Uma nova campanha de phishing, identificada em dezembro de 2025, está atacando o setor de hotelaria na Europa, utilizando uma falsa tela azul da morte do Windows para disseminar malware. Especialistas da Securonix alertam que os criminosos se disfarçam como hóspedes do Booking, enviando e-mails que simulam cancelamentos de reservas. Esses e-mails geram pânico nas vítimas ao prometer reembolsos altos, levando-as a clicar em links que direcionam a páginas fraudulentas. Uma vez na página falsa, um erro de carregamento é apresentado, incentivando o usuário a clicar em um botão de atualização. Nesse momento, a tela azul do Windows aparece, fazendo com que a vítima acredite que seu sistema está com problemas. O ataque ClickFix se concretiza quando a vítima é instruída a abrir a janela de ‘Executar’ e colar um comando malicioso, que instala um trojan de acesso remoto. Esse malware permite que os hackers controlem o dispositivo da vítima, roubando dados e comprometendo sistemas sem que a pessoa perceba. A falta de conhecimento sobre a tela azul da morte torna os usuários mais vulneráveis a esse tipo de golpe.

Um recente incidente de cibersegurança revelou que a Polícia Militar do Brasil teve dados sensíveis comprometidos devido à falta de autenticação de dois fatores (2FA) em sistemas utilizados por diversas empresas. O hacker conhecido como Zestix, ou Sentap, explorou credenciais de nuvem comprometidas, obtidas através de malwares de infostealing, para acessar portais de compartilhamento de arquivos. Entre as 50 empresas afetadas, estavam organizações de setores críticos, como saúde e aviação, com dados sendo vendidos por milhões de reais em bitcoin. O caso da Maida Health, que teve 2,3 TB de dados vazados, destaca a gravidade do problema, evidenciando a necessidade urgente de implementar medidas de segurança robustas, como o 2FA, para proteger informações sensíveis. O relatório da Hudson Rock, que analisou o incidente, enfatiza que a maioria das empresas invadidas não havia adotado a autenticação multifatorial, permitindo que os hackers utilizassem senhas vazadas sem a necessidade de ataques mais complexos. Este incidente serve como um alerta para a importância de fortalecer a segurança cibernética em todas as organizações.

Uma nova ameaça de cibersegurança, conhecida como VVS Stealer, foi identificada como um malware que utiliza técnicas avançadas de ofuscamento para roubar dados sensíveis de usuários do Discord. Desenvolvido em Python, o VVS Stealer é distribuído como um pacote PyInstaller, o que permite sua execução sem dependências adicionais. O malware é capaz de se esconder no sistema da vítima, copiando seu código para a pasta de inicialização do Windows e utilizando mensagens de erro falsas para evitar detecção. Além de focar no Discord, ele também coleta informações de navegadores baseados em Chromium e Firefox, como senhas e cookies, comprimindo esses dados em arquivos ZIP. O uso de Pyarmor, uma ferramenta legítima, para proteger o código do malware dificulta a análise por antivírus. A Unit 42 da Palo Alto Networks, que estuda a ameaça, alerta que o malware faz requisições a APIs do Discord para coletar dados do usuário sem necessidade de autenticação. O VVS Stealer está em desenvolvimento ativo desde abril de 2025 e é comercializado em plataformas como o Telegram. Os especialistas recomendam que as plataformas monitorem o roubo de credenciais para evitar incidentes semelhantes.

A recente operação militar dos Estados Unidos que resultou na captura do presidente venezuelano Nicolás Maduro pode ter envolvido recursos cibernéticos, conforme sugerido por declarações do ex-presidente Donald Trump. Durante uma coletiva, Trump mencionou que ‘uma certa expertise’ foi utilizada, o que levantou especulações sobre a atuação do Comando Cibernético dos EUA. Especialistas, no entanto, alertam que a conexão entre a operação e um ciberataque ainda é incerta. A NetBlocks, uma rede de monitoramento, registrou perda de conexão de internet em Caracas durante a ação, mas seu diretor, Alp Toker, afirmou que isso não necessariamente indica um ataque cibernético, podendo ser resultado de explosões. O histórico dos EUA em operações cibernéticas, como o ataque ao programa nuclear do Irã em 2010, alimenta desconfianças sobre a possibilidade de um ciberataque. O general Dan Caine, chefe do Estado-Maior Conjunto dos EUA, confirmou que houve uma ‘sobreposição’ de medidas para facilitar a operação, mas não forneceu detalhes sobre a atuação das agências envolvidas.

Uma nova campanha de phishing está utilizando servidores de e-mail mal configurados para enganar vítimas, fazendo com que mensagens fraudulentas pareçam legítimas. De acordo com um relatório da Microsoft, os atacantes estão explorando falhas na configuração de segurança de e-mails, como SPF, DKIM e DMARC, que normalmente verificam a autenticidade das mensagens. Quando esses sistemas não são rigorosamente aplicados, os criminosos conseguem enviar e-mails que parecem vir de domínios internos da empresa, aumentando a probabilidade de que os funcionários caiam no golpe.

O artigo destaca a crescente importância das Identidades Não Humanas (NHIs) na cibersegurança, à medida que as empresas adotam Inteligência Artificial (IA) e automação em nuvem. Com 51% dos profissionais reconhecendo que a segurança das NHIs é tão crucial quanto a das contas humanas, a falta de visibilidade e supervisão sobre essas identidades representa um risco significativo. NHIs, como bots e contas de serviço, frequentemente têm acesso amplo e permanente a sistemas sensíveis, tornando-se alvos atraentes para cibercriminosos. Para mitigar esses riscos, as organizações devem implementar estratégias modernas de segurança, incluindo princípios de zero-trust, acesso com privilégios mínimos e rotação automatizada de credenciais. O gerenciamento adequado de segredos, como chaves de API e credenciais SSH, é essencial para evitar vulnerabilidades. O artigo conclui que, à medida que a infraestrutura das empresas se torna mais automatizada, as NHIs devem ser tratadas como identidades de primeira classe, com monitoramento contínuo e acesso controlado, para proteger dados e sistemas críticos.

A gangue de cibercrime conhecida como Black Cat está por trás de uma campanha de envenenamento de SEO que utiliza sites fraudulentos para enganar usuários a baixarem um backdoor capaz de roubar dados sensíveis. Segundo um relatório do CNCERT/CC e da ThreatBook, a estratégia envolve posicionar sites falsos no topo dos resultados de busca em motores como o Bing, visando usuários que procuram por softwares populares como Google Chrome e Notepad++. Ao acessar essas páginas de phishing, os usuários são levados a baixar pacotes de instalação que contêm programas maliciosos. Uma vez instalado, o malware cria uma porta dos fundos no sistema, permitindo que os atacantes acessem informações privadas. A gangue está ativa desde 2022 e, em 2023, teria roubado cerca de $160.000 em criptomoedas. Recentemente, cerca de 277.800 dispositivos foram comprometidos na China, com um pico de 62.167 máquinas comprometidas em um único dia. Para se proteger, os usuários devem evitar clicar em links de fontes desconhecidas e utilizar apenas fontes confiáveis para downloads.

O grupo hacker DarkSpectre, conhecido por suas campanhas maliciosas, lançou uma nova iniciativa chamada Zoom Stealer, que já afetou mais de 2,2 milhões de usuários dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox. De acordo com a Koi Security, os ataques, que têm origem na China, também incluem as campanhas ShadyPanda e GhostPoster, totalizando mais de 8,8 milhões de vítimas ao longo de sete anos.

As extensões comprometidas, como New Tab - Customized Dashboard e várias ferramentas de download de vídeo, foram projetadas para parecer inofensivas, mas na verdade, escondem códigos maliciosos que podem roubar dados sensíveis, como credenciais de acesso e informações de reuniões online. O ataque Zoom Stealer, em particular, foca no roubo de dados de plataformas de videoconferência, utilizando conexões WebSocket para coletar informações em tempo real.

O WhatsApp, um dos aplicativos de comunicação mais populares do mundo, corrigiu recentemente uma vulnerabilidade relacionada ao fingerprinting, que permitia a cibercriminosos identificar o dispositivo utilizado pelos usuários. Apesar da criptografia de ponta a ponta (E2EE) que protege a comunicação, falhas no design do aplicativo possibilitavam que hackers descobrissem informações sensíveis, como o sistema operacional do dispositivo. A correção foi implementada de forma silenciosa e incompleta, afetando inicialmente apenas a lógica de encriptação no Android, que agora se tornou randômica, dificultando a identificação do dispositivo. No entanto, outras plataformas ainda não receberam atualizações semelhantes, o que mantém a possibilidade de identificação. Pesquisadores de segurança, como Tal Be’ery, já haviam alertado sobre essa falha anteriormente, mas a Meta, empresa responsável pelo WhatsApp, não reconheceu a gravidade do problema. A falta de transparência e reconhecimento por parte da empresa em relação aos pesquisadores que reportaram a vulnerabilidade levanta preocupações sobre a privacidade dos usuários e a responsabilidade da plataforma em garantir a segurança de seus dados.

Um estudo realizado pela NordVPN em parceria com a Saily revelou que milhares de contas de programas de fidelidade de companhias aéreas estão sendo comercializadas na dark web. O roubo de dados, que ocorreu ao longo dos últimos cinco anos, envolve informações de clientes de companhias aéreas como American Airlines, Southwest, Emirates, United, Alaska e Delta, que representam 54% dos perfis vazados. Os criminosos vendem as milhas acumuladas a preços que variam de US$ 0,75 a US$ 200, permitindo que eles reservem voos gratuitamente usando as informações legítimas das vítimas. Além disso, o estudo também identificou que dados de redes hoteleiras, como Hilton, Marriott e IHG, estão sendo vendidos, com informações pessoais de hóspedes, incluindo contas de fidelidade e números de passaporte, com valores que podem chegar a US$ 3 mil. Essa situação levanta preocupações sobre a segurança dos dados dos consumidores e a necessidade de medidas de proteção mais rigorosas.

A empresa de cibersegurança Synthient revelou a descoberta da botnet Kimwolf, que já comprometeu mais de 2 milhões de dispositivos Android, especialmente TV boxes, no Brasil e em outros países. A botnet, que se conecta a redes proxy residenciais, é uma evolução da botnet Aisuru, que anteriormente havia invadido 1,8 milhões de aparelhos. A Kimwolf utiliza técnicas avançadas de encriptação e comunicação, como DNS sobre TLS e EtherHiding, para evitar detecções e desmantelamentos. Os cibercriminosos monetizam as infecções por meio da venda de SDKs e revenda de banda larga, além de permitir o preenchimento de credenciais em massa. A maioria das infecções foi observada em países como Brasil, Índia, Arábia Saudita e Vietnã. A Synthient recomenda que provedores de proxy bloqueiem portas arriscadas e que usuários verifiquem e destruam dispositivos infectados.

A Gulshan Management Services (GMS), que opera cerca de 150 postos de gasolina no Texas, notificou 377.082 pessoas sobre um vazamento de dados ocorrido em setembro de 2025. O incidente, resultante de um ataque de phishing bem-sucedido, comprometeu informações sensíveis, incluindo nomes, números de Seguro Social, dados de cartões de crédito e débito, números de carteira de motorista e informações de contato. A empresa descobriu a invasão em 27 de setembro, após uma investigação que revelou que o acesso não autorizado ocorreu em 17 de setembro. Além de acessar servidores que armazenavam dados pessoais, o atacante implantou um software malicioso que criptografou partes da rede da GMS. A empresa está oferecendo monitoramento de identidade gratuito para as vítimas e enfrenta várias ações judiciais coletivas em decorrência do vazamento. Este ataque é considerado o quinto maior do ano em termos de registros comprometidos, com um total de 325 ataques de ransomware registrados em 2025 nos EUA, afetando mais de 25,9 milhões de registros pessoais.

A Veeam lançou atualizações de segurança para seu software Backup & Replication, abordando múltiplas vulnerabilidades, incluindo uma falha crítica que pode permitir a execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2025-59470, possui uma pontuação CVSS de 9.0 e permite que operadores de backup ou fita executem código malicioso como o usuário postgres ao enviar parâmetros manipulados. Os papéis de Backup e Tape Operator são considerados altamente privilegiados, o que aumenta o risco de exploração. Além dessa falha, outras três vulnerabilidades foram identificadas, com pontuações CVSS variando de 6.7 a 7.2, todas afetando versões do Backup & Replication 13.0.1.180 e anteriores. A Veeam recomenda que os usuários apliquem as correções imediatamente, embora não haja relatos de exploração ativa das falhas. A empresa classifica a gravidade da vulnerabilidade como alta, enfatizando a importância de seguir as diretrizes de segurança recomendadas para mitigar riscos.

A plataforma de automação de fluxo de trabalho de código aberto n8n alertou sobre uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-21877, que pode permitir a execução remota de código (RCE) por usuários autenticados. Avaliada com a pontuação máxima de 10.0 no sistema CVSS, a falha pode resultar na total comprometimento da instância afetada. Tanto as implementações auto-hospedadas quanto as instâncias na nuvem da n8n estão vulneráveis. A vulnerabilidade foi corrigida na versão 1.121.3, lançada em novembro de 2025, e os usuários são aconselhados a atualizar imediatamente. Caso a atualização não seja viável, recomenda-se desabilitar o nó Git e restringir o acesso a usuários não confiáveis. Essa divulgação ocorre em um contexto onde a n8n já havia abordado outras falhas críticas, como CVE-2025-68613 e CVE-2025-68668, que também poderiam levar à execução de código sob certas condições. A descoberta foi feita pelo pesquisador de segurança Théo Lelasseux.

As equipes de segurança estão enfrentando um novo desafio na detecção de malware, pois muitos ataques modernos não se manifestam mais como arquivos ou binários que acionam alertas tradicionais. Em vez disso, os invasores utilizam ferramentas já existentes no ambiente, como scripts, acesso remoto e fluxos de trabalho de desenvolvedores, criando assim um ponto cego nas defesas. O artigo destaca a importância de uma nova abordagem para identificar táticas ocultas, como os ataques ‘Living off the Land’, que utilizam ferramentas confiáveis do sistema, e os ataques de reassemblagem ‘Last Mile’, que empregam HTML e JavaScript ofuscados para executar lógica maliciosa sem um payload claro. Além disso, a segurança em ambientes de desenvolvimento, como pipelines CI/CD, é crítica, pois dependem de tráfego criptografado, permitindo que códigos maliciosos passem despercebidos. O webinar proposto pela equipe da Zscaler Internet Access abordará como a inspeção nativa em nuvem, análise de comportamento e design de zero-trust podem ajudar a expor esses caminhos de ataque ocultos antes que atinjam os usuários ou sistemas de produção. Essa discussão é especialmente relevante para equipes de SOC, líderes de TI e arquitetos de segurança que buscam fechar lacunas sem comprometer a agilidade dos negócios.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de gravidade máxima na plataforma de automação de fluxos de trabalho n8n, identificada como CVE-2026-21858, com uma pontuação CVSS de 10.0. Descoberta por Dor Attias, a falha permite que atacantes remotos não autenticados obtenham controle total sobre instâncias vulneráveis. A vulnerabilidade explora uma falha de confusão no cabeçalho ‘Content-Type’, permitindo que um invasor acesse arquivos sensíveis no servidor e execute comandos arbitrários. Essa falha afeta todas as versões do n8n até a 1.65.0 e foi corrigida na versão 1.121.0, lançada em 18 de novembro de 2025. Nos últimos dias, o n8n também divulgou outras três vulnerabilidades críticas, aumentando a preocupação com a segurança da plataforma. A recomendação é que os usuários atualizem para a versão corrigida imediatamente e evitem expor o n8n à internet sem autenticação adequada. A gravidade da falha destaca a necessidade de uma abordagem proativa em cibersegurança, especialmente em ambientes que utilizam automação de fluxos de trabalho.

O jogo online Rainbow Six Siege X, da Ubisoft, foi alvo de um segundo ataque hacker em menos de 30 dias, resultando em falsos avisos de banimento e mensagens alteradas nos servidores. Durante o incidente, streamers relataram que mensagens de banimento, que pareciam oficiais, apareciam durante suas transmissões ao vivo, gerando confusão entre os jogadores. A Ubisoft confirmou que as mensagens de banimento recebidas entre as 13h e 17h do dia 4 de janeiro eram falsas e pediu que os jogadores as ignorassem. Além disso, notificações de denúncias foram alteradas, apresentando textos aleatórios e referências a músicas. A empresa desativou temporariamente a faixa azul de avisos de eSports para evitar a disseminação de informações não oficiais. Apesar dos ataques, a Ubisoft assegurou que não houve comprometimento de dados pessoais ou do código-fonte do jogo. A situação destaca a vulnerabilidade dos sistemas de jogos online e a necessidade de medidas de segurança mais robustas para proteger a integridade das plataformas e a experiência dos usuários.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

O repositório digital clandestino Anna’s Archive, que oferece acesso a livros e artigos pirateados, perdeu seu domínio principal, annas-archive.org, após ser colocado em status de ‘serverHold’. Essa ação é frequentemente associada a ordens judiciais e é incomum para domínios .org, que são geralmente utilizados por organizações sem fins lucrativos. O site, que surgiu em 2022 após a desativação da Z-Library, tem como objetivo fornecer acesso gratuito a informações e também auxilia pesquisadores de inteligência artificial no treinamento de modelos de linguagem. Recentemente, a plataforma anunciou ter feito um backup de 300TB do Spotify, liberando o conteúdo gradualmente. Apesar da suspensão do domínio, a organização afirmou que o site continua operando em domínios alternativos, como .li e .se. A situação levanta questões sobre a legalidade e a ética do compartilhamento de conteúdo protegido por direitos autorais, especialmente em um contexto onde os detentores de direitos têm tomado medidas legais contra a plataforma.

Especialistas da Zenity Labs alertaram sobre uma nova extensão do Claude, assistente de IA da Anthropic, que opera no Google Chrome e pode expor dados pessoais dos usuários a riscos de segurança. A extensão, que foi lançada em versão beta, permite que a ferramenta interaja com outros sites sem supervisão humana, o que significa que, uma vez instalada, ela pode navegar e realizar ações em plataformas como Google Drive e Slack como se fosse o próprio usuário. Isso levanta preocupações sobre a segurança, pois a extensão permanece conectada continuamente, sem a possibilidade de ser desativada manualmente. Os pesquisadores observaram que a extensão pode acessar informações sensíveis, como tokens de login, e realizar ações prejudiciais, como excluir e-mails ou modificar arquivos, sem o conhecimento do usuário. Além disso, a proteção básica do Claude, que solicita permissão do usuário antes de realizar ações, falha em impedir essas atividades, levando a um cenário de ‘fadiga de aprovação’, onde os usuários clicam em ‘OK’ sem verificar as ações da IA. Essa situação destaca a necessidade urgente de uma revisão das práticas de segurança em relação a extensões de navegador e ferramentas de IA.

A Brightspeed, uma das principais empresas de fibra óptica nos Estados Unidos, está investigando uma possível violação de dados que pode ter afetado mais de um milhão de clientes. O grupo de hackers conhecido como Crimson Collective afirmou ter roubado informações pessoais identificáveis (PII) de clientes, incluindo nomes, endereços de e-mail, números de telefone e dados de pagamento parciais. Embora a Brightspeed não tenha confirmado a violação, a empresa declarou que está levando a sério a segurança de suas redes e está monitorando a situação. O ataque foi anunciado pelo Crimson Collective em seu canal no Telegram, onde alertaram que liberariam amostras dos dados roubados caso a empresa não respondesse rapidamente. A Brightspeed, com sede em Charlotte, Carolina do Norte, opera em 20 estados e atende milhões de residências, tendo sido formada em 2022 após a aquisição de ativos da Lumen Technologies. A empresa tem como objetivo expandir sua rede de fibra para mais de cinco milhões de locais, o que a torna um alvo potencial para ataques cibernéticos.

O CERT Coordination Center (CERT/CC) divulgou uma falha de segurança não corrigida que afeta o extensor de rede sem fio TOTOLINK EX200. A vulnerabilidade, identificada como CVE-2025-65606, permite que um atacante autenticado obtenha controle total do dispositivo. A falha está relacionada à lógica de tratamento de erros no upload de firmware, que pode levar à ativação de um serviço telnet com privilégios de root sem autenticação. Para explorar essa vulnerabilidade, o atacante precisa estar autenticado na interface de gerenciamento web do dispositivo. O CERT/CC alerta que a TOTOLINK não lançou patches para corrigir a falha e que o produto não está mais sendo mantido ativamente, com a última atualização de firmware ocorrendo em fevereiro de 2023. Em vista da falta de uma solução, os usuários são aconselhados a restringir o acesso administrativo a redes confiáveis e monitorar atividades anômalas.

Pesquisadores de cibersegurança identificaram duas extensões maliciosas na Chrome Web Store que visam exfiltrar conversas do OpenAI ChatGPT e DeepSeek, além de dados de navegação, para servidores controlados por atacantes. As extensões, chamadas ‘Chat GPT for Chrome com GPT-5, Claude Sonnet & DeepSeek AI’ e ‘AI Sidebar com Deepseek, ChatGPT, Claude, e mais’, possuem juntas mais de 900 mil usuários. Elas solicitam permissões para coletar dados de navegação sob o pretexto de melhorar a experiência do usuário, mas na verdade, capturam conversas e URLs de abas abertas a cada 30 minutos. O uso de extensões de navegador para roubar dados de conversas com IA foi denominado ‘Prompt Poaching’. As extensões maliciosas se disfarçam como uma extensão legítima, mas uma vez instaladas, começam a extrair informações sensíveis, que podem ser utilizadas para espionagem corporativa, roubo de identidade e campanhas de phishing. A situação é alarmante, pois as extensões ainda estão disponíveis para download, e a instalação pode resultar em sérias consequências para a privacidade dos usuários e das empresas. A recomendação é que os usuários removam essas extensões e evitem instalar ferramentas de fontes desconhecidas.

Após a captura e deposição do presidente Nicolás Maduro, a Venezuela viu um aumento significativo no uso de VPNs, proxies e carteiras digitais. O clima de insegurança gerado pela invasão estadunidense levou os cidadãos a buscarem formas de proteger suas comunicações e transações financeiras, especialmente em relação a criptomoedas. De acordo com dados da SimilarWeb e Appfigures, o volume de downloads de aplicativos de segurança cresceu exponencialmente, com destaque para o LatLon VPN e ThetaProxy no Android, e Proton VPN e X (antigo Twitter) no iOS. Essa busca por privacidade e acesso à informação não é nova, pois o país já enfrenta restrições de internet há anos, com bloqueios a serviços de DNS e plataformas como TikTok. O aumento no uso de tecnologias de evasão de censura reflete a necessidade urgente dos venezuelanos de contornar a censura e garantir a segurança em um ambiente digital cada vez mais hostil.

Um hacker conhecido pelo pseudônimo 888 invadiu a Agência Espacial Europeia (ESA) e vazou 200GB de dados internos, incluindo informações sensíveis sobre desenvolvimentos e documentações. A invasão ocorreu em 18 de dezembro de 2025, e o hacker anunciou a venda dos dados em fóruns da dark web, apresentando capturas de tela como prova da violação. Os arquivos expostos incluem repositórios do Bitbucket, credenciais de acesso, configurações de servidores e documentação técnica de empresas parceiras como Thales Alenia Space e Airbus Defence and Space. A natureza dos dados sugere que a invasão pode ter comprometido códigos-fonte, pipelines de integração e credenciais que podem facilitar ataques futuros, como espionagem e abuso de cadeia de suprimentos. A ESA está atualmente investigando o incidente, que representa um risco significativo para a segurança da informação e a integridade de seus projetos em desenvolvimento.

Um novo relatório da Elliptic revela que grupos de golpistas chineses, como Tudou Guarantee e Xinbi Guarantee, estão utilizando o Telegram para facilitar transações ilegais de criptomoedas, totalizando cerca de US$ 2 bilhões mensais. Esses grupos estão envolvidos em atividades como lavagem de dinheiro, venda de ferramentas para roubo de dados e criação de sites de investimento fraudulentos. Além disso, eles comercializam serviços de deepfake e estão associados a crimes graves, incluindo tráfico humano e prostituição de menores. O Telegram, apesar de ter tentado barrar essas operações, não está mais se movendo para banir esses grupos, alegando que a plataforma oferece uma alternativa para a liberdade financeira em meio ao controle de capital na China. Essa situação levanta preocupações significativas sobre a segurança cibernética, já que a Elliptic identificou mais de 30 mercados clandestinos ativos, destacando a gravidade do problema e a necessidade de vigilância contínua por parte das autoridades e empresas de segurança.

O Chesapeake Bay Maritime Museum (CBMM) notificou 5.181 pessoas sobre um vazamento de dados ocorrido em agosto de 2024, conforme informações divulgadas pelo procurador-geral do Maine. O incidente comprometeu nomes, números de Seguro Social e informações financeiras dos afetados. O grupo de ransomware ‘Helldown’ reivindicou a responsabilidade pelo ataque, publicando imagens de documentos supostamente roubados do museu, incluindo faturas e contratos. O CBMM não confirmou se pagou o resgate exigido ou como a invasão ocorreu, e a notificação aos afetados demorou mais de um ano. O museu ofereceu 12 meses de monitoramento de crédito gratuito aos afetados. Helldown, um grupo de ransomware pouco conhecido, já havia listado 33 ataques em seu site de vazamento de dados, afetando organizações na Suíça, Alemanha e EUA. Os ataques de ransomware são uma preocupação crescente, com 884 incidentes confirmados nos EUA em 2024, destacando a necessidade de vigilância e proteção adequadas para evitar tais brechas.

Pesquisadores de segurança da Koi alertaram sobre um risco significativo em forks populares do Microsoft Visual Studio Code (VS Code), como Cursor e Windsurf. Esses ambientes de desenvolvimento integrados (IDEs) recomendam extensões que não estão registradas no Open VSX, o que pode permitir que atacantes publiquem pacotes maliciosos sob esses nomes. A recomendação de extensões pode ocorrer de duas formas: notificações quando arquivos específicos são abertos ou sugestões baseadas em programas já instalados. O problema é que as extensões recomendadas não existem no Open VSX, e qualquer um pode registrar esses nomes e carregar o que quiser. Um exemplo é a extensão PostgreSQL, que atraiu mais de 500 instalações, levando a um risco de roubo de dados sensíveis. Após a divulgação responsável, algumas plataformas já implementaram correções, e o Eclipse Foundation removeu contribuições não oficiais do Open VSX. Este incidente destaca a necessidade de cautela ao baixar pacotes e a importância de verificar a origem das extensões recomendadas.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha PHALT#BLYX, que utiliza iscas no estilo ClickFix para enganar vítimas com falsas mensagens de erro de tela azul da morte (BSoD). O alvo principal são organizações do setor hoteleiro na Europa, com o objetivo de instalar um trojan de acesso remoto conhecido como DCRat. A campanha foi detectada no final de dezembro de 2025 e começa com um e-mail de phishing que se disfarça como uma notificação de cancelamento de reserva do Booking.com. Ao clicar em um link para um site falso, as vítimas são levadas a uma página que simula um BSoD, onde são instruídas a executar comandos maliciosos em PowerShell. Isso resulta na execução de um arquivo MSBuild que baixa e executa o DCRat, que pode roubar informações sensíveis e executar comandos arbitrários. A campanha destaca o uso de técnicas de living-off-the-land, abusando de binários de sistema confiáveis para evitar detecções de segurança. A presença de detalhes em euros e o uso da língua russa no código indicam que o ataque é direcionado a organizações europeias, possivelmente ligadas a atores de ameaças russos.

Usuários do pacote npm ‘@adonisjs/bodyparser’ são alertados para atualizar para a versão mais recente após a descoberta de uma vulnerabilidade crítica de segurança, identificada como CVE-2026-21440, com uma pontuação CVSS de 9.2. Essa falha é um problema de travessia de caminho que afeta o mecanismo de manipulação de arquivos multipart do AdonisJS, um framework Node.js utilizado para desenvolver aplicações web e servidores de API com TypeScript. A vulnerabilidade permite que um atacante remoto escreva arquivos arbitrários no servidor, caso consiga explorar um endpoint de upload acessível. O problema reside na função ‘MultipartFile.move(location, options)’, onde a falta de sanitização do nome do arquivo pode permitir que um invasor forneça um nome de arquivo malicioso, levando a uma possível execução remota de código (RCE). A falha foi corrigida nas versões 10.1.2 e 11.0.0-next.6. Além disso, uma vulnerabilidade semelhante foi identificada no pacote jsPDF, também com uma pontuação CVSS de 9.2, que permite a leitura de arquivos arbitrários no sistema de arquivos local. As correções para ambas as vulnerabilidades foram lançadas recentemente, e os desenvolvedores são aconselhados a aplicar as atualizações imediatamente.

Uma nova vulnerabilidade crítica foi descoberta na plataforma de automação de workflows n8n, permitindo que um atacante autenticado execute comandos arbitrários no sistema subjacente. Identificada como CVE-2025-68668, a falha apresenta uma pontuação de 9.9 no sistema de pontuação CVSS e é classificada como uma falha no mecanismo de proteção. A vulnerabilidade afeta as versões do n8n de 1.0.0 até, mas não incluindo, 2.0.0. Um usuário autenticado com permissão para criar ou modificar workflows pode explorar essa falha para executar comandos no sistema operacional onde o n8n está rodando. A n8n já lançou a versão 2.0.0, que corrige o problema. Para mitigar a vulnerabilidade, a n8n recomenda desabilitar o Code Node e a execução de Python, além de configurar o uso de um sandbox baseado em task runner. Essa falha se junta a outra vulnerabilidade crítica recentemente divulgada, CVE-2025-68613, que também permite a execução de código arbitrário em certas circunstâncias.

A Disney foi condenada a pagar uma multa de US$ 10 milhões por violar a Children’s Online Privacy Protection Act (COPPA), uma legislação dos Estados Unidos que protege a privacidade de crianças na internet. O caso surgiu a partir de alegações de que a empresa não rotulou corretamente vídeos infantis no YouTube, permitindo a coleta de dados pessoais de menores de 13 anos para publicidade direcionada. O Departamento de Justiça dos EUA informou que a Disney falhou em sinalizar conteúdos como ‘Feito para Crianças’, o que é crucial para garantir um ambiente seguro e controlado para os pequenos. Desde 2019, o YouTube exige essa rotulagem, e a Disney já havia sido alertada sobre a irregularidade em seus vídeos. A Comissão Federal do Comércio dos EUA destacou que essa falha permitiu que a Disney coletasse dados pessoais sem o consentimento adequado, resultando em uma violação significativa da norma. Além da multa, a Disney terá que implementar medidas para garantir que os pais sejam informados antes da coleta de dados de crianças e que os conteúdos sejam devidamente rotulados. Este caso levanta questões importantes sobre a conformidade com a legislação de proteção de dados, especialmente em um cenário onde a privacidade infantil é cada vez mais debatida.

Durante o 39º Congresso de Comunicação do Caos (CCC) em Hamburgo, a pesquisadora de segurança conhecida pelo pseudônimo Martha Root realizou uma invasão ao site supremacista WhiteDate, deletando-o ao vivo. A ação, que também afetou outras plataformas associadas, como WhiteChild e WhiteDeal, expôs dados de mais de 8.000 perfis, totalizando cerca de 100GB de informações, incluindo fotos de perfil e metadados que revelavam a localização dos usuários. Root utilizou um chatbot de IA para coletar dados de forma automatizada, explorando vulnerabilidades na segurança do site. A invasão foi uma resposta direta a uma plataforma que promovia valores de extrema direita e se opunha à cultura woke. Os dados vazados foram publicados em um site satírico, okstupid.lol, e arquivados na plataforma DDoSecrets. A ação levanta questões sobre a segurança de dados em plataformas de encontros e o potencial de ataques semelhantes em outros serviços. A situação é particularmente relevante na Alemanha, onde discursos de ódio são severamente punidos, o que pode dificultar a reativação do site.

Uma nova campanha de cibersegurança, chamada Zoom Stealer, está comprometendo a segurança de reuniões corporativas em plataformas de videoconferência como Zoom e Google Meet. Pesquisadores da Koi Security identificaram 18 extensões maliciosas que afetam cerca de 2,2 milhões de usuários em navegadores populares como Chrome, Edge e Firefox. Essas extensões, que se disfarçam como ferramentas legítimas, coletam informações sensíveis, incluindo URLs, IDs de reuniões, senhas e dados pessoais dos participantes. O grupo de hackers conhecido como DarkSpectre, que também opera o spyware ShadyPanda, é o responsável por essa operação. As informações são exfiltradas em tempo real, permitindo acesso a chamadas confidenciais e listas de participantes. O objetivo principal parece ser a espionagem corporativa, com potencial para engenharia social e venda de informações a concorrentes. Apesar de denúncias, muitas dessas extensões ainda estão disponíveis nas lojas oficiais, aumentando o risco para usuários desavisados.

A NordVPN se defendeu de alegações de um hacker que afirmou ter invadido seus servidores e roubado dados sensíveis. O cibercriminoso, conhecido pelo pseudônimo 1011, alegou que acessou um servidor da empresa através de uma configuração inadequada. No entanto, a NordVPN esclareceu que os dados supostamente roubados eram fictícios e pertenciam a uma conta de teste, sem qualquer ligação com a infraestrutura real da empresa. Essa conta, utilizada para avaliar um serviço terceirizado, continha informações fabricadas, criadas especificamente para fins de análise e não representavam dados reais de clientes ou da empresa. Apesar do alvoroço causado pela alegação do hacker, que também mencionou ter roubado chaves de API da Salesforce, a NordVPN afirmou que não houve comprovação das alegações, já que o hacker não apresentou evidências concretas. A empresa entrou em contato com o fornecedor envolvido para investigar a situação. Este incidente destaca a importância da segurança em ambientes de teste e a necessidade de garantir que dados sensíveis não sejam expostos em configurações inadequadas.

Em 2025, a infraestrutura de Taiwan enfrentou uma média alarmante de 2,63 milhões de ciberataques diários originados da China, conforme relatado pelo Escritório de Segurança Nacional de Taiwan. Este número representa um aumento de 6% em relação ao ano anterior e um impressionante crescimento de 113% desde 2023, quando Taiwan começou a monitorar esses incidentes. Os ataques, que frequentemente coincidem com eventos militares e políticos significativos, são vistos como parte da estratégia de ‘guerra híbrida’ da China, que visa desestabilizar a ilha. Grupos de hackers associados à China, como Volt Typhoon e Brass Typhoon, estão envolvidos em atividades de espionagem e roubo de dados que atendem aos interesses nacionais chineses. O relatório destaca que os ataques têm como alvos principais hospitais, bancos e agências governamentais, indicando uma tentativa deliberada de comprometer a infraestrutura crítica de Taiwan. Apesar das alegações, a China não respondeu oficialmente ao relatório e geralmente nega envolvimento em ciberataques, acusando os Estados Unidos de serem os verdadeiros ‘bullys cibernéticos’ do mundo.

O Pulse Urgent Care Center, localizado em Redding, Califórnia, notificou um número não revelado de pacientes sobre um vazamento de dados ocorrido em março de 2025, conforme divulgado pelo procurador-geral da Califórnia. O incidente comprometeu informações pessoais, incluindo números de Seguro Social, números de carteira de motorista, informações médicas e dados de seguro saúde. O grupo de ransomware Medusa reivindicou a responsabilidade pelo ataque, exigindo um resgate de $120.000 para não divulgar os dados roubados. Embora o Pulse Urgent Care tenha reconhecido a atividade suspeita em sua rede em 24 de março de 2025, ainda não está claro como os atacantes conseguiram acessar o sistema. A clínica está oferecendo 12 meses de monitoramento de crédito e proteção contra roubo de identidade para as vítimas afetadas. Em 2025, Medusa foi responsável por 153 ataques de ransomware, afetando mais de 1,6 milhão de registros, com 11 desses ataques direcionados a instituições de saúde. Os ataques de ransomware têm se tornado uma preocupação crescente nos EUA, com 92 incidentes confirmados em 2025, comprometendo mais de 8,8 milhões de registros.

A botnet Kimwolf, que já infectou mais de 2 milhões de dispositivos Android, tem se destacado por sua capacidade de explorar redes de proxy residenciais para disseminar malware. De acordo com a Synthient, a botnet monetiza suas operações através da instalação de aplicativos, venda de largura de banda de proxy residencial e funcionalidade de DDoS. Desde sua primeira documentação pública em dezembro de 2025, Kimwolf tem sido associada a ataques DDoS recordes, principalmente em países como Vietnã, Brasil, Índia e Arábia Saudita. A maioria das infecções ocorre em dispositivos Android que têm o Android Debug Bridge (ADB) exposto, com 67% dos dispositivos conectados à botnet sendo não autenticados e com ADB habilitado por padrão. Além disso, a botnet utiliza endereços IP de proxies alugados, como os oferecidos pela empresa chinesa IPIDEA, para infiltrar-se em redes locais e instalar o malware. A Synthient alerta que a vulnerabilidade expõe milhões de dispositivos a ataques, e recomenda que provedores de proxy bloqueiem solicitações a endereços IP privados para mitigar os riscos.

O grupo de hackers alinhado à Rússia, conhecido como UAC-0184 ou Hive0156, tem intensificado suas atividades de espionagem cibernética contra entidades militares e governamentais da Ucrânia, utilizando a plataforma de mensagens Viber para disseminar arquivos ZIP maliciosos. Segundo o 360 Threat Intelligence Center, em 2025, a organização continuou a realizar campanhas de coleta de inteligência em alta intensidade. Os ataques frequentemente empregam iscas temáticas de guerra em e-mails de phishing para entregar o malware Hijack Loader, que posteriormente facilita infecções por Remcos RAT.

A ASUS enfrenta uma grave crise de segurança cibernética após o grupo de ransomware Everest vazar cerca de 1 TB de dados confidenciais da empresa. O ataque ocorreu após a ASUS não ter respondido a um ultimato de 24 horas dos hackers, que exigiam um resgate para não divulgar as informações. Os dados vazados incluem informações sobre modelos de inteligência artificial da ASUS, arquivos de calibração e despejos de memória, além de dados de empresas parceiras como ArcSoft e Qualcomm. O grupo Everest já havia realizado outros ataques significativos, incluindo invasões a empresas como Chrysler e Under Armour, resultando em vazamentos de dados sensíveis. A falha de segurança que permitiu o ataque foi atribuída a um fornecedor terceirizado. Os dados estão circulando em fóruns clandestinos, especialmente em comunidades de língua russa, o que aumenta a preocupação sobre o uso indevido dessas informações. A ASUS confirmou a violação e está lidando com as consequências desse incidente.

A cibersegurança está passando por uma transformação significativa, impulsionada por mudanças nas infraestruturas de nuvem, pontos finais distribuídos e cadeias de suprimento complexas. O foco da segurança deixou de ser uma coleção de soluções pontuais e passou a ser uma questão de arquitetura, confiança e velocidade de execução. O relatório analisa como áreas centrais da cibersegurança, como autenticação, segurança de dados em SaaS, proteção da cadeia de suprimento de software e gerenciamento de riscos humanos, estão se adaptando a adversários que utilizam técnicas técnicas e sociais de forma mais rápida e integrada.

O início de 2026 trouxe à tona uma série de ameaças cibernéticas que exploram a confiança dos usuários em sistemas considerados estáveis. Um dos principais focos é a botnet RondoDox, que utiliza a vulnerabilidade React2Shell (CVE-2025-55182) para comprometer dispositivos da Internet das Coisas (IoT) e aplicações web. Com um CVSS de 10.0, essa falha ainda afeta cerca de 84 mil dispositivos, principalmente nos EUA.

Além disso, o Trust Wallet sofreu um ataque na sua extensão do Chrome, resultando na perda de aproximadamente 8,5 milhões de dólares. O ataque foi atribuído a uma brecha na cadeia de suprimentos, onde segredos do GitHub foram expostos. Outro grupo, DarkSpectre, foi identificado como responsável por uma campanha de malware em extensões de navegador, afetando mais de 8,8 milhões de usuários ao longo de sete anos.

O avanço da computação quântica representa uma ameaça crescente à segurança cibernética, especialmente para protocolos fundamentais como o TLS (Transport Layer Security). Com a técnica de ‘Harvest Now, Decrypt Later’, atacantes estão coletando dados criptografados para decifrá-los no futuro, quando a computação quântica se tornar viável. A vulnerabilidade do TLS se deve à dependência de algoritmos clássicos, como RSA e ECC, que são suscetíveis ao algoritmo de Shor, capaz de quebrar essas criptografias rapidamente. A solução proposta é a adoção de criptografia híbrida pós-quântica, como o ML-KEM, que combina algoritmos clássicos com novos métodos resistentes a ataques quânticos. Essa transição é urgente, pois governos e empresas estão investindo pesadamente em pesquisa quântica, e a pressão regulatória está aumentando. Organizações devem realizar um inventário de sistemas que utilizam criptografia de chave pública e começar a testar configurações de TLS 1.3 com suporte a ML-KEM. A preparação para a segurança pós-quântica deve começar agora para garantir a proteção a longo prazo e a conformidade com normas como a LGPD.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware chamado VVS Stealer, que utiliza Python para roubar credenciais e tokens do Discord. O VVS Stealer, que está à venda no Telegram desde abril de 2025, é descrito como um ‘stealer’ acessível, com preços que variam de €10 por uma assinatura semanal a €199 por uma licença vitalícia. O código do malware é ofuscado com a ferramenta Pyarmor, dificultando a análise e detecção. Após ser instalado, o VVS Stealer se torna persistente, adicionando-se à pasta de inicialização do Windows e exibindo mensagens de erro falsas para enganar os usuários. Além de roubar dados do Discord, ele também coleta informações de navegadores como Chromium e Firefox, incluindo cookies, histórico e senhas. O malware é capaz de realizar ataques de injeção no Discord, interrompendo a aplicação e baixando um payload JavaScript ofuscado para monitorar o tráfego de rede. Essa nova ameaça destaca a crescente sofisticação dos malwares, que utilizam técnicas avançadas de ofuscação para evitar a detecção por ferramentas de segurança.

Ilya Lichtenstein, condenado por lavagem de dinheiro em conexão com o hack da exchange de criptomoedas Bitfinex em 2016, anunciou sua liberação antecipada. Em uma postagem nas redes sociais, ele atribuiu sua soltura ao First Step Act, uma legislação dos EUA que visa reformar o sistema de justiça criminal. Lichtenstein e sua esposa, Heather Morgan, foram presos em 2022 e se declararam culpados em 2023, após um ataque que resultou na transferência fraudulenta de 119.754 bitcoins, avaliados em cerca de 71 milhões de dólares na época. As autoridades recuperaram aproximadamente 94.000 bitcoins, totalizando cerca de 3,6 bilhões de dólares em 2022, tornando-se uma das maiores apreensões da história dos EUA. O ataque foi facilitado por uma vulnerabilidade no sistema de múltiplas assinaturas da Bitfinex, permitindo que Lichtenstein realizasse transações sem a aprovação necessária. O caso destaca a importância da segurança em exchanges de criptomoedas e a necessidade de vigilância contínua contra fraudes e ataques cibernéticos.

Os ataques de ATO, ou ‘account takeover’, ocorrem quando um cibercriminoso obtém acesso não autorizado a uma conta online, como e-mails ou contas bancárias. Esses ataques podem resultar em fraudes financeiras e danos à reputação da vítima. Historicamente, os ATOs começaram com táticas de engenharia social, mas evoluíram para métodos mais sofisticados, como o uso de bots e inteligência artificial. Os hackers frequentemente utilizam técnicas como ‘credential stuffing’, onde testam senhas vazadas, e phishing, que envolve enganar usuários para que revelem suas credenciais. Os sinais de que uma pessoa pode ter sido vítima de um ATO incluem e-mails suspeitos sobre tentativas de login não solicitadas e atividades estranhas em contas. A conscientização sobre esses ataques é crucial, pois qualquer conta pode ser alvo, e a proteção deve ser uma prioridade tanto para indivíduos quanto para empresas.

O Stuxnet é considerado um marco na cibersegurança, sendo o primeiro malware a causar danos físicos em instalações industriais. Desenvolvido em 2010, o worm foi projetado para atacar o programa nuclear do Irã, especificamente uma rede de enriquecimento de urânio em Natanz. O malware explorou vulnerabilidades zero-day em sistemas de controle industrial da Siemens, permitindo que se espalhasse por redes isoladas, mesmo aquelas desconectadas da internet. A infecção inicial ocorria através de dispositivos USB, e o Stuxnet utilizava certificados digitais roubados para se disfarçar como software legítimo.

O gerenciamento da superfície de ataque (ASM) é uma abordagem que visa reduzir riscos cibernéticos ao aumentar a visibilidade dos ativos de uma organização. No entanto, muitas vezes, as ferramentas de ASM entregam mais informações do que resultados tangíveis em termos de segurança. Aumentos no número de ativos e alertas gerados não necessariamente indicam uma redução nas vulnerabilidades. O artigo destaca a importância de métricas que realmente reflitam a eficácia do ASM, como o tempo médio para a propriedade de ativos, a redução de pontos de extremidade não autenticados que alteram estados e o tempo para descomissionamento após a perda de propriedade. Essas métricas são mais indicativas de melhorias na segurança do que simplesmente contar ativos. A falta de uma ligação clara entre os esforços de ASM e os resultados de segurança torna difícil justificar investimentos em ASM durante revisões orçamentárias. O artigo sugere que a verdadeira eficácia do ASM deve ser medida pela rapidez e qualidade da resposta a exposições, em vez de apenas pela visibilidade dos ativos.

Em 2025, a Surfshark focou na profundidade de sua infraestrutura, aprimorando os sistemas que sustentam seus serviços de cibersegurança e privacidade. Este movimento ocorreu em um ano marcado pela adoção acelerada de tecnologias de IA generativa e um aumento significativo nas violações de dados em todo o mundo. O CEO da Surfshark, Vytautas Kaziukonis, destacou que o principal objetivo da empresa foi elevar o padrão de desempenho das VPNs, priorizando estabilidade e velocidade em vez de recursos chamativos. Uma das inovações mais significativas foi o lançamento do Everlink, uma infraestrutura de VPN auto-reparadora que mantém conexões estáveis mesmo diante de falhas de servidores. Além disso, a Surfshark implementou servidores com capacidade de 100 Gbps para atender à crescente demanda por maior largura de banda. A empresa também lançou ferramentas como o Email Scam Checker e recursos de mascaramento de identidade, em resposta ao aumento de ataques de phishing e vazamentos de dados. Para 2026, a Surfshark planeja expandir suas capacidades de proteção de identidade e demonstrar a eficácia dessas ferramentas em cenários do mundo real, sinalizando uma transição de uma simples VPN para uma solução abrangente de seguro digital.

Os deepfakes, conteúdos gerados por inteligência artificial que alteram vídeos e fotos de forma hiper-realista, representam um dos maiores desafios para a segurança digital atualmente. Com um aumento alarmante de 700% em fraudes relacionadas a deepfakes no Brasil, segundo a Sumsub, a manipulação de conteúdo pode ter fins ilícitos, como desinformação e golpes. Personalidades públicas são frequentemente alvo, pois há uma abundância de material audiovisual disponível para a criação desses conteúdos. O advogado Mario Cosac destaca que a desinformação pode impactar decisões importantes, como ocorreu no plebiscito do Brexit, enquanto Augusto Salomon, CEO da StarMind, alerta para a falta de preparo das empresas na adoção de ferramentas de IA. Embora não haja legislação específica no Brasil sobre deepfakes, iniciativas em outros países, como a Dinamarca, propõem que cidadãos tenham controle sobre os direitos de uso de suas imagens. Além disso, a educação digital é vista como uma solução essencial para capacitar a população a lidar com essa nova realidade tecnológica, exigindo um pensamento crítico e habilidades de checagem. O artigo enfatiza a necessidade de uma abordagem multifacetada que inclua regulamentação, tecnologia de detecção e educação para mitigar os riscos associados aos deepfakes.