Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

A Disc Soft Limited, desenvolvedora do Daemon Tools Lite, confirmou que seus sistemas foram invadidos, resultando na transformação de uma versão do aplicativo em um trojan. O ataque foi realizado por meio de exploração da cadeia de suprimento, afetando especificamente as versões 12.5.0.2421 a 12.5.0.2434. Após a identificação do problema, a empresa conseguiu remover o malware em 12 horas e lançou a versão 12.6, que está livre de ameaças. A Kaspersky relatou que o malware, classificado como infostealer, comprometeu usuários em mais de 100 países, incluindo o Brasil, e é capaz de roubar informações do sistema e executar comandos maliciosos. A Disc Soft reforçou sua infraestrutura, mas ainda não identificou os responsáveis pelo ataque. Usuários que instalaram a versão afetada devem desinstalar o aplicativo, realizar uma varredura em seus sistemas e instalar a versão mais recente a partir do site oficial.

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

Um novo framework de malware chamado PCPJack está em operação, focando no roubo de credenciais de infraestrutura em nuvem exposta e na remoção do acesso do grupo TeamPCP aos sistemas comprometidos. Os serviços visados incluem Docker, Kubernetes, Redis, MongoDB e aplicações web vulneráveis. Pesquisadores da SentinelLabs indicam que o PCPJack é projetado para roubo de credenciais em larga escala, possivelmente monetizando suas atividades através de fraudes financeiras, operações de spam, revenda de credenciais ou extorsão.

O TCLBanker é um novo trojan que visa 59 plataformas de bancos, fintechs e criptomoedas, utilizando um instalador MSI trojanizado do Logitech AI Prompt Builder para infectar sistemas. Descoberto pelos Elastic Security Labs, o malware é uma evolução significativa da família de malwares Maverick/Sorvepotel. Embora atualmente esteja focado no Brasil, suas características de propagação e a possibilidade de expansão para outros países da América Latina são preocupantes.

O TCLBanker se destaca por suas capacidades de proteção contra análise, utilizando rotinas de descriptografia dependentes do ambiente e um thread de vigilância que busca ferramentas de análise. Ele se carrega no contexto de um aplicativo legítimo, evitando alarmes de segurança. O módulo bancário monitora a barra de endereços do navegador e, ao detectar um site alvo, estabelece uma sessão com o comando e controle (C2), permitindo controle remoto sobre o sistema da vítima.

A gangue de extorsão ShinyHunters comprometeu novamente a Instructure, empresa de tecnologia educacional, explorando uma vulnerabilidade para alterar os portais de login do Canvas de centenas de instituições de ensino. As defacements, que ficaram visíveis por cerca de 30 minutos, continham uma mensagem da gangue reivindicando a responsabilidade pela violação anterior e ameaçando vazar dados roubados caso um resgate não fosse pago. A mensagem estipula um prazo até 12 de maio para que a Instructure e as instituições afetadas entrem em contato para negociar. A Instructure confirmou que dados de aproximadamente 280 milhões de registros de estudantes e funcionários foram roubados, abrangendo 8.809 escolas e universidades. A empresa está investigando o incidente e tomou medidas para desativar temporariamente o Canvas enquanto responde ao ataque. A vulnerabilidade que permitiu a alteração dos portais de login foi identificada, e a Instructure está trabalhando para mitigar os danos. Este ataque destaca a crescente ameaça de grupos de cibercrime que visam instituições educacionais, que frequentemente lidam com grandes volumes de dados sensíveis.

Pesquisadores de cibersegurança revelaram um novo framework de roubo de credenciais chamado PCPJack, que visa infraestruturas em nuvem expostas e elimina artefatos associados ao grupo TeamPCP. O PCPJack coleta credenciais de serviços em nuvem, contêineres e aplicações vulneráveis, exfiltrando dados através de uma infraestrutura controlada pelos atacantes e se espalhando de forma semelhante a um worm. O objetivo final da campanha é gerar receita ilícita por meio de roubo de credenciais, fraudes e extorsão. O PCPJack se destaca por não incluir componentes de mineração de criptomoedas, diferentemente do TeamPCP, sugerindo que pode ser obra de um ex-membro familiarizado com as táticas do grupo. O ataque começa com um script de shell que prepara o ambiente e baixa ferramentas adicionais, enquanto remove processos associados ao TeamPCP. O framework utiliza seis scripts Python para orquestrar o ataque, extrair credenciais e facilitar a movimentação lateral em serviços como Docker e Kubernetes. A análise indica que o PCPJack é uma ameaça significativa, especialmente para empresas que utilizam serviços em nuvem amplamente utilizados no Brasil.

A Ivanti emitiu um alerta sobre uma nova vulnerabilidade de alta severidade, identificada como CVE-2026-6973, que afeta o Endpoint Manager Mobile (EPMM) em versões anteriores a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Essa falha, que possui um score CVSS de 7.2, permite que um usuário autenticado com acesso administrativo execute código remotamente. A empresa informou que, até o momento, há um número muito limitado de clientes que foram explorados devido a essa vulnerabilidade. A exploração bem-sucedida requer autenticação de administrador, e a Ivanti recomenda que os clientes que seguiram suas orientações anteriores sobre a rotação de credenciais estão em menor risco. Além da CVE-2026-6973, a Ivanti também corrigiu outras quatro vulnerabilidades no EPMM, com scores CVSS variando de 7.0 a 8.9, que incluem problemas de controle de acesso e validação de certificados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que as agências federais apliquem as correções até 10 de maio de 2026. A Ivanti esclareceu que as falhas afetam apenas o produto EPMM on-premises e não impactam suas soluções baseadas em nuvem.

Pesquisadores de cibersegurança alertam sobre um site que promete remover fundos de selfies, mas que na verdade distribui malware. Através de técnicas de SEO, o site malicioso aparece entre os primeiros resultados de busca, enganando usuários que buscam ferramentas legítimas. Ao tentar usar o serviço, os usuários são instruídos a executar um comando no Windows, o que resulta na instalação do CastleLoader, um loader que permite a instalação de outros malwares, como o NetSupport RAT e o CastleStealer. O NetSupport RAT é um trojan de acesso remoto que concede controle total ao atacante, enquanto o CastleStealer é um malware que visa roubar credenciais de navegadores, dados de carteiras de criptomoedas e tokens de aplicativos como Discord e Telegram. A campanha destaca a importância da educação em cibersegurança, pois serviços legítimos não pedem que os usuários realizem atividades locais para verificar sua identidade. Para mitigar esses ataques, recomenda-se que administradores desativem o atalho Win + R e que os usuários estejam cientes dos riscos associados a downloads de ferramentas desconhecidas.

O GrapheneOS, uma distribuição alternativa do Android focada em privacidade, lançou uma atualização para corrigir uma falha de segurança no Android 16, que permite que aplicativos comuns vazem dados fora de um túnel VPN ativo. Essa vulnerabilidade, conhecida como ‘Tiny UDP Cannon’, foi descoberta por um pesquisador de segurança e classificada pela equipe de segurança do Android do Google como ‘Não será corrigida’. O problema reside em uma funcionalidade do Android que não verifica se um aplicativo deve estar restrito a uma conexão VPN, permitindo que dados sejam enviados pela conexão padrão de internet. Embora a exploração exija que um aplicativo malicioso já esteja instalado no dispositivo, a falha representa um risco significativo para usuários que dependem de configurações de privacidade rigorosas, como o ‘Always-On VPN’. O GrapheneOS desativou a funcionalidade vulnerável, eliminando a superfície de ataque, mas isso pode resultar em uma leve perda de eficiência na rede. Para usuários do Android padrão, a solução temporária envolve desativar a função manualmente, mas isso não é permanente. A situação destaca a importância de manter aplicativos atualizados e de usar VPNs confiáveis, mesmo com a vulnerabilidade existente.

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs). O phishing se tornou o principal motor do cibercrime moderno, com ataques cada vez mais sofisticados, utilizando iscas geradas por inteligência artificial e plataformas SaaS legítimas para contornar as defesas tradicionais. Em um webinar agendado para 14 de maio de 2026, especialistas da Kaseya discutirão como a combinação de prevenção, detecção e recuperação rápida é essencial para enfrentar essas ameaças. O evento abordará a importância de não tratar segurança e recuperação como silos separados, destacando que muitas organizações falham em planejar a recuperação após um ataque, resultando em interrupções operacionais e perda de dados. O webinar também enfatizará a necessidade de um plano de recuperação de desastres (BCDR) e backups adequados para fortalecer a resiliência cibernética. Os participantes aprenderão como os MSPs líderes estão adaptando suas estratégias para reduzir o tempo de inatividade e melhorar a recuperação após ataques, tornando-se crucial para a proteção de seus clientes.

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Dois cidadãos americanos, Matthew Isaac Knoot e Erick Ntekereze Prince, foram condenados a 18 meses de prisão por operar ‘fazendas de laptops’ que ajudaram trabalhadores de TI da Coreia do Norte a obter empregos remotos fraudulentos em quase 70 empresas americanas. Knoot, que atuou de julho de 2022 a agosto de 2023, usou identidades roubadas para receber laptops de empresas e instalou softwares de acesso remoto, permitindo que os trabalhadores norte-coreanos se passassem por funcionários legítimos. As empresas afetadas pagaram mais de $250.000 a esses trabalhadores. Prince, por sua vez, facilitou a contratação de pelo menos três trabalhadores de TI da Coreia do Norte entre junho de 2020 e agosto de 2024, resultando em pagamentos superiores a $943.000, a maior parte dos quais foi enviada para o exterior. Além das penas de prisão, Knoot foi condenado a pagar $15.100 em restituição, enquanto Prince teve que devolver $89.000. O FBI alerta que a Coreia do Norte mantém uma grande força de trabalhadores de TI que utilizam roubo de identidade para se infiltrar em empresas americanas, representando uma ameaça crescente à segurança cibernética.

Em 2026, as ameaças cibernéticas continuam a ser alimentadas por práticas antigas, como pacotes suspeitos, aplicativos falsos e anúncios fraudulentos. Um novo malware, chamado MicroStealer, tem como alvo os setores de educação e telecomunicações, roubando dados sensíveis através de uma cadeia de entrega sofisticada. Além disso, a FTC e a Kochava chegaram a um acordo para proteger dados de localização, enquanto a Proton Mail introduziu suporte para criptografia pós-quântica, visando aumentar a segurança das comunicações. O lançamento do pnpm 11 trouxe novas medidas de segurança para proteger contra ataques à cadeia de suprimentos, estabelecendo um período de espera para a instalação de pacotes recém-publicados. A Meta anunciou o uso de inteligência artificial para reforçar a verificação de idade em suas plataformas, e um tribunal sul-coreano manteve a pena de prisão para um homem que contratou um hacker norte-coreano para atacar servidores de jogos. Vulnerabilidades críticas também foram identificadas em sistemas industriais e na plataforma MOVEit Automation, exigindo atenção imediata. O cenário atual destaca a necessidade urgente de uma resposta proativa das organizações para mitigar esses riscos.

A Palo Alto Networks revelou que atores de ameaças tentaram explorar uma vulnerabilidade crítica, identificada como CVE-2026-0300, no serviço User-ID Authentication Portal do software PAN-OS. Essa falha, com uma pontuação CVSS de 9.3/8.7, permite que um atacante não autenticado execute código arbitrário com privilégios de root ao enviar pacotes especialmente elaborados. Embora as correções estejam previstas para serem lançadas em 13 de maio de 2026, a empresa recomenda que os clientes restrinjam o acesso ao portal ou o desativem caso não esteja em uso. A Palo Alto Networks também observou tentativas de exploração limitadas desde 9 de abril de 2026, e um grupo de ameaças, identificado como CL-STA-1132, está sendo investigado por sua possível ligação com atividades de espionagem cibernética patrocinadas por estados. Os atacantes conseguiram injetar shellcode em um processo do nginx e realizar atividades pós-exploração, como enumeração do Active Directory e a instalação de malwares adicionais. A dependência de ferramentas de código aberto pelos atacantes dificultou a detecção baseada em assinaturas, permitindo que suas atividades permanecessem abaixo dos limiares de alerta da maioria dos sistemas automatizados.

O artigo destaca que a maior parte das violações de segurança começa com um único funcionário que clica em um e-mail malicioso, conhecido como ‘Patient Zero’. Em 2026, os hackers estão utilizando inteligência artificial para criar ataques de phishing que são quase impossíveis de detectar. O conceito de ‘Patient Zero’ se refere ao primeiro dispositivo comprometido por um atacante, que rapidamente se espalha pela rede em busca de dados sensíveis. O texto enfatiza a importância de ter um plano de resposta a incidentes, especialmente nos primeiros minutos após a infecção, que são cruciais para evitar danos maiores. O webinar proposto oferece um aprofundamento técnico sobre como as violações modernas se iniciam e como neutralizá-las rapidamente, abordando temas como o uso de IA em ataques, a janela crítica de cinco minutos após a infecção e a implementação do modelo de segurança ‘Zero Trust’. A proposta é preparar as empresas para que, mesmo diante de um clique em um link malicioso, a situação não resulte em perdas financeiras significativas.

O uso de biometria, como reconhecimento facial e leitura de digitais, se tornou comum no Brasil, mas poucos percebem os riscos associados. Diferente de senhas, dados biométricos não podem ser alterados se vazarem, o que os torna extremamente sensíveis. Especialistas alertam que a combinação de biometria com inteligência artificial e deepfakes pode facilitar fraudes financeiras e roubo de identidade. Marta Schuh, diretora de Cyber & Tech Insurance da Howden Brasil, destaca que a popularização da biometria ocorreu mais rapidamente do que a conscientização sobre seus riscos. Embora a biometria possa trazer benefícios em contextos como hospitais, sua adoção indiscriminada por empresas pode aumentar a exposição dos usuários sem garantir segurança real. A Lei Geral de Proteção de Dados (LGPD) classifica dados biométricos como sensíveis, permitindo que usuários se recusem a fornecê-los em certas situações. A segurança digital, segundo Marta, depende não apenas de tecnologia, mas também da conscientização dos usuários, sendo crucial que as empresas tratem a segurança cibernética como parte estratégica de seus negócios.

Um estudo recente da Cifas revelou que cerca de 18% dos trabalhadores admitiram ter vendido credenciais de login de suas empresas por dinheiro, evidenciando um comportamento preocupante em relação à segurança cibernética. Além disso, 24% dos entrevistados consideram aceitável trabalhar secretamente para concorrentes, enquanto 13% conhecem alguém que usou fundos da empresa para apostas. Esses dados indicam que a fraude no ambiente de trabalho está se tornando uma prática normalizada, o que representa um risco significativo para a segurança das informações corporativas. O CEO da Cifas, Mike Haley, destacou que esses achados refletem uma mudança mais ampla nas atitudes dos funcionários diante da oportunidade de cometer fraudes. Para mitigar esses riscos, a empresa sugere que as organizações implementem monitoramento de ameaças internas, verificação de identidade mais rigorosa e checagens de antecedentes mais robustas, além de oferecer treinamento adequado aos funcionários para reconhecer e desafiar comportamentos de risco.

Um estudo da Comparitech analisou mais de 447 mil vazamentos de dados em quatro fóruns de cibercrime, revelando uma cadeia de fornecimento em cinco etapas para senhas vazadas. As etapas incluem a origem, onde as senhas são comprometidas, o atacado, onde o acesso é negociado, e o comércio, onde dados são trocados e vendidos. Os resultados mostraram que dados gratuitos são mais comuns do que pagos, e que administradores de fóruns frequentemente atuam como fornecedores principais. O fórum RAMP, por exemplo, destacou-se por vender acesso a redes corporativas, enquanto o BreachForums, mesmo após a prisão de seu administrador, continuou a crescer rapidamente. A pesquisa também revelou que vazamentos de dados de empresas indonésias e chinesas atraíram mais visualizações do que grandes empresas ocidentais. A análise sugere que, apesar de ações de remoção de fóruns, a recuperação é rápida, com novos usuários se inscrevendo em massa. O estudo destaca a importância de entender como as credenciais são utilizadas em campanhas de ataque, como o credential stuffing e o ransomware.

Uma versão falsa do site Claude AI está oferecendo um download malicioso chamado Claude-Pro Relay, que instala uma backdoor para Windows chamada Beagle. O site fraudulento imita o design do site legítimo, mas falha em fornecer links funcionais, redirecionando os usuários para a página inicial. Ao clicar no botão de download, os usuários obtêm um arquivo comprimido de 505MB que contém um instalador MSI. A instalação adiciona arquivos ao diretório de inicialização do sistema, permitindo que os atacantes mantenham acesso remoto. A pesquisa da Sophos revelou que o instalador é uma cópia trojanizada que, embora funcione como esperado, implanta uma cadeia de malware PlugX em segundo plano. O Beagle, uma backdoor com comandos limitados, é carregado através do DonutLoader, que é um injetor em memória. A comunicação da backdoor ocorre com um servidor de comando e controle, utilizando criptografia AES para proteger as trocas. A Sophos sugere que os usuários devem garantir que estão baixando o Claude apenas do portal oficial e que a presença de arquivos ‘NOVupdate’ é um forte indicativo de comprometimento.

A Palo Alto Networks alertou seus clientes sobre a exploração de uma vulnerabilidade crítica em seus firewalls PAN-OS, identificada como CVE-2026-0300. Essa falha de execução remota de código foi descoberta no Portal de Autenticação User-ID do PAN-OS e permite que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. Desde 9 de abril de 2026, foram registradas tentativas de exploração, culminando em um ataque bem-sucedido uma semana depois, onde os invasores conseguiram injetar shellcode e realizar limpeza de logs para evitar detecções. Os atacantes utilizaram ferramentas de tunelamento como Earthworm e ReverseSocks5 para estabelecer comunicação clandestina. A Palo Alto Networks informou que está trabalhando em patches, com a expectativa de que as primeiras correções sejam disponibilizadas em 13 de maio. Enquanto isso, a empresa recomenda que os clientes restrinjam o acesso ao Portal de Autenticação ou o desativem, se necessário. A CISA dos EUA também incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades exploradas conhecidas, exigindo que agências federais tomem medidas imediatas para proteger seus dispositivos vulneráveis.

Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) que têm como objetivo oculto a entrega de uma nova família de malware chamada ZiChatBot, afetando sistemas Windows e Linux. Segundo a Kaspersky, embora os pacotes ‘uuid32-utils’, ‘colorinal’ e ’termncolor’ apresentem funcionalidades legítimas, sua verdadeira intenção é disseminar arquivos maliciosos. O malware ZiChatBot se diferencia por não se comunicar com um servidor de comando e controle (C2) tradicional, utilizando em vez disso APIs REST do aplicativo de chat Zulip. Os pacotes foram carregados entre 16 e 22 de julho de 2025, e, ao serem instalados, extraem um dropper DLL no Windows e um dropper de objeto compartilhado no Linux, que se auto-exclui após a execução. A Kaspersky sugere que a campanha pode estar ligada ao grupo de hackers OceanLotus, que já foi observado utilizando métodos semelhantes para comprometer a comunidade de cibersegurança na China. Essa nova abordagem de ataque representa uma evolução nas táticas do grupo, que busca ampliar seu escopo de alvos.

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

Um estudo realizado pela Infoblox e Confiant revelou a existência de aproximadamente 15.500 domínios maliciosos que utilizam técnicas de cloaking para promover fraudes de investimento relacionadas a inteligência artificial (IA) na internet. Essas fraudes se aproveitam de softwares de rastreamento comercial para escalar operações sem a necessidade de construir uma infraestrutura própria. O cloaking permite que o conteúdo prejudicial seja exibido apenas para vítimas específicas, enquanto páginas benignas são mostradas a scanners de segurança. Os golpistas frequentemente promovem plataformas de negociação automatizadas, utilizando termos como ‘Tecnologia de Negociação Inteligente’ e ‘Soluções de Negociação Inteligente’, e recorrem a imagens geradas por deepfake para aumentar a credibilidade das ofertas. Apesar dos esforços de pesquisadores para desativar esses domínios, as operações continuam ativas, com os golpistas rotacionando domínios e reutilizando a mesma infraestrutura. A dificuldade em detectar essas fraudes se deve ao fato de que o conteúdo malicioso só é revelado sob condições específicas, o que torna os sistemas de proteção tradicionais ineficazes.

Recentemente, foram reveladas doze vulnerabilidades críticas na biblioteca vm2 do Node.js, que podem ser exploradas por atacantes para escapar do sandbox e executar código arbitrário em sistemas vulneráveis. A biblioteca vm2 é amplamente utilizada para executar código JavaScript não confiável em um ambiente seguro, mas as falhas de segurança identificadas, como CVE-2026-24118 e CVE-2026-43997, apresentam riscos significativos. As vulnerabilidades têm pontuações de severidade elevadas, com várias delas atingindo 9.8 ou 10 no CVSS, indicando um risco crítico. As versões afetadas incluem até a 3.10.5, e os desenvolvedores são aconselhados a atualizar para a versão 3.11.2 para garantir a proteção adequada. A complexidade de isolar de forma segura o código não confiável em ambientes de sandbox JavaScript é um desafio reconhecido, e novas falhas podem ser descobertas no futuro. A atualização imediata é essencial para mitigar os riscos associados a essas vulnerabilidades.

Um grupo de hackers da Coreia do Norte, conhecido como APT37 ou ScarCruft, comprometeu uma plataforma de jogos voltada para a comunidade coreana em Yanbian, na China, utilizando um malware chamado BirdCall. Este ataque, que começou em 2024, afeta tanto sistemas Windows quanto Android. No Windows, o malware permite roubo de dados, execução de comandos e captura de telas, enquanto no Android, ele pode extrair contatos, mensagens, arquivos de mídia e até áudio ambiente. A plataforma SQgame, que oferece jogos temáticos da região, continua hospedando jogos maliciosos, especialmente para dispositivos Android. O foco do ataque parece ser a população coreana na China, incluindo refugiados e desertores, o que levanta preocupações sobre a segurança de dados pessoais e a privacidade desses indivíduos. A ESET, empresa de segurança cibernética que reportou o incidente, observa que o malware está sendo ativamente mantido, com atualizações frequentes, o que indica um esforço contínuo dos atacantes para explorar essa vulnerabilidade.

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Uma vulnerabilidade crítica foi identificada na biblioteca de sandboxing vm2, amplamente utilizada no Node.js, permitindo que atacantes escapem do ambiente seguro e executem código arbitrário no sistema host. A falha, identificada como CVE-2026-26956, afeta a versão 3.10.4 do vm2, embora versões anteriores também possam estar vulneráveis. O problema ocorre em ambientes que utilizam Node.js 25 com suporte a tratamento de exceções do WebAssembly e JSTag. A biblioteca vm2 é projetada para executar código JavaScript não confiável em um ambiente restrito, mas a manipulação inadequada de exceções permite que objetos de erro do host sejam injetados de volta no sandbox, possibilitando o acesso a APIs sensíveis do Node.js, como o objeto process. O mantenedor da biblioteca recomenda que os usuários atualizem para a versão 3.10.5 ou superior para mitigar os riscos. Essa não é a primeira vez que o vm2 enfrenta problemas de segurança, refletindo os desafios de isolar código não confiável em ambientes JavaScript. Com mais de 1,3 milhão de downloads semanais, a vulnerabilidade representa um risco significativo para plataformas que dependem dessa biblioteca.

Uma nova campanha de phishing está direcionando usuários do ManageWP, plataforma da GoDaddy para gerenciamento de sites WordPress, através de resultados patrocinados no Google. Os atacantes utilizam uma abordagem de adversário no meio (AiTM), onde uma página de login falsa atua como um proxy em tempo real entre a vítima e o serviço legítimo do ManageWP. Essa técnica permite que os criminosos capturem credenciais e, em seguida, solicitem o código de autenticação de dois fatores (2FA) para acessar as contas. Pesquisadores da Guardio Labs alertam que o resultado malicioso aparece acima do legítimo na busca por ‘managewp’, enganando usuários que confiam no Google para acessar o serviço. A campanha já afetou 200 vítimas únicas, e os pesquisadores conseguiram infiltrar a infraestrutura de comando e controle dos atacantes, revelando um sistema interativo de phishing. A plataforma ManageWP é amplamente utilizada, com seu plugin ativo em mais de 1 milhão de sites, o que aumenta a gravidade da ameaça. Os pesquisadores também encontraram um acordo em russo no código, indicando que a operação pode ser parte de uma estrutura de phishing privada.

Pesquisadores de cibersegurança revelaram a existência de uma nova botnet chamada xlabs_v1, derivada do Mirai, que se especializa em atacar dispositivos expostos à Internet que utilizam o Android Debug Bridge (ADB). A descoberta foi feita pela Hunt.io, que identificou um diretório exposto em um servidor na Holanda. A botnet é capaz de realizar ataques de negação de serviço distribuído (DDoS) e oferece 21 variantes de ataque, utilizando protocolos TCP, UDP e outros. O foco principal são dispositivos Android, como caixas de TV e roteadores, que têm o ADB habilitado por padrão. Além disso, a botnet é projetada para coletar informações sobre a largura de banda dos dispositivos comprometidos, permitindo que o operador classifique os dispositivos em diferentes faixas de preço para serviços de DDoS. A operação é considerada de médio porte, mais sofisticada que versões anteriores do Mirai, mas ainda assim acessível a criminosos. A situação é alarmante, especialmente para o setor de jogos, que já foi alvo de ataques semelhantes. A Hunt.io recomenda que operadores de servidores de jogos implementem medidas de mitigação adequadas para se proteger contra esses ataques.

O grupo hacker norte-coreano ScarCruft comprometeu a plataforma de jogos sqgame.net, utilizando um ataque de cadeia de suprimentos para disseminar o malware BirdCall, que transforma jogos em trojans. Inicialmente, o malware afetava apenas usuários do Windows, mas agora também impacta dispositivos Android, conforme relatado pela empresa de cibersegurança ESET. O foco principal dos ataques são coreanos residentes na China, especialmente desertores da Coreia do Norte, que utilizam a plataforma como um meio de comunicação e entretenimento. A campanha foi descoberta em outubro de 2025, mas os jogos infectados ainda estão disponíveis para download. O malware BirdCall permite que os hackers capturem telas, registrem teclas digitadas e acessem arquivos do dispositivo. Embora a versão para desktop não esteja infectada, os APKs disponíveis no site da plataforma estão comprometidos. A evolução do malware, que começou com o RokRAT, destaca a adaptação dos ataques para diferentes sistemas operacionais, incluindo macOS e Android. A situação é preocupante, pois qualquer jogador que tenha baixado os jogos pode estar em risco.

Pesquisadores de segurança da Cisco Talos identificaram uma nova variante do trojan de acesso remoto (RAT) CloudZ, que utiliza um plugin chamado Pheno para explorar a ferramenta Microsoft Phone Link. Essa ferramenta permite que usuários conectem seus dispositivos Android e iOS aos computadores com Windows 10 e 11, facilitando a realização de chamadas e o envio de mensagens. No entanto, o plugin Pheno permite que atacantes interceptem mensagens SMS e senhas temporárias (OTPs) sem precisar comprometer o telefone. Ao monitorar sessões ativas do Phone Link, o malware acessa um banco de dados local que armazena essas informações, comprometendo assim a autenticação de dois fatores (2FA). Os pesquisadores alertam que, embora o Phone Link seja uma funcionalidade útil, sua exploração pode levar a sérias vulnerabilidades de segurança. Eles recomendam que os usuários evitem serviços de OTP baseados em SMS e optem por aplicativos de autenticação que não dependam de notificações interceptáveis. A Cisco Talos ainda não conseguiu determinar como os usuários foram infectados, mas enfatiza a necessidade de precauções adicionais para proteger informações sensíveis.

O webinar “Do alerta à contenção: Corrigindo as falhas na resposta a incidentes de rede”, promovido pela BleepingComputer, abordará as razões pelas quais a resposta a incidentes falha em ambientes reais e como as organizações podem fechar essas lacunas utilizando fluxos de trabalho inteligentes que combinam automação e inteligência artificial. Apesar de ferramentas de segurança e monitoramento gerarem um fluxo constante de alertas, muitas equipes ainda dependem de triagem e coordenação manuais sob pressão, o que pode atrasar a resposta e permitir que problemas isolados se transformem em interrupções de serviço mais amplas. O Tines, plataforma de fluxo de trabalho inteligente, ajuda as equipes de segurança e TI a orquestrar a resposta a incidentes, enriquecendo alertas com contexto relevante e automatizando ações-chave entre sistemas. Durante o webinar, os participantes aprenderão a transitar de processos de resposta fragmentados para fluxos de trabalho coordenados, reduzindo os tempos de resposta e prevenindo a escalada de incidentes. O evento abordará como os incidentes de rede evoluem, onde ocorrem as falhas na triagem e enriquecimento, e técnicas para priorizar e direcionar incidentes sem intervenção manual.

O grupo de hackers iranianos MuddyWater disfarçou suas operações como um ataque de ransomware Chaos, utilizando engenharia social via Microsoft Teams para obter acesso e estabelecer persistência em sistemas. O ataque envolveu roubo de credenciais, acesso remoto, exfiltração de dados e envio de e-mails de extorsão, mas a Rapid7 acredita que o componente de ransomware foi uma estratégia para ocultar a verdadeira operação de ciberespionagem e dificultar a atribuição do ataque. A análise sugere que o objetivo principal não era o ganho financeiro, mas sim a espionagem. A Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo associado ao Ministério da Inteligência e Segurança do Irã, com base em sobreposição de infraestrutura e técnicas operacionais. O ataque começou com engenharia social no Microsoft Teams, onde os hackers iniciaram chats com funcionários, manipularam configurações de autenticação multifator e implantaram ferramentas de acesso remoto. Após comprometer contas, os atacantes utilizaram um loader de malware para implantar um backdoor disfarçado, que possui funcionalidades avançadas para execução de comandos e acesso persistente. Este incidente destaca a convergência entre atividades de intrusão patrocinadas por estados e técnicas criminosas.

A Disc Soft Limited, desenvolvedora do DAEMON Tools Lite, confirmou que o software foi comprometido em um ataque à cadeia de suprimentos, resultando na liberação de uma versão trojanizada. A empresa anunciou que já corrigiu a vulnerabilidade e lançou a versão 12.6, livre de malware, em 5 de maio. O ataque, que afetou usuários que baixaram a versão 12.5.1 desde 8 de abril, permitiu que hackers instalassem um backdoor em milhares de sistemas em mais de 100 países, incluindo Brasil, Rússia e Alemanha. O malware inicial coletava dados do sistema e, em alguns casos, um backdoor mais avançado foi implantado, permitindo execução de comandos e download de arquivos. A Disc Soft removeu a versão comprometida e recomenda que os usuários afetados desinstalem o software, realizem uma varredura completa com antivírus e instalem a nova versão. A Kaspersky, que investigou o incidente, destacou que o malware afetou organizações de diversos setores e que a nova versão do DAEMON Tools não apresenta mais comportamentos maliciosos.

Um novo relatório da Gartner destaca que a adoção de agentes de inteligência artificial (IA) nas empresas está avançando mais rapidamente do que as políticas de governança podem acompanhar. Esses agentes operam de maneira contínua, acessando múltiplas aplicações e gerando atividades em alta velocidade, o que resulta em uma camada invisível de atividade de identidade, chamada de ‘matéria escura de identidade’. Segundo a Orchid Security, cerca de 50% das atividades de identidade nas empresas ocorrem fora da visibilidade dos sistemas tradicionais de gerenciamento de identidade e acesso (IAM).

O artigo da The Hacker News anuncia o lançamento do Cybersecurity Stars Awards 2026, um programa global que visa reconhecer a excelência na indústria de cibersegurança. Com quase 20 anos de cobertura de incidentes de segurança, a publicação agora busca destacar o trabalho invisível de líderes e equipes que constroem defesas eficazes e mantêm a segurança cibernética. As inscrições estão abertas para empresas, produtos e profissionais que desejam ser reconhecidos por suas contribuições significativas. O prêmio abrange quatro categorias principais: Produto/Serviço de Cibersegurança, Solução da Indústria de Cibersegurança, Empresa de Cibersegurança e Profissional/Equipe de Cibersegurança. O processo de inscrição é simples e visa proporcionar visibilidade a quem atua na área, com um processo de avaliação imparcial. O reconhecimento é importante, pois gera credibilidade e valor a longo prazo para os fornecedores. As inscrições vão até 15 de maio de 2026, com os vencedores sendo anunciados em 26 de maio de 2026.

O grupo de hackers iraniano MuddyWater, também conhecido como Mango Sandstorm, foi responsabilizado por um ataque de ransomware que se caracteriza como uma operação de “falsa bandeira”. Observado pela Rapid7 no início de 2026, o ataque utilizou técnicas de engenharia social através do Microsoft Teams para iniciar a infecção. Embora inicialmente parecesse um ataque típico de ransomware-as-a-service (RaaS), as evidências sugerem que se tratou de um ataque direcionado, disfarçado de extorsão oportunista. Os atacantes utilizaram compartilhamento de tela interativo para coletar credenciais e manipular a autenticação multifatorial (MFA). Em vez de criptografar arquivos, o grupo optou pela exfiltração de dados e persistência a longo prazo usando ferramentas de gerenciamento remoto como DWAgent. O uso de ferramentas disponíveis no submundo do cibercrime, como CastleRAT e Tsundere, indica uma tentativa de dificultar a atribuição do ataque. O grupo Chaos, que opera sob um modelo de dupla extorsão, também foi mencionado, destacando a convergência entre atividades patrocinadas por estados e táticas de cibercrime. Este incidente ressalta a necessidade de atenção redobrada por parte das empresas, especialmente em setores críticos, devido ao potencial impacto na segurança e conformidade com a LGPD.

O estado de Utah, nos Estados Unidos, está implementando uma legislação que visa regular o uso de VPNs como parte de suas leis de verificação de idade, tornando-se o primeiro estado a adotar tal medida. Especialistas em direitos digitais expressam preocupação com o impacto dessa legislação na privacidade online dos cidadãos. O uso de VPNs é essencial para proteger dados pessoais contra provedores de internet, garantir segurança em conexões Wi-Fi públicas e facilitar o streaming de conteúdo. Para os residentes de Utah, é crucial escolher um VPN que ofereça servidores locais, desempenho robusto e segurança rigorosa. Entre as opções recomendadas estão o NordVPN, que se destaca pela velocidade e segurança, o ExpressVPN, conhecido por sua proteção e cobertura ampla, e o Private Internet Access (PIA), que é uma alternativa mais econômica. Cada um desses serviços oferece características específicas que atendem às necessidades dos usuários em Utah, especialmente em um cenário de crescente vigilância estatal.

Um estudo recente do LinkedIn destaca que os jovens em busca de emprego, especialmente da geração Z, estão cada vez mais vulneráveis a fraudes de emprego. Apesar de uma crescente conscientização sobre os sinais de golpes, cerca de 32% dos jovens admitiram ignorar esses alertas devido à escassez de oportunidades de trabalho. O estudo revela que 40% dos trabalhadores da geração Z já caíram em fraudes, em comparação com 27% da geração X. A pressão para conseguir um emprego faz com que muitos não questionem chamadas de recrutadores desconhecidos ou decisões apressadas. Os golpistas estão se afastando de plataformas confiáveis e direcionando os candidatos para aplicativos de mensagens pessoais, com 90% das tentativas de golpe seguindo essa tendência. O LinkedIn recomenda que os candidatos avaliem cuidadosamente qualquer processo que pareça apressado ou vago e que desconfiem de recrutadores que tentem mover a conversa para fora da plataforma. A empresa está comprometida em bloquear contas falsas e mensagens fraudulentas antes que cheguem aos usuários, além de promover ferramentas de verificação para aumentar a segurança na plataforma.

A Palo Alto Networks alertou seus clientes sobre uma vulnerabilidade crítica não corrigida no Portal de Autenticação User-ID do PAN-OS, que está sendo explorada em ataques. Conhecida como Captive Portal, essa funcionalidade do PAN-OS autentica usuários cujas identidades não podem ser mapeadas automaticamente pelo firewall. A falha, rastreada como CVE-2026-0300, é um bug de zero-day resultante de uma vulnerabilidade de estouro de buffer, permitindo que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à internet. A Palo Alto Networks observou uma exploração limitada direcionada a Portais de Autenticação User-ID expostos a endereços IP não confiáveis e à internet pública. A empresa recomenda que os clientes restrinjam o acesso ao portal a zonas confiáveis ou desativem a funcionalidade até que um patch esteja disponível. Atualmente, mais de 5.800 firewalls VM-Series estão expostos online, com a maioria localizada na Ásia e na América do Norte. A Palo Alto Networks, que atende mais de 70.000 clientes globalmente, está trabalhando para resolver essa vulnerabilidade crítica.

A Palo Alto Networks emitiu um alerta sobre uma vulnerabilidade crítica de buffer overflow em seu software PAN-OS, identificada como CVE-2026-0300. Essa falha permite a execução remota de código não autenticado, com um CVSS de 9.3, caso o portal de autenticação User-ID esteja acessível pela internet. A gravidade diminui para 8.7 se o acesso for restrito a endereços IP internos confiáveis. A vulnerabilidade afeta versões específicas do PAN-OS, incluindo 12.1, 11.2, 11.1 e 10.2, e está sendo explorada em ambientes onde o portal é publicamente acessível. A Palo Alto Networks planeja lançar correções a partir de 13 de maio de 2026, mas até lá, recomenda que os usuários restrinjam o acesso ao portal ou o desativem completamente, se não for necessário. A empresa enfatiza que seguir boas práticas de segurança pode reduzir significativamente o risco de exploração.

Pesquisadores de cibersegurança da Cisco Talos divulgaram detalhes sobre uma intrusão que utiliza a ferramenta de acesso remoto CloudZ RAT e um plugin não documentado chamado Pheno, com o objetivo de roubar credenciais de usuários. O ataque se destaca por explorar a aplicação Microsoft Phone Link, que permite a sincronização entre dispositivos, para interceptar dados sensíveis, como senhas e códigos de autenticação de dois fatores (OTPs), sem a necessidade de comprometer o dispositivo móvel.

O Google anunciou a expansão da Transparência Binária para o Android, uma iniciativa que visa proteger o ecossistema de ataques à cadeia de suprimentos. Essa nova abordagem, que se baseia na Transparência Binária do Pixel, introduz um registro público criptográfico que garante que os aplicativos do Google em dispositivos Android sejam exatamente o que a empresa pretende distribuir. A Transparência Binária é uma resposta a ataques que injetam código malicioso em canais de atualização de software, mantendo as assinaturas digitais intactas. Um exemplo recente é o comprometimento de instaladores do DAEMON Tools, que distribuíam um backdoor disfarçado. O Google enfatiza que confiar apenas na assinatura digital não é mais suficiente, pois ela não garante que o binário foi realmente o que o autor pretendia liberar. Com a nova medida, todos os aplicativos do Google lançados após 1º de maio de 2026 terão uma entrada criptográfica correspondente, permitindo que usuários e pesquisadores verifiquem a autenticidade do software. Essa iniciativa é um passo importante para aumentar a segurança e a privacidade dos usuários, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Um estudante universitário de 23 anos em Taiwan foi preso por interferir no sistema de comunicação TETRA, utilizado pela rede ferroviária de alta velocidade do país (THSR). Em 5 de abril, ele paralisou quatro trens por 48 minutos ao transmitir um sinal de ‘Alarme Geral’ usando rádios manuais e equipamentos de rádio definidos por software (SDR). O THSR, que opera uma linha de 350 km com trens que alcançam até 300 km/h, transporta anualmente 81,8 milhões de passageiros, sendo um serviço vital e subsidiado pelo governo. O estudante, identificado pelo sobrenome Lin, interceptou e decodificou parâmetros do sistema TETRA, que não foram atualizados em 19 anos, permitindo que ele burlasse sete camadas de verificação. A polícia prendeu Lin após rastrear o sinal de rádio não autorizado até sua residência, onde foram encontrados 11 rádios manuais, um SDR e um laptop. Ele enfrenta acusações sob o Artigo 184 da Lei Penal, com pena de até 10 anos de prisão, e atualmente está sob fiança de NT$100.000. A defesa alega que a transmissão foi acidental, mas as autoridades consideram essa justificativa pouco convincente.

Desde 8 de abril, hackers têm distribuído instaladores trojanizados do software DAEMON Tools, resultando em uma infecção em milhares de sistemas em mais de 100 países. O ataque de supply chain, que ainda está em andamento, afetou principalmente organizações de varejo, científicas, governamentais e de manufatura na Rússia, Belarus e Tailândia. As versões comprometidas incluem DAEMON Tools de 12.5.0.2421 a 12.5.0.2434, com os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe sendo os principais alvos. Após a instalação, o malware coleta informações do sistema e pode baixar e executar cargas adicionais. Em alguns casos, um backdoor mais avançado, chamado QUIC RAT, foi implantado, permitindo a injeção de código malicioso em processos legítimos. A Kaspersky, que está monitorando o ataque, alerta que a complexidade do incidente exige que as organizações verifiquem máquinas que tiveram o DAEMON Tools instalado para atividades anômalas desde a data do ataque. Embora não tenha sido atribuído a um ator específico, acredita-se que os atacantes falem chinês. O ataque destaca a crescente preocupação com a segurança da cadeia de suprimentos, que tem sido uma tendência crescente em 2023.

Um ataque cibernético à Instructure, empresa de tecnologia educacional conhecida pelo sistema de gerenciamento de aprendizagem Canvas, resultou no roubo de 280 milhões de registros de estudantes e funcionários de 8.809 instituições de ensino. A gangue de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, que expôs nomes, endereços de e-mail e mensagens privadas dos usuários. A Instructure confirmou a violação de dados e está investigando o incidente, mas não respondeu a solicitações de esclarecimento. As informações foram supostamente extraídas utilizando recursos de exportação de dados do Canvas, como consultas DAP e APIs de usuários, resultando em centenas de gigabytes de dados comprometidos. Universidades como a Universidade do Colorado Boulder e Rutgers já emitiram alertas sobre o impacto potencial, enquanto outras instituições estão em processo de verificação. A situação destaca a vulnerabilidade de plataformas amplamente utilizadas em ambientes educacionais e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Um novo malware, denominado Quasar Linux (QLNX), foi identificado como uma ameaça significativa aos sistemas de desenvolvedores, combinando funcionalidades de rootkit, backdoor e roubo de credenciais. O QLNX é implantado em ambientes de desenvolvimento e DevOps, como npm, PyPI, GitHub, AWS, Docker e Kubernetes, possibilitando ataques à cadeia de suprimentos ao publicar pacotes maliciosos em plataformas de distribuição de código. Pesquisadores da Trend Micro descobriram que o malware é capaz de compilar dinamicamente objetos compartilhados de rootkit e módulos de backdoor PAM diretamente no sistema alvo, utilizando o compilador GNU (gcc).

No dia 30 de abril de 2026, a OpenAI anunciou o lançamento da Segurança Avançada de Conta (AAS), uma nova camada de proteção opcional para usuários do ChatGPT. Desenvolvida em colaboração com a Yubico, a AAS introduz duas novas chaves de segurança, a YubiKey C NFC e a YubiKey C Nano, que visam proteger especialmente indivíduos em situações de risco, como dissidentes políticos, jornalistas e pesquisadores. Essas chaves de segurança funcionam como dispositivos de hardware que se conectam às contas digitais via USB, garantindo que apenas o usuário original possa acessar a conta. A OpenAI destaca que, embora essas medidas aumentem a segurança contra ataques de phishing, que têm se tornado cada vez mais sofisticados, a perda da chave pode resultar na perda permanente de acesso à conta e aos dados armazenados. O aumento da segurança é uma resposta à crescente ameaça de cibercriminosos que visam informações valiosas em plataformas de chatbot, tornando a implementação dessas medidas uma prioridade para usuários que lidam com dados sensíveis.