O terceiro trimestre de 2025 confirmou uma tendência que já vinha se consolidando no cenário global de segurança digital: ataques cada vez mais sofisticados, fortemente baseados em engenharia social e com alto nível de evasão técnica. O Threat Insights Report da HP Wolf Security revela como campanhas modernas estão superando controles tradicionais e atingindo diretamente usuários e endpoints corporativos.
Mais do que explorar falhas técnicas, os atacantes estão explorando confiança, rotina e processos legítimos. Emails convincentes, documentos aparentemente inofensivos e o abuso de softwares assinados formam o núcleo das campanhas analisadas.
O email como principal vetor de infecção
Apesar de investimentos contínuos em gateways de email e soluções de filtragem, o email segue como o principal meio de entrega de malware. No período analisado, 67 por cento das ameaças chegaram aos endpoints por meio de mensagens eletrônicas. Um dado ainda mais preocupante é que pelo menos 11 por cento dessas ameaças conseguiram contornar uma ou mais camadas de segurança perimetral.
Os ataques se apoiam em narrativas de urgência, autoridade institucional e solicitações rotineiras de negócio. Comunicações que imitam órgãos governamentais, fornecedores estratégicos e serviços amplamente utilizados continuam apresentando altas taxas de sucesso.
Arquivos compactados e formatos alternativos como porta de entrada
Arquivos compactados representaram 45 por cento das ameaças observadas no trimestre. ZIP, RAR, 7Z, TAR e GZ seguem sendo amplamente utilizados por permitirem ocultar cargas maliciosas e exigir ações manuais do usuário, como extração e execução.
O relatório também destaca o uso crescente de formatos menos tradicionais. Arquivos SVG, por exemplo, são renderizados como páginas web em navegadores e apresentam taxas extremamente baixas de detecção por antivírus. O mesmo ocorre com formatos como XZ, que dependem de ferramentas adicionais para abertura, aumentando a chance de execução inadvertida.
Engenharia social visualmente sofisticada
Uma mudança clara no padrão das campanhas é o investimento em lures altamente realistas. Interfaces que simulam portais governamentais, páginas de atualização de software e sistemas corporativos legítimos são combinadas com animações, barras de progresso falsas e fluxos interativos.
Campanhas analisadas incluíram comunicações que se passavam por autoridades públicas, levando vítimas a baixar arquivos protegidos por senha a partir de portais falsos, além de PDFs que imitavam atualizações oficiais de software amplamente utilizados no mercado.
Esse nível de realismo reduz drasticamente a percepção de risco por parte do usuário e aumenta a taxa de infecção, mesmo em ambientes corporativos.
Abuso de executáveis legítimos e assinados
Os atacantes têm explorado de forma recorrente binários legítimos e assinados digitalmente para contornar mecanismos de proteção do Windows. Técnicas como DLL sideloading permitem que executáveis confiáveis carreguem bibliotecas maliciosas sem gerar alertas visíveis.
Ao utilizar softwares assinados por grandes fornecedores, os criminosos conseguem driblar controles baseados em reputação, além de contornar recursos como o Windows SmartScreen. Essa abordagem evidencia a limitação de modelos de segurança baseados exclusivamente em listas de bloqueio e detecção por assinatura.
Cadeias de infecção em múltiplos estágios
As campanhas descritas no relatório raramente entregam o malware final de forma direta. Em vez disso, utilizam loaders intermediários, com verificações de ambiente, técnicas anti análise e execução em memória.
Famílias como PureRAT, MassLogger, Phantom Stealer e Agent Tesla operam a partir de cadeias complexas que incluem injeção de processos, carregamento de código .NET em memória e ocultação de payloads em arquivos aparentemente benignos, como imagens.
Em alguns casos, plataformas legítimas como o Discord foram utilizadas como infraestrutura de distribuição, reduzindo custos operacionais e dificultando ações de bloqueio.
Superando proteções modernas do Windows
Um dos pontos mais críticos observados foi a capacidade de alguns malwares de contornar proteções avançadas do Windows 11. Técnicas capazes de burlar o recurso de Memory Integrity permitiram injeção de código mesmo em sistemas atualizados.
Esse cenário demonstra que atacantes estão investindo fortemente em pesquisa e desenvolvimento, acompanhando de perto a evolução dos mecanismos defensivos para criar métodos de bypass cada vez mais eficazes.
Macros ainda exploradas em ambientes mal configurados
Embora o uso de macros maliciosas tenha diminuído ao longo dos anos, o relatório confirma que esse vetor permanece ativo em ambientes com políticas de segurança falhas. Documentos do Microsoft Word continuam sendo usados para induzir usuários a habilitar edição e execução de macros.
Esses ataques não dependem de vulnerabilidades técnicas complexas, mas sim de falhas de governança, conscientização e configuração de segurança.
Phishing simples continua funcionando
Nem todas as campanhas analisadas envolvem malware avançado. Ataques de phishing baseados em arquivos HTML anexados a emails continuam altamente eficazes. Ao serem abertos localmente no navegador, esses arquivos escapam da inspeção de proxies web e coletam credenciais de acesso.
A simplicidade, quando aliada a um bom nível de imitação visual, ainda é suficiente para comprometer usuários e contas corporativas.
O que os dados indicam para empresas
Os achados do terceiro trimestre de 2025 reforçam algumas tendências claras:
• Crescimento do uso de PDFs e SVGs como vetores de ataque• Aumento do investimento em engenharia social visualmente sofisticada• Uso recorrente de software legítimo como arma• Redução da eficácia de controles puramente baseados em detecção
Para as organizações, isso exige uma mudança de mentalidade. A segurança precisa assumir que falhas vão ocorrer e focar em isolamento, contenção e redução de impacto.
O Threat Insights Report da HP Wolf Security mostra que o cenário de ameaças em 2025 é marcado pela convergência entre engenharia social avançada e técnicas de evasão altamente eficazes. Atacantes exploram tanto limitações tecnológicas quanto o comportamento humano.
Em um ambiente onde até softwares legítimos podem ser utilizados como vetores de ataque, a resiliência operacional, o isolamento de atividades de risco e a maturidade em governança de segurança deixam de ser diferenciais e passam a ser requisitos básicos para a sobrevivência digital.
