Relatório Trend Micro: aumento de 27% nas ameaças por e-mail reforça sofisticação dos ciberataques em 2024

O correio eletrônico permanece no centro da estratégia de grupos mal-intencionados, apesar da popularização de plataformas de colaboração e mensageria. Essa realidade é detalhada no estudo Evolving Threats in Email-Based Attacks, produzido pela empresa de cibersegurança Trend Micro, que mapeia a evolução do cenário entre 2023 e 2024.

Dimensão do crescimento das ameaças

O levantamento indica um salto de 27 % nas detecções classificadas como de alto risco. O volume passou de 45 milhões de ocorrências em 2023 para quase 57 milhões em 2024, sinalizando que o vetor segue atraente para cibercriminosos. Esse acréscimo quantitativo convive com uma elevação qualitativa: as técnicas adotadas ficaram mais complexas, exigindo dos defensores camadas adicionais de proteção.

Estratégias de ataque que priorizam o engano do usuário

Para burlar filtros tradicionais, invasores adotam métodos que exploram o comportamento humano. Entre as práticas em destaque está o phishing por QR code, também chamado de quishing. Nesse formato, os atacantes incorporam códigos QR a e-mails ou anexos, normalmente apresentados como notificações legítimas — por exemplo, pedidos de autenticação multifator ou alertas de compartilhamento de documentos. A leitura do código encaminha a vítima para páginas maliciosas e, ao mesmo tempo, contorna barreiras baseadas em inspeção de URL, já que o link só é revelado após o escaneamento.

Outra frente mencionada pelo relatório é o uso de ataques automatizados alimentados por inteligência artificial. Ao gerar grandes volumes de mensagens com variações mínimas de texto, essas rotinas conseguem escapar de classificadores que dependem de padrões estáticos de detecção. O resultado é um fluxo contínuo de e-mails aparentemente legítimos, mas concebidos para obter credenciais ou disseminar softwares nocivos.

Panorama do malware: velho conhecido ainda persiste

A Trend Micro observou uma expansão significativa nas infecções por códigos maliciosos já documentados. As detecções de malware conhecido avançaram 47 %, evidenciando que variantes antigas continuam eficazes quando combinadas com novas campanhas de engenharia social. Em movimento oposto, as ocorrências associadas a malware desconhecido recuaram 39 %. O dado sugere melhorias nos mecanismos de reconhecimento de ameaças inéditas, embora ainda exista um volume expressivo de amostras que empregam métodos tradicionais para se instalar em estações de trabalho e servidores.

Links maliciosos ganham capacidade de evasão

Dentro da categoria de phishing, o relatório detectou uma alta de 20 % no número total de URLs maliciosas identificadas. Destacam-se as detecções realizadas via sandboxing — técnica que executa o conteúdo suspeito em um ambiente isolado para observar seu comportamento. Nessa modalidade, o crescimento foi de 211 %, indicando que os atacantes investem em artefatos preparados para reconhecer e atrasar a execução de ações nocivas até perceberem que não estão mais em um contêiner seguro. Esse atraso dificulta a análise estática e exige plataformas de segurança capazes de executar observação prolongada.

Business Email Compromise eleva o valor financeiro dos golpes

O estudo chama atenção para a intensificação do Business Email Compromise (BEC), fraude em que criminosos se passam por pessoas ou organizações confiáveis para instruir transferências a contas controladas pelo grupo. No último trimestre de 2024, o valor médio das operações desviadas chegou a US$ 128.980,00, quase o dobro dos US$ 67.145,00 observados no trimestre anterior. Curiosamente, isso ocorreu simultaneamente a uma redução de 21 % no número total de ataques, demonstrando preferência por investidas menos frequentes, porém direcionadas a alvos que possam gerar perdas mais elevadas.

Campanhas específicas ilustram a criatividade dos invasores

Além das tendências globais, o relatório descreve cenários pontuais que refletem a adaptação do crime cibernético a diferentes realidades regionais. Entre eles, merece destaque a circulação de malwares Astaroth no Brasil, distribuídos por meio de arquivos ZIP apresentados como comprovantes fiscais. Também foi observado o emprego da ferramenta EDRKillShifter, projetada para desabilitar sistemas de detecção e resposta (EDR), abrindo caminho para a persistência do invasor na infraestrutura comprometida.

Relevância do contexto brasileiro

O cenário local apresenta fatores que potencializam o volume de ataques. Relatórios anteriores listam o país como o sétimo mais atingido por ransomware no mundo. Aspectos como a presença de uma comunidade criminosa numerosa, casos de espionagem patrocinada por estados estrangeiros, adoção avançada de criptomoedas — meio preferido para pagamento de resgates — e uma cadeia de suprimentos extensa contribuem para a atratividade do mercado brasileiro entre os cibercriminosos.

Implicações para as organizações

De acordo com análise interna da Trend Micro, a complexidade atual demonstra que filtros de spam convencionais já não são suficientes. As campanhas se expandem para além da caixa de entrada, alcançando sistemas de chat corporativo, plataformas de produtividade na nuvem e qualquer ambiente em que seja possível anexar arquivos ou inserir links. Essa diversificação exige políticas de segurança em múltiplos níveis, capazes de inspecionar documentos, validar URLs dinâmicas e bloquear a comunicação de softwares não autorizados.

A predominância de quishing evidencia a necessidade de educação continuada dos usuários. Como a arma principal é a curiosidade ou a urgência induzida por mensagens que imitam processos de autenticação, a proteção passa por orientar colaboradores sobre verificação de procedência antes de escanear códigos QR. Igualmente importante é a adoção de autenticação multifator fora das solicitações encaminhadas por e-mail, reduzindo a chance de que um código capturado resulte em acesso não autorizado.

Evolução das técnicas de defesa

O avanço de 211 % nas detecções por sandboxing sugere que abordagens baseadas em execução controlada estão ganhando protagonismo. Ao mesmo tempo, o uso de inteligência artificial pelos atacantes indica que ferramentas de defesa também precisarão incorporar algoritmos de aprendizado para identificar padrões sutis em grandes volumes de dados. Dentro desse contexto, o monitoramento contínuo, aliado a testes de penetração periódicos, torna-se componente essencial de estratégias de mitigação.

Outra recomendação implícita no relatório é a implementação de controles que limitem a movimentação lateral após uma violação inicial. Ferramentas como o EDRKillShifter, voltadas a desativar soluções de segurança, reforçam a importância de arquiteturas de confiança zero, nas quais cada acesso é verificado independentemente de sua origem na rede interna.

Perspectivas a partir dos números de 2024

A soma de 57 milhões de ameaças de alto risco detectadas em doze meses demonstra que o fluxo de e-mails maliciosos continua a crescer, mesmo diante de investimentos em filtragem automatizada. A concentração de recursos em golpes de BEC de valor mais elevado ilustra uma mudança de foco: menos campanhas disseminadas em massa e maior especialização em alvos corporativos capazes de autorizar transferências substanciais. Esse movimento reforça a tese de que a sofisticação do ataque acompanha o potencial de lucro.

Em paralelo, a manutenção de variantes de malware conhecido destaca que métodos antigos permanecem rentáveis quando combinados a novas táticas de entrega. Assim, bloquear somente ameaças inéditas não é suficiente; é preciso manter assinaturas atualizadas e políticas de correção de vulnerabilidades que impeçam a exploração de falhas já catalogadas.

Os dados reunidos pela Trend Micro confirmam, portanto, que o e-mail continua sendo o principal elo da cadeia de ataque digital. A combinação de engenharia social, automação por inteligência artificial e artifícios como códigos QR indica que as organizações devem revisar procedimentos de segurança, treinar colaboradores e adotar tecnologias capazes de reagir a um panorama em rápida mutação.