Ameaças a PMEs disparam com ferramentas falsas de IA e abuso de plataformas legítimas

26 de junho de 2026

Resumo

O relatório anual de ameaças a PMEs da Kaspersky registrou 33.352 ataques entre janeiro e abril, nos quais malwares ou programas potencialmente indesejados (PUAs) — em sua maioria trojans capazes de baixar payloads adicionais — se passaram por cinco serviços populares de IA. Esse volume representa quase cinco vezes o registrado no ano anterior, superando as ferramentas de escritório falsas, com o Claude e o OpenClaw entre as principais iscas, ao lado de cerca de 415.000 ataques imitando mensageiros e 24.000 imitando softwares de escritório.

A cadeia de roubo de credenciais baseia-se no abuso de plataformas legítimas, como kits de phishing que simulam compartilhamento de documentos no OneDrive, falsas apelações de violação de política no Facebook, iscas em duas etapas hospedadas em páginas do Zoom Docs e listagens de acesso inicial na dark web. Essas listagens anunciam PMEs de forma desproporcional como pontos de entrada fáceis para alcançar parceiros maiores por meio de ataques de relacionamento confiável, que subiram de 12,7% dos vetores iniciais em 2024 para 15,5% em 2025. Defensores devem restringir e revogar prontamente acessos a recursos corporativos, reforçar a higiene de contas e senhas com filtragem de ameaças por e-mail, realizar treinamentos de conscientização com simulação de phishing e instalar softwares apenas de fontes oficiais.

Aprofundamento CEVIU

Aprofundamento

O vetor principal migrou de pacotes de escritório para ferramentas de IA. A Kaspersky registrou 33.352 ataques disfarçados de serviços como Claude e OpenClaw nos primeiros quatro meses de 2026. O volume saltou quase cinco vezes em relação ao período anterior e já supera as iscas clássicas de mensageiros e softwares de produtividade. Criminosos exploram a corrida pela adoção de IA nas pequenas e médias empresas para distribuir trojans que baixam cargas maliciosas adicionais ou capturam credenciais diretamente.

A entrega depende do abuso de confiança em ecossistemas legítimos. Phishers usam modelos do OneDrive, notificações falsas de política do Facebook e convites hospedados no Zoom Docs para contornar filtros tradicionais. A estratégia é clara. Usar infraestrutura de grandes fornecedores para dar aparência de segurança ao link malicioso. Equipes de segurança precisam mapear integrações externas, bloquear instalações fora de repositórios oficiais e forçar a revogação imediata de acessos de terceiros inativos.

Por que isso importa

PMEs viraram a porta de entrada mais barata para ataques à cadeia de suprimentos. A participação de vetores baseados em relacionamentos confiáveis cresceu de 12,7 por cento em 2024 para 15,5 por cento em 2025. A falta de governança e orçamento em empresas menores facilita a venda de acessos iniciais na dark web. Compradores pagam por essas brechas para depois escalar para parceiros corporativos maiores e lançar operações de ransomware ou exfiltração de dados.

A defesa corporativa precisa tratar a superfície de ataque de fornecedores como extensão da própria rede. Revisar permissões de acesso, aplicar filtragem avançada de ameaças por e-mail e rodar simulações de phishing deixou de ser opcional. A higiene de senhas e a verificação rigorosa de links antes do clique são a última linha de contenção quando o filtro falha. Negligenciar o controle de identidade transforma a parceria comercial em vetor de crise.

Perguntas frequentes

Por que ataques com IA falsa crescem tanto em PMEs?

A adoção acelerada de ferramentas de IA cria um apetite por soluções rápidas, o que criminosos exploram com pacotes falsos e sites de pagamento fraudulentos. A falta de canais oficiais claros e a pressa por produtividade reduzem a verificação da fonte antes da instalação ou do cadastro.

Como funcionam os ataques que abusam de plataformas legítimas?

Os criminosos hospedam páginas de phishing ou documentos maliciosos em serviços confiáveis como OneDrive e Zoom Docs. Essa técnica contorna filtros de segurança tradicionais e explora a confiança do usuário na marca do provedor de nuvem para disfarçar a coleta de credenciais.

O que significa o aumento de ataques de relação confiável?

Indica que grupos de ameaça mapeiam cadeias de fornecedores para usar parceiros menores como ponte. Eles compram acessos comprometidos em fóruns clandestinos e escalam para redes corporativas maiores, onde os controles de segurança costumam ser mais rígidos.

Qual a medida mais urgente para blindar uma PME hoje?

Restringir instalações de software a repositórios verificados e auditar permissões de acesso a dados sensíveis. A combinação de autenticação forte, treinamento contínuo contra phishing e filtragem rigorosa de e-mail fecha a maioria das brechas iniciais exploradas nesse ciclo.

Fontes

securelist.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 26 de junho de 2026
Editoria: CEVIU Segurança da Informação