A Proofpoint descobriu que os cibercriminosos estão usando uma ferramenta de criação de sites baseada em IA, chamada Lovable, para lançar milhares de campanhas de phishing, fraude e malware, visando empresas, consumidores e usuários de criptomoedas em todo o mundo. A pesquisa mostra que o Lovable, um aplicativo legítimo que permite aos usuários criar e hospedar sites com aparência profissional, em minutos, usando prompts de texto simples, está sendo explorado para clonar marcas confiáveis e coletar informações confidenciais em uma velocidade e escala sem precedentes
O novo atalho para o crime cibernético
O construtor de sites assistido por IA da Lovable foi projetado para empreendedores, amadores e pequenas empresas. Mas os pesquisadores da Proofpoint documentaram milhares de sites maliciosos criados com a ferramenta para imitar empresas conhecidas, como Microsoft, UPS e Aave, uma importante plataforma financeira descentralizada. As campanhas são sofisticadas, convincentes e, muitas vezes, incorporam desafios CAPTCHA — normalmente associados a sites seguros — para induzir as vítimas a uma falsa sensação de segurança.
Escala e velocidade da ameaça
Desde fevereiro de 2025, a Proofpoint detectou dezenas de milhares de URLs maliciosos hospedados pelo Lovable, todos os meses, apenas em ataques baseados em e-mail. Campanhas adicionais foram observadas em mensagens SMS (“smishing”).
Em uma campanha em grande escala, os cibercriminosos enviaram centenas de milhares de e-mails para mais de 5.000 organizações. Os e-mails incluíam links gerados pelo Lovable que pareciam ser de serviços confiáveis, como portais de compartilhamento de arquivos ou departamentos de RH. Ao clicar neles, os usuários eram direcionados para páginas de login falsas, projetadas para roubar nomes de usuário, senhas e tokens MFA.
De golpes com faturas a malware
Além do roubo de credenciais e fraudes, a Lovable também está sendo usada para distribuir malware. Em julho de 2025, os invasores se passaram por uma empresa de software alemã, enviando links falsos para download de faturas. Esses links levavam a sites gerados pela Lovable que induziam as vítimas a baixar arquivos maliciosos contendo trojans de acesso remoto — ferramentas que dão aos cibercriminosos controle sobre os sistemas das vítimas.
“A IA não está apenas transformando a forma como trabalhamos, mas também mudando as regras do jogo para o crime cibernético”, disse Marcos Nehme, Country Manager da Proofpoint no Brasil. “O que antes levava dias ou semanas de programação agora pode ser feito em minutos, e qualquer pessoa, independentemente de suas habilidades técnicas, pode lançar um site de phishing sofisticado e perigoso. A barreira de entrada para o crime online nunca foi tão baixa.”
Por que isso é importante para todos?
O estudo reforçou que antigamente a criação de um site convincente de phishing ou malware exigia habilidade técnica e tempo. Os criminosos precisavam codificar manualmente as páginas ou copiar designs complexos de sites. Com ferramentas baseadas em IA, como a Lovable, qualquer pessoa com conexão à internet e algumas frases de texto pode lançar uma operação de phishing com aparência profissional e totalmente funcional, muitas vezes em menos de uma hora.
“Essas ferramentas não são intrinsecamente ruins”, destaca Marcos. “Elas têm usos reais e positivos. Mas, sem proteções robustas, podem se transformar emmecanismos de produção em massa para crimes cibernéticos. É isso que estamos vendo agora.”
Resposta da Lovable
A empresa compartilhou suas descobertas com a Lovable, que reconheceu o abuso e confirmou que havia removido um grande cluster de phishing na mesma semana. Desde então, a empresa implementou novas proteções de segurança baseadas em IA, incluindo detecção em tempo real para bloquear sites maliciosos durante a criação; verificação diária de todos os projetos hospedados para sinalizar conteúdo fraudulento; planos para identificar e suspender contas vinculadas ao crime cibernético.
Embora essas medidas sejam promissoras, a Proofpoint alerta que agentes de ameaças determinados continuarão a buscar — e encontrar — maneiras de explorar plataformas de IA.”À medida que a IA evolui, a linha entre inovação legítima e exploração criminosa está ficando cada vez mais tênue”, conclui o executivo. “As mesmas ferramentas que capacitam empreendedores podem facilmente capacitar golpistas. Precisamos de uma colaboração em toda a indústria para fechar essa lacuna antes que ela se amplie ainda mais.”
