Uma nova variante dos tradicionais golpes de phishing tem preocupado especialistas em cibersegurança. Trata-se do vishing, método que usa mensagens de voz para enganar vítimas e obter dados sensíveis, e vem registrando crescimento em escala mundial.O funcionamento segue a lógica já conhecida dos criminosos: emails falsos, SMS fraudulentos e, agora, mensagens de voz forjadas para parecerem legítimas. O golpe ganhou notoriedade após o FortiGuard Labs, braço de pesquisa da Fortinet, identificar o chamado UpCrypter, que tem ampliado o alcance desse tipo de ataque.Além de atingir usuários comuns, o golpe também ameaça empresas, expondo informações estratégicas e prejudicando seus negócios. Entenda como ele funciona, logo a seguir.O que é vishing e como funciona?O vishing é a junção das palavras voice (voz) e phishing. Esse é um tipo de golpe que varia do tradicional phishing, que usa algum elemento como isca para atrair e fisgar uma vítima. É como aquele email suspeito que você recebe, afirmando haver uma larga quantia em dinheiro te esperando.Vishing é apenas uma variante do phishing, e ambos os métodos consistem em fisgar a vítima (Imagem: GettyImages)Por outro lado, o vishing é uma variante que usa sistemas de som. Pode ser uma ligação automatizada ou feita por golpistas, pedindo informações sigilosas enquanto se passam por um banco ou organização relacionada à sua vida. Um método usado recorrentemente são falsas notificações de mensagens por voz, como no caso do UpCrypter.Um recente relatório de ameaças da CrowdStrike indica que golpes de phishing saltaram 442% entre o primeiro e o segundo semestre de 2024. No primeiro semestre de 2025, o número de ataques já confirmados ultrapassou todos os incidentes reportados durante o ano passado.Como é o golpe por voz do UpCrypter?Assim como diversas fraudes recentes, os cibercriminosos enviam alguma isca para as vítimas. Neste caso, tudo começa com um email de “ligação perdida” ou uma “confirmação de pagamento”. O material, por si só, já é suspeito, mas engana pessoas desavisadas e com menor noção de golpes.Exemplo de golpe de mensagem de voz no email (Imagem: Fortinet)O usuário então clica no link e é direcionado para uma página aparentemente segura. Ela mostra o email corporativo da vítima, aponta proteção SSL no site e tem até domínio da Amazon AWS, famosa provedora de serviços para grandes empresas. Tudo isso é acompanhado por um grande botão azul de download, na espreita para ser ativado.Confira: Golpe usa Office 365 para roubar credenciais de pessoasLogo depois de ser ativado, o site começa a baixar um arquivo compactado que possui um comando em JavaScript. Em segundo plano, o arquivo verifica a conectividade com a internet, analisa processos em execução, e começa a contatar um servidor externo para transferir o malware primário.Site de credencial falso usado pelos cibercriminosos (Image: Fortinet)Esse primeiro malware é o UpCrypter, que nada mais é do que um loader (carregador). Basicamente esses carregadores são como um tipo de intermediário que, uma vez dentro do sistema, abre as portas para carregar um segundo agente mal-intencionado – neste caso, um código ou imagem.Quando na forma de imagem, os cibercriminosos usam uma técnica chamada esteganografia. Esse método esconde um código malicioso em um arquivo de imagem aparentemente inofensivo, como imagens JPEG que você baixa da internet.Servidor brasileiro?Enquanto dissecava o conteúdo elaborado pela Fortinet, algo diferente me chamou a atenção. Após o download do arquivo compactado, a análise do sistema e a adição do UpCrypter, há um possível componente de origem brasileira.Como o relatório da empresa aponta, quando o UpCrypter carrega o código malicioso para dentro da máquina, o malware se conecta com o seguinte servidor: "hxxps://andrefelipedonascime1753562407700.0461178[.]meusitehostgator[.]com.br/sPVbqMbKYr_06/03.txt.”O nome Andre Felipe do Nascimento, comumente encontrado no Brasil, pode indicar algum nível de participação brasileira no golpe. Embora não seja uma prova substancial, é um detalhe interessante no caso.Cronograma de ataque do UpCrypter (Imagem: Fortinet)Apesar da válida teoria, muitos cibercriminosos utilizam nomes falsos, diversos deles encontrados em bancos de dados vazados. Além disso, um nome tipicamente brasileiro não significaria, necessariamente, que o potencial infrator estaria no Brasil – já que criminosos deste calibre costumam hospedar serviços em qualquer país.O perigo do UpCrypterApós toda a revisão dos pesquisadores da Fortinet, todos os caminhos levam a indicar que o UpCrypter é o grande vilão desse golpe. A parte interessante deste software é a Fortinet o descreve uma “estrutura de carregador central para preparar e implantar várias ferramentas de acesso remoto”, como o PureHVNC, DCRat e o Babylon RAT.Leia mais: Falso ChatGPT espalhava trojan capaz de atacar brechas do Windows, alerta MicrosoftFerramentas de acesso remoto maliciosas, quando dentro da máquina, conseguem fazer o computador funcionar de maneira virtual por meio de um agente. É literalmente como se o hacker estivesse usando o PC da vítima por meio do seu próprio computador, que roda em um desses RATs.O inusitado é que esse UpCrypter parece ter sido desenvolvido por um brasileiro, chamado João Pedro, dono do canal no YouTube “Pjoao1578”. Na rede social, ele explica como utilizar o executável, e na descrição de seu perfil aponta que todo o conteúdo é educacional, e que ele não se responsabiliza pelo uso, danos ao PC, ou por má utilização dos arquivos.Canal do YouTube de “Pjoao1578” ensina diversos métodos de acesso remoto (Imagem: reprodução/internet)Essencialmente, o UpCrypter não parece ser um vírus, mas sim um software que realiza a criptografia de determinados arquivos. Ao criptografá-los, o aplicativo esconde o código desses documentos e os torna “invisíveis” para antivírus, permitindo sua entrada em diversas máquinas — como é o caso desses malwares.Para mais informações sobre segurança e ataques na internet, fique de olho no site do TecMundo.