Ex-funcionário de empresa de cibersegurança é condenado por ransomware

Angelo Martino, ex-funcionário da DigitalMint, foi condenado a 70 meses de prisão por sua participação em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. O FBI relaciona o grupo BlackCat a mais de 60 violações de segurança entre novembro de 2021 e março de 2022, com um total de pelo menos 300 milhões de dólares em pagamentos de resgate de mais de 1.000 vítimas até setembro de 2023. Martino, junto com outros dois negociadores de ransomware, Kevin Tyler Martin e Ryan Clifford Goldberg, foi acusado de extorquir empresas, ameaçando vazar dados roubados e exigindo pagamentos de resgate. Os três ex-funcionários da DigitalMint e Sygnia pagaram 20% dos lucros dos resgates aos administradores do BlackCat. Entre as vítimas estão organizações financeiras e instituições educacionais que pagaram resgates significativos, como 25,6 milhões e 26,7 milhões de dólares. A DigitalMint condenou as ações de Martino e Martin, afirmando que foram demitidos assim que suas condutas foram descobertas.

Zimbra alerta sobre vulnerabilidade crítica em cliente web clássico

A equipe de segurança da Zimbra alertou seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, utilizado para acessar a suíte de colaboração Zimbra. Essa falha de segurança, que ainda não possui um ID CVE, permite que atacantes explorem o cliente através de e-mails maliciosos, executando código malicioso ao abrir as mensagens. A exploração bem-sucedida pode resultar no roubo de dados de sessão, configurações de conta e informações da caixa de entrada. A Zimbra lançou a versão 10.1.19 para corrigir essa vulnerabilidade e recomenda que todos os usuários do Classic Web Client atualizem imediatamente. Embora a vulnerabilidade ainda não tenha sido confirmada como explorada ativamente, foi reportada pelo Google Threat Analysis Group, que frequentemente identifica exploits zero-day usados por grupos de hackers apoiados por estados. Nos últimos anos, hackers patrocinados pelo estado russo têm explorado vulnerabilidades do Zimbra para comprometer servidores vulneráveis, incluindo ataques a organizações alinhadas à OTAN. A situação é crítica, pois a falha pode ser utilizada em ataques direcionados a indivíduos de alto risco, como políticos e jornalistas. Portanto, a atualização é essencial para garantir a segurança dos ambientes que utilizam essa tecnologia.

Grupo de cibercriminosos usa phishing por voz para extorquir dados

Um ator de ameaças, identificado como O-UNC-066, está atacando organizações de diversos setores com solicitações de segurança falsas baseadas em voz, visando usuários do Microsoft 365. O grupo utiliza um kit de phishing controlado por painel que foca no processo de registro de chaves de acesso (passkeys). Os ataques têm como alvo indústrias como alimentos e bebidas, tecnologia, saúde, automotiva, construção e aviação. Os criminosos registram domínios que incluem a palavra ‘passkey’ e fazem chamadas para persuadir os usuários a se inscreverem em uma nova chave de acesso. Ao direcionar os usuários para um kit de phishing que imita o processo legítimo da Microsoft, os atacantes conseguem registrar suas próprias chaves de acesso nas contas das vítimas, obtendo acesso não autorizado. Este tipo de ataque se aproveita da falta de familiaridade dos usuários com a autenticação por chaves de acesso, criando uma sequência de páginas que enganam as vítimas a fornecerem suas credenciais e aprovar o registro de uma chave de acesso maliciosa. A situação é preocupante, pois coincide com a Microsoft incentivando a adoção de chaves de acesso, o que pode ser explorado por criminosos para facilitar ataques de extorsão de dados.

Estudo revela falhas graves em aplicativos de VPN gratuitos

Um estudo recente analisou 281 dos aplicativos de VPN gratuitos mais populares disponíveis na Google Play Store e revelou que muitos deles falham em proteger a privacidade e a segurança dos usuários, que são as principais razões para a instalação de uma VPN. Os pesquisadores, da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi, utilizaram um sistema de teste chamado MVPNalyzer, que identificou que 29 aplicativos permitiram vazamentos de tráfego, incluindo consultas DNS que expõem quais sites os usuários visitam. Além disso, 61 aplicativos enviaram dados em texto claro, acessíveis a qualquer um que monitorasse a rede. O estudo destacou cinco aplicativos que baixam arquivos de configuração sem criptografia, permitindo que atacantes redirecionem conexões para servidores controlados por eles. A pesquisa também revelou que 76 aplicativos rastreiam os usuários, enviando informações como o ID de publicidade do dispositivo. A maioria dos aplicativos analisados não seguiu as melhores práticas de segurança, com 89% utilizando um único método de autenticação e muitos empregando criptografia fraca ou desatualizada. Os resultados levantam preocupações sobre a confiabilidade dos aplicativos de VPN gratuitos, que frequentemente prometem privacidade, mas falham em implementá-la adequadamente.

Grupo de cibercrime expõe 1,4 milhão de sites vulneráveis na internet

Um grupo de cibercrime deixou um servidor exposto na internet por três semanas, revelando suas operações internas, incluindo ferramentas de hacking, logs de atividades e listas de alvos que abrangem mais de 1,4 milhão de sites. A operação, chamada WP-SHELLSTORM, é classificada como uma corretora de acesso a webshells, onde os hackers invadem sites, instalam backdoors e revendem esse acesso. A maioria das invasões ocorreu em sites WordPress com plugins desatualizados, especialmente uma falha no plugin Breeze, que permitiu a instalação de webshells em mais de 17 mil sites. Embora o número total de alvos seja alarmante, a quantidade de sites realmente comprometidos é significativamente menor, com estimativas variando entre 5.700 e 25.195 sites. O grupo utilizou scanners automatizados para explorar vulnerabilidades conhecidas e deixou rastros que podem ser rastreados até sua origem. Especialistas alertam que as falhas identificadas estão sob exploração ativa, exigindo que administradores de sites verifiquem e atualizem seus sistemas imediatamente.

Gestão de Ativos A Importância da Precisão na Cibersegurança

Um estudo recente revelou que apenas 45% das empresas consolidam seus dados de ativos e exposição em uma única visão, o que compromete a eficácia dos programas de segurança. A Lumen Technologies, uma empresa de telecomunicações, exemplificou essa situação ao utilizar a plataforma Axonius para integrar dados de mais de 40 sistemas desconectados, resultando na descoberta de 60 vezes mais dispositivos do que se imaginava. Essa falta de precisão nos inventários de ativos é um problema comum, onde diferentes ferramentas de TI e segurança apresentam informações contraditórias. A Lumen, ao corrigir esses dados, não apenas melhorou sua resposta a vulnerabilidades críticas, mas também conseguiu visibilidade sobre a postura de suas aplicações, permitindo uma gestão de riscos mais inteligente. Com dados confiáveis, a empresa evoluiu de um modelo de “scan and spam” para uma abordagem baseada em riscos, priorizando ações de remediação que realmente reduzem a exposição. A visibilidade gerada pela Axonius também influenciou decisões estratégicas, como a migração para a nuvem, reduzindo o risco em 40%. O artigo alerta que muitas organizações podem estar enfrentando lacunas semelhantes em seus dados de ativos, o que pode comprometer suas operações de segurança.

Vulnerabilidade no XQUIC permite queda de servidores com tráfego legal

Uma vulnerabilidade crítica foi descoberta na biblioteca XQUIC, utilizada pela Alibaba para QUIC e HTTP/3, que permite que qualquer cliente remoto derrube o servidor com um pequeno fluxo de tráfego QPACK legítimo. Nomeada XRING, a falha foi divulgada pelo pesquisador Sébastien Féry da FoxIO em 8 de julho de 2026 e não possui correção disponível até o momento. A vulnerabilidade afeta todas as versões do XQUIC até a v1.9.4 e não requer login ou pacotes malformados, bastando cerca de 260 bytes de tráfego normal para causar a queda do servidor. O problema reside na forma como o HTTP/3 comprime cabeçalhos, utilizando uma tabela dinâmica que, quando redimensionada, pode resultar em uma contagem incorreta de bytes, levando a uma cópia de memória que ultrapassa os limites. Isso pode causar falhas no processo do servidor, embora não tenha sido testado se essa corrupção pode ser explorada para execução de código. A FoxIO tentou contatar a Alibaba várias vezes sem resposta antes de tornar a falha pública. A situação é preocupante, especialmente considerando que a XQUIC é open-source, expondo outros servidores que a utilizam, como o Tengine, a riscos semelhantes.

Câmeras em carros novos da UE geram preocupações sobre privacidade

A Comissão Europeia anunciou que todos os novos veículos registrados na União Europeia deverão ser equipados com sistemas avançados de alerta de distração do motorista (ADDW). Esses sistemas, que incluem câmeras voltadas para o rosto do condutor, visam aumentar a segurança nas estradas, onde o número de mortes e ferimentos ainda é considerado elevado. As câmeras monitoram os olhos e expressões faciais do motorista, emitindo alertas sonoros quando detectam distração. No entanto, críticos levantam preocupações sobre a privacidade dos dados coletados, especialmente considerando que a maioria dos carros será conectada à internet até 2030. Uma análise da Mozilla revelou que todas as marcas de automóveis estudadas falharam em atender seus próprios padrões de privacidade. Além disso, a falta de clareza sobre o tratamento dos dados dos motoristas pode levar a implicações legais, como a determinação de prêmios de seguro ou uso em processos judiciais. A implementação inadequada dessa tecnologia também pode resultar em distrações adicionais para os motoristas, criando um paradoxo em relação à segurança.

Hackers comprometem repositório do Injective Labs e roubam chaves de criptomoedas

Recentemente, hackers comprometeram o repositório do projeto Injective Labs no GitHub, publicando um pacote malicioso no Node Package Manager (npm) que visava roubar chaves privadas e frases mnemônicas de carteiras de criptomoedas. A vulnerabilidade foi detectada por empresas de segurança cibernética, incluindo Socket e Ox Security, através da versão 1.20.21 do pacote @injectivelabs/sdk-ts, que possui 50 mil downloads semanais e é amplamente utilizado por desenvolvedores de carteiras de criptomoedas e aplicações DeFi. O ataque começou em 8 de junho, quando o invasor acessou uma conta de um colaborador legítimo e fez alterações suspeitas. Embora o proprietário da conta tenha revertido as mudanças rapidamente, a versão maliciosa já havia sido baixada 310 vezes antes de ser descontinuada. O malware se ativa ao utilizar funções do SDK que geram ou importam chaves de carteira, capturando informações sensíveis e enviando-as para um endpoint público da Injective Labs. Os desenvolvedores afetados são aconselhados a transferir suas criptomoedas para novas carteiras e a rotacionar segredos em seus ambientes.

Projeto OpenMandriva Linux sofre tentativa de sabotagem interna

O projeto OpenMandriva Linux, uma distribuição independente de Linux, foi alvo de uma tentativa de sabotagem interna após desavenças entre colaboradores. O incidente envolveu a exclusão de repositórios no GitHub e a publicação de um pacote vazio que poderia prejudicar os sistemas dos usuários. A situação se agravou após comportamentos abusivos de um colaborador, levando a uma série de ações destrutivas por parte de Davide Beatrici, um desenvolvedor que tinha privilégios administrativos. Beatrici deletou partes de um repositório que estava em desenvolvimento há quase uma década e publicou um pacote que obsoletou componentes importantes dos ambientes de desktop Gnome e Cosmic. A equipe do OpenMandriva está atualmente restaurando os repositórios e realizando uma auditoria completa do sistema para identificar outras mudanças não autorizadas. Beatrici, por sua vez, negou as alegações de sabotagem, afirmando que suas ações foram motivadas por desentendimentos sobre a direção do projeto. Apesar da gravidade das ações, a equipe do OpenMandriva decidiu não tomar medidas legais contra Beatrici.

Microsoft desmantela malware GigaWiper, uma ameaça cibernética complexa

A Microsoft revelou detalhes sobre o GigaWiper, um malware destrutivo que atua como uma backdoor no Windows. O GigaWiper combina três programas maliciosos antigos, permitindo ao operador escolher entre diferentes métodos de destruição: apagar todo o disco, sobrescrever a unidade do Windows ou executar um ransomware falso que criptografa arquivos sem deixar chave para decriptação. O malware também possui capacidades de espionagem, permitindo que o atacante monitore a atividade do usuário, capture telas e controle remotamente o PC infectado. A origem do GigaWiper está ligada a um grupo de hackers possivelmente iraniano, que visa organizações israelenses. A detecção precoce e a manutenção de backups offline são essenciais para mitigar os danos, uma vez que não há patch disponível para este tipo de malware. A Microsoft recomenda a ativação de proteções contra alterações em antivírus e o bloqueio de servidores de comando conhecidos para proteger sistemas contra essa ameaça.

Campanhas de ciberataques visam organizações no GitHub

Os Datadog Security Labs alertaram sobre várias campanhas de cibersegurança que estão explorando a API do GitHub para enumerar organizações corporativas, repositórios e contas de usuários. Os atacantes utilizam ferramentas automatizadas de scraping, contas ‘fantasmas’ e tokens de acesso pessoal (PATs) comprometidos para coletar informações, principalmente de dados públicos. No entanto, em alguns casos, esses ataques conseguiram clonar repositórios privados. As contas ‘fantasmas’, criadas há anos e deixadas inativas, são utilizadas para evitar detecções. A atividade dos atacantes se disfarça como uso normal da API, permitindo que eles acessem informações como repositórios públicos, listas de seguidores e gists. Embora a maioria das requisições seja inofensiva isoladamente, a coordenação entre as contas e a possibilidade de clonagem de repositórios privados levantam preocupações significativas sobre a segurança das informações corporativas. As empresas devem estar atentas a essas atividades e implementar medidas de segurança para proteger seus dados no GitHub.

China alerta sobre coleta de dados pelo Claude Code da Anthropic

A China emitiu um alerta de segurança contra o Claude Code, uma ferramenta de programação com inteligência artificial desenvolvida pela Anthropic. O Banco Nacional de Dados de Vulnerabilidades da China (CNVDB) identificou que algumas versões do software, especificamente as versões 2.1.91 até 2.1.196, possuem mecanismos que podem coletar dados dos usuários, como identidade, localização geográfica e informações do sistema operacional, enviando-os para os servidores da empresa sem autorização. A Anthropic, por sua vez, nega a existência de qualquer ‘backdoor’ malicioso, mas admite que implementou recursos para prevenir abusos e o uso não autorizado da plataforma. As preocupações levantadas pela China foram reforçadas por engenheiros da Alibaba, que analisaram o funcionamento do Claude Code e encontraram verificações que poderiam comprometer a privacidade dos usuários. Em resposta, a Anthropic afirmou que essas funcionalidades visam proteger sua propriedade intelectual e não monitorar usuários. O CNVDB recomenda que os usuários removam as versões afetadas e atualizem o software para evitar riscos de vazamento de informações confidenciais e exposição de propriedade intelectual.

Roteadores Tenda têm porta dos fundos de segurança não corrigida

Um alerta de segurança foi emitido pelo CERT Coordination Center (CERT/CC) sobre uma vulnerabilidade crítica em diversos modelos de roteadores da marca Tenda, que permite que atacantes acessem o sistema com privilégios de administrador sem conhecer as credenciais. A falha, identificada como CVE-2026-11405, possui uma pontuação de severidade de 9.8/10, o que a classifica como crítica. O problema é causado por uma credencial de acesso hardcoded, ou seja, embutida no firmware do dispositivo, que permite que invasores contornem as verificações normais de login. Mesmo que o nome de usuário e a senha configurados estejam incorretos, a presença dessa senha oculta garante acesso total ao sistema. O CERT/CC tentou contatar a Tenda, mas não obteve resposta. Enquanto isso, recomenda-se que os usuários desativem a gestão remota e limitem a exposição local como medidas paliativas, embora isso não resolva completamente a vulnerabilidade. A falha afeta várias famílias de roteadores, incluindo FH1201, W15E, AC10, AC5 e AC6, e pode ter um número ainda maior de modelos impactados.

Setor de saúde sofre aumento de ataques de ransomware em 2026

Nos primeiros seis meses de 2026, o setor de saúde registrou uma média de 2,3 ataques de ransomware por dia, totalizando 410 incidentes, um aumento de quase 14% em relação ao segundo semestre de 2025. Desses ataques, 247 foram direcionados a hospitais e clínicas, enquanto 163 afetaram empresas do setor, como fabricantes de produtos médicos e provedores de tecnologia em saúde. Os ataques a empresas de saúde aumentaram quase 35%, com os fabricantes enfrentando um aumento de 36% e os varejistas, como distribuidores de dispositivos médicos, apresentando o maior crescimento, de 67%. O ataque mais significativo foi ao Unimed, na Alemanha, que afetou 135 mil pacientes. A demanda média de resgate para provedores de saúde foi de $310 mil, enquanto para empresas do setor foi de $300 mil. Os principais grupos de ransomware identificados foram Qilin e The Gentlemen. A situação sugere um novo ’normal’ em termos de frequência de ataques, refletindo uma tendência preocupante que se estende além do setor de saúde.

Verão e Cibersegurança Oportunidades para Criminosos Virtuais

Durante o verão, muitas organizações enfrentam desafios de segurança cibernética devido à redução de pessoal e à diminuição da vigilância. Os cibercriminosos aproveitam essa oportunidade, aumentando os ataques em até 40% durante períodos de férias. Com equipes de segurança menores, a capacidade de resposta a alertas e incidentes diminui, tornando mais difícil detectar atividades suspeitas, como phishing e comprometimento de e-mails corporativos. A falta de conhecimento institucional, com a ausência de engenheiros seniores, pode atrasar investigações e decisões críticas. Para mitigar esses riscos, as organizações devem adotar soluções de automação e monitoramento contínuo, que permitem a manutenção da segurança mesmo com equipes reduzidas. Ferramentas de automação podem priorizar alertas, executar processos de resposta e aplicar patches automaticamente, garantindo que a segurança não dependa exclusivamente da disponibilidade humana. Assim, é essencial que as empresas desenvolvam operações de segurança resilientes, capazes de detectar e responder a ameaças independentemente da equipe disponível.

Operação de phishing como serviço visa contas do Microsoft 365

Um novo serviço de phishing como serviço (PhaaS) chamado Forg365 tem como alvo contas do Microsoft 365, utilizando métodos de adversário no meio (AiTM) e códigos de dispositivo, além de geração de iscas assistida por inteligência artificial. A plataforma oferece uma extensão de navegador que permite acesso contínuo aos serviços da Microsoft sem necessidade de reautenticação. Pesquisadores da ZeroBEC identificaram que muitos recursos do Forg365 são semelhantes a outras plataformas de PhaaS, como Kali365 e Sneaky2FA. A investigação começou com e-mails de phishing disfarçados de documentos empresariais, utilizando serviços legítimos como Amazon SES e SendGrid para entrega. O Forg365 permite a criação de campanhas de phishing, gerenciamento de links e tokens, e geração de e-mails maliciosos a partir de um painel centralizado. A plataforma também possui um recurso de monitoramento de palavras-chave em caixas de entrada comprometidas e uma extensão chamada ForgCookie, que captura cookies de sessão para acesso persistente. As principais rotas de ataque incluem phishing por código de dispositivo e phishing AiTM, ambos projetados para enganar as vítimas e capturar credenciais sem solicitar diretamente a senha. A ZeroBEC recomenda que as organizações restrinjam a autenticação por código de dispositivo e monitorem logs do Microsoft Entra para eventos suspeitos.

Microsoft aumenta atualizações de segurança no Windows com IA

A Microsoft anunciou que os usuários do Windows devem esperar um aumento nas atualizações de segurança, impulsionado pelo uso crescente de inteligência artificial (IA) para descobrir vulnerabilidades em seu código. Em um post de blog, a empresa destacou que os avanços em IA aceleraram significativamente a descoberta de falhas, permitindo que engenheiros identifiquem mais problemas de segurança antes que possam ser explorados em ataques de dia zero. Para isso, a Microsoft está utilizando um sistema de descoberta de vulnerabilidades chamado MDASH, que realiza varreduras em binários críticos do Windows e valida as descobertas com múltiplos modelos de IA. Além disso, a IA também auxilia os engenheiros a entender falhas mais rapidamente e sugerir correções. A empresa enfatizou que, apesar do uso de IA, engenheiros humanos ainda revisarão todas as propostas de código antes da implementação. Com essa abordagem, os clientes devem observar um volume maior de atualizações de segurança a cada Patch Tuesday. A Microsoft também atualizou suas práticas de Ciclo de Vida de Desenvolvimento Seguro (SDL) para considerar técnicas de ataque habilitadas por IA, visando identificar problemas de segurança antes do lançamento de novas funcionalidades.

Grupo Helix usa táticas de phishing para extorquir dados do SharePoint

Um novo grupo de extorsão de dados, conhecido como Helix, está utilizando táticas focadas em identidade, como vishing (phishing por voz), phishing de código de dispositivo e abuso de autenticação multifatorial (MFA) para roubar dados de ambientes SharePoint. O contato inicial é feito por meio de vishing, onde os atacantes se passam por gerentes das vítimas, utilizando nomes ou técnicas de falsificação de ID para parecerem legítimos. O objetivo é enganar os alvos em esquemas de phishing de código de dispositivo para obter acesso às suas contas. Após a invasão, os operadores do Helix registram rapidamente um novo aplicativo de autenticação multifatorial para garantir a persistência, explorando e enumerando o SharePoint antes de exfiltrar arquivos. Os dados roubados são geralmente utilizados para extorquir as organizações vítimas, ameaçando publicá-los a menos que um resgate seja pago. Pesquisadores da ReliaQuest identificaram que o comportamento de exfiltração do SharePoint é a assinatura técnica mais forte do Helix, com uma coleta automatizada que se mostrou consistente em vários incidentes. Para mitigar esses ataques, recomenda-se desativar a autenticação por código de dispositivo sempre que possível e restringir o acesso ao SharePoint a dispositivos gerenciados.

Ataques impulsionados por IA como se proteger com Zero Trust

O artigo da Hacker News destaca como a inteligência artificial (IA) está acelerando a velocidade dos ataques cibernéticos, permitindo que invasores realizem ações que antes levavam dias em apenas minutos. Utilizando modelos como o Mythos, os atacantes conseguem criar iscas personalizadas, selecionar alvos e testar suas estratégias rapidamente, o que coloca as equipes de segurança em desvantagem. Para enfrentar essa nova realidade, o artigo sugere a adoção de uma abordagem de Zero Trust, que visa restringir o acesso e a movimentação lateral dentro da rede. As três principais recomendações incluem: reduzir o que os atacantes podem acessar, eliminando pontos de entrada expostos e aplicando o princípio do menor privilégio; impedir a movimentação lateral, permitindo apenas conexões necessárias; e detectar ataques precocemente, utilizando ’tripwires’ que acionam contenções automáticas antes que um incidente se concretize. O webinar gratuito oferecido pela Zscaler promete fornecer um guia prático para implementar essas estratégias, ajudando as organizações a se prepararem para ataques impulsionados por IA.

Ameaças cibernéticas fraudes globais e vulnerabilidades críticas

Recentemente, uma operação global contra fraudes resultou na prisão de 5.811 indivíduos e na interceptação de $293 milhões em ativos ilícitos, destacando a gravidade das fraudes de engenharia social. A operação, chamada First Light 2026, envolveu 97 países e revelou mais de 142.000 vítimas em todo o mundo. Além disso, uma campanha de typosquatting afetou pacotes npm e PyPI, visando SDKs de aplicativos de pagamento como Paysafe e Skrill, com o objetivo de roubar informações sensíveis. Outra vulnerabilidade crítica foi identificada no Esri ArcGIS Server, permitindo acesso não autenticado a arquivos sensíveis, com uma pontuação CVSS de 9.8. A pesquisa também revelou técnicas avançadas de injeção de código, como o Process Parameter Poisoning, que evita a detecção de atividades maliciosas. O alerta sobre a coleta de dados sensíveis por versões do Claude Code na China e uma campanha de phishing que utiliza chamadas do Microsoft Teams para disseminar o malware EtherRAT também foram destacados. Esses incidentes ressaltam a necessidade urgente de vigilância e mitigação de riscos em ambientes corporativos.

GitHub desativa scripts de instalação por padrão no npm 12

O GitHub anunciou a versão 12 do npm, que traz mudanças significativas na segurança. A partir dessa versão, os scripts de instalação, como preinstall, install e postinstall, estão desativados por padrão, exigindo que os usuários os ativem explicitamente. Além disso, as dependências de git e URLs remotos também não serão resolvidas automaticamente, aumentando a segurança ao evitar a execução de códigos potencialmente maliciosos sem consentimento. Outra mudança importante é a descontinuação dos tokens de acesso granular (GATs) que permitiam contornar a autenticação de dois fatores (2FA). A partir de agosto de 2026, esses tokens não poderão mais realizar ações sensíveis, como gerenciar contas e pacotes, e a publicação de pacotes será limitada a um processo que requer aprovação humana com 2FA. Essas alterações visam fortalecer a segurança na cadeia de suprimentos de software, um aspecto crítico na era digital atual. O GitHub recomenda que os desenvolvedores atualizem para versões mais recentes do npm e adotem práticas de publicação mais seguras, como a publicação confiável com OIDC ou a publicação em etapas com aprovação humana.

Rússia abandona polêmica taxa de VPN após atrasos e reações negativas

O Ministério do Desenvolvimento Digital da Rússia anunciou a desistência de um plano que previa a cobrança de taxas sobre o tráfego de internet internacional, que visava taxar usuários em 150 rublos por gigabyte adicional após um limite mensal de 15GB. Essa proposta, que tinha como alvo principal os usuários de VPNs, foi abandonada após meses de atrasos técnicos e forte resistência da indústria. A reversão da política foi confirmada pelo vice-ministro Ivan Lebedev durante uma sessão da Duma Estatal, onde ele afirmou que as taxas para tráfego estrangeiro não estão mais sendo consideradas. A ideia inicial surgiu em uma reunião em março, mas enfrentou dificuldades logísticas e pressão de operadoras de telecomunicações que não estavam preparadas para implementar as mudanças. Embora a desistência da taxa represente uma vitória para os defensores da privacidade, a demanda por ferramentas de contorno de censura continua alta, especialmente após o bloqueio de plataformas globais como YouTube e Facebook. A situação reflete um ambiente digital hostil, onde o governo russo intensifica suas tentativas de controlar o acesso à informação na internet.

AssuranceAmerica revela vazamento de dados afetando quase 7 milhões de motoristas

A empresa de seguros americana AssuranceAmerica anunciou um vazamento de dados que impactou cerca de 7 milhões de motoristas. O incidente foi detectado em 17 de março de 2026, quando a empresa identificou atividades suspeitas em seus sistemas, resultantes de um ataque direcionado a um de seus funcionários no dia anterior. Durante a investigação, foi confirmado que um terceiro não autorizado acessou partes do ambiente de tecnologia da informação da empresa e copiou arquivos contendo informações sensíveis. Os dados expostos incluem nomes, informações de contato, detalhes de apólices de seguro, informações sobre veículos e números de carteira de motorista. Após a detecção do ataque, a AssuranceAmerica tomou medidas imediatas, como desativar credenciais comprometidas, isolar sistemas afetados e notificar as autoridades. A empresa também implementou medidas adicionais de segurança e aconselhou os clientes afetados a monitorar suas contas financeiras. Este incidente destaca a vulnerabilidade das empresas de seguros e a importância de uma resposta rápida a ataques cibernéticos.

Operação global contra fraudes resulta em milhares de prisões

A Operação First Light 2026, coordenada pela INTERPOL, resultou na prisão de 5.811 suspeitos e na apreensão de US$ 293 milhões em ativos ilícitos em 97 países. Realizada entre 15 de janeiro e 30 de abril, a operação focou em fraudes de engenharia social, como comprometimento de e-mails empresariais, sextorsão e golpes de investimento, além de atividades de lavagem de dinheiro. Durante a operação, mais de 142.000 vítimas foram identificadas, e 31.014 contas bancárias foram bloqueadas. A INTERPOL utilizou mecanismos como o I-GRIP para interromper fluxos financeiros ilícitos. A operação é um reflexo do aumento das fraudes transnacionais, que afetam indivíduos, empresas e governos. A ação segue outras operações, como a Synergia II, que também resultaram em prisões e na desmantelação de infraestruturas de cibercrime. Tomonobu Kaya, diretor do Centro de Crimes Financeiros e Anticorrupção da INTERPOL, destacou a necessidade de uma estratégia coordenada entre os países para combater esses crimes, que exploram a psicologia humana para manipular as vítimas.

Microsoft desativa OWA Light em atualização do Exchange Server

A Microsoft anunciou que irá desativar o OWA Light, a versão leve do Outlook Web Access, em uma atualização futura do Exchange Server. O OWA Light foi introduzido há cerca de 20 anos como uma alternativa ao OWA Premium, oferecendo uma interface simplificada para sistemas com navegadores mais antigos ou com conexões de internet de baixa largura de banda. No entanto, a empresa argumenta que, com a evolução dos navegadores modernos e a melhoria das condições de rede, o foco deve ser na experiência completa do Outlook na web. A desativação do OWA Light, prevista para agosto de 2026, visa reduzir a superfície de legado e simplificar o trabalho de engenharia contínuo. Os administradores podem desativar o OWA Light imediatamente usando comandos específicos. A mudança é parte de um movimento mais amplo da Microsoft para melhorar a segurança e a experiência do usuário em suas plataformas. A decisão reflete uma adaptação às novas realidades da web e às necessidades dos usuários atuais, que demandam funcionalidades mais robustas e seguras.

Meta lança modelo de IA que utiliza conteúdo público do Instagram

A Meta anunciou o lançamento do Muse Image, um novo modelo de inteligência artificial (IA) que permite aos usuários gerar conteúdo visual a partir de postagens e reels públicos do Instagram. Essa funcionalidade, que está habilitada por padrão, possibilita que os usuários mencionem contas do Instagram no aplicativo Meta AI, integrando perfis específicos nas imagens geradas. O Muse Image, desenvolvido pelos Superintelligence Labs da Meta, utiliza raciocínio avançado para compreender prompts complexos e combinar várias fotos em criações de alta qualidade. Além disso, a IA será incorporada ao WhatsApp e Instagram, permitindo efeitos impulsionados por IA para Stories e geração de imagens em chats diretos. Os usuários têm a opção de desativar a reutilização de seu conteúdo, mas é importante notar que não serão notificados quando suas imagens forem remixadas. Para usuários com contas públicas, o conteúdo pode ser reutilizado por outros, o que levanta preocupações sobre privacidade e controle sobre a própria imagem. A Meta recomenda que usuários com perfis públicos desativem essa configuração para proteger seu conteúdo. Essa iniciativa se alinha a uma tendência crescente de empresas de tecnologia que integram IA em seus produtos, adotando um modelo de opt-out em vez de opt-in.

Microsoft corrige vulnerabilidade RoguePlanet no Defender

A Microsoft lançou atualizações de segurança para uma vulnerabilidade crítica em seu software Defender, conhecida como RoguePlanet, que foi divulgada publicamente há quase um mês. A falha, identificada como CVE-2026-50656, possui uma pontuação CVSS de 7.8 e permite a escalada de privilégios no Microsoft Malware Protection Engine, o que pode permitir que atacantes executem código arbitrário com privilégios de sistema. A vulnerabilidade foi descoberta pelo pesquisador de segurança Chaotic Eclipse, que a descreveu como uma condição de corrida que pode ser explorada independentemente da proteção em tempo real estar ativada. A Microsoft lançou a correção na versão 1.1.26060.3008 do seu motor de proteção, além de atualizações de defesa em profundidade para fortalecer recursos de segurança. A empresa afirmou que não é necessário que os clientes tomem medidas adicionais, pois as atualizações são aplicadas automaticamente. RoguePlanet é a quarta vulnerabilidade do Defender descoberta por Chaotic Eclipse, que já havia identificado outras falhas que também foram corrigidas. A vulnerabilidade afeta sistemas Windows atualizados com os patches de junho de 2026.

Nova família de ransomware GodDamn utiliza driver malicioso PoisonX

Pesquisadores de cibersegurança identificaram uma nova família de ransomware chamada GodDamn, que utiliza o driver malicioso PoisonX para desativar softwares de segurança, dificultando a detecção e resposta a ataques. O ransomware foi avistado pela primeira vez em 21 de maio de 2026 e é considerado uma rebrand do ransomware Beast, que por sua vez era uma versão aprimorada do Monster, surgido em março de 2022. A empresa Broadcom está investigando o grupo por trás dessas ameaças, conhecido como Hyadina.

A Nova Era dos Clearinghouses de Vulnerabilidades em Cibersegurança

Recentemente, diversas empresas anunciaram a criação de clearinghouses para vulnerabilidades, incluindo a Athena, que se destaca por já estar em operação antes do anúncio. No entanto, o artigo enfatiza que a criação de um clearinghouse é a parte menos importante do processo de segurança. O verdadeiro desafio reside na capacidade de transformar dados de vulnerabilidades em correções efetivas e aplicáveis. O autor argumenta que, embora esses clearinghouses reúnam dados sobre vulnerabilidades pré-divulgação, a verdadeira questão é como essas informações são utilizadas para proteger aplicações em tempo real. A crescente quantidade de vulnerabilidades privadas em código aberto é um subproduto de métodos de teste que expõem falhas em dependências de terceiros. Além disso, a velocidade de exploração de vulnerabilidades tem diminuído drasticamente, com ataques ocorrendo antes mesmo da divulgação de patches. O artigo conclui que, para proteger eficazmente as aplicações, é necessário um esforço coordenado e em larga escala, onde a colaboração entre diferentes equipes de segurança se torna essencial.

Microsoft lança patch para vulnerabilidade zero-day do Defender

A Microsoft lançou um patch para corrigir uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada após o Patch Tuesday de junho de 2026. A falha, identificada como CVE-2026-50656, permite que atacantes obtenham privilégios de SYSTEM em dispositivos Windows 10 e 11 totalmente atualizados, explorando uma condição de corrida no Defender. O pesquisador de segurança que revelou a vulnerabilidade, sob o pseudônimo ‘Nightmare Eclipse’, também compartilhou um exploit de prova de conceito em um repositório Git auto-hospedado, alegando que a Microsoft removeu suas postagens anteriores em plataformas como GitHub e GitLab. A empresa confirmou que estava trabalhando em um patch em 16 de junho, mas não reconheceu publicamente o pesquisador. O patch foi disponibilizado através de uma atualização do Microsoft Malware Protection Engine. Nos últimos meses, Nightmare Eclipse divulgou outras vulnerabilidades zero-day relacionadas ao Windows, levando a Microsoft a considerar ações legais contra ele. A situação destaca a importância de monitorar e corrigir vulnerabilidades em sistemas amplamente utilizados, especialmente em um cenário de crescente exploração de falhas de segurança.

Grupo Lurking Lizard opera rede de proxies maliciosos

Pesquisadores de cibersegurança revelaram a atuação de um novo ator de ameaças, denominado Lurking Lizard, que opera um negócio de proxies residenciais maliciosos. Desde agosto de 2022, o grupo tem utilizado mais de 230 domínios semelhantes para recrutar dispositivos comprometidos como nós de proxy. Uma das campanhas observadas envolveu a distribuição de um instalador trojanizado do 7-Zip, hospedado em um domínio que imitava o original. O Lurking Lizard também se faz passar por provedores de proxy renomados e utiliza sites de revisão falsos para direcionar tráfego para suas plataformas fraudulentas. A análise sugere que o grupo é baseado na China e emprega técnicas como o ‘drop-catching’, adquirindo domínios expirados para herdar sua legitimidade. Além disso, a infraestrutura utilizada para a campanha do 7-Zip também serve para distribuir instaladores falsos de outros aplicativos populares. O impacto dessa operação é significativo, pois pode transformar dispositivos comuns em parte de uma botnet, expondo os usuários a riscos de segurança e possíveis ações maliciosas. A situação é agravada pelo fato de que a Google recentemente desmantelou outra rede de proxies residenciais, destacando a gravidade do problema.

Falha em assistentes de codificação AI pode comprometer segurança

Pesquisadores da Wiz descobriram uma vulnerabilidade em seis assistentes de codificação AI populares, que permite que um projeto de código malicioso assuma o controle silenciosamente do computador de um desenvolvedor. A falha, chamada GhostApproval, ocorre quando o assistente solicita permissão para editar um arquivo aparentemente inofensivo, mas na verdade escreve em um arquivo sensível. Os assistentes afetados incluem Amazon Q Developer, Claude Code da Anthropic, Augment, Cursor, Google Antigravity e Windsurf. A vulnerabilidade explora um recurso antigo do Unix chamado link simbólico (symlink), que não é verificado pelos assistentes. Um repositório malicioso pode redirecionar a escrita de um arquivo para o arquivo de login SSH do usuário, permitindo que um invasor acesse o sistema sem senha. Embora não haja evidências de que essa técnica tenha sido usada em ataques reais, a Wiz recomenda que os desenvolvedores adotem práticas de segurança, como executar os assistentes com acesso limitado a arquivos e verificar os arquivos de configuração após trabalhar em repositórios desconhecidos. Três dos seis fornecedores já corrigiram a falha, enquanto dois ainda estão trabalhando em soluções, e a Anthropic contesta a classificação como um bug.

Vulnerabilidade em agentes de IA pode permitir execução de código malicioso

Um novo estudo do AI Now Institute revelou uma vulnerabilidade crítica em agentes de codificação de IA, como Claude Code da Anthropic e Codex da OpenAI, que pode permitir que código malicioso seja executado em máquinas dos usuários. Denominado ‘Friendly Fire’, o ataque ocorre quando esses agentes operam em modo autônomo, onde eles aprovam seus próprios comandos. Os pesquisadores demonstraram que, ao solicitar uma verificação de segurança em código de terceiros, o agente pode inadvertidamente executar um código malicioso disfarçado como um arquivo inofensivo. O ataque se aproveita da confiança que os agentes têm em arquivos README.md, que são comuns em repositórios de código. Embora não haja um patch disponível, a solução proposta envolve mudanças nos fluxos de trabalho para evitar que código não confiável seja analisado por esses agentes. A pesquisa destaca a necessidade urgente de cautela ao utilizar ferramentas de IA para auditoria de segurança, especialmente em ambientes onde a segurança de dados sensíveis é crítica.

Grupo de ameaças ligado à China explora servidores Roundcube em universidades

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.

Pacotes maliciosos no npm e PyPI visam aplicativos de pagamento

Recentemente, pacotes maliciosos foram identificados no Node Package Manager (npm) e no Python Package Index (PyPI), direcionados a desenvolvedores e usuários dos aplicativos de pagamento Paysafe, Skrill e Neteller. Os atacantes publicaram pelo menos 17 pacotes maliciosos simultaneamente, com a finalidade de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS). Esses pacotes se disfarçam como SDKs legítimos de pagamento, mas na verdade retornam respostas falsas de sucesso, enquanto buscam por segredos como tokens, senhas e chaves de API. A análise da empresa de segurança Socket revela que os pacotes npm publicaram quatro versões maliciosas, enquanto os pacotes PyPI apresentaram apenas uma. Os dados exfiltrados incluem chaves de API do Paysafe, chaves da AWS e tokens do GitHub. Os desenvolvedores que instalaram esses pacotes são aconselhados a rotacionar imediatamente todas as credenciais em qualquer máquina que tenha importado ou executado esses pacotes. A capacidade do atacante de transitar entre diferentes ecossistemas pode dificultar a defesa, especialmente se houver visibilidade limitada em um único ecossistema.

Universidade de Mount Royal sofre ataque cibernético e dados são deletados

A Mount Royal University (MRU), localizada em Calgary, foi alvo de um ataque cibernético em 17 de junho, resultando no roubo e subsequente exclusão de dados de seus sistemas de armazenamento. A universidade, que possui mais de 11 mil alunos, informou que a violação afetou diversos sistemas, incluindo serviços online e acesso à internet. Dados armazenados em uma unidade designada como ‘H drive’, que continha informações de alunos e funcionários, foram acessados e deletados por um ator não autorizado. Além disso, uma segunda unidade, rotulada como ‘J drive’, que armazenava dados departamentais, também foi apagada, embora não haja evidências de que esses dados tenham sido copiados antes da exclusão. O grupo de hackers CMD Organization reivindicou a responsabilidade pelo ataque, exigindo um resgate de 30 BTC (cerca de R$ 1,9 milhão) e ameaçando vazar informações se a universidade não atender à demanda. A MRU está colaborando com especialistas em cibersegurança para investigar o incidente e recuperar os dados perdidos, além de oferecer monitoramento de crédito e proteção contra roubo de identidade aos afetados. O incidente foi reportado às autoridades competentes, incluindo o Comissário de Informação e Privacidade de Alberta.

Agentes de IA disparam alarmes de segurança em sistemas corporativos

Um estudo da Sophos revelou que agentes de codificação baseados em IA, como Claude Code e OpenAI Codex, estão gerando alarmes de segurança em sistemas Windows ao realizar atividades que se assemelham a ataques cibernéticos. Durante uma análise de uma semana, 56,2% das atividades bloqueadas estavam relacionadas ao acesso a credenciais, enquanto 28,8% diziam respeito à execução de comandos. A Sophos identificou que ações como a descriptografia de credenciais de navegador e a enumeração de dados do Gerenciador de Credenciais do Windows, realizadas por assistentes de IA, foram interpretadas como tentativas de roubo de dados. Embora essas ações sejam benignas no contexto de automação de tarefas, elas levantam preocupações sobre a segurança das credenciais armazenadas. A Sophos sugere que as regras de detecção sejam ajustadas para distinguir entre comportamentos normais de agentes de IA e atividades maliciosas. O relatório também destaca que a evolução das táticas de ataque, onde 82% das detecções em 2025 foram livres de malware, exige uma reavaliação das estratégias de defesa. Para os defensores, é crucial manter um controle rigoroso sobre o acesso a credenciais, mesmo quando realizado por agentes de IA, e considerar a implementação de configurações que limitem permissões excessivas.

ANPD investiga ataque que comprometeu dados de 500 mil pacientes no Brasil

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque de ransomware que afetou cerca de 500 mil pacientes em várias unidades de saúde no Brasil. O incidente, que ocorreu em 2025, resultou no sequestro de dados sensíveis, incluindo informações de identificação e dados de saúde, como prontuários e diagnósticos. A ANPD investiga se houve infrações à Lei Geral de Proteção de Dados (LGPD), como a falta de medidas de segurança adequadas e a comunicação inadequada aos afetados. O ISAC alegou que não houve risco significativo, mas a ANPD contestou essa afirmação, destacando a falta de comprovação. A organização tem dez dias úteis para apresentar sua defesa, e as sanções podem incluir multas de até 2% do faturamento e a suspensão de atividades de tratamento de dados. Este caso destaca a importância da conformidade com a LGPD e a necessidade de medidas robustas de segurança da informação em instituições de saúde.

DuckDuckGo lança bloqueador de anúncios para YouTube

O DuckDuckGo anunciou uma nova funcionalidade em seu navegador que permite bloquear a maioria dos anúncios em vídeo no YouTube, incluindo aqueles exibidos antes e durante a reprodução dos vídeos. Essa funcionalidade está habilitada por padrão nas versões mais recentes do DuckDuckGo para iOS, Mac e Windows, enquanto os usuários de Android podem ativá-la manualmente nas configurações de bloqueio de anúncios. O YouTube, a maior plataforma de vídeos do mundo, exibe anúncios para usuários gratuitos, que se tornaram mais frequentes e, em alguns casos, ininterruptos. O novo mecanismo de bloqueio de anúncios do DuckDuckGo utiliza listas de filtros mantidas pela comunidade do uBlock Origin, complementadas por regras de compatibilidade próprias para aumentar a eficácia. Os usuários podem ativar simultaneamente o ‘Duck Player’, que oferece proteção de privacidade aprimorada, e o bloqueio de anúncios, permitindo uma experiência de visualização sem interrupções. Embora o bloqueador possa causar tempos de buffer ligeiramente mais longos, a experiência de reprodução deve ser suave. No entanto, a eficácia do bloqueador pode ser temporariamente afetada por mudanças frequentes na forma como o YouTube serve anúncios. O DuckDuckGo convida os usuários a testar a nova funcionalidade e fornecer feedback anônimo para melhorias.

Relatório da IBM revela uso de IA em ataques cibernéticos

O Relatório de Custo de uma Violação de Dados da IBM de 2025 revelou que 16% das violações analisadas envolveram o uso de ferramentas de inteligência artificial (IA) por atacantes, principalmente para ataques de phishing e de impersonação com deepfake. O serviço de atendimento ao cliente (service desk) se torna um alvo natural para engenharia social, pois um atacante que convence um agente de que é um usuário legítimo pode contornar controles técnicos. A IA facilita essa tarefa, tornando as abordagens mais personalizadas e convincentes. O processo de integração de novos funcionários é especialmente vulnerável, já que os agentes de suporte podem não ter familiaridade com os novos colaboradores. Para mitigar esses riscos, é essencial que os agentes tenham métodos mais robustos de verificação de identidade antes de conceder acesso a credenciais ou aprovar mudanças sensíveis. O uso de soluções como o Specops Secure Onboarding pode ajudar a proteger o processo de integração, garantindo que os novos funcionários criem senhas seguras sem que credenciais sejam enviadas diretamente, além de implementar verificações biométricas para evitar impersonações. Com a crescente sofisticação dos ataques, a proteção do service desk se torna uma prioridade crítica para as organizações.

Grupo de cibercriminosos usa chamadas para phishing em Microsoft 365

Um grupo de cibercriminosos tem atacado organizações de diversos setores com solicitações de segurança falsas, utilizando chamadas telefônicas para persuadir usuários do Microsoft 365 a se inscreverem em uma nova chave de acesso Entra. Essa técnica, conhecida como vishing, explora uma funcionalidade recém-lançada pela Microsoft que permite campanhas de registro de chaves de acesso. Os atacantes direcionam as vítimas para sites de phishing que imitam o processo legítimo de registro, coletando credenciais e códigos de autenticação multifatorial (MFA). O grupo, identificado como O-UNC-066 e associado à operação de extorsão chamada Pink, tem como alvo setores como alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação. Após obter acesso às contas, os criminosos rapidamente exfiltram dados de serviços como SharePoint e OneDrive, utilizando um painel PHP controlado pelo operador para guiar as vítimas em tempo real. A Okta recomenda que as organizações implementem métodos de verificação mais rigorosos para a identidade de pessoal de suporte ao cliente e neguem solicitações de locais onde a empresa não opera.

Falha em commits assinados do Git pode comprometer segurança

Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.

Fraude bancária no México utiliza iscas ClickFix para atacar clientes

Um novo esquema de fraude bancária está atacando clientes de bancos, fintechs e exchanges de criptomoedas no México, utilizando iscas ClickFix. A operação, identificada como REF6045 pelo Elastic Security Labs, envolve a infecção de vítimas através de páginas falsas de verificação CAPTCHA, que induzem os usuários a executar um comando malicioso que instala um toolkit PowerShell chamado SCMBANKER. Este malware é projetado especificamente para o ecossistema financeiro mexicano e possui capacidades como monitoramento de sessões bancárias, captura de telas e manipulação de área de transferência. O ataque começa com uma verificação CAPTCHA falsa que leva as vítimas a copiar e colar um comando malicioso. Após a instalação, o operador pode monitorar a atividade bancária da vítima, redirecionar navegadores e até mesmo bloquear a tela com avisos falsos. Os pesquisadores notaram que o SCMBANKER utiliza um modelo de linguagem para desenvolver suas ferramentas, evidenciando a utilização de inteligência artificial na criação do malware. A operação representa um risco significativo, pois já existem vítimas reais sendo monitoradas em tempo real pelos operadores. A descoberta de um diretório aberto permitiu a recuperação de informações detalhadas sobre a infraestrutura do ataque, revelando falhas de segurança operacional por parte dos criminosos.

Campanha EvilTokens expõe nova vulnerabilidade em segurança de e-mails

Uma recente campanha de phishing chamada EvilTokens está atacando empresas nos EUA e na Europa, revelando uma nova vulnerabilidade na segurança de e-mails. A técnica, conhecida como ‘ghost phishing’, mantém a página maliciosa oculta até que seja decifrada e se torne visível no navegador da vítima. O ataque utiliza um método de phishing que não requer o roubo direto de senhas, mas sim a autorização involuntária do acesso às contas do Microsoft 365. Isso representa um risco significativo, pois verificações tradicionais de URL podem não detectar o ataque, resultando em maior exposição a invasões de contas e acesso não autorizado a dados sensíveis. A análise do ataque foi realizada na sandbox interativa ANY.RUN, que permitiu visualizar o fluxo completo do ataque, destacando a importância de ter visibilidade no nível do navegador para detectar e conter essas ameaças antes que causem danos financeiros. Os setores mais afetados incluem tecnologia, manufatura, educação e serviços financeiros, onde a exposição ao phishing atingiu níveis alarmantes, como 75,6% no setor de consultoria. Para mitigar esses riscos, é crucial que as equipes de segurança adotem ferramentas que permitam a inspeção de dados no navegador e a detecção de comportamentos maliciosos.

Ubiquiti lança atualizações para falhas críticas em UniFi

A Ubiquiti lançou atualizações para corrigir várias falhas de segurança críticas em suas aplicações UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect e UniFi OS. As vulnerabilidades, que variam de um CVSS de 9.0 a 10.0, incluem problemas de controle de acesso inadequado, injeção de comandos e injeção SQL. Por exemplo, a CVE-2026-50746 permite que um atacante execute injeções de comandos na aplicação UniFi Connect, enquanto a CVE-2026-50747 envolve injeções SQL na UniFi Talk, ambas podendo resultar em escalonamento de privilégios. Embora não haja evidências de exploração ativa dessas falhas, a CISA já havia alertado sobre vulnerabilidades semelhantes que foram utilizadas em ataques reais. Além disso, um botnet chamado MooBot, que utilizava roteadores Ubiquiti Edge OS comprometidos, foi desmantelado em uma operação de aplicação da lei. As atualizações estão disponíveis e é crucial que os usuários implementem os patches para mitigar os riscos associados a essas vulnerabilidades.

HalluSquatting nova ameaça de botnet via assistentes de IA

Um novo tipo de ataque cibernético, denominado HalluSquatting, explora as falhas de assistentes de programação baseados em inteligência artificial (IA) que frequentemente geram informações fictícias. Pesquisadores descobriram que, ao registrar nomes de projetos que a IA tende a inventar, os atacantes podem induzir o assistente a buscar e executar códigos maliciosos. O ataque combina duas características da IA: a ‘alucinação’, onde a IA cria informações falsas, e a ‘injeção de prompt’, que manipula a IA para seguir instruções do atacante. O processo começa com o atacante identificando um recurso popular, repetindo solicitações à IA até que ela produza um nome falso, que é então registrado. Quando um usuário legítimo solicita o recurso, a IA pode acabar puxando a versão maliciosa. Este método é particularmente perigoso, pois não requer senhas ou exploração de rede, tornando-o difícil de detectar por firewalls. O estudo, realizado por pesquisadores de universidades israelenses, destaca a necessidade urgente de melhorias na segurança desses assistentes, como a verificação de nomes antes da execução de comandos. A pesquisa sugere que a combinação de nomes inventados, marketplaces abertos e a capacidade da IA de executar comandos cria um novo vetor de ataque que pode afetar uma ampla gama de dispositivos e sistemas operacionais.

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti lançou atualizações de segurança para corrigir sete vulnerabilidades críticas no UniFi OS, incluindo uma falha de gravidade máxima, identificada como CVE-2026-50746, que pode ser explorada em ataques de injeção de comando. Essa vulnerabilidade afeta a aplicação UniFi Connect (versões 3.4.16 e anteriores), utilizada para gerenciar operações em edifícios comerciais, como sistemas de iluminação LED inteligentes e carregadores de veículos elétricos. A empresa alertou que um ator malicioso com acesso à rede pode explorar uma vulnerabilidade de Controle de Acesso Inadequado para executar injeções de comando no dispositivo host. Os usuários devem atualizar a aplicação UniFi Connect para a versão 3.4.20 ou posterior. Além disso, a Ubiquiti corrigiu outras seis vulnerabilidades críticas em aplicações como UniFi Talk, UniFi Access e UniFi Protect, bem como em seu servidor UniFi OS e uma variedade de roteadores e sistemas de vigilância. A empresa não confirmou se essas vulnerabilidades foram exploradas antes da correção, mas destacou que seis delas podem ser exploradas em ataques de baixa complexidade sem interação do usuário. A empresa de inteligência de ameaças Censys rastreia mais de 100.000 instâncias do UniFi OS expostas online, com a maioria localizada nos Estados Unidos.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.