O mais recente Threat Report da ESET que resume as tendências do panorama de ameaças de Junho a Novembro de 2025 mostra que o malware alimentado por IA passou da teoria à realidade. A empresa descobriu o PromptLock – o primeiro ransomware conhecido alimentado por IA, capaz de gerar scripts maliciosos em tempo real.
«Os burlões por trás dos esquemas de investimento Nomani também aperfeiçoaram as suas técnicas – observámos deepfakes de maior qualidade, sinais de sites de phishing gerados por IA e campanhas publicitárias cada vez mais curtas para evitar a detecção», afirma Jiří Kropáč, diretor do ESET Threat Prevention Labs.
Na telemetria da ESET, as detecções de esquemas Nomani cresceram 62% em relação ao ano anterior, com a tendência a diminuir ligeiramente no segundo semestre de 2025. Os esquemas fraudulentos da Nomani têm-se expandido recentemente da Meta para outras plataformas, incluindo o YouTube.
No cenário do ransomware, o número de vítimas ultrapassou os totais de 2024 bem antes do final do ano, com as projeções da ESET Research apontando para um aumento de 40% em relação ao ano anterior. Akira e Qilin agora dominam o mercado de ransomware como serviço, enquanto o recém-chegado Warlock, de baixo perfil, introduziu técnicas inovadoras de evasão.
Os EDR killers continuaram a proliferar, destacando que as ferramentas de detecção e resposta de endpoints continuam a ser um obstáculo significativo para os operadores de ransomware. Na plataforma móvel, as ameaças NFC continuaram a crescer em escala e sofisticação, com um aumento de 87% na telemetria da ESET e várias atualizações e campanhas notáveis observadas no segundo semestre de 2025.
O NGate – pioneiro entre as ameaças NFC, descoberto pela primeira vez pela ESET – recebeu uma atualização na forma de roubo de contactos, provavelmente preparando o terreno para ataques futuros. O RatOn, um malware totalmente novo no cenário de fraudes NFC, trouxe uma rara fusão de recursos de trojan de acesso remoto (RAT) e ataques de retransmissão NFC, mostrando a determinação dos cibercriminosos em buscar novas formas de ataque. O RatOn foi distribuído por meio de páginas falsas do Google Play e anúncios que imitavam uma versão adulta do TikTok e um serviço de identificação bancária digital. s
Além disso, após a sua interrupção global em Maio, o infostealer Lumma Stealer conseguiu ressurgir brevemente – duas vezes –, mas os seus dias de glória provavelmente chegaram ao fim. As detecções caíram 86% no segundo semestre de 2025 em comparação com o primeiro semestre do ano, e um vetor de distribuição significativo do Lumma Stealer – o trojan HTML/FakeCaptcha, usado em ataques ClickFix – quase desapareceu da telemetria da ESET.
Entretanto, o CloudEyE, também conhecido como GuLoader, ganhou destaque, disparando quase trinta vezes, de acordo com a telemetria da ESET. Distribuído através de campanhas de e-mail maliciosas, este downloader e encriptador de malware como serviço é usado para implantar outros malwares, incluindo ransomware, bem como gigantescos infostealers, como Rescoms, Formbook e Agent Tesla.
