CypherLoc usa engenharia social para simular ciberataques

A Barracuda identificou uma nova plataforma avançada de scareware chamada CypherLoc, concebida para bloquear browsers, manipular utilizadores psicologicamente e encaminhar vítimas para linhas falsas de suporte técnico. Segundo a equipa Barracuda Research, a campanha já foi observada em cerca de 2,8 milhões de ciberataques desde o início de 2026.

O CypherLoc representa uma nova geração de scareware baseada no browser, afastando-se dos modelos tradicionais de malware para apostar em manipulação comportamental, engenharia social e evasão avançada.

O ataque começa normalmente através de emails de phishing contendo ligações ou anexos maliciosos. Quando a vítima acede à página, o site aparenta inicialmente ser inofensivo, mas ativa gradualmente um ambiente totalmente controlado pelo atacante. Segundo a Barracuda, o payload malicioso encontra-se encriptado dentro da própria página web e apenas é executado quando determinadas condições são cumpridas.

Entre as técnicas utilizadas estão loaders encriptados, execução condicionada por hashes e substituição dinâmica da página durante o funcionamento. Se o sistema detetar ferramentas de análise, sandboxes ou ambientes de teste, o código malicioso recusa executar-se, dificultando a deteção pelas soluções de segurança.

Após ativação, o CypherLoc transforma a página num falso alerta de segurança em ecrã completo, bloqueando o browser e exibindo mensagens alarmistas que incentivam o utilizador a contactar imediatamente um suposto suporte técnico.

A Barracuda explica que o sistema utiliza múltiplas técnicas para reforçar a sensação de pânico e perda de controlo. Entre elas estão o bloqueio agressivo do browser, ocultação do cursor, desativação de menus de contexto, reprodução automática de sons de alerta e reinicialização constante da página caso o utilizador tente recuperar controlo. Segundo os investigadores, o comportamento do browser pode tornar-se lento, instável ou aparentemente comprometido, reforçando a ilusão de infeção.

O CypherLoc também recolhe e apresenta o endereço IP público da vítima diretamente no ecrã. Embora não exista exploração técnica associada a esta funcionalidade, a Barracuda considera que o objetivo é aumentar a sensação de personalização e urgência do ataque.

Outro elemento utilizado são formulários falsos de login que simulam processos de autenticação. Segundo os investigadores, estes formulários não processam efetivamente credenciais, servindo apenas para tornar o cenário mais credível e manter a vítima mais tempo na página.

O principal objetivo da campanha é convencer os utilizadores a ligar para números fraudulentos apresentados no ecrã. Quando isso acontece, operadores humanos fazem-se passar por técnicos de suporte da Microsoft e continuam o esquema através de contacto telefónico direto.

A Barracuda alerta ainda que o CypherLoc foi desenvolvido especificamente para dificultar investigação e análise técnica. A abertura de ferramentas de desenvolvimento do browser desencadeia atividades intensivas que provocam instabilidade, recarregamentos constantes e falhas aparentes do sistema.

Segundo a empresa, esta campanha demonstra a evolução do scareware moderno para modelos centrados em manipulação psicológica e exploração do próprio browser como vetor de ataque.

A Barracuda recomenda às organizações reforçarem mecanismos de proteção contra phishing, monitorização de comportamento suspeito em browsers e formação de utilizadores. A empresa sublinha ainda que alertas legítimos de segurança nunca bloqueiam browsers nem exigem chamadas telefónicas imediatas para resolução de problemas.