ClickLock Stealer tenta enganar usuários da Apple a revelarem senhas

Pesquisadores da Group-IB descobriram um novo infostealer chamado ClickLock, que tem como alvo usuários do macOS, especialmente na Europa. Este malware utiliza engenharia social agressiva, exibindo repetidamente um prompt de login e encerrando aplicativos essenciais a cada 210 milissegundos, tornando o dispositivo praticamente inoperante. O objetivo é forçar a vítima a fornecer suas credenciais. Uma vez obtidas, o ClickLock exfiltra uma variedade de dados sensíveis, incluindo informações de navegadores, carteiras de criptomoedas, entradas de gerenciadores de senhas e configurações de FTP, utilizando a API do Telegram para enviar os dados. Desde seu surgimento em maio de 2026, o ClickLock foi detectado em 33 países, com a maioria dos casos na Europa, e inicialmente passou despercebido por soluções de segurança. Este incidente destaca a vulnerabilidade dos usuários de macOS a ataques que não requerem exploração técnica, mas sim manipulação psicológica.

Moonshot revela novo modelo de IA Kimi K3, uma ameaça para OpenAI

A Moonshot, uma empresa chinesa emergente no setor de inteligência artificial, lançou o modelo Kimi K3, que promete ser um forte concorrente para gigantes como OpenAI e Anthropic. Com impressionantes 2,8 trilhões de parâmetros, o Kimi K3 é classificado como o primeiro modelo ‘open weight’ de 3T, permitindo que qualquer usuário o execute sem custos, embora exija hardware potente. Segundo a empresa, o modelo supera a maioria dos concorrentes, exceto por Claude Fable 5 e GPT-5.6. A Moonshot destaca o Kimi K3 como ideal para tarefas de programação e raciocínio, o que representa uma ameaça significativa para os líderes de mercado, especialmente considerando que a empresa cobra preços competitivos. A introdução deste modelo levanta preocupações sobre a segurança e a ética no desenvolvimento de IA, especialmente em um contexto onde a acusação de roubo de tecnologia por parte de empresas chinesas está em pauta. O lançamento do Kimi K3 pode acelerar a competição no setor, mas também suscita questões sobre a supervisão e a regulamentação da IA, especialmente em relação à conformidade com a LGPD no Brasil.

Proxies residenciais uma nova camada na simulação de identidade

Os proxies residenciais deixaram de ser apenas ferramentas de anonimato em círculos de carding, sendo agora considerados parte de uma estrutura mais complexa de simulação de identidade. Pesquisadores da Flare analisaram 2.889 postagens em fóruns underground nos últimos dois anos, revelando que os endereços IP residenciais são essenciais, mas não mais confiáveis por si só. Os carders estão se tornando mais seletivos, buscando combinar a geografia do IP com dados de identidade roubados e utilizando navegadores antidetectores para criar identidades digitais convincentes. A pesquisa destaca que a reputação dos proxies é dinâmica e influenciada pelo uso coletivo, levando a uma divisão entre proxies ’limpos’ e ‘sujos’. Além disso, as restrições impostas por provedores de proxies estão criando um mercado secundário para IPs residenciais que possam acessar serviços financeiros. A análise sugere que, embora os proxies residenciais sejam uma parte crucial do ecossistema de carding, sua fragilidade está aumentando, exigindo que as defesas considerem o tráfego residencial como contexto, e não como prova de legitimidade.

Ernst Young notifica clientes sobre violação de dados

A Ernst & Young (EY), uma das quatro maiores empresas de auditoria e serviços profissionais do mundo, notificou seus clientes sobre uma violação de dados resultante da comprometimento de um sistema de suporte de terceiros utilizado por sua equipe de TI. A empresa informou que os tickets de suporte submetidos através dessa plataforma podem ter incluído documentos com informações fiscais de clientes. A violação foi detectada em 23 de abril, após a EY observar atividades anômalas em suas redes. Uma investigação revelou que um terceiro não autorizado acessou a plataforma entre 28 de março e 12 de abril, baixando múltiplos documentos que continham dados pessoais e financeiros. Embora a EY tenha assegurado que o acesso não autorizado foi removido e que não há indícios de uso indevido das informações, a empresa não divulgou quantos clientes foram afetados nem se a violação impactou apenas sua base de clientes nos EUA. Para mitigar os riscos, a EY está oferecendo 24 meses de monitoramento de identidade e serviços de restauração através da Experian. Até o momento, nenhum grupo de extorsão de dados ou ransomware reivindicou a responsabilidade pelo ataque.

Forças Armadas e a Infraestrutura de Informação Confiável

As forças militares dos EUA, Reino Unido e OTAN estão sob crescente pressão para implementar capacidades autônomas rapidamente. O foco agora se volta para a infraestrutura de informação confiável que permite a operação conjunta em alta velocidade. Sistemas autônomos, como aeronaves e embarcações não tripuladas, dependem de dados que precisam ser trocados de forma segura e eficiente entre plataformas e aliados. A transformação da defesa está em andamento, com investimentos significativos em capacidades autônomas e modernização. A nova fase da defesa não se limita apenas à quantidade de sistemas autônomos, mas à eficácia da troca de informações confiáveis entre eles. A construção de uma infraestrutura de informação confiável é essencial para garantir que esses sistemas operem em conjunto com confiança. A separação de hardware, uma abordagem que estabelece confiança na lógica do hardware, é uma solução que pode facilitar essa integração. A empresa Everfox se destaca ao oferecer uma plataforma que permite a troca segura de informações críticas entre sistemas, ajudando as organizações de defesa a adotar capacidades autônomas rapidamente, mantendo a interoperabilidade e a segurança necessárias para as missões modernas.

Comissão Europeia impõe novas regras para assistentes de IA no Android

A Comissão Europeia determinou que o Google deve conceder a assistentes de IA rivais acesso igualitário a recursos do Android, como câmera e microfone, até a versão Android 18, com prazo final em 1º de agosto de 2027. Essa decisão faz parte da aplicação da Lei de Mercados Digitais e visa aumentar a concorrência no setor de assistentes virtuais. Além disso, o Google deve compartilhar dados de pesquisa anonimizados com motores de busca concorrentes e chatbots de IA, sem multas envolvidas. O acesso a cinco funcionalidades do sistema operacional será restrito, exigindo certificação, enquanto outras seis estarão disponíveis para todos os aplicativos. A nova regulamentação também estabelece um programa de certificação para assistentes de IA, que deve ser gratuito e não discriminatório. O Google expressou preocupações sobre a segurança dos dispositivos, argumentando que a decisão pode comprometer a proteção dos usuários. A mudança pode impactar cerca de 60% dos usuários móveis na Europa, refletindo uma tendência crescente de regulamentação em tecnologia e proteção de dados.

Ameaça de cibersegurança hackers norte-coreanos usam esteganografia

Atuando sob a campanha Contagious Interview, hackers associados à Coreia do Norte têm utilizado esteganografia em arquivos de imagem SVG para ocultar cargas maliciosas. A campanha, que visa principalmente desenvolvedores de software, se aproveita de postagens de emprego falsas e desafios de programação para disseminar malware. Os usuários que interagem com essas postagens acabam executando um payload em quatro etapas, que inclui um ladrão de credenciais de navegador e carteiras de criptomoedas, um ladrão de arquivos, um trojan de acesso remoto baseado em Socket.IO e um ladrão de clipboard. A pesquisa da Elastic Security Labs revelou que a campanha foi identificada após ataques a membros de um workspace no Slack, onde mensagens enganosas buscavam desenvolvedores experientes. Os repositórios de código distribuídos contêm código funcional, mas também incorporam código malicioso disfarçado em imagens SVG, evitando a detecção. O malware, chamado OtterCookie, evoluiu para um programa modular capaz de roubar dados de forma abrangente, incluindo informações de carteiras de criptomoedas e extensões de ferramentas de codificação de inteligência artificial. Essa campanha destaca a vulnerabilidade dos desenvolvedores e a necessidade de proteção contra ataques direcionados que podem comprometer toda a cadeia de suprimentos.

Windows 10 ainda opera em um em cada seis PCs e isso pode ser um problema de segurança

Um estudo recente da Lansweeper revela que 16,9% dos dispositivos Windows ainda operam com o Windows 10, o que representa um em cada seis PCs. Embora o Windows 11 tenha conquistado 78,8% do mercado, a migração para a nova versão está desacelerando, o que levanta preocupações de segurança. Dispositivos com Windows 10 apresentam, em média, três vezes mais vulnerabilidades conhecidas (CVEs) ativas do que os que utilizam Windows 11. Aproximadamente dois terços dessas vulnerabilidades são classificadas como altas ou críticas, e a taxa de exploração é 1,7 vezes maior em comparação ao Windows 11. O programa de Atualizações de Segurança Estendidas (ESU) da Microsoft oferece proteção até outubro de 2027 para consumidores e até outubro de 2028 para clientes comerciais, mas a situação é alarmante, especialmente em setores como saúde, varejo e manufatura, onde 23% dos dispositivos ainda utilizam o Windows 10. A análise também indica que apenas 2,8% dos dispositivos não atendem aos requisitos de hardware do Windows 11, sugerindo que a resistência à atualização não é apenas uma questão técnica, mas também de custo e complexidade. Com o fim iminente do suporte, é crucial que as empresas considerem a atualização para evitar riscos de segurança.

CISA ordena correção de falhas críticas no Fortinet FortiSandbox

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais priorizem a correção de duas vulnerabilidades críticas no Fortinet FortiSandbox, identificadas como CVE-2026-39808 e CVE-2026-25089. Essas falhas, que permitem a execução remota de código não autorizado por atacantes não autenticados, foram corrigidas pela Fortinet em abril e junho de 2023. Apesar de a empresa não ter confirmado o uso dessas vulnerabilidades em ataques, a empresa de inteligência Defused relatou que elas estão sendo exploradas ativamente. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas e, conforme a Diretiva Operacional Vinculativa (BOD) 26-04, as agências federais dos EUA devem aplicar os patches até 19 de julho. Fortinet já enfrentou problemas semelhantes anteriormente, com outras vulnerabilidades críticas sendo exploradas em campanhas de espionagem cibernética e ataques de ransomware. A situação exige atenção imediata dos administradores de sistemas para evitar possíveis compromissos de segurança.

Homem e mulher de Nova York acusados de lavagem de dinheiro cibernético

Na quinta-feira, promotores dos EUA acusaram um homem e uma mulher de Nova York por envolvimento em uma rede criminosa que lavou dinheiro proveniente de fraudes de investimento cibernético. Zhuoying Chen, de 27 anos, e Haojie Zhang, de 38 anos, supostamente gerenciaram uma rede com mais de uma dúzia de pessoas em Queens e Brooklyn entre 2020 e 2022. Segundo a acusação, eles transferiram pelo menos 43 milhões de dólares de lucros de fraudes para contas bancárias na China, utilizando 140 contas bancárias sob cerca de 45 empresas de fachada. Os esquemas envolviam criminosos que contatavam vítimas por meio de redes sociais, criando confiança e persuadindo-as a investir em oportunidades fraudulentas. O diretor associado da Investigação de Segurança Nacional, John A. Condon, destacou que a rede operou por quase dois anos, permitindo que golpistas continuassem a prejudicar cidadãos americanos. Se condenados por conspiração para lavagem de dinheiro, Chen e Zhang podem enfrentar até 20 anos de prisão. O relatório de crimes cibernéticos do FBI de 2025 indicou que fraudes de investimento representaram 49% de todos os incidentes de golpes no ano passado, resultando em perdas de 8,6 bilhões de dólares.

Windows Server 2022 terá suporte estendido até 2031

A Microsoft anunciou que o Windows Server 2022 atingirá o fim do suporte mainstream em outubro de 2026, mas continuará recebendo atualizações de segurança por mais cinco anos, até outubro de 2031, no suporte estendido. Lançado em setembro de 2021, o Windows Server 2022 faz parte do Long-Term Servicing Channel (LTSC) e oferece um total de 10 anos de suporte. Após o fim do suporte mainstream, a Microsoft recomenda que os clientes atualizem para o Windows Server 2025, que estará disponível a partir de novembro de 2024. O Windows Server 2025 também terá um ciclo de suporte de 10 anos, com o fim do suporte programado para novembro de 2029 e suporte estendido até novembro de 2034. A Microsoft também anunciou a extensão do hotpatching do Windows Server 2022 até outubro de 2027, além de um ano adicional para o programa de Atualizações de Segurança Estendidas (ESU) do Windows 10. A empresa enfatiza a importância de planejar a atualização para garantir a proteção e o suporte contínuo dos ambientes de TI.

Exploit LegacyHive permite elevação de privilégios no Windows

Um pesquisador de segurança conhecido como Nightmare Eclipse divulgou um exploit zero-day para Windows, chamado LegacyHive, que permite a elevação de privilégios em sistemas Windows atualizados. O exploit foi publicado logo após a atualização de segurança de julho de 2026 da Microsoft e explora uma vulnerabilidade no Serviço de Perfis de Usuário do Windows, que ainda não possui um ID CVE. Diferente de exploits anteriores, o LegacyHive requer credenciais adicionais, dificultando sua utilização por atacantes. O pesquisador explica que o exploit exige credenciais de um usuário padrão e um terceiro nome de usuário, que pode ser uma conta de administrador. Se bem-sucedido, o exploit permite que usuários não administradores modifiquem o hive de registro de classes, possibilitando a execução automática de código quando a conta de administrador acessa o sistema comprometido. Especialistas em cibersegurança já começaram a desenvolver consultas para detectar a exploração do LegacyHive em plataformas de segurança como o Microsoft Defender. A Microsoft, por sua vez, alertou sobre possíveis ações legais contra atividades maliciosas, o que sugere uma resposta direta às divulgações do pesquisador.

Falha crítica no Microsoft SharePoint Server exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-58644, possui uma pontuação CVSS de 9.8 e permite que atacantes não autorizados executem código arbitrário. A vulnerabilidade pode ser explorada remotamente, com um nível de complexidade baixo, pois não requer conhecimento prévio significativo do sistema. As versões afetadas incluem o Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. A Microsoft lançou patches para corrigir a falha em 14 de julho de 2026, mas a CISA alertou que a vulnerabilidade já estava sendo explorada ativamente antes da disponibilização das correções. Além disso, a CISA destacou a necessidade de aplicar as últimas atualizações de segurança, verificar a integração do Antimalware Scan Interface (AMSI) e evitar a exposição direta dos servidores SharePoint à internet. A situação é crítica, pois envolve a possibilidade de acesso não autorizado a instâncias locais do SharePoint, o que pode resultar em roubo de dados e instalação de malware.

Malware GoSerpent ataca entidades na Ásia com espionagem cibernética

Pesquisadores de cibersegurança descobriram um malware inédito chamado GoSerpent, que tem sido utilizado em ataques cibernéticos direcionados a entidades no Sudeste Asiático desde o final de 2025. A empresa russa Kaspersky identificou a atividade em fevereiro de 2026, revelando que o malware visa principalmente entidades governamentais e diplomáticas na região. O GoSerpent é projetado para se conectar a um servidor externo e implantar cargas secundárias para coleta de dados sensíveis e extração de credenciais do sistema.

ACR Stealer Malware que rouba dados de redes corporativas

O ACR Stealer, um infostealer ativo desde 2024, tem se mostrado uma ameaça significativa para redes corporativas, conseguindo roubar senhas de navegadores, tokens de sessão, documentos do Microsoft 365 e arquivos de pastas sincronizadas do OneDrive e SharePoint. A infecção ocorre quando um usuário cola um comando na caixa de execução do Windows e pressiona Enter, um vetor que não requer exploração de vulnerabilidades. A Microsoft identificou duas cadeias de entrega do malware, sendo uma delas baseada em memória e a outra gravando arquivos no disco. Ambas as cadeias utilizam iscas de ClickFix para enganar os usuários e facilitar o roubo de credenciais e documentos sensíveis. O ataque pode ser iniciado por meio de malvertising ou resultados de busca manipulados, levando os usuários a páginas que imitam assistentes de IA. A Microsoft recomenda que as vítimas revoguem tokens e não apenas alterem senhas. O ACR Stealer, que foi rebatizado como Amatera Stealer, é associado a um ator conhecido como SheldIO, que comercializou o malware em fóruns de língua russa. A detecção e mitigação desse malware exigem ações proativas das equipes de segurança, incluindo a remoção do prompt de execução e o bloqueio de executáveis suspeitos.

Novo malware OkoBot rouba dados sensíveis e criptomoedas

Um novo framework malicioso chamado OkoBot está em operação, entregando mais de 20 tipos de payloads em ataques que visam roubar frases-semente de carteiras de criptomoedas, credenciais e outros dados sensíveis. O OkoBot atinge suas vítimas por meio de ataques ClickFix ou repositórios maliciosos no GitHub que se disfarçam como ferramentas de software legítimas. Um exemplo é um repositório que prometia o SQL Server Management Studio (SSMS), mas na verdade instalava uma versão trojanizada do Audacity. Pesquisadores da Kaspersky identificaram que a campanha OkoBot está ativa há mais de um ano e evoluiu de uma atividade anterior que utilizava um script PowerShell malicioso chamado TookPS. A nova cadeia de infecção envolve múltiplas etapas, começando com o TookPS que instala um bot SSH para entregar outros componentes maliciosos. O OkoBot coleta detalhes do sistema, desativa notificações do Windows Defender e rouba arquivos de carteiras de criptomoedas, cookies de navegadores e credenciais de contas. Entre os módulos mais notáveis estão o ext daemon/extl.exe, que injeta extensões maliciosas no Chrome, e o SeedHunter, que finge ser uma tela de recuperação de seed para roubar frases de recuperação de carteiras. A maioria das vítimas está no Brasil, seguido por países como Vietnã, Canadá e México. A campanha é global, mas apresenta características que sugerem a atuação de um ator de ameaças de língua russa.

Vulnerabilidade na extensão Claude do Chrome pode comprometer serviços

Uma falha na extensão Claude para o navegador Chrome, desenvolvida pela Anthropic, pode permitir que extensões maliciosas acionem ações de IA pré-definidas ao simular cliques de usuários. Essa vulnerabilidade foi descoberta por Ax Sharma, da Manifold Security, e se origina na forma como a extensão verifica se um usuário realmente solicitou uma de suas tarefas integradas. As extensões do Chrome têm permissão para injetar JavaScript nas páginas, o que lhes permite modificar conteúdos e gerar eventos de clique programaticamente. A extensão Claude escuta eventos de clique em elementos específicos para iniciar fluxos de trabalho que interagem com serviços como Gmail, Google Docs e Salesforce. No entanto, a Claude não valida se os cliques são de usuários reais, o que permite que uma extensão maliciosa, uma vez instalada, manipule a página e execute ações sem consentimento. Embora a falha não permita injeção arbitrária de comandos, ela pode ser explorada para abusar do acesso autenticado da Claude a serviços conectados. A Anthropic foi notificada sobre a vulnerabilidade e reconheceu a gravidade do problema, mas a falha ainda persiste na versão mais recente da extensão, lançada em 7 de julho. Essa situação destaca a necessidade de uma vigilância contínua e de testes rigorosos de segurança em extensões de navegador.

Coca-Cola enfrenta ataque de ransomware em sua subsidiária Fairlife

A Coca-Cola Company anunciou hoje que um ataque de ransomware afetou sua subsidiária Fairlife, responsável pela produção de laticínios, resultando na suspensão temporária da produção de seus produtos nos Estados Unidos. Em um comunicado à SEC, a empresa informou que a Fairlife detectou acesso não autorizado a alguns de seus sistemas, incluindo aqueles relacionados à produção. Após a detecção do problema, a Coca-Cola ativou rapidamente seus protocolos de resposta a incidentes e continuidade de negócios. A investigação sobre o impacto do ataque está em andamento, com a ajuda de consultores externos e especialistas em cibersegurança, e a empresa também notificou as autoridades policiais. Embora a qualidade e a segurança dos produtos não tenham sido comprometidas, a produção nas instalações dos EUA foi suspensa enquanto a empresa trabalha para restaurar os sistemas afetados. A produção no Canadá não foi impactada. Até o momento, não há informações sobre a possível extorsão ou se dados foram roubados durante o ataque, e nenhum grupo de ransomware reivindicou a responsabilidade pelo incidente.

Novo malware ClickLock rouba informações de usuários do macOS

Um novo malware para macOS, chamado ClickLock, foi identificado como uma ameaça significativa, projetado para roubar ativos de criptomoeda, credenciais de login e dados de gerenciadores de senhas. A análise da Group-IB revelou que o malware força os usuários a inserir suas senhas de login do sistema, utilizando engenharia social e um loop de interação forçada. O ataque começa com um comando malicioso no Terminal, que ativa uma sequência falsa de verificação de ‘humano’ da Cloudflare, enquanto oculta o cursor e desativa interrupções do teclado. Caso o usuário cancele a entrada da senha, o malware se torna persistente através de LaunchAgents, reiniciando a cada login e exibindo um diálogo de senha até que o usuário ceda. O ClickLock também coleta dados de navegadores, senhas armazenadas e informações de carteiras de criptomoedas, enviando tudo para o atacante via Telegram. A detecção do malware é dificultada por sua capacidade de se auto-excluir após a execução e por estar hospedado em domínios legítimos comprometidos. Para se proteger, os usuários devem evitar comandos desconhecidos no Terminal e, se necessário, forçar o desligamento do sistema. A Group-IB alerta que a janela de detecção é estreita, exigindo atenção redobrada dos usuários e administradores de sistemas.

Dois hackers são condenados por ataque cibernético ao TfL

O Woolwich Crown Court condenou Owen Flowers, 18 anos, e Thalha Jubair, 20 anos, a cinco anos e meio de prisão por um ataque cibernético ao Transport for London (TfL) em 2024. O ataque deixou 148 sistemas da TfL inoperáveis e forçou 27 mil funcionários a redefinirem suas senhas pessoalmente, resultando em perdas estimadas em £29 milhões. Ambos se declararam culpados sob a Seção 3ZA da Lei de Abuso de Computadores de 1990, que trata de danos significativos à segurança pública. O ataque ocorreu entre 31 de agosto e 3 de setembro de 2024, afetando serviços essenciais, incluindo o sistema de transporte que realiza cerca de 9 milhões de viagens diárias. Durante a invasão, dados pessoais de clientes, como nomes e endereços de e-mail, foram acessados. Flowers foi preso enquanto tentava atacar organizações de saúde nos EUA. A NCA considera essa a maior acusação de cibercrime já vista nos tribunais britânicos. O caso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de medidas preventivas, especialmente em um contexto onde ataques cibernéticos estão se tornando cada vez mais comuns.

47 solicitações, zero respostas Como Proton VPN nega pedidos de dados

O Proton VPN, um dos principais serviços de VPN, divulgou seu relatório de transparência referente ao primeiro semestre de 2026, revelando que recebeu 47 solicitações legais de dados, todas negadas. A empresa, com sede na Suíça, mantém uma rigorosa política de não registro, o que significa que não armazena informações que poderiam ser entregues às autoridades. Desde 2019, Proton VPN recebeu um total de 458 pedidos, sem atender a nenhum deles. As solicitações, provenientes de autoridades suíças, buscavam identificar usuários conectados a servidores específicos em determinados horários. A política de não registro do Proton VPN garante que não há dados de navegação, consultas DNS ou metadados de conexão armazenados, impossibilitando a ligação entre um usuário e uma atividade. Além disso, o Proton VPN passou por sua quinta auditoria anual, confirmando a eficácia de sua política. No entanto, a legislação suíça pode mudar, exigindo que serviços com mais de 5.000 usuários mantenham dados por seis meses, o que pode impactar a operação da empresa no futuro.

Aumento de ataques de ransomware a entidades governamentais em 2026

Entre janeiro e junho de 2026, pesquisadores da Comparitech registraram uma média de um ataque de ransomware a entidades governamentais por dia, totalizando 187 ataques, um aumento de mais de 13% em relação ao segundo semestre de 2025. Desses, 89 ataques foram confirmados pelas entidades-alvo. O grupo de cibercriminosos conhecido como The Gentlemen se destacou, com 22 ataques confirmados, um aumento significativo em comparação ao semestre anterior. Apesar de uma queda geral de 23% nos ataques a agências governamentais dos EUA, o cenário global mostra que governos continuam sendo alvos lucrativos devido à quantidade de dados sensíveis que possuem. O valor médio do resgate caiu para $100.000, mas os ataques continuam a causar grandes interrupções e vazamentos de dados, como evidenciado pelo ataque à cidade de Suffolk, que afetou quase 158.000 pessoas. O relatório destaca a necessidade urgente de medidas de segurança robustas para proteger as informações governamentais e a infraestrutura crítica.

Microsoft interrompe atualizações para versões do Windows em 2026

A Microsoft anunciou que as edições Home e Pro do Windows 11 24H2 e o Windows 10 Enterprise LTSB 2016 deixarão de receber atualizações em 13 de outubro de 2026. Após essa data, dispositivos que utilizam essas versões não receberão mais atualizações mensais de segurança ou de pré-visualização, o que pode expor os usuários a riscos de segurança. A empresa recomenda que os usuários atualizem para o Windows 11 25H2, que já está disponível desde setembro de 2024. Para dispositivos não gerenciados por departamentos de TI, a atualização para o Windows 11 25H2 será automática, embora os usuários possam optar por adiar a instalação. A Microsoft também estendeu o programa de Atualizações de Segurança Estendidas (ESU) para o Windows 10 por mais um ano, permitindo que dispositivos inscritos continuem recebendo atualizações de segurança até 12 de outubro de 2027. A interrupção das atualizações pode impactar significativamente a segurança dos sistemas operacionais afetados, tornando essencial que os usuários e administradores de TI tomem medidas proativas para garantir a proteção de seus dispositivos.

Membros do coletivo Scattered Spider são condenados por ataque à TfL

Dois membros do coletivo de cibercrime Scattered Spider foram condenados a cinco anos e seis meses de prisão por invadir a Transport for London (TfL) em agosto de 2024. O ataque comprometeu a rede da TfL, que atende mais de 8,4 milhões de londrinos, causando interrupções em serviços essenciais como o Dial-a-Ride, cartões de viagem e pagamentos digitais. A TfL reportou perdas de £29 milhões, mas as autoridades estimaram que o impacto econômico poderia ter chegado a £56 bilhões se a rede de transporte tivesse sido totalmente paralisada. Além disso, dados de clientes, incluindo nomes e endereços, foram roubados. Os atacantes, Thalha Jubair e Owen Flowers, foram presos após investigações que revelaram que Flowers estava também hackeando empresas de saúde nos EUA. Ambos se declararam culpados sob a Lei de Uso Indevido de Computadores. O caso destaca a importância da colaboração entre organizações e autoridades para mitigar ataques cibernéticos, conforme enfatizado pelo diretor adjunto da NCA, Paul Foster.

23andMe paga US 18 milhões após violação de dados genéticos

A empresa de testes genéticos 23andMe, agora sob a Chrome Holding Co., concordou em pagar US$ 18 milhões para resolver alegações de que não protegeu adequadamente os dados genéticos de seus clientes. A violação de dados, revelada em outubro de 2023, ocorreu após ataques de ‘credential stuffing’ que passaram despercebidos por cinco meses, comprometendo informações de 6,9 milhões de clientes, incluindo dados de ancestralidade genética. A investigação liderada pela procuradora-geral de Nova York, Letitia James, revelou que a empresa carecia de medidas básicas de segurança, como autenticação multifatorial e monitoramento de intrusões. Inicialmente, a 23andMe negou a violação, atribuindo a culpa aos hábitos de senha dos clientes. O acordo inclui novas exigências de segurança, como um conselho consultivo de segurança de dados e protocolos de análise de risco. Além disso, a empresa enfrentou várias ações coletivas e, em 2025, declarou falência, levando a uma aquisição por US$ 305 milhões. O caso destaca a importância da proteção de dados sensíveis e as consequências legais de falhas de segurança.

A Nova Era da Cibersegurança Desafios com Agentes de IA

Nos últimos 20 anos, a segurança empresarial baseou-se na suposição de que o ambiente era previsível e controlável. No entanto, a introdução de agentes de inteligência artificial (IA) que operam de forma autônoma desafiou essa premissa. Esses agentes podem acessar sistemas, modificar comportamentos e até mesmo se ocultar, tornando a segurança mais complexa e dinâmica. A pesquisa da Token Security revela que mais de 20% dos agentes locais já têm acesso direto a fontes de dados de produção, o que levanta preocupações sobre a segurança.

Mais de 20 sites do governo brasileiro sequestrados para malware

Uma campanha ativa do grupo PhantomEnigma resultou no sequestro de mais de 20 sites do governo brasileiro, transformando-os em canais de entrega de malware. A investigação realizada pela ANY.RUN revelou um comportamento de backdoor não documentado anteriormente, além de conexões de infraestrutura ocultas e múltiplos vetores de ataque que colocam bancos e agências públicas em risco. Os ataques começaram com documentos falsos, como ‘Ofício Polícia Civil’ e ‘Procuração Digital’, que incluíam QR codes e links que pareciam legítimos. Os e-mails fraudulentos, enviados de caixas de correio comprometidas, passaram por verificações de segurança, como SPF, DKIM e DMARC, aumentando sua aparência de legitimidade. Os sistemas governamentais foram usados como infraestrutura confiável para a entrega do malware, sem serem os alvos finais. A evolução da campanha incluiu a transição de atividades focadas em bancos para o uso de sites .gov.br comprometidos, dificultando a detecção. O malware, um backdoor modular, pode coletar dados do sistema, estabelecer persistência e entregar diferentes cargas úteis, tornando a contenção mais desafiadora. Este incidente destaca a necessidade de vigilância contínua e de um protocolo seguro para relatar mensagens suspeitas, especialmente em setores críticos como o financeiro e o público.

ClickLock Stealer Novo malware para macOS força usuários a entregar senhas

O ClickLock Stealer é um novo infostealer direcionado a sistemas macOS, que utiliza táticas de coerção para forçar as vítimas a fornecer suas senhas de login. O malware é introduzido através de um comando colado no Terminal, que solicita a senha em um falso diálogo de sistema. Caso a vítima cancele a operação, o malware instala dois LaunchAgents que iniciam um ciclo de encerramento de aplicativos a cada 210 milissegundos, por até 83 horas, mantendo uma caixa de senha visível na tela. Ao digitar a senha, o invasor obtém acesso ao Keychain, credenciais de navegadores e carteiras de criptomoedas.

Malware TELEPUZ se espalha por ataques ClickFix desde abril de 2026

Pesquisadores de cibersegurança alertaram sobre um novo malware modular chamado TELEPUZ, que tem se disseminado através de sites infectados com iscas ClickFix desde o final de abril de 2026. O TELEPUZ é descrito como leve e repleto de funcionalidades, com um desenvolvimento ativo, evidenciado pelo volume diário de uploads no VirusTotal. Este malware utiliza uma técnica chamada ‘clipboard hijacking’, injetando comandos maliciosos no clipboard da vítima, que são executados quando o usuário os cola. O ataque envolve a execução de PowerShell para baixar um payload secundário, que é uma variante do Vidar Stealer, conhecido por roubar dados sensíveis. O TELEPUZ, escrito em C, incorpora diversas técnicas de ofuscação para dificultar a análise e realiza verificações para evitar ambientes de sandbox e virtualizados. Após passar por essas verificações, o malware tenta desativar a monitorização de segurança e se registrar como um serviço no Windows. Além disso, estabelece comunicação com servidores de comando e controle (C2) para receber instruções maliciosas, permitindo uma ampla gama de ações, como captura de teclas e injeção de código em navegadores. A identificação de servidores C2 comprometidos em países como Brasil e Índia destaca a gravidade da ameaça.

Falha de segurança no n8n permite login indevido em contas

O n8n, uma plataforma de automação de fluxos de trabalho, enfrentou uma vulnerabilidade crítica que permitia o login indevido em contas de usuários. A falha, identificada como CVE-2026-59208, ocorreu em instâncias Enterprise configuradas para confiar em mais de um emissor de tokens externos. O problema estava na forma como o sistema validava os tokens JWT, utilizando apenas a reivindicação ‘sub’ e ignorando a ‘iss’, o que permitia que um token válido de um emissor diferente logasse um usuário como se fosse outro. A correção foi lançada em 24 de junho de 2026, mas a vulnerabilidade só foi divulgada publicamente em 9 de julho. O impacto é limitado a configurações específicas de parceiros OEM que utilizam a troca de tokens, mas a falta de clareza sobre como um atacante poderia obter um token válido levanta preocupações. O CVSS 4.0 atribuiu uma pontuação de 7.6, indicando um risco alto, enquanto a NVD avaliou a falha como média, com uma pontuação de 6.8. O n8n recomenda que os usuários atualizem para as versões 2.27.4 ou 2.28.1 ou limitem a lista de emissores confiáveis para mitigar o risco.

Pacotes maliciosos e ransomware novos riscos em cibersegurança

Recentemente, pesquisadores de cibersegurança identificaram uma série de ameaças que destacam a vulnerabilidade de sistemas e usuários. Um grupo de 11 pacotes NuGet maliciosos, disfarçados como ferramentas de jogos, foi descoberto. Esses pacotes atuam como baixadores de um payload Python que coleta dados e envia informações para chats do Telegram. Além disso, um adversário russo, conhecido como UAT-11795, tem utilizado instaladores trojanizados para implantar o Starland RAT e um agente de comando e controle (C2) chamado WLDR, visando roubar credenciais e informações de carteiras de criptomoedas. Outro incidente alarmante envolve o ransomware Spirals, que criptografa redes em menos de 24 horas após a invasão, utilizando um servidor web IIS comprometido para obter acesso inicial. A CISA também adicionou novas vulnerabilidades ao seu catálogo de Exploits Conhecidos, exigindo que agências federais apliquem correções rapidamente. Por fim, autoridades na Europa desmantelaram redes de fraudes em criptomoedas, destacando a crescente complexidade e sofisticação das ameaças cibernéticas.

Grupo russo UAT-11795 utiliza software trojanizado para roubo de dados

Um ator de ameaça russo, identificado como UAT-11795, está utilizando um novo backdoor chamado Starland RAT para roubar credenciais e criptomoedas. As investigações indicam que os ataques começaram em junho de 2025, com foco principal em usuários nos Estados Unidos, embora também tenham sido registrados casos na Alemanha, Romênia e Venezuela. O método de ataque envolve a distribuição de instaladores trojanizados de softwares legítimos, como MobaXterm e Zoom, possivelmente utilizando o método ClickFix para empurrar os arquivos maliciosos.

CISA ordena proteção contra vulnerabilidade crítica no Oracle EBS

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas contra ataques que exploram uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha, identificada como CVE-2026-46817, foi descoberta no componente de Transmissão de Arquivos do produto Oracle Payments e permite que atacantes não autenticados assumam o controle de sistemas vulneráveis com ataques de baixa complexidade. A Oracle já lançou atualizações de segurança em maio de 2026 e recomenda que seus clientes apliquem os patches imediatamente. Embora a Oracle não tenha confirmado a exploração da vulnerabilidade em ambientes reais, a empresa de inteligência Defused relatou que ataques começaram a ocorrer. A CISA também confirmou que hackers estão explorando ativamente essa vulnerabilidade, que foi adicionada à lista de falhas de segurança conhecidas e exploradas. A agência enfatiza que esse tipo de vulnerabilidade representa vetores de ataque frequentes para atores maliciosos e apresenta riscos significativos para a segurança das agências governamentais. A situação é crítica, e a CISA ordenou que as agências federais realizem a correção até o dia 18 de julho.

Zoom lança atualizações de segurança para falha crítica no Windows

A Zoom Video Communications divulgou atualizações de segurança para uma falha crítica que afeta o Zoom Workplace para Windows, potencialmente permitindo a tomada de controle de contas. A vulnerabilidade, identificada como CVE-2026-53412, possui uma pontuação CVSS de 9.8, indicando seu alto risco. Ela impacta o Zoom Desktop Client, o Zoom VDI Client e o Zoom Meeting SDK para Windows, permitindo que um usuário não autenticado realize a tomada de controle de contas através do acesso à rede. Além disso, três outras falhas de alta gravidade foram corrigidas: CVE-2026-53411, CVE-2026-53410 e CVE-2026-53409, que envolvem validação inadequada de entrada e gerenciamento de privilégios. Embora não haja evidências de exploração ativa dessas vulnerabilidades, a Zoom recomenda que os usuários apliquem as atualizações para garantir a segurança de suas contas. As versões afetadas incluem várias do Zoom Workplace e Zoom Rooms, e a empresa enfatiza a importância de manter os softwares atualizados para evitar riscos de segurança.

OpenAI apresenta GPT-Red para combater vulnerabilidades em LLMs

A OpenAI revelou o GPT-Red, um modelo interno de red-teaming automatizado que visa identificar vulnerabilidades de injeção de prompt em modelos de linguagem antes de sua ampla implementação. O GPT-Red simula o trabalho de um red-teamer humano, enviando prompts e monitorando as respostas dos modelos GPT, com o objetivo de descobrir falhas que poderiam ser exploradas maliciosamente. A empresa destacou que seus modelos anteriores eram suscetíveis a ataques de injeção de prompt, e o GPT-Red foi desenvolvido para treinar adversarialmente o GPT-5.6, tornando-o mais robusto contra esses ataques. O modelo é capaz de executar uma variedade de ataques, como exfiltração de dados sensíveis e desativação de autenticação de dois fatores. A OpenAI também enfatizou que o GPT-Red é mantido separado de outros modelos para evitar que suas capacidades maliciosas sejam acessadas por agentes mal-intencionados. Em testes práticos, o GPT-Red demonstrou eficácia em comprometer sistemas, como uma máquina de vendas automatizada e um agente de linha de comando Codex, superando a taxa de sucesso de red-teamers humanos em vários cenários. Com a evolução contínua das defesas, o GPT-Red também se adapta, buscando novas formas de ataque para contornar as proteções implementadas.

Vulnerabilidade em aspiradores Shark permite controle remoto indevido

Um pesquisador identificado como tokay0 revelou uma vulnerabilidade crítica em aspiradores de pó robóticos Shark RV2320EDUS, que permite que atacantes executem comandos remotos em outros dispositivos da mesma região da AWS. A falha reside na política de certificados, que não está restrita ao dispositivo específico, permitindo que qualquer um que tenha acesso ao certificado possa controlar o aspirador, acessar câmeras, ler mapas da casa e obter senhas de Wi-Fi em texto simples. Apesar de ter notificado a SharkNinja sobre a vulnerabilidade em março, a empresa ainda não lançou um patch ou um aviso oficial sobre a falha. O pesquisador observou mais de 1,5 milhão de números de série únicos de aspiradores Shark, com cerca de 44% deles respondendo a comandos, indicando que são vulneráveis. A correção da falha não depende do usuário, mas sim de uma atualização na conta da AWS da SharkNinja. Até que isso ocorra, a única mitigação disponível para os proprietários é desconectar os dispositivos da rede Wi-Fi, revertendo-os ao modo manual.

A Inteligência Artificial e a Segurança Ofensiva Desafios e Oportunidades

A inteligência artificial (IA) está transformando a segurança ofensiva, mas a qualidade das descobertas continua sendo crucial. Ferramentas assistidas por IA podem acelerar a leitura de códigos, gerar payloads e realizar testes repetitivos rapidamente, oferecendo vantagens significativas para as equipes de segurança. No entanto, a produção de relatórios gerados por IA, muitas vezes superficiais e com evidências fracas, tem gerado um aumento na carga de triagem para programas de recompensas por bugs. A distinção entre um relatório que parece vulnerável e uma vulnerabilidade real é fundamental. A validação das descobertas ainda depende do conhecimento profundo dos sistemas e da capacidade de demonstrar a exploração e o impacto real de uma falha. A dependência excessiva de ferramentas de IA pode levar à perda de habilidades críticas entre os profissionais de segurança, uma vez que a prática e a experiência são essenciais para a eficácia na identificação de vulnerabilidades. Portanto, a segurança ofensiva do futuro pertencerá a aqueles que conseguem provar a existência e a gravidade das falhas, e não apenas a quem gera o maior número de relatórios.

Governo australiano orienta descarte de roteadores, gerando riscos de segurança

O governo australiano, através da Comissão Australiana de Concorrência e Consumidor (ACCC), ordenou o descarte de cerca de 4.000 roteadores SamKnows SK-WB8, utilizados para medir a velocidade da banda larga no país. Esses dispositivos, que foram desativados remotamente em 30 de junho de 2026, correm o risco de serem descartados sem a devida limpeza de dados, o que pode levar a violações de segurança digital. Especialistas alertam que, embora os roteadores estejam ‘bricked’ para acesso à internet, eles ainda podem ser reutilizados com firmware alternativo, como o OpenWRT, o que torna a destruição dos dispositivos questionável. A ACCC incentivou os usuários a descartar os roteadores de maneira ambientalmente responsável, mas não forneceu explicações claras sobre o motivo do descarte de equipamentos que ainda podem ser utilizados. A situação levanta preocupações sobre o aumento de resíduos eletrônicos e a segurança dos dados que podem permanecer nos dispositivos se não forem devidamente resetados antes do descarte.

Polícia Holandesa desmantela esquema internacional de fraude financeira

A Polícia Holandesa anunciou a prisão de vários indivíduos suspeitos de integrar um esquema internacional de fraude de investimento, que teria causado prejuízos a dezenas de milhares de vítimas. O grupo operava 20 call centers, com mais de 700 pessoas se passando por consultores financeiros, e chegou a arrecadar mais de 100 milhões de euros por mês. O principal suspeito, um israelense-polaco de 46 anos, foi preso na Polônia e extraditado para a Holanda, onde aguarda julgamento. As investigações revelaram que os fraudadores construíam confiança com as vítimas ao longo do tempo, apresentando plataformas de investimento que mostravam lucros fictícios. Os criminosos persuadiam as vítimas a aumentar seus investimentos, geralmente por meio de transferências de criptomoedas, enquanto mantinham um painel falso de lucros. As autoridades holandesas ligaram pelo menos 550 denúncias de fraude a essa organização criminosa, que operou desde 2021 e utilizou pseudônimos e técnicas para ocultar suas identidades. A polícia acredita que o número de vítimas pode ser muito maior, com perdas médias superiores a 10 mil euros por pessoa.

A Evolução da Segurança em Nuvem Desafios e Soluções Modernas

Nos últimos anos, a segurança de redes corporativas enfrentou desafios significativos devido à mudança dos fluxos de trabalho para aplicações SaaS e ferramentas de inteligência artificial (IA). O modelo tradicional de SASE (Secure Access Service Edge) não conseguiu acompanhar essa evolução, pois depende da inspeção de tráfego em proxies na nuvem, que se tornaram ineficazes com a adoção de protocolos modernos como TLS 1.3 e HTTP/3. Esses protocolos dificultam a interceptação de dados, levando as equipes de segurança a criar listas de exceções que comprometem a segurança geral da rede.

Ferramentas de IA podem ser sequestradas para criar botnets massivas

Pesquisadores da Intuit, Technion e da Universidade de Tel Aviv alertam que ferramentas de inteligência artificial, como GitHub Copilot e OpenClaw, podem ser exploradas para criar botnets massivas. O método, denominado HalluSquatting, se baseia na incapacidade dos modelos de linguagem (LLMs) de identificar recursos com precisão, permitindo que atacantes registrem recursos mal nomeados e insiram comandos maliciosos. Essa técnica combina ataques de ‘pull’, onde um prompt malicioso é inserido em um site, com ataques de ‘push’, que envolvem injeção de código. Os pesquisadores demonstraram que, ao registrar recursos que um LLM pode confundir, é possível executar código remotamente em larga escala. Embora existam algumas medidas de mitigação, como o bloqueio de operações de busca por parte dos desenvolvedores de LLMs, a implementação dessas soluções pode levar tempo e requer colaboração entre diferentes partes. O aumento do malware baseado em LLMs, como o ataque JADEPUFFER, que é um ransomware totalmente operado por um LLM, destaca a urgência da situação.

Ator de ameaça russo usa IA para operar botnet em clínica dental

Um ator de ameaça de língua russa, conhecido como ‘bandcampro’, utilizou a ferramenta de IA de código aberto Gemini CLI do Google como agente de hacking, operando uma botnet em pequena escala. Entre 19 de maio e 21 de abril, o ator interagiu com a IA em mais de 200 sessões, controlando oito sistemas em uma clínica dental e acessando o banco de dados OpenDental. O agente de IA atuou como um ’testador de penetração autorizado’, salvando credenciais automaticamente e gerenciando a infraestrutura de comando e controle (C2) com um playbook que incluía operações padrão e códigos de infecção. A migração da botnet para uma nova infraestrutura C2 foi realizada em apenas seis minutos, com a IA diagnosticando problemas de tráfego e gerenciando a reconexão dos bots. Apesar de sua configuração leve, a botnet não utilizou técnicas sofisticadas de evasão. Além disso, o ator usou a IA para adivinhação de senhas e análise de dumps do 1Password. A pesquisa da Trend Micro destaca a capacidade da IA em automatizar operações de ataque, levantando preocupações sobre o uso de tecnologias de IA em cibercrimes.

Zoom alerta sobre vulnerabilidade crítica em seu cliente para Windows

A Zoom Video Communications emitiu um alerta sobre uma vulnerabilidade crítica em seu cliente de desktop e no kit de desenvolvimento de software para Windows, que pode ser explorada por um invasor não autenticado para sequestrar contas. A falha, identificada internamente e classificada como CVE-2026-53412, recebeu uma pontuação de severidade de 9.8 em 10. O problema afeta versões anteriores a 7.0.0 do Zoom Workplace para Windows, além de versões específicas do Zoom VDI Client e do Meeting SDK. A empresa descreveu a vulnerabilidade como um problema de validação inadequada de entrada, permitindo que um usuário não autenticado realize um ataque de takeover de conta via acesso à rede. Para mitigar os riscos, a Zoom recomenda que os usuários atualizem para as versões mais recentes. Além disso, a atualização também corrige outras falhas de severidade alta, como problemas de gerenciamento de privilégios e condições de corrida. Até o momento, não há indícios de que essas vulnerabilidades estejam sendo ativamente exploradas em ataques.

Botnet TuxBot v3 Evolution Nova ameaça no cenário IoT

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova estrutura de botnet chamada TuxBot v3 Evolution, que parece ter sido desenvolvida com a ajuda de um modelo de linguagem grande (LLM). Apesar da assistência da IA, o código gerado apresenta falhas funcionais. O TuxBot é composto por um agente bot em C, um servidor de comando e controle (C2) em Go, e uma infraestrutura de testes baseada em Docker. O agente bot utiliza 1.496 pares de credenciais para realizar ataques de força bruta via Telnet e explora mais de 30 famílias de dispositivos IoT com vulnerabilidades conhecidas. A comunicação com o servidor C2 é feita através de um canal TCP criptografado, utilizando um algoritmo de geração de domínio (DGA) e protocolos P2P. O framework é modular e tem raízes em botnets conhecidas como Mirai e AISURU. Embora ainda em desenvolvimento, o TuxBot já apresenta funcionalidades que podem ser potencialmente perigosas, como a capacidade de realizar ataques DDoS e manter persistência em dispositivos comprometidos. A descoberta do TuxBot destaca a crescente integração de inteligência artificial em ferramentas de cibercrime, o que pode acelerar a evolução de ameaças no espaço IoT.

Pacotes maliciosos do AsyncAPI comprometem o npm em ataque supply-chain

Recentemente, cinco versões maliciosas de pacotes AsyncAPI foram publicadas no Node Package Manager (npm) em um ataque de supply-chain, resultando na distribuição de um trojan com capacidades de roubo de informações. O ataque ocorreu devido a uma configuração inadequada do fluxo de trabalho do GitHub Actions, permitindo que o invasor injetasse pacotes trojanizados na namespace @asyncapi, que acumulou mais de 2,25 milhões de downloads semanais. Em 14 de julho, o invasor comprometeu dois repositórios do GitHub do AsyncAPI e injetou malware nos arquivos do projeto. Os pacotes maliciosos incluíam versões do @asyncapi/generator e @asyncapi/specs, entre outros. O malware, uma estrutura de 92.000 linhas, estabelece persistência no sistema e se comunica com servidores de comando e controle por diversos canais. Embora algumas funções de coleta de dados não estejam operacionais, o malware pode ser executado manualmente. Todos os pacotes maliciosos foram removidos do npm, mas instalações existentes podem ainda conter as versões comprometidas. A janela de exposição durou cerca de quatro horas, e recomenda-se que os desenvolvedores regenerem arquivos de bloqueio e removam o payload oculto.

A Lacuna de Aprovação Riscos Ocultos em Tags de Marketing

Um único código de marketing aprovado pode carregar scripts de terceiros que nunca foram avaliados pela equipe de segurança, permitindo acesso total a dados sensíveis. Este fenômeno, chamado de Lacuna de Aprovação, ocorre quando um fornecedor aprovado carrega outro, que por sua vez pode carregar mais scripts, resultando em códigos de quarto nível que não foram verificados. A situação é preocupante, pois esses scripts têm acesso às mesmas informações que o código desenvolvido internamente. O webinar apresentado por Idan Cohen, da Reflectiz, e Omri Ariav, da Taboola, discute a importância de monitorar continuamente esses códigos, uma vez que a aprovação inicial não é suficiente. Eles sugerem cinco perguntas essenciais que as equipes de segurança devem fazer aos fornecedores de marketing para mitigar riscos. Além disso, a rápida evolução da tecnologia de anúncios impulsionada por inteligência artificial está ampliando a superfície de ataque, tornando a visibilidade contínua ainda mais crucial. O relatório da Reflectiz de 2026 indica que 53% das exposições de risco no varejo estão ligadas ao uso excessivo de ferramentas de rastreamento, destacando a necessidade de uma abordagem mais integrada entre as equipes de marketing e segurança.

Vulnerabilidade no Windows permite elevação de privilégios

O pesquisador de segurança Chaotic Eclipse, conhecido como Nightmare-Eclipse, divulgou um novo exploit chamado LegacyHive, que explora uma vulnerabilidade no Windows User Profile Service (ProfSvc). Essa falha permite a elevação de privilégios através do carregamento arbitrário de hives de perfil de usuário. O exploit, que requer credenciais de um usuário padrão e um terceiro nome de usuário (que pode ser um administrador), é funcional em todas as versões de desktop e servidor do Windows, incluindo as atualizações mais recentes de julho de 2026. O pesquisador destacou que a versão pública do exploit foi simplificada para evitar exploração generalizada, mas a vulnerabilidade original não exigia credenciais adicionais e poderia carregar qualquer hive. Além disso, a Microsoft está enfrentando uma série de vulnerabilidades ativas em seus produtos, incluindo falhas no SharePoint Server e no Microsoft Defender, que foram adicionadas ao catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV) da CISA. A situação é preocupante, pois as falhas podem permitir acesso não autorizado e execução remota de código, exigindo atenção imediata das equipes de segurança.

Mozilla e Google corrigem falhas críticas em navegadores

A Mozilla lançou atualizações para corrigir duas falhas críticas no Firefox, identificadas como CVE-2026-15718 e CVE-2026-15719, que envolvem um ponteiro inválido no componente JavaScript: WebAssembly e problemas de isolamento de sites no componente DOM: Navegação. Embora o código de exploração tenha sido publicado, a Mozilla não tem conhecimento de ataques ativos explorando essas vulnerabilidades. As correções estão disponíveis na versão 152.0.6 do Firefox.

Simultaneamente, o Google corrigiu 15 falhas de segurança no Chrome, incluindo duas vulnerabilidades críticas de uso após a liberação (CVE-2026-15764 e CVE-2026-15765) que poderiam permitir a um atacante remoto explorar a corrupção de heap através de uma página HTML manipulada. As atualizações estão disponíveis nas versões 150.0.7871.124 e 150.0.7871.125 para Windows, Mac e Linux.

Malware OkoBot visa usuários de carteiras de hardware no Brasil

O malware OkoBot, ativo desde abril de 2025, tem como alvo usuários de carteiras de hardware, como Trezor e Ledger, roubando suas frases de recuperação. O módulo SeedHunter, parte do OkoBot, injeta código malicioso no software legítimo das carteiras, criando uma página de phishing que solicita a frase de recuperação assim que o dispositivo é conectado. A Kaspersky identificou centenas de vítimas em mais de 25 países, com o Brasil sendo o mais afetado. O malware possui mais de 20 cargas úteis e continua ativo, explorando vulnerabilidades em sistemas Windows. Além disso, o OkoBot utiliza métodos sofisticados, como um downloader em PowerShell que se conecta a servidores controlados por atacantes, permitindo o roubo de credenciais e dados sensíveis. A situação é crítica, pois não há correções disponíveis para as vulnerabilidades exploradas, e a proteção depende da vigilância dos usuários e da segurança dos endpoints.

Acusações contra russos por serviços de hospedagem para ransomware

Promotores federais dos EUA apresentaram acusações contra três cidadãos russos, alegando que eles forneceram serviços de hospedagem à prova de balas (BPH) para gangues de ransomware, resultando em mais de 62 milhões de dólares em danos a vítimas em todo o mundo. Os provedores de BPH, como Media Land e ML.Cloud, alugam servidores que dificultam esforços de interrupção de suas atividades maliciosas, incluindo entrega de malware e ataques de phishing. Os acusados são Aleksandr Volosovik, proprietário da Media Land, Yulia Pankova, que gerenciava questões legais e financeiras da ML.Cloud, e Kirill Zatolokin, responsável por coletar pagamentos. O Departamento de Estado dos EUA também ofereceu uma recompensa de até 10 milhões de dólares por informações sobre esses indivíduos e suas atividades cibernéticas. Além disso, os três foram sancionados anteriormente pelos EUA, Reino Unido e Austrália por fornecer infraestrutura de ataque a operações de ransomware, como Lockbit e Play. As sanções visam combater a crescente ameaça de cibercrimes que afetam diversas instituições, incluindo bancos e hospitais, em todo o território americano.