Um kit de scareware recém-identificado chamado CypherLoc está bloqueando os navegadores das vítimas e enganando-as para que liguem para linhas de suporte falso da Microsoft. O kit está ligado a aproximadamente 2,8 milhões de ataques desde o início de 2026, tornando-se uma das ameaças baseadas em navegador mais agressivas observadas este ano.
Como funciona o ataque
Diferente do malware tradicional que requer download e instalação, o CypherLoc roda inteiramente dentro do navegador da web. Ele começa com um e-mail de phishing que induz a vítima a uma página web maliciosa. Uma vez que a página abre, ela parece inofensiva inicialmente, mas se transforma silenciosamente em um ambiente de scareware em tela cheia.
Evasão de detecção
O que torna o CypherLoc distinto é como ele se esconde dos scanners de segurança. O payload é criptografado e enterrado no código da página da web, ativando-se apenas se condições muito específicas forem atendidas. Se essas condições estiverem ausentes, a página redireciona silenciosamente para uma tela em branco, escondendo a ameaça de ferramentas de análise automatizadas.
Técnicas de manipulação
Uma vez que o CypherLoc é descriptografado e ativado, ele assume o controle total do navegador. Ele muda para o modo de tela cheia, desativa menus de clique direito, esconde o cursor e cobre a tela inteira com sobreposições. O kit adiciona pressão sonora no caos visual, com sons de alerta tocando automaticamente sempre que o usuário clica.
Implicações para usuários
Para tornar as coisas mais pessoais, o CypherLoc recupera e exibe o endereço IP público real da vítima na página de aterrissagem, uma tática psicológica projetada para fazer o aviso parecer direcionado e urgente. Formulários de login falsos também aparecem, pedindo que as vítimas insiram nomes de usuário e senhas.
Recomendações de defesa
Equipes de segurança devem manter proteções robustas anti-phishing, de navegador e de endpoint capazes de detectar comportamento suspeito de scripts. A educação do usuário é igualmente importante, já que alertas de segurança legítimos nunca bloqueiam navegadores, exibem números de telefone ou exigem ação imediata por meio de pop-ups.