A Kaspersky detectou uma campanha maliciosa direccionada à América Latina, APAC, Europa e África, na qual os atacantes recorrem a sites gerados por IA para distribuir versões do Syncro, uma ferramenta legítima de acesso remoto. Estes sites falsos atraem utilizadores através de motores de busca ou de e-mails de phishing e imitam aplicações populares como carteiras de criptomoedas, antivírus e gestores de passwords, levando-os a descarregar software legítimo que é depois utilizado para fins maliciosos.
A campanha combina técnicas de scareware — por exemplo, alarmando utilizadores com alertas de segurança fabricados — para permitir o controlo remoto dos dispositivos das vítimas, com o objectivo de roubar criptomoedas.
Os atacantes utilizam o criador de sites com IA ‘Lovable’ para desenvolver páginas com aspecto profissional, com domínios muito próximos de pesquisas comuns sobre temas relacionados — por exemplo, Polymarket, uma plataforma multifuncional de mercados de previsão. Estes sites não clonam os originais de forma exacta, mas criam variações convincente, tornando a detecção difícil à primeira vista.
Os sites captam tráfego através de resultados de pesquisa ou e-mails enganosos que prometem migrações de tokens, ou que incentivam os utilizadores a instalar uma aplicação de trading, um antivírus ou actualizações de software.
Em todos os casos, os utilizadores acabam por instalar a ferramenta legítima Syncro — normalmente utilizada por equipas de TI para gestão remota. No cenário descrito, esta vem pré-configurada e concede aos atacantes acesso completo aos dispositivos da vítima, incluindo visualização do ecrã, acesso a ficheiros e execução de comandos, sem gerar alertas dos antivírus tradicionais, uma vez que não é maliciosa por si só.
«Esta campanha evidencia a evolução do panorama de ameaças, onde ferramentas legítimas estão a ser transformadas em armas através de esquemas de engano potenciados por IA. Ao automatizar a criação de sites falsos de alta qualidade, os cibercriminosos conseguem escalar ataques de forma eficiente, explorando a confiança dos utilizadores em marcas familiares e alertas urgentes. É um lembrete duro de que até software assinado, proveniente de fontes aparentemente credíveis, exige verificação cuidadosa», sublinha Vladimir Gursky, analista de malware da Kaspersky.
