Dark web – Uma nova plataforma voltada ao cibercrime, chamada ATHR, está sendo comercializada na dark web com a proposta de automatizar ataques de phishing por voz, conhecidos como vishing. A ferramenta combina operadores humanos e agentes de inteligência artificial para conduzir etapas de engenharia social e obter credenciais de acesso de vítimas.
Anunciado em fóruns clandestinos por US$ 4 mil, além de uma taxa de 10% sobre os lucros obtidos, o serviço promete capturar dados de login de diferentes plataformas, como Google, Microsoft e Coinbase. Segundo os criminosos, o sistema é capaz de executar todo o ciclo de ataques orientados por telefone (TOAD), desde o envio da isca inicial por e-mail até a interação por voz para extração de informações sensíveis.
LEIA: O que os casos de MC Ryan SP e Poze do Rodo mostram sobre dados salvos no iCloud
A automação cobre todas as fases da ofensiva. O ATHR envia mensagens que simulam comunicações legítimas e, na sequência, conduz a vítima a um contato telefônico, onde ocorre a etapa mais crítica do golpe: a engenharia social.
Ataques personalizados e imitação de marcas
Pesquisadores da empresa de segurança Abnormal identificaram que a plataforma funciona como um gerador completo de campanhas de phishing e vishing. Entre os recursos disponíveis estão modelos de e-mails adaptados a marcas conhecidas, personalização por alvo e técnicas de spoofing para mascarar o remetente e aumentar a credibilidade da mensagem.
Durante a análise, foi observado que o ATHR se passava por oito empresas: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo e AOL.
O ataque começa com o envio de um e-mail cuidadosamente elaborado, projetado para passar por verificações técnicas e parecer legítimo. A mensagem induz a vítima a entrar em contato com um número telefônico fornecido, dando início à segunda fase da fraude.
Agentes de IA simulam atendimento profissional
Ao ligar para o número indicado, a vítima é direcionada, por meio das tecnologias Asterisk e WebRTC, a agentes de voz baseados em IA. Esses agentes seguem roteiros detalhados que simulam situações de segurança, como tentativas de acesso indevido à conta.
No caso de contas do Google, por exemplo, os agentes reproduzem processos reais de recuperação e verificação, utilizando prompts predefinidos para ajustar tom, linguagem e comportamento. A intenção é imitar equipes de suporte técnico e conquistar a confiança da vítima.
Durante a interação, o objetivo é levar o usuário a informar o código de verificação de seis dígitos, o que permite ao invasor assumir o controle da conta.
Painel centraliza operações e dados
Embora o sistema permita a transferência da chamada para operadores humanos, o uso de agentes de IA é apontado como o principal diferencial. O ATHR oferece ainda um painel de controle que centraliza toda a operação, permitindo o gerenciamento de campanhas, atendimento de chamadas e acompanhamento dos resultados em tempo real.
Por meio dessa interface, os criminosos conseguem monitorar cada alvo, distribuir e-mails, registrar interações e acessar rapidamente os dados coletados durante os ataques.
Esse modelo segue a lógica do chamado malware-as-a-service, no qual ferramentas prontas tornam o cibercrime mais acessível. Com funcionamento semelhante ao de serviços de streaming, a plataforma elimina a necessidade de conhecimento técnico avançado: basta operar os recursos disponíveis para executar golpes.
Desafios na detecção e formas de proteção
A sofisticação dos ataques dificulta a identificação de fraudes. Os e-mails utilizados como isca não apresentam sinais claros de irregularidade, são personalizados e conseguem passar por mecanismos de autenticação, o que os faz parecer comunicações legítimas.
Ainda assim, especialistas apontam que a detecção pode ocorrer por meio da análise de padrões de comportamento nas comunicações. Um dos indícios é o envio de mensagens semelhantes contendo números de telefone para diferentes usuários em um curto intervalo de tempo.
A recomendação é que organizações e usuários redobrem a atenção a solicitações inesperadas envolvendo contatos telefônicos e códigos de verificação, especialmente quando associadas a alertas de segurança.
(Com informações de TI Inside)
(Foto: Reprodução/Freepik/DC Studio)
