A Comissão Federal de Comunicações (FCC) dos Estados Unidos implementou uma proibição que impede a venda de novos roteadores domésticos fabricados fora do país. A decisão, que visa proteger a segurança nacional, foi motivada por investigações que indicam que esses dispositivos podem ser utilizados como vetores de ciberespionagem. A medida se aplica a todos os modelos novos, mas os consumidores que já possuem roteadores de marcas como TP-Link e D-Link poderão continuar a usá-los. A proibição surge em um contexto de aumento de ataques cibernéticos, especialmente contra serviços essenciais, como água e energia, realizados por grupos hackers internacionais. A FCC justifica a ação como parte da Estratégia de Segurança Nacional de 2025, que busca realinhar a política externa dos EUA e proteger os cidadãos americanos de riscos cibernéticos.

A Aliança para Criatividade e Entretenimento (ACE) anunciou o fechamento da AnimePlay, uma plataforma de streaming de anime que contava com mais de 5 milhões de usuários, principalmente da Indonésia. A ACE, que é apoiada por grandes redes de televisão e estúdios de cinema, como Disney, Paramount e Netflix, tem como foco a erradicação de serviços de streaming ilegais por meio de ações judiciais e operações de cessação. Recentemente, a ACE também desmantelou a Photocall, uma plataforma de pirataria de TV com 26 milhões de usuários anuais. No caso da AnimePlay, a ACE não apenas fechou a aplicação, mas também tomou controle de toda a infraestrutura, incluindo servidores de hospedagem e domínios associados, efetivamente impedindo que os operadores da plataforma a reativassem. Larissa Knapp, da Motion Picture Association, afirmou que a organização continuará a trabalhar para desmantelar operações criminosas na região da Ásia-Pacífico e globalmente, visando proteger a integridade da economia criativa.

A Comissão Europeia está investigando uma violação de segurança após um ator de ameaça ter acessado sua infraestrutura de nuvem da Amazon. Embora o incidente ainda não tenha sido divulgado publicamente, fontes informaram que pelo menos uma conta utilizada para gerenciar a infraestrutura comprometida foi afetada. O ataque foi detectado rapidamente e a equipe de resposta a incidentes de cibersegurança da Comissão está em ação. O ator responsável pela violação alegou ter roubado mais de 350 GB de dados, incluindo múltiplos bancos de dados, e forneceu capturas de tela como prova de acesso a informações de funcionários da Comissão. Embora não tenha intenção de extorquir a Comissão, o ator planeja vazar os dados online posteriormente. Este incidente segue uma violação anterior em fevereiro, relacionada a um hack na plataforma de gerenciamento de dispositivos móveis da Comissão, que também afetou outras instituições europeias. As recentes brechas de segurança ocorrem em um contexto onde a Comissão propôs novas legislações de cibersegurança para fortalecer defesas contra atores estatais e grupos de cibercrime, destacando a crescente preocupação com a segurança das infraestruturas críticas na Europa.

O artigo de Yair Kuznitsov discute a transição das equipes de Governança, Risco e Conformidade (GRC) para um modelo de Inteligência Artificial Agente, que promete substituir processos operacionais tradicionais. Embora muitos profissionais reconheçam o potencial dessa tecnologia, há uma hesitação em adotar essa mudança, que está mais ligada a questões de identidade e valor profissional do que a limitações tecnológicas. Os especialistas em GRC, que historicamente construíram suas carreiras em torno da competência operacional, enfrentam o desafio de redefinir seus papéis em um ambiente onde as máquinas podem realizar tarefas como coleta de evidências e gerenciamento de auditorias. A proposta é que, ao liberar os profissionais dessas funções operacionais, eles possam se concentrar em atividades mais estratégicas, como a definição do apetite ao risco e a interpretação do contexto de negócios. Essa mudança é vista como uma oportunidade para que os profissionais de GRC voltem ao propósito original de sua função: entender e gerenciar riscos de forma mais eficaz. A transição, embora desafiadora, é apresentada como um retorno ao que sempre deveria ter sido o foco do GRC.

Uma nova campanha de phishing está atacando contas do TikTok para Empresas, utilizando páginas falsas que imitam a plataforma. De acordo com um relatório da Push Security, os atacantes estão usando links maliciosos que redirecionam as vítimas para páginas que se parecem com o TikTok para Empresas ou Google Careers, onde são solicitadas credenciais. O objetivo final é realizar uma verificação do Cloudflare Turnstile para bloquear bots e, em seguida, exibir uma página de login de phishing para roubar informações. Além disso, a campanha também se aproveita de infostealers como Vidar e Aura Stealer, entregues através de vídeos gerados por IA que se disfarçam como guias de ativação. Os domínios utilizados para hospedar essas páginas de phishing incluem uma série de endereços que começam com ‘welcome.careers’. Outra campanha observada recentemente utiliza arquivos SVG maliciosos para entregar malware, destacando a versatilidade dos métodos de ataque. Essa situação ressalta a necessidade de vigilância constante e educação sobre segurança cibernética, especialmente para empresas que operam em plataformas sociais populares como o TikTok.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Open VSX, que afeta o processo de verificação de extensões do Visual Studio Code (VS Code). A falha, identificada como ‘Open Sesame’, permitiu que extensões maliciosas passassem pelo processo de verificação e fossem publicadas no repositório. O problema reside em um retorno booleano que não diferencia entre ’nenhum scanner configurado’ e ’todos os scanners falharam’, levando a uma interpretação errônea dos resultados de verificação. Quando os scanners falhavam sob carga, o Open VSX considerava que não havia nada a escanear, permitindo que extensões maliciosas fossem ativadas e disponibilizadas para download. A vulnerabilidade foi explorada por atacantes que inundaram o endpoint de publicação com várias extensões maliciosas, esgotando o pool de conexões do banco de dados e impedindo que os trabalhos de verificação fossem enfileirados. A falha foi corrigida na versão 0.32.0 do Open VSX, após divulgação responsável em fevereiro de 2026. A situação destaca a importância de um design robusto em pipelines de segurança, onde estados de falha devem ser explicitamente tratados.

A Polícia Nacional da Holanda (Politie) confirmou um incidente de segurança resultante de um ataque de phishing, que teve impacto limitado e não afetou os dados dos cidadãos. O Centro de Operações de Segurança da polícia detectou rapidamente o ataque e bloqueou o acesso dos invasores aos sistemas comprometidos. Embora a investigação sobre o impacto continue, a polícia assegurou que dados de cidadãos e informações de investigações não foram expostos ou acessados. O incidente está sendo investigado por especialistas em segurança da agência, e uma investigação criminal foi iniciada. Detalhes sobre a data da detecção do ataque e se dados de funcionários foram comprometidos ainda não foram divulgados. Este ataque ocorre em um contexto de crescente preocupação com a segurança cibernética, especialmente após um vazamento de dados em setembro de 2024, que envolveu informações de contato de policiais, atribuído a um ‘ator estatal’. Após o incidente, a polícia implementou medidas de segurança mais rigorosas, incluindo a autenticação de dois fatores para o acesso a contas. O ataque ressalta a necessidade de vigilância contínua e a implementação de práticas de segurança robustas para proteger informações sensíveis.

A Microsoft lançou a atualização cumulativa KB5079391 para as versões 24H2 e 25H2 do Windows 11, que inclui 29 alterações significativas, como melhorias na funcionalidade Smart App Control e na confiabilidade de exibição. Esta atualização faz parte do cronograma de pré-visualização mensal da Microsoft, que permite testar novos recursos e correções antes do Patch Tuesday. A atualização opcional permite que os usuários ativem ou desativem o Smart App Control sem a necessidade de reinstalar o sistema operacional, oferecendo maior flexibilidade na gestão de aplicativos. Além disso, melhorias na confiabilidade de exibição foram implementadas, incluindo suporte para monitores com taxas de atualização superiores a 1000 Hz e conexões nativas USB4. A instalação pode ser feita através do Catálogo de Atualizações da Microsoft ou diretamente nas configurações do Windows. A atualização também melhora a estabilidade do Windows Recovery Environment e a confiabilidade do Windows Hello em dispositivos específicos. Atualmente, não há problemas conhecidos associados a esta atualização, e as notas de versão completas estão disponíveis no boletim de suporte da Microsoft.

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas que afetam os frameworks LangChain e LangGraph, amplamente utilizados para desenvolver aplicações com Modelos de Linguagem de Grande Escala (LLMs). As falhas, se exploradas, podem expor dados sensíveis, como arquivos do sistema, segredos de ambiente e históricos de conversas. As vulnerabilidades identificadas são: CVE-2026-34070, uma vulnerabilidade de travessia de caminho que permite acesso a arquivos arbitrários; CVE-2025-68664, que vaza chaves de API e segredos de ambiente através da desserialização de dados não confiáveis; e CVE-2025-67644, uma injeção SQL que permite manipulação de consultas SQL no LangGraph. As versões corrigidas foram lançadas, e a exploração bem-sucedida dessas falhas pode resultar em acesso não autorizado a informações críticas. A situação é alarmante, especialmente considerando a rápida exploração de vulnerabilidades semelhantes em outras plataformas, como o Langflow. A necessidade de aplicar patches rapidamente é enfatizada, dado o potencial impacto em sistemas que dependem do LangChain, que é parte de uma vasta rede de bibliotecas e integrações.

O grupo de hackers pro-Ucrânia conhecido como Bearlyfy, também chamado de Labubu, tem sido responsável por mais de 70 ataques cibernéticos direcionados a empresas russas desde sua aparição em janeiro de 2025. Recentemente, o grupo começou a utilizar uma nova variante de ransomware chamada GenieLocker, que ataca sistemas Windows. Segundo a empresa de segurança russa F6, os ataques do Bearlyfy têm como objetivos tanto a extorsão financeira quanto atos de sabotagem. Inicialmente, o grupo focou em pequenas empresas, mas suas demandas de resgate aumentaram, chegando a €80.000 (cerca de $92.100) e, em alguns casos, até centenas de milhares de dólares. Os ataques são caracterizados por uma rápida execução, com os hackers utilizando ferramentas como MeshAgent para obter acesso remoto e criptografar dados. Além disso, as notas de resgate são elaboradas diretamente pelos atacantes, ao invés de serem geradas automaticamente pelo software de ransomware. A evolução do Bearlyfy em um ano, de um grupo inexperiente para uma ameaça significativa para grandes empresas russas, destaca a crescente complexidade e sofisticação de suas operações.

A segurança cibernética é uma preocupação crescente para as organizações, mas muitas vezes as equipes acreditam que suas defesas estão funcionando apenas porque os alertas estão ativos e os painéis de controle parecem em ordem. No entanto, um aspecto crucial frequentemente negligenciado é a validação da eficácia dessas defesas em situações reais de ataque. O webinar “Exposure-Driven Resilience: Automate Testing to Validate & Improve Your Security Posture” aborda essa lacuna, enfatizando a importância de parar de adivinhar e começar a provar a eficácia das medidas de segurança.

A computação quântica representa uma nova fronteira tecnológica que pode comprometer a segurança digital global, expondo senhas, transações bancárias e segredos de estado. O artigo destaca que a criptografia moderna se baseia na complexidade exponencial de quebrar chaves criptográficas, um desafio que computadores clássicos enfrentam. No entanto, os computadores quânticos, ao utilizarem princípios da física quântica, podem reduzir drasticamente o número de operações necessárias para resolver problemas complexos, tornando a quebra de criptografia uma tarefa viável em questão de horas. O algoritmo de Shor, conhecido desde a década de 1990, é um exemplo de como a computação quântica pode quebrar a criptografia que sustenta a segurança da Internet atual. A urgência da situação é ressaltada, pois atores maliciosos já estão coletando dados criptografados hoje para descriptografá-los no futuro. A solução proposta é a Criptografia Pós-Quântica (CPQ), que utiliza novas estruturas matemáticas resistentes a ataques quânticos. A transição para essa nova era não é uma questão futura, mas uma necessidade imediata para a segurança das infraestruturas de TICs.

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica, identificada como CVE-2026-33017, que afeta o framework Langflow, amplamente utilizado para a construção de agentes de inteligência artificial. Com uma pontuação de 9.3 em 10, essa falha permite a execução remota de código, possibilitando que atacantes criem fluxos públicos sem autenticação. A exploração começou rapidamente após a divulgação do aviso, com atividades de escaneamento automatizado iniciando em apenas 20 horas e a coleta de dados em 24 horas. O Langflow, um framework visual open-source com 145 mil estrelas no GitHub, é um alvo atrativo para hackers devido à sua popularidade. A CISA recomenda que administradores de sistemas atualizem para a versão 1.9.0 ou superior para mitigar a vulnerabilidade ou restrinjam o endpoint vulnerável. Embora a CISA não tenha classificado a exploração como relacionada a ransomware, a urgência da atualização é clara, especialmente para organizações sob a Diretiva Operacional Vinculativa (BOD) 22-01. A situação destaca a importância de monitorar o tráfego de saída e rotacionar credenciais em caso de atividades suspeitas.

O clube de futebol profissional holandês AFC Ajax, conhecido por sua história de sucesso, revelou que um hacker explorou vulnerabilidades em seus sistemas de TI, acessando dados de algumas centenas de pessoas. O incidente permitiu a transferência de ingressos comprados e a modificação de proibições de acesso ao estádio impostas a certos indivíduos. A descoberta das falhas de segurança foi feita pelo clube após jornalistas receberem informações do próprio hacker. Segundo a declaração do Ajax, apenas os endereços de e-mail de algumas centenas de pessoas foram visualizados, além de dados pessoais de menos de 20 indivíduos com proibição de acesso ao estádio. A investigação realizada por jornalistas confirmou que era possível transferir ingressos de forma rápida e acessar registros de proibições, além de obter acesso a dados de torcedores através de APIs. O clube contratou especialistas externos para determinar a extensão do incidente e já corrigiu as vulnerabilidades identificadas. A Autoridade de Proteção de Dados da Holanda e a polícia foram notificadas. Embora o hacker tenha agido de forma não maliciosa, a situação levanta preocupações sobre a segurança dos dados dos torcedores, que devem estar atentos a comunicações suspeitas.

O artigo explora como as táticas de falsificação de Elmyr de Hory, um notório forjador de obras de arte, oferecem lições valiosas para a cibersegurança moderna. Nos dias atuais, os atacantes cibernéticos utilizam inteligência artificial (IA) para imitar comportamentos legítimos e se infiltrar em redes, tornando-se cada vez mais difíceis de detectar. Com 81% dos ataques sendo livres de malware, os invasores empregam técnicas como Living-off-the-Land (LotL), que utilizam ferramentas e credenciais legítimas para realizar suas atividades maliciosas.

Uma campanha de espionagem cibernética atribuída a um ator de ameaça vinculado à China tem se infiltrado em redes de telecomunicações para atacar redes governamentais. O grupo, conhecido como Red Menshen, tem um histórico de ataques a provedores de telecomunicações no Oriente Médio e na Ásia desde 2021. A Rapid7 descreveu os mecanismos de acesso como “algumas das células digitais mais furtivas” já encontradas. A campanha utiliza implantes em nível de kernel, backdoors passivos e ferramentas de coleta de credenciais, destacando um backdoor Linux chamado BPFDoor. Este malware é notável por não expor portas de escuta, ativando-se apenas quando recebe um pacote de ativação específico. Os ataques começam com a exploração de infraestruturas expostas, como dispositivos VPN e firewalls. Após obter acesso, são implantados frameworks de comando e controle para facilitar atividades pós-exploração. O BPFDoor permite monitorar protocolos nativos de telecomunicações, oferecendo visibilidade sobre o comportamento e a localização de assinantes. Uma variante recente do BPFDoor foi encontrada, que se camufla dentro do tráfego HTTPS, aumentando sua evasão. Essa evolução nas táticas de ataque destaca a necessidade de vigilância contínua em ambientes críticos de telecomunicações.

O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.

Criminosos estão explorando a credibilidade do portal gov.br para disseminar malware que captura senhas e dados bancários. Segundo Rodolfo Almeida, cofundador da ViperX, o ataque se diferencia dos golpes tradicionais, pois induz a vítima a baixar um arquivo malicioso em vez de coletar dados por meio de formulários falsos. O golpe começa com um link enviado via SMS, WhatsApp ou e-mail, que redireciona para uma página idêntica ao gov.br, onde a vítima é instruída a baixar um arquivo. Uma vez executado, o malware, conhecido como ‘infostealer’, se camufla em aplicativos legítimos do Windows e opera em segundo plano, registrando digitações e capturando telas. A eficácia desse golpe está ligada à confiança que o público deposita nas instituições governamentais, aumentando a taxa de conversão do ataque. Para se proteger, Almeida recomenda verificar o endereço do link, desconfiar de downloads, ativar a autenticação em dois fatores e manter sistemas atualizados. Caso alguém suspeite de infecção, deve encerrar sessões abertas e notificar o banco imediatamente.

O grupo de ransomware PEAR reivindicou a responsabilidade por um ataque cibernético à Universidade de Monmouth, ocorrido no início deste mês. O presidente da universidade, Patrick Leahy, informou os alunos sobre o incidente, que resultou em acesso não autorizado a informações na rede da instituição. PEAR afirma ter roubado 16 TB de dados e publicou amostras de documentos supostamente extraídos da universidade em seu site de vazamento de dados. Embora a universidade tenha iniciado protocolos de resposta e notificado o FBI e o Departamento de Educação, não há confirmação sobre a veracidade das alegações do grupo, nem se a universidade pagou um resgate. O ataque destaca a crescente ameaça de ransomware no setor educacional dos EUA, com pelo menos seis ataques confirmados em instituições de ensino em 2026. O grupo PEAR, que se especializa em roubo de dados sem criptografá-los, já reivindicou 64 ataques, com 13 confirmados por entidades alvo. A universidade se comprometeu a investigar o incidente e a melhorar a segurança de seus sistemas para evitar futuros ataques.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

O kit de exploração Coruna representa uma evolução do framework utilizado na campanha de espionagem Operation Triangulation, que em 2023 visou iPhones através de exploits zero-click no iMessage. Este novo software foi ampliado para atacar hardware moderno, incluindo os chips A17 e M3 da Apple, e sistemas operacionais até iOS 17.2. O Coruna contém cinco cadeias completas de exploits para iOS, aproveitando 23 vulnerabilidades, incluindo CVE-2023-32434 e CVE-2023-38606, que também foram utilizadas na Operation Triangulation. A análise da Kaspersky revelou que o Coruna é uma versão atualizada do exploit original, com melhorias que permitem a exploração de novas arquiteturas de processadores. Os ataques iniciam no Safari, onde um stager coleta informações do dispositivo e seleciona exploits adequados. A Kaspersky alerta que, além de espionagem, o Coruna tem sido usado em campanhas motivadas financeiramente, visando roubo de criptomoedas. A Apple já lançou atualizações de segurança para mitigar essas vulnerabilidades, mas a ameaça permanece significativa, especialmente com a disponibilidade pública de outros kits de exploração como o DarkSword.

Os ataques de fraude modernos se assemelham a uma corrida de revezamento, onde diferentes ferramentas e atores gerenciam cada etapa do processo, desde o cadastro até o saque. A cadeia de ataque típica começa com a automação, onde bots e scripts criam um grande número de contas com esforço humano mínimo, utilizando e-mails comprometidos e credenciais vazadas para parecerem usuários legítimos. Proxies residenciais mascaram o tráfego, fazendo-o parecer de usuários normais. Após a criação das contas, os atacantes mudam para sessões manuais, utilizando táticas como phishing e malware para realizar transações de alto valor. A análise de um único sinal, como IP ou e-mail, pode levar a falsos positivos, pois usuários legítimos podem compartilhar a mesma infraestrutura que os atacantes. Para uma defesa eficaz, é essencial correlacionar sinais de IP, identidade, dispositivo e comportamento em um modelo de risco unificado. Essa abordagem permite identificar padrões de abuso coordenado e reduzir a fricção para usuários genuínos. O artigo destaca a importância de um modelo de múltiplos sinais para melhorar a precisão na detecção de fraudes, essencial para empresas que buscam proteger suas operações e receitas.

O WhatsApp está implementando diversas funcionalidades para melhorar a experiência do usuário, incluindo respostas automáticas baseadas em IA e retouching de fotos. A empresa Meta anunciou que os usuários poderão editar imagens antes de compartilhá-las, utilizando a tecnologia de IA da Meta. Além disso, a nova funcionalidade de ‘Ajuda para Escrita’ permite que os usuários redijam mensagens com base na conversa ativa, garantindo a privacidade através do ‘Processamento Privado’, que assegura que nem a Meta nem o WhatsApp leiam as mensagens. Outra novidade é a possibilidade de usar duas contas simultaneamente no iOS, já disponível no Android, e a transferência de histórico de chats entre dispositivos iOS e Android. Essas atualizações visam facilitar a migração de dados e a gestão de conversas. A Meta também introduziu contas gerenciadas por pais para pré-adolescentes e novas proteções contra fraudes, especialmente após alertas de agências de inteligência sobre ataques de phishing. A empresa lançou ainda uma funcionalidade de segurança para proteger usuários em risco, como jornalistas e figuras públicas, contra ameaças sofisticadas, incluindo spyware.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Recentemente, a Kaspersky revelou que o kit de exploração Coruna, que afeta dispositivos Apple com iOS entre as versões 13.0 e 17.2.1, utiliza uma versão atualizada de um exploit previamente empregado na campanha de ciberespionagem Operation Triangulation, de 2023. O Coruna, inicialmente identificado por Google e iVerify, contém cinco cadeias completas de exploits para iOS e um total de 23 exploits, incluindo os CVEs 2023-32434 e 2023-38606. Esses exploits foram projetados para atacar vulnerabilidades do sistema operacional móvel da Apple, com um foco crescente em dispositivos mais recentes, como os processadores A17 e M3. O kit foi utilizado em ataques de watering hole na Ucrânia e em campanhas de exploração em massa através de sites falsos de jogos e criptomoedas. A Kaspersky alerta que, embora o Coruna tenha sido desenvolvido para fins de ciberespionagem, agora está sendo utilizado por cibercriminosos, colocando milhões de usuários em risco. O uso de exploits modulares e a facilidade de reutilização indicam que outros atores maliciosos podem adotar essa ferramenta em seus ataques.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica na extensão do Google Chrome do assistente Claude, da Anthropic, que poderia ser explorada para injetar comandos maliciosos apenas ao visitar uma página da web. A falha, chamada ShadowPrompt, resulta de uma lista de permissões excessivamente permissiva e uma vulnerabilidade de cross-site scripting (XSS) em um componente CAPTCHA da Arkose Labs. Essa combinação permite que um atacante injete código JavaScript que simula um comando legítimo do usuário, possibilitando o roubo de dados sensíveis, acesso ao histórico de conversas e até ações em nome da vítima, como o envio de e-mails. Após a divulgação responsável da vulnerabilidade em dezembro de 2025, a Anthropic lançou uma correção que restringe as permissões da extensão, enquanto a Arkose Labs também corrigiu a falha de XSS. A crescente complexidade e capacidade dos assistentes de IA os tornam alvos valiosos para ataques, destacando a importância de uma segurança robusta nas extensões de navegador.

As VPNs (Redes Privadas Virtuais) são ferramentas essenciais para proteger a privacidade online, mas é crucial entender quais dados elas coletam para operar. Embora uma VPN precise de algumas informações para funcionar, como logs de conexão, que incluem o endereço IP original e os horários de início e término das sessões, a coleta excessiva de dados pode comprometer a privacidade do usuário. VPNs que se autodenominam ‘sem registros’ prometem não armazenar informações sobre as atividades online, mas muitas ainda mantêm dados mínimos para garantir a operação do serviço. É importante diferenciar entre VPNs ‘sem registros’ e ‘zero registros’, sendo que as últimas não mantêm nenhum tipo de log, nem mesmo dados não identificáveis. A coleta de logs de atividade, que pode incluir sites visitados e consultas DNS, é a maior preocupação em termos de privacidade, pois pode permitir a reconstrução das atividades do usuário. Além disso, VPNs gratuitas frequentemente coletam dados de forma excessiva, vendendo informações para terceiros. Para escolher uma VPN confiável, os usuários devem priorizar provedores com práticas transparentes e um histórico sólido de proteção à privacidade.

Pesquisadores de cibersegurança descobriram um novo skimmer de pagamento que utiliza canais de dados WebRTC para receber cargas maliciosas e exfiltrar dados, contornando controles de segurança tradicionais. Em um ataque recente, um site de e-commerce de um fabricante de automóveis foi comprometido devido à vulnerabilidade PolyShell, que afeta o Magento Open Source e o Adobe Commerce. Essa falha permite que atacantes não autenticados carreguem executáveis arbitrários via API REST, resultando em execução de código. Desde 19 de março de 2026, a PolyShell tem sido amplamente explorada, com mais de 50 endereços IP envolvidos na atividade de varredura, afetando 56,7% das lojas vulneráveis. O skimmer estabelece uma conexão peer-to-peer WebRTC com um endereço IP específico e injeta código JavaScript na página da web para roubar informações de pagamento. A utilização de WebRTC representa uma evolução significativa nos ataques de skimmer, pois contorna as diretrizes de Política de Segurança de Conteúdo (CSP), dificultando a detecção do tráfego malicioso. A Adobe lançou uma correção para a vulnerabilidade, mas ainda não está disponível nas versões de produção. Os proprietários de sites são aconselhados a bloquear o acesso a diretórios específicos e a escanear suas lojas em busca de shells web e outros malwares.

O GitHub está implementando uma nova funcionalidade de escaneamento baseada em inteligência artificial (IA) para sua ferramenta de Segurança de Código, visando ampliar a detecção de vulnerabilidades além da análise estática tradicional do CodeQL. Essa mudança busca identificar problemas de segurança em áreas que são desafiadoras para a análise estática convencional, abrangendo mais linguagens e frameworks, como Shell/Bash, Dockerfiles, Terraform e PHP. O modelo híbrido, que combina a análise semântica profunda do CodeQL com as detecções de IA, deve entrar em pré-visualização pública no início do segundo trimestre de 2026.

O GMKtec NucBox K13 é um mini PC que suporta dual boot entre Windows 11 Pro e Ubuntu, permitindo que os usuários alternem entre os sistemas operacionais sem complicações de particionamento. Equipado com um processador Intel Core Ultra 7 256V, que alcança até 4.8GHz, e uma GPU Intel Arc 140V, o dispositivo promete desempenho adequado para tarefas de IA e desenvolvimento. O NucBox K13 também inclui o OpenClaw, uma ferramenta de IA que facilita a implementação de modelos de inteligência artificial localmente, reduzindo o tempo de configuração de horas para minutos. No entanto, a Microsoft alerta contra o uso do OpenClaw em dispositivos comuns devido a vulnerabilidades conhecidas, o que levanta preocupações sobre a segurança do sistema. O dispositivo é voltado para desenvolvedores e criadores de conteúdo, mas sua capacidade de manter desempenho sob carga intensa de IA ainda não foi testada. O preço do NucBox K13 é de aproximadamente $719.99, com disponibilidade global. Apesar de suas especificações promissoras, a gestão de calor e a performance sob uso contínuo são questões que precisam ser avaliadas.

Um novo malware de roubo de informações, chamado Torg Grabber, está comprometendo dados sensíveis de 850 extensões de navegador, sendo mais de 700 delas voltadas para carteiras de criptomoedas. O acesso inicial é realizado através da técnica ClickFix, que sequestra a área de transferência e engana o usuário para executar um comando PowerShell malicioso. Pesquisadores da Gen Digital relatam que o Torg Grabber está em desenvolvimento ativo, com 334 amostras únicas compiladas em apenas três meses e novos servidores de comando e controle (C2) sendo registrados semanalmente. Além de carteiras de criptomoedas, o malware também rouba dados de 103 gerenciadores de senhas e ferramentas de autenticação de dois fatores. O Torg Grabber evoluiu rapidamente, abandonando métodos anteriores de exfiltração de dados em favor de uma conexão HTTPS, e implementou mecanismos de anti-análise e ofuscação para evitar detecções. O malware é capaz de roubar credenciais, cookies e dados de preenchimento automático, além de coletar informações de aplicativos populares como Discord, Telegram e Steam. A Gen Digital alerta que o Torg Grabber continua a se desenvolver, com uma base de operadores em expansão e um potencial impacto significativo na segurança de dados dos usuários.

Pesquisadores da Kaspersky identificaram uma nova técnica de phishing que utiliza a plataforma de criação de aplicativos sem código, Bubble, para gerar e hospedar aplicativos maliciosos. Esses aplicativos são hospedados em um domínio legítimo (*.bubble.io), o que dificulta a detecção por soluções de segurança de e-mail. Os criminosos cibernéticos redirecionam os usuários para páginas de phishing que imitam portais de login da Microsoft, frequentemente ocultas por verificações do Cloudflare. As credenciais inseridas nessas páginas falsas são capturadas pelos atacantes, que podem acessar dados sensíveis de contas do Microsoft 365. A plataforma Bubble, que permite a criação de aplicativos por meio de uma interface intuitiva, gera códigos complexos que não são facilmente analisados por ferramentas automatizadas de segurança. Os pesquisadores alertam que essa técnica pode ser adotada por plataformas de phishing como serviço (PhaaS), aumentando a furtividade dos ataques. A Kaspersky entrou em contato com a Bubble para discutir as descobertas, mas não obteve resposta até o momento da publicação.

Recentemente, a vulnerabilidade PolyShell, presente nas versões 2 do Magento Open Source e Adobe Commerce, começou a ser explorada em massa, afetando mais de 56% das lojas vulneráveis. A empresa de segurança Sansec relatou que os ataques começaram em 19 de março, apenas dois dias após a divulgação pública do problema. A falha está relacionada à API REST do Magento, que permite o upload de arquivos, possibilitando a execução remota de código e a tomada de controle de contas através de cross-site scripting (XSS) armazenado, dependendo da configuração do servidor web.

As autoridades russas prenderam o suposto administrador do fórum de cibercrime LeakBase, que operava desde 2021, permitindo a troca de bancos de dados pessoais roubados. O detido, residente de Taganrog, teve equipamentos técnicos e outros itens confiscados em sua residência. O LeakBase abrigava centenas de milhões de contas de usuários, informações bancárias, nomes de usuários e senhas, além de documentos corporativos obtidos por meio de hacking. Com mais de 147 mil usuários registrados, o fórum era um dos maiores centros de comércio de dados roubados e ferramentas de cibercrime do mundo, segundo o Departamento de Justiça dos EUA. A operação de desmantelamento do LeakBase ocorreu no início de março de 2026, e a plataforma foi substituída por um banner de apreensão, informando que todo o conteúdo foi preservado para fins de evidência. O administrador, conhecido por vários apelidos online, foi vinculado a um indivíduo de 33 anos, e a investigação continua em andamento.

O phishing por voz, conhecido como vishing, está se tornando uma tática cada vez mais comum entre os criminosos digitais. De acordo com o relatório M-Trends da Mandiant, subsidiária de cibersegurança do Google, o vishing foi responsável por 11% dos ataques digitais em 2025, tornando-se o segundo método mais utilizado para obter acesso ilegal a sistemas. Em contraste, os golpes por e-mail, que tradicionalmente dominaram o cenário de phishing, caíram para apenas 6% dos casos.

Um novo malware chamado ‘DarkSword’ foi identificado, afetando iPhones com versões antigas do iOS, especificamente entre 18.4 e 18.7. O software malicioso é instalado remotamente através de um link em um site comprometido, permitindo que hackers coletem dados sensíveis dos usuários. A descoberta do malware ocorreu após o vazamento de seu código-fonte no GitHub, o que gerou preocupações entre especialistas em segurança. Embora os dispositivos com iOS 26 estejam protegidos, há indícios de que o desenvolvedor do malware esteja tentando criar uma versão que ataque também as versões mais recentes do sistema operacional da Apple. A Apple já recomendou que os usuários atualizem seus dispositivos para a versão mais recente do iOS e lançou atualizações para iOS 15 e 16, visando proteger aparelhos mais antigos. A situação destaca a importância de manter os sistemas operacionais atualizados para evitar a exploração de vulnerabilidades.

Uma operação conjunta entre a Europol e a polícia alemã resultou na desativação de 373 mil sites criminosos na dark web, todos operados por um homem de 35 anos na China. A investigação, conhecida como ‘Operação Alice’, começou no início de março e envolveu agências de 23 países. Os sites ofereciam uma variedade de serviços ilegais, incluindo conteúdos de abuso sexual infantil e fraudes financeiras, coletando criptomoedas de usuários. Estima-se que o suspeito tenha lucrado mais de € 345 mil com aproximadamente 10 mil clientes. Para dificultar o rastreamento, o criminoso criou milhares de sites temporários. Durante a operação, mais de 100 servidores e dispositivos eletrônicos foram apreendidos, e cerca de 440 usuários da plataforma ilegal foram identificados, com mais de 100 casos ainda sob investigação. Essa ação é considerada uma das maiores operações de combate ao crime cibernético na história recente.

A TP-Link anunciou a correção de várias vulnerabilidades em sua série de roteadores Archer NX, incluindo uma falha de gravidade crítica, identificada como CVE-2025-15517. Essa vulnerabilidade permite que atacantes contornem a autenticação e façam upload de novos firmwares, afetando os modelos Archer NX200, NX210, NX500 e NX600. A falha se origina de uma verificação de autenticação ausente em certos endpoints CGI do servidor HTTP, permitindo acesso não autenticado a ações que deveriam ser restritas a usuários autenticados. Além disso, a TP-Link removeu uma chave criptográfica hardcoded (CVE-2025-15605) que permitia a atacantes autenticados descriptografar e modificar arquivos de configuração. Outras duas vulnerabilidades de injeção de comando (CVE-2025-15518 e CVE-2025-15519) também foram corrigidas, permitindo que administradores executassem comandos arbitrários. A empresa recomenda fortemente que os usuários atualizem para a versão mais recente do firmware para evitar possíveis ataques. A CISA já havia classificado outras falhas da TP-Link como exploradas em ataques, destacando a necessidade de atenção contínua à segurança desses dispositivos.

A nova versão do Kali Linux, 2026.1, já está disponível para download e traz diversas novidades para profissionais de cibersegurança. Entre as principais atualizações, destacam-se a adição de 25 novos pacotes e a atualização de 183 outros, além da atualização do kernel para a versão 6.18. O Kali Team introduziu oito novas ferramentas, incluindo o AdaptixC2, um framework extensível para pós-exploração, e o Fluxion, uma ferramenta de auditoria de segurança e pesquisa em engenharia social.

Ferramentas de Inteligência Artificial (IA) estão se tornando parte integrante do cotidiano, sendo amplamente utilizadas em criação de conteúdo, desenvolvimento de software e fluxos de trabalho empresariais. No entanto, essa popularidade também atraiu a atenção de cibercriminosos, que estão explorando um mercado negro crescente para a venda de acessos a plataformas de IA. Pesquisas indicam que contas premium estão sendo revendidas em grupos do Telegram, com métodos de aquisição que incluem roubo de credenciais, criação em massa de contas e abuso de programas promocionais. O acesso a essas ferramentas permite que atores maliciosos automatizem fraudes, criem mensagens de phishing e realizem campanhas de engenharia social de forma mais eficiente. A análise sugere que a venda de contas de IA se tornou um produto valioso no mercado negro, com ofertas que prometem acesso ilimitado ou menos restrições. Para as organizações, isso representa um risco significativo, pois a exploração dessas ferramentas pode resultar em fraudes mais sofisticadas e personalizadas. A necessidade de monitoramento e proteção de contas de IA é mais urgente do que nunca, à medida que a dependência dessas tecnologias cresce.

A Citrix lançou patches para duas vulnerabilidades críticas que afetam seus dispositivos NetScaler ADC e soluções de acesso remoto seguro NetScaler Gateway. A primeira falha, identificada como CVE-2026-3055, resulta de uma validação insuficiente de entrada, permitindo que atacantes remotos não privilegiados possam acessar informações sensíveis, como tokens de sessão, em dispositivos configurados como provedores de identidade SAML. A empresa recomenda que os clientes afetados atualizem suas versões imediatamente. A segunda vulnerabilidade, CVE-2026-4368, afeta dispositivos configurados como Gateways e pode permitir que atores maliciosos com privilégios baixos explorem uma condição de corrida, resultando em confusão de sessões de usuários. Ambas as falhas impactam as versões 13.1 e 14.1 do NetScaler ADC e Gateway. A Shadowserver, um grupo de vigilância de segurança na internet, está monitorando mais de 30.000 instâncias do NetScaler ADC expostas online, mas não há informações sobre quantas estão vulneráveis. Especialistas em cibersegurança alertam que a exploração dessas falhas é iminente, especialmente devido à similaridade com vulnerabilidades anteriores amplamente exploradas, como CitrixBleed.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Em setembro de 2025, a Anthropic revelou que um ator de ameaça patrocinado por um estado utilizou um agente de codificação de IA para conduzir uma campanha de espionagem cibernética autônoma contra 30 alvos globais. O agente de IA executou de 80% a 90% das operações táticas de forma independente, realizando reconhecimento, escrevendo códigos de exploração e tentando movimentação lateral em alta velocidade. O artigo destaca uma preocupação ainda maior: a possibilidade de um atacante comprometer um agente de IA já presente no ambiente de uma organização, que possui acesso e permissões legítimas para se mover pelos sistemas. O modelo tradicional de cadeia de ataque cibernético, desenvolvido pela Lockheed Martin, presume que os atacantes precisam conquistar cada passo de acesso, mas os agentes de IA não seguem esse padrão. Uma vez comprometido, um agente de IA pode fornecer ao atacante um mapa completo do ambiente, acesso amplo e uma justificativa legítima para movimentar dados, tornando a detecção extremamente difícil. O artigo também menciona a crise do OpenClaw, onde 12% das habilidades em seu mercado público eram maliciosas, evidenciando o risco de agentes de IA comprometidos. Para mitigar esses riscos, a Reco oferece uma solução que descobre e mapeia agentes de IA, avaliando suas permissões e ajudando a identificar comportamentos anômalos.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que agora utiliza um framework de múltiplas etapas para roubo de dados e instalação de um trojan de acesso remoto (RAT). Este malware se disfarça como uma extensão offline do Google Docs e é capaz de registrar teclas, capturar cookies, tokens de sessão e tirar screenshots. A campanha se infiltra em sistemas através de pacotes maliciosos publicados em repositórios como npm e PyPI, e compromete contas de mantenedores de projetos para disseminar atualizações contaminadas.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.