Pesquisadores identificaram um novo e sofisticado tipo de Scareware para navegadores, denominado de CypherLoc, o novo scareware ja fez 2,8 milhões de vítimas.

Este novo Scareware para navegadores, utiliza técnicas avançadas de evasão com controles agressivos de navegadores e até manipulação psicológica para induzir as vítimas para ligarem em números falsos de suporte técnico, forçando as vítimas a caírem em algum tipo golpe.

Mas o que seria um Scareware??

O scareware é um tipo de ataque cibernético que usa o medo e a engenharia social para enganar usuários exibindo alertas falsos ou alarmistas no dispositivo, afirmando que o dispositivo está infectado com vírus ou está em risco, com o objetivo de coagir a vítima e forçar a baixar softwares maliciosos, acessar links falsos ou pagar por soluções inúteis.

O Ataque

Com a ideia de usar engenharia social e fazer uma pessoa a clicar em um link malicioso, o golpe geralmente começa com um phishing enviado para a vítima, fazendo com que a vítima clique em um link malicioso presente no phishing, redirecionando para uma página falsa. Até aqui, este fluxo seria para um processo de ataque padrão, mas esse novo tipo de scareware, possui uma inteligência onde o payload não sai executando sem antes respeitar algumas condições especificas para ser ativado, como as condições a seguir:

• Quando um fragmento de hash da URL está presente, a página passa por verificações de integridade criptográfica e, caso o fragmento estiver ausente, não é executado.

• Quando a página detectar que está sendo aberta em uma sandbox, o código também não será executado.

Basicamente, o atacante faz a página fazer uma validação, se parecer inofensiva para as ferramentas de segurança e só revela a sua verdadeira página quando ele tem certeza de que é a vítima real acessando o link.

Caso a validação seja bem-sucedida, a página original se apaga e uma nova interface de scareware assumi o controle em tela cheia, desabilitando menus de contexto, escondendo o cursor e cobrindo a tela com sobreposições. Qualquer tentativa de recuperar o controle aciona um “relock”. A página também pode reproduzir sons de alerta automaticamente, exibir o endereço de IP da vítima para parecer personalizada e apresentar formulários de login falsos que nunca serão processados com as credenciais, sendo apenas para prolongar a permanência da vítima.

Seguindo o fluxo do ataque, um número de telefone de suporte falso é exibido em destaque como a única maneira de resolver o problema e quando as vítimas ligam, operadores humanos se passam por suporte da Microsoft e assumem o golpe por meio da ligação.

Para se proteger, conhecer o funcionamento do ataque, manter o navegador, sistema operacional e outros programas do computador sempre atualizados com as correções de segurança do fabricante já seria os primeiros passos, pois muitas destas técnicas e payloads exploram a vulnerabilidades de versões antigas instaladas no dispositivo.

Em caso de travamento da página do navegador ou outra anomalia no computador, não entre em pânico, force o fechamento do programa pelo gerenciador de tarefas e reinicie o dispositivo.

Nunca ligue para números exibidos em alertas de tela, empresas como Microsoft, Google e entre outras, não contatam os usuários por pop-ups no navegador. Esses números geralmente são de golpistas.

Desconfiar sempre de links recebidos por e-mail, mensagens de serviços que não utilizamos ou não foi solicitado, sempre verifique com atenção o remetente ou ligue diretamente para a empresa através do seu canal oficial em caso de duvidas.

Por fim, habilite autenticação em dois fatores nas contas importantes — mesmo que você interaja com um formulário falso, suas credenciais terão uma camada extra de defesa.

Referências:

• Barracuda Research — https://blog.barracuda.com/2026/05/20/threat-spotlight-cypherloc-scareware

• Cyber News — https://cybernews.com/security/millions-hit-scareware-attack-fake-it-helpdesks/