Threats
Uma nova campanha de phishing está a utilizar anexos em PDF para contornar filtros de segurança e roubar credenciais do Dropbox, recorrendo a serviços cloud legítimos para ocultar ligações maliciosas, alerta a Forcepoint
03/02/2026
|
Uma nova campanha de phishing identificada pela Forcepoint está a recorrer a anexos em PDF para contornar filtros de segurança de email e levar vítimas a páginas falsas de login do Dropbox, o que resulta no roubo de credenciais e de dados sensíveis dos utilizadores. De acordo com a empresa de cibersegurança, o ataque começa com emails com temas de aprovisionamento ou compras que não incluem qualquer link no corpo da mensagem, mas apenas um ficheiro PDF em anexo, uma técnica que aumenta a probabilidade de escapar aos sistemas tradicionais de deteção baseados em URL. O PDF inicial utiliza um objeto AcroForm para incorporar um link oculto, que redireciona a vítima para um endereço alojado no serviço Vercel Blob, uma infraestrutura cloud legítima. Este endereço conduz a um segundo PDF, que contém um link com a indicação “DOWNLOAD FILE HERE”. Ao clicar, o utilizador é encaminhado para o site final de phishing, alojado no domínio tovz[.]life, que imita de forma convincente a página de autenticação do Dropbox. O pretexto é o acesso a um suposto documento de compras ou aprovisionamento. A análise da Forcepoint revela que a página fraudulenta inclui código JavaScript concebido para exfiltrar as credenciais introduzidas, endereço de email e palavra-passe, bem como outros dados da vítima, como endereço IP, localização aproximada e tipo de dispositivo. Esta informação é enviada automaticamente para um bot do Telegram, utilizando um token e um identificador de chat embutidos no código. Para recolher dados adicionais, os atacantes recorrem ainda a API externas como api64[.]ipify[.]org e ipapi[.]co. Após a submissão das credenciais, o site apresenta uma mensagem de “email ou palavra-passe inválidos” com um atraso de alguns segundos, uma manobra destinada a não levantar suspeitas imediatas. Segundo a Forcepoint, a combinação de links embebidos em PDF e o uso de serviços cloud legítimos como etapa intermédia torna este tipo de ataque particularmente eficaz a contornar mecanismos de segurança de email. A empresa alerta para a necessidade de maior vigilância por parte dos utilizadores relativamente a links contidos em anexos PDF e recomenda o bloqueio de indicadores de compromisso específicos, como pedidos de saída para o domínio utilizado na campanha. O alerta surge num contexto em que os ficheiros PDF continuam a ser um dos vetores preferidos para ciberataques. Dados do Threat Intelligence Index 2025 da IBM X-Force mostram que, em 2024, este foi o formato mais comum em emails maliciosos, concentrando mais de 45% dos anexos identificados. |
Receba todas as novidades na sua caixa de correio!
NEWS
Base europeia de vulnerabilidades entra em operação
OPINION
O que muda realmente com a NIS2 para as equipas de TI?
OPINION
O que os primeiros ataques a agentes de IA nos dizem sobre 2026
ANALYSIS
Ciberataques agravam níveis de stress e esgotamento nas PME portuguesas
S.LABS
A identificação de risco como base da Cibersegurança
THREATS
CISA alerta para vulnerabilidades Linux exploradas ativamente
THREATS
OpenSSL corrige vulnerabilidade crítica que permite execução remota de código
THREATS
Extensões para Chrome e Edge usadas para roubar sessões do ChatGPT
THREATS
Falhas de segurança em controlo de acessos físicos expõem grandes organizações europeias
THREATS
Microsoft corrige falha crítica no Office explorada ativamente
