 a 7 horas.
No lado do backend, sistemas proativos de análise de novos domínios detectaram paytollafn[.]top com 2 dias e 19 horas de antecedência. A menor diferença registrada foi de 4 horas e 24 minutos.
Durante essas janelas, usuários dependentes de soluções tradicionais permanecem expostos. Atacantes operam sem oposição, coletando credenciais e dados financeiros de vítimas que interagem com domínios ainda não catalogados como maliciosos.
Por que PDFs como os vetores de campanhas?
PDFs apresentam vantagens técnicas e psicológicas para atacantes. Isso porque, do lado técnico, a estrutura binária e o suporte a múltiplos esquemas de codificação permitem ofuscação de URLs maliciosas de formas que evitam análise tradicional baseada em texto.
Diferentemente de páginas HTML simples, PDFs podem incorporar links dentro de hierarquias de objetos complexas, usar JavaScript para redirecionamentos dinâmicos e empregar compressão que mascara o destino real até que o documento seja completamente renderizado.
No lado psicológico, PDFs são universalmente aceitos em contextos profissionais. Usuários raramente questionam recebê-los. Telas pequenas de dispositivos móveis dificultam a inspeção de URLs antes da interação.
A distribuição por SMS/MMS é mais uma vantagem para os criminosos, uma vez que as mensagens de texto são visualizadas em minutos, e os usuários tendem a confiar mais em comunicações recebidas diretamente no celular do que em emails.
Falta de proteção no canal
A maioria das soluções de segurança ainda não estende análise adequada a arquivos distribuídos por SMS/MMS. Embora a filtragem de mensagens de texto esteja se tornando mais comum, poucos sistemas examinam anexos com profundidade suficiente para identificar PDFs maliciosos.
Isso cria um ponto cego explorado ativamente. Enquanto gateways de email e filtros de navegação web evoluíram para detectar ameaças, o canal de mensagens móveis permanece relativamente desprotegido.
Organizações implementam VPNs, firewalls de aplicação web e sistemas de detecção de intrusão em suas redes corporativas. Mas essas defesas não alcançam dispositivos móveis quando funcionários acessam mensagens pessoais ou usam dados celulares fora da rede corporativa.
Fluxo de ataque documentado
As campanhas seguem padrões de três estágios. No estágio inicial, as vítimas recebem mensagens de texto com PDF anexado. O conteúdo simula comunicações oficiais: avisos de pedágio não pago, faturas de serviços, confirmações de compra.
No segundo estágio, usuários abrem o documento e encontram formatação profissional que imita organizações legítimas. Logos oficiais, tipografia consistente, linguagem formal. O objetivo é construir confiança antes de solicitar interação com links ou números de telefone.
No terceiro estágio, links redirecionam para páginas de coleta de credenciais hospedadas na infraestrutura de domínios rotativos. Ou usuários ligam para números VoIP onde operadores aplicam engenharia social em tempo real para extrair dados pessoais, credenciais de conta e informações de cartão de crédito.
Taxa de precisão e velocidade
A análise classificou 2.145 novos domínios como maliciosos com 98,46% de precisão. A detecção combina duas abordagens: modelos de aprendizado de máquina embarcados que protegem dispositivos em tempo real após primeira detecção, e classificação proativa de domínios recém-criados que identifica infraestrutura antes de atacar dispositivos específicos.
A capacidade de identificar ameaças horas ou dias antes de bases públicas representa diferença operacional significativa. Cada hora de vantagem reduz o número de vítimas potenciais. No caso do PayPal, as 27 horas de antecedência significaram que sistemas baseados em IA bloquearam a ameaça enquanto soluções tradicionais ainda permitiam acesso completo.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
