Desde novas técnicas de engenharia social até ameaças sofisticadas voltadas para dispositivos mobile e grandes problemas causados por infostealers, o cenário de ameaças na primeira metade de 2025 foi tudo, menos monótono.

Um dos desenvolvimentos mais surpreendentes desse período foi o surgimento do ClickFix, um novo vetor de ataque que teve um aumento de mais de 500% na telemetria da ESET em comparação com o segundo semestre de 2024. Atualmente, o ClickFix é o segundo vetor de ataque mais comum, atrás apenas do phishing. Ele manipula os usuários para que executem comandos maliciosos sob o falso pretexto de corrigir um erro. Os payloads utilizados nos ataques ClickFix variam amplamente, de infostealers a ransomware, passando até por malware vinculado a ações de espionagem estatal, o que torna essa ameaça versátil e poderosa em sistemas Windows, Linux e macOS.

O cenário dos infostealers também passou por mudanças significativas. Enquanto o Agent Tesla se tornava obsoleto, o SnakeStealer (também conhecido como Snake Keylogger) assumiu a dianteira, tornando-se o mais detectado em nossa telemetria. A ESET contribuiu para importantes operações de interrupção direcionadas ao Lumma Stealer e ao Danabot, duas ameaças predominantes do modelo Malware as a Service (MaaS).

Por outro lado, no universo Android, as detecções de adware dispararam 160%, impulsionadas em grande parte por uma nova e sofisticada ameaça apelidada de Kaleidoscope. Esse malware utiliza uma estratégia enganosa conhecida como evil twin — ou "gêmeo malvado", em português — para distribuir aplicativos maliciosos que bombardeiam os usuários com anúncios intrusivos, comprometendo o desempenho do dispositivo.

Ao mesmo tempo, as fraudes com NFC aumentaram mais de trinta e cinco vezes, impulsionadas por campanhas de phishing e técnicas engenhosas de retransmissão. Embora os números globais ainda sejam modestos, esse salto evidencia a rápida evolução das táticas dos cibercriminosos e seu interesse contínuo em explorar a tecnologia NFC.

Cada nova versão das ameaças envolvendo NFC, desde NGate até GhostTap, e mais recentemente SuperCard, mostra como os atacantes conseguem se adaptar às novas medidas de segurança.

O cenário do ransomware mergulhou (ainda mais) no caos, com disputas entre cibercriminosos rivais afetando diversos grupos, incluindo o principal serviço de Ransomware como Serviço (RaaS): o RansomHub. Os dados anuais de 2024 mostram que, embora os ataques de ransomware e o número de grupos ativos tenham aumentado, os pagamentos de resgates registraram uma queda significativa.

Essa discrepância pode ser resultado das operações de desmantelamento e dos chamados exit scams (golpes de saída) que remodelaram o cenário do ransomware em 2024, mas também reflete, em parte, a crescente desconfiança na capacidade dos grupos cibercriminosos de cumprirem sua parte do acordo.