Whisper 2FA por trás de um milhão de tentativas de phishing desde julho – Against Invaders – Notícias de CyberSecurity para humanos.

Whisper 2FA por trás de um milhão de tentativas de phishing desde julho - Against Invaders - Notícias de CyberSecurity para humanos.

A plataforma de phishing “Whisper 2FA” tornou-se rapidamente uma das ferramentas mais ativas usadas em campanhas de roubo de credenciais em larga escala, de acordo com uma nova pesquisa da Barracuda.

Desde julho de 2025, a plataforma foi responsável por quase um milhão de ataques de phishing direcionados a contas em vários setores, colocando-a logo atrás Magnata e EvilProxy no cenário global de phishing como serviço (PhaaS).

O que destaca o Whisper 2FA é o uso do AJAX, uma tecnologia da web que permite a comunicação em tempo real entre o navegador e o servidor sem recarregar a página. Isso permite que o kit de phishing capture repetidamente credenciais e códigos de autenticação multifator (MFA) até obter um token válido.

Ao contrário dos kits de phishing típicos que param após o roubo de uma senha, o Whisper 2FA faz um loop contínuo nas tentativas, ignorando efetivamente as proteções de MFA.

Os invasores têm usado uma variedade de iscas para fornecer o Whisper 2FA, imitando marcas como DocuSign, Adobe e Microsoft 365. Esses e-mails de phishing geralmente usam pretextos urgentes, como faturas ou notificações de correio de voz, para solicitar que os usuários façam login e, sem saber, enviem seus detalhes aos invasores.

Leia mais sobre técnicas de desvio de autenticação multifator: Astaroth Phishing Kit ignora 2FA usando técnicas de proxy reverso

Evolução rápida e técnicas de ofuscação

A análise da Barracuda mostra que o kit está evoluindo a uma velocidade notável. As primeiras variantes apresentavam comentários de código visíveis e ofuscação leve.

“O kit de phishing Whisper 2FA está evoluindo rapidamente tanto em complexidade técnica quanto em estratégias anti-detecção”, alertou a empresa.

As versões atuais removem texto legível, adicionam camadas densas de codificação Base64 e XOR e incluem vários recursos anti-depuração que desativam atalhos como Ctrl+Shift+I ou funções de clique com o botão direito do mouse.

As variantes mais recentes também empregam um “loop infinito de depurador”, congelando os navegadores se os desenvolvedores tentarem inspecionar a página de phishing.

Uma vez ativo, o kit pode validar códigos de login roubados instantaneamente por meio dos sistemas de comando e controle (C2) dos invasores, transformando o processo em um retransmissor ao vivo entre vítima e invasor.

Um ataque típico do Whisper 2FA segue vários estágios:

  • Coleta de credenciais por meio de um formulário de login realista

  • Exfiltração em segundo plano de dados de e-mail e senha

  • Um prompt de MFA que solicita um código único

  • Validação em tempo real do código por meio do back-end do invasor

Cada fase é projetada para imitar processos de autenticação legítimos enquanto transmite dados roubados de forma invisível.

Uma nova geração de phishing como serviço

Os pesquisadores da Barracuda descrevem o Whisper 2FA como um sinal de como as operações de PhaaS amadureceram.

O kit combina simplicidade para atacantes com evasão complexa para defensores. Ao remover a necessidade de proxies reversos e usar solicitações AJAX leves, o Whisper 2FA se torna mais difícil de detectar e mais fácil de implantar.

“A campanha de phishing Whisper 2FA demonstra como os kits de phishing evoluíram de simples ladrões de credenciais para plataformas de ataque sofisticadas e de serviço completo”,Barracuda dito.

“Esse nível de sofisticação reflete a ascensão do Phishing-as-a-Service (PhaaS), onde os kits são desenvolvidos profissionalmente, atualizados regularmente e vendidos ou alugados aos invasores.”

Os especialistas recomendam que as organizações fortaleçam as defesas por meio de segurança em camadas, MFA resistente a phishing e monitoramento contínuo de ameaças para combater o surgimento de kits avançados como o Whisper 2FA.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.