Desde abril de 2026, um novo backdoor chamado Mistic tem sido utilizado em ataques cibernéticos direcionados a diversas organizações, incluindo setores de seguros, educação, TI e serviços profissionais. De acordo com a equipe de Threat Hunter da Symantec e Carbon Black, o Mistic, também conhecido como MLTBackdoor, está associado a um broker de acesso inicial (IAB) chamado KongTuke. Este backdoor é notável por operar em memória, sem deixar rastros no disco, e possui um mecanismo de autodestruição, características que permitem acesso furtivo e de longo prazo.

Um novo malware baseado em Rust, denominado Gaslight, foi descoberto como um implante e ladrão de informações para macOS. Este malware possui um recurso notável: um payload de injeção de prompt que engana ferramentas de inteligência artificial (IA) utilizadas por analistas de segurança, fazendo com que elas interrompam ou recusem a análise do artefato. Gaslight é atribuído a atores de ameaças alinhados à Coreia do Norte. O malware utiliza um canal de comando e controle (C2) baseado na API do Telegram, permitindo que o operador emita comandos e receba resultados. Entre os comandos disponíveis, destacam-se a execução de comandos de shell e a exfiltração de arquivos. Além disso, Gaslight incorpora um script Python codificado em Base64 que coleta dados sensíveis do sistema, como históricos de comandos do Terminal e informações do Keychain do macOS. O malware se destaca por não codificar informações sensíveis, como tokens do bot do Telegram, mas sim fornecê-las em tempo de execução, dificultando a captura de logs. A presença de mensagens de erro fabricadas visa confundir agentes de segurança, tornando a detecção mais difícil. Essa nova ameaça representa um risco significativo para usuários de macOS, especialmente em ambientes corporativos.

O Google anunciou a implementação de novos controles de privacidade para seus serviços de busca e Google Play, permitindo que os usuários tenham maior controle sobre o histórico salvo e as recomendações personalizadas. Em um e-mail enviado aos usuários, a empresa destacou que as novas configurações serão visíveis nas contas do Google nos próximos dias. As mudanças incluem a separação das configurações de histórico de serviços de busca e recomendações personalizadas, permitindo que os usuários decidam se desejam que suas atividades sejam salvas e se desejam personalização com base nesses dados. O histórico de serviços de busca abrangerá atividades em serviços como Pesquisa, Maps, Shopping, e Translate, e incluirá também interações visuais e de áudio. Embora o Google afirme que as novas configurações oferecem mais controle, é importante que os usuários revisem suas configurações, especialmente se a atividade da Web e do aplicativo estiver ativada. As novas opções também se estenderão ao Google Play, refletindo as escolhas anteriores dos usuários sobre a duração do armazenamento de histórico. Essa mudança pode ser vista como uma forma de aprimorar a experiência do usuário, mas também levanta questões sobre privacidade e uso de dados.

Um ator de ameaças desconhecido explorou uma vulnerabilidade crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20245, antes de sua divulgação pública. Essa falha, com uma pontuação CVSS de 7.8, permite que um atacante autenticado execute comandos arbitrários com privilégios elevados ao fornecer um arquivo malicioso ao sistema afetado. A Cisco confirmou que a exploração requer privilégios de administrador de rede. Durante a intrusão, o atacante utilizou técnicas anti-forenses para ocultar suas atividades, como a exclusão e restauração seletiva de arquivos de configuração do sistema. O ataque visou um provedor de serviços de comunicação não especificado, permitindo que uma conta de administrador comprometida obtivesse acesso total ao sistema. Dois períodos distintos de atividade não autorizada foram identificados, um entre o final de 2025 e janeiro de 2026, e outro em março de 2026. O segundo ataque ocorreu em um dispositivo com uma versão de software mais recente, que já tinha sido corrigido para uma vulnerabilidade anterior. O invasor alterou credenciais padrão e utilizou um upload malicioso de arquivo CSV para escalar privilégios, criando uma conta oculta com controle total. A Mandiant destacou que a exploração de zero-days em dispositivos de borda, como o SD-WAN, é uma tendência crescente, dada a falta de telemetria para análises forenses profundas.

Uma extensão maliciosa do Microsoft Edge, chamada ‘Edgecution’, foi utilizada em um ataque de ransomware que consegue escapar da sandbox do navegador e implantar um backdoor baseado em Python. O acesso ao sistema local é obtido através do protocolo de Mensageria Nativa do Chrome, que permite que extensões do navegador interajam com aplicativos nativos do desktop. O ataque começa com o invasor se passando por um funcionário de suporte técnico no Microsoft Teams, direcionando os empregados a uma página fraudulenta sob a alegação de instalar uma atualização de filtro de spam. Pesquisadores da Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial (IAB) ligado à operação de ransomware Payouts Kings. Os componentes maliciosos são baixados de um site falso da Microsoft, disfarçados como uma atualização, e incluem uma extensão maliciosa que se conecta ao servidor de comando e controle do invasor. A extensão opera em um navegador Edge sem interface, utilizando o protocolo de Mensageria Nativa para se comunicar com um aplicativo local. O backdoor em Python permite ao invasor executar comandos no sistema, coletar informações e manter a persistência na máquina comprometida. A Zscaler recomenda que as organizações reforcem a supervisão das extensões do navegador e implementem controles rigorosos sobre as configurações de mensageria nativa para mitigar riscos.

Recentemente, detalhes sobre a exploração de uma vulnerabilidade crítica da Cisco, identificada como CVE-2026-20245, foram revelados. Essa falha de injeção de comandos permite que atacantes autenticados executem comandos arbitrários como root em dispositivos Cisco Catalyst SD-WAN. A vulnerabilidade foi explorada em ataques de dia zero, onde os invasores conseguiram criar contas root não autorizadas. A Cisco informou que a falha se originou de uma validação insuficiente de entradas fornecidas pelo usuário e que a exploração requer acesso local aos dispositivos afetados.

Nathan Austad, um jovem de 21 anos do Minnesota, foi condenado a 18 meses de prisão por seu envolvimento em um ataque cibernético que comprometeu 60 mil contas de usuários da plataforma de apostas e esportes fantasy DraftKings em novembro de 2022. Durante o ataque, os hackers adicionaram métodos de pagamento sob seu controle a 1.600 contas e roubaram cerca de 600 mil dólares. O ataque foi realizado por meio de ‘credential stuffing’, uma técnica que explora senhas fracas ou reutilizadas. Embora a DraftKings tenha inicialmente relatado um roubo de menos de 300 mil dólares, um mês depois, o número de contas comprometidas foi revisado para quase 68 mil. Além de Austad, outros conspiradores foram acusados, incluindo Joseph Garrison e Kamerin Stokes, que também foram condenados. O Departamento de Justiça dos EUA revelou que Austad lucrou com a venda de acessos a contas hackeadas, recebendo aproximadamente 465 mil dólares em criptomoedas. Além da pena de prisão, Austad foi condenado a três anos de liberdade supervisionada e a pagar mais de 1,3 milhão de dólares em restituição e confisco.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma falha crítica de segurança nos dispositivos da série EDS5000 da Lantronix. A vulnerabilidade, identificada como CVE-2025-67038, possui uma pontuação CVSS de 9.8 e permite a injeção de código, possibilitando a execução de comandos arbitrários com privilégios elevados. O problema reside no módulo HTTP RPC, que executa comandos de shell sem a devida sanitização dos dados de entrada, permitindo que atacantes injetem comandos maliciosos. A CISA recomendou que as agências do governo federal dos EUA apliquem as correções até 26 de junho de 2026. Além disso, a CISA também confirmou a exploração ativa de três vulnerabilidades críticas no sistema Ubiquiti UniFi OS, que podem permitir mudanças não autorizadas no sistema e acesso a arquivos sensíveis. A combinação dessas falhas representa um risco significativo à segurança das redes, especialmente considerando que dispositivos UniFi OS são frequentemente integrados em redes centrais, facilitando movimentos laterais de atacantes. As organizações devem estar atentas e implementar as correções necessárias para mitigar esses riscos.

O LastPass, gerenciador de senhas amplamente utilizado, sofreu um novo incidente de segurança que resultou na exposição de dados de usuários. O vazamento ocorreu após um ataque à Klue, uma plataforma de inteligência de mercado que integra serviços como Salesforce e Gong, e não comprometeu as senhas armazenadas no gerenciador. A empresa notificou que um agente não autorizado teve acesso a tokens OAuth, que são credenciais temporárias para acessar dados de outros serviços. Esses tokens foram utilizados para coletar informações de contato comercial, como nomes, números de telefone, endereços de e-mail e dados de suporte. Apesar do incidente, a LastPass assegurou que os cofres dos clientes permanecem seguros e que não há evidências de acesso a senhas. A empresa alertou os usuários para ficarem atentos a potenciais ataques de phishing, uma vez que os dados expostos podem ser utilizados para enganar os usuários. Este não é o primeiro incidente de segurança envolvendo a LastPass, que já enfrentou ataques anteriores que comprometeram o código-fonte e senhas criptografadas de usuários. O alerta é um lembrete da importância de manter práticas de segurança rigorosas, especialmente em um cenário onde ataques a gerenciadores de senhas estão se tornando mais comuns.

Um novo relatório da plataforma de gerenciamento de exposição a ameaças, NordStellar, revela um aumento de 39% nas discussões sobre ‘deepfake as a service’ (DFaaS) na dark web, com 924 postagens entre janeiro e maio de 2026. Essa tendência é impulsionada pelos avanços em inteligência artificial generativa, que facilitam a criação de deepfakes hiper-realistas, tornando ataques como os de ‘fake boss’ mais acessíveis a criminosos. O ‘Business Email Compromise’ (BEC), uma forma de golpe que utiliza e-mails falsos, já causou perdas superiores a US$ 3 bilhões no último ano. Especialistas alertam que a educação dos funcionários e o monitoramento de dados vazados são essenciais para mitigar esses riscos. A capacidade de criar deepfakes convincentes pode levar a ataques mais sofisticados, exigindo uma resposta proativa das empresas para proteger suas informações e evitar fraudes.

Kootenai County, em Idaho, notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 30 de março de 2026, quando um ataque de ransomware afetou sua rede. Embora a contagem exata de indivíduos impactados e os tipos de dados comprometidos não tenham sido divulgados, a revisão do incidente, concluída em 22 de junho de 2026, confirmou a aquisição não autorizada de informações pessoais, conforme definido pela legislação do estado. O condado não informou se um resgate foi pago ou como os atacantes conseguiram acessar a rede. Para mitigar os danos, o condado está oferecendo monitoramento de crédito gratuito aos afetados. Este não é o primeiro incidente de segurança na região; em fevereiro de 2024, o hospital local Kootenai Health também sofreu uma violação que expôs dados sensíveis de mais de 460 mil pessoas. O aumento de ataques de ransomware a entidades governamentais nos EUA, com 28 incidentes confirmados em 2026, levanta preocupações sobre a segurança de dados e a continuidade dos serviços públicos.

A engenharia social aplicada em service desks continua a ser uma das táticas mais eficazes para invasores que buscam acesso a sistemas corporativos. Os ataques de 2025 contra grandes varejistas britânicos, como Marks & Spencer e Harrods, destacaram a vulnerabilidade desse ponto de entrada. No caso da M&S, os atacantes se passaram por um funcionário e convenceram um agente de suporte terceirizado a redefinir credenciais, permitindo acesso a sistemas internos. Recentemente, a Carnival Corporation também relatou um incidente de cibersegurança em que um funcionário foi enganado por um atacante. O FBI alertou sobre o grupo Silent Ransom, que se disfarça de suporte técnico para persuadir funcionários a participar de sessões de acesso remoto. Esses ataques são facilitados pela vulnerabilidade humana, acesso a credenciais e a capacidade de contornar defesas técnicas. Para se proteger, as organizações devem implementar verificações rigorosas de identidade, treinar equipes de suporte para reconhecer táticas de engenharia social e monitorar atividades incomuns. A situação é alarmante, pois a maioria dos ataques bem-sucedidos ocorre sem disparar alertas de segurança, evidenciando a necessidade urgente de medidas de proteção.

A Microsoft, em colaboração com a Europol e parceiros internacionais, desmantelou a infraestrutura utilizada pelas operações de malware Amadey e StealC durante a Operação Endgame. Essa ação conjunta envolveu autoridades de vários países e resultou na interrupção de 326 servidores e 142 domínios associados a essas famílias de malware. Além disso, foram identificados mais de €41 milhões (cerca de $47 milhões) em criptomoedas ligadas a atividades criminosas e a recuperação de aproximadamente 27 milhões de credenciais roubadas de mais de 385 mil sistemas comprometidos. A operação também focou no malware SocGholish, que infecta usuários por meio de sites comprometidos que exibem falsos avisos de atualização de navegador. A Amadey é utilizada para obter acesso inicial a dispositivos, enquanto o StealC é responsável pelo roubo de credenciais e informações sensíveis. A ação foi coordenada por agências de segurança de países como Canadá, Alemanha e Estados Unidos, com o suporte de empresas de segurança cibernética como Microsoft, ESET e IBM X-Force. Apesar do sucesso da operação, a Europol alerta que, sem prisões, os criminosos podem rapidamente reconstruir suas infraestruturas para novos ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades em sistemas Ubiquiti UniFi OS e servidores Lantronix. As falhas identificadas incluem CVE-2026-34908, CVE-2026-34909 e CVE-2026-34910, que permitem a execução remota de comandos e acesso não autorizado a sistemas. A Ubiquiti lançou atualizações de segurança em maio, mas a CISA recomenda que as agências federais apliquem essas correções em até três dias. Além disso, a vulnerabilidade CVE-2025-67038 nos servidores Lantronix permite a injeção de comandos de sistema, afetando o modelo EDS5000. A Lantronix também disponibilizou um patch para essa falha. Apesar da gravidade das vulnerabilidades, a CISA não divulgou detalhes sobre a exploração observada. Administradores de sistemas devem agir rapidamente para aplicar as atualizações e mitigações recomendadas, uma vez que a exploração dessas falhas pode levar a compromissos significativos de segurança.

Pesquisadores de cibersegurança identificaram uma nova classe de vulnerabilidades em fluxos de trabalho de CI/CD, chamada Cordyceps, que permite a atacantes sequestrar workflows e comprometer cadeias de suprimento de código aberto. A falha, que pode ser explorada por qualquer usuário não autenticado, afeta grandes organizações como Microsoft, Google, Apache e Cloudflare. Um estudo da Novee Security revelou que mais de 300 repositórios de alto impacto são totalmente exploráveis, possibilitando execução de código controlada por atacantes, roubo de credenciais e comprometimento da cadeia de suprimento. O problema central reside em configurações fracas de CI/CD que concedem permissões excessivas a pull requests (PRs), permitindo que dados não confiáveis acionem workflows privilegiados. Exemplos incluem um PR no Azure Sentinel da Microsoft que poderia executar código de atacantes e roubar chaves de aplicativos do GitHub. Após a divulgação responsável, Microsoft e Google confirmaram o impacto, enquanto Cloudflare, Python e Apache implementaram correções. Essa vulnerabilidade representa um risco significativo, pois permite que usuários anônimos manipulem repositórios de grandes empresas, afetando a segurança do software em larga escala.

Uma operação coordenada de aplicação da lei, em parceria com empresas do setor privado como Bitdefender, ESET e Microsoft, resultou na desarticulação de infraestruturas criminosas associadas aos malwares Amadey e StealC. O objetivo principal foi interromper as ’linhas de montagem’ utilizadas por cibercriminosos para lançar ataques de ransomware e fraudes financeiras. Durante a ação, que durou duas semanas, foram identificados e restritos ativos de criptomoeda de origem criminosa avaliados em mais de 47 milhões de dólares, além da recuperação de 27 milhões de credenciais de login roubadas. A operação também desmantelou 326 servidores e 142 domínios relacionados a essas ameaças. O malware Amadey, ativo desde 2018, é um loader que facilita a introdução de outros malwares, enquanto o StealC, que surgiu em 2023, é um infostealer que coleta informações sensíveis de usuários. A colaboração entre o setor público e privado foi destacada como fundamental para o sucesso da operação, que representa um passo significativo na luta contra o cibercrime em escala global.

A MacPaw, empresa ucraniana de cibersegurança, lançou uma versão do ClearVPN para dispositivos Apple TV e Android TV, visando melhorar a privacidade dos usuários durante o consumo de conteúdo. Com a adoção de TVs inteligentes ultrapassando 900 milhões de unidades globalmente, a necessidade de proteger dados pessoais se torna cada vez mais relevante. O ClearVPN permite que os usuários façam login de forma simplificada, utilizando um QR code ou um link para smartphone, evitando a frustração de digitar senhas longas em controles remotos. A interface intuitiva do aplicativo minimiza decisões técnicas, enquanto a funcionalidade ‘Localização Ótima’ conecta automaticamente o usuário ao melhor servidor disponível. Além disso, uma seção dedicada ao streaming facilita o acesso a plataformas específicas. Desde seu lançamento em 2020, o ClearVPN tem como objetivo tornar a cibersegurança acessível a todos, mantendo a proteção online equivalente à proteção offline. A nova aplicação já está disponível para usuários globalmente, exigindo dispositivos com Android TV 6+ ou tvOS 18+ para instalação.

Um novo backdoor chamado Mistic foi identificado em ataques cibernéticos motivados financeiramente, visando organizações nos setores de seguros, educação, TI e serviços profissionais. Acredita-se que o malware esteja vinculado ao grupo KongTuke/Woodgnat, ativo desde 2024, que se especializa em comprometer redes corporativas e vender acesso a grupos de ransomware. Pesquisadores da Symantec relataram que o Mistic tem sido utilizado em intrusões desde abril de 2024. O ataque começa com a execução de um arquivo legítimo, MpExtMs.exe, que carrega uma DLL maliciosa, version.dll, que por sua vez carrega o Mistic. Este malware é projetado para operar de forma furtiva, permitindo que os atacantes mantenham um acesso persistente nas redes comprometidas. Entre suas capacidades estão a manipulação de arquivos, execução de código na memória e a possibilidade de se autodestruir. A análise sugere que o Mistic é uma ferramenta customizada, refletindo uma tendência crescente de uso de ferramentas específicas em ataques de ransomware. As empresas devem estar atentas a essa nova ameaça e considerar a implementação de medidas de segurança robustas para proteger suas redes.

Uma falha de segurança crítica, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager (Unified CM) e na edição Session Management (Unified CM SME). Com uma pontuação CVSS de 8.6, essa vulnerabilidade permite que atacantes remotos não autenticados realizem ataques de Server-Side Request Forgery (SSRF) ao enviar requisições HTTP manipuladas para dispositivos afetados. A Cisco alertou que a exploração bem-sucedida pode permitir que um invasor escreva arquivos no sistema operacional subjacente, possibilitando elevação de privilégios para root. A empresa Defused Cyber relatou que a exploração ativa dessa vulnerabilidade já está em andamento, com ataques originados de uma única fonte. Para que a exploração ocorra, o serviço WebDialer deve estar habilitado, o que não é o padrão. A Cisco já lançou patches para as versões 14SU6 e 15SU5 do Unified CM e recomenda que, caso a aplicação imediata do patch não seja viável, o serviço WebDialer seja desativado até que a correção possa ser aplicada. A situação é crítica, pois a falha pode ser utilizada para executar código malicioso no servidor, colocando em risco a segurança das comunicações corporativas.

O Departamento de Justiça dos EUA anunciou a apreensão de uma conta de computação em nuvem utilizada por subsidiárias do conglomerado empresarial HuiOne Group, baseado no Camboja. Essas subsidiárias são acusadas de facilitar a transferência de lucros provenientes de fraudes com criptomoedas e outros crimes cibernéticos, permitindo a conversão desses lucros para o setor bancário legítimo sem serem detectados. A conta apreendida hospedava a infraestrutura de backend para as subsidiárias, incluindo a HuiOne Guarantee, que operava um mercado ilícito no Telegram, movimentando bilhões de dólares entre 2021 e 2025. Os serviços oferecidos incluíam dados pessoais e financeiros, serviços de lavagem de dinheiro, desenvolvimento de sites fraudulentos e até ferramentas para facilitar a clonagem de voz e deepfakes. Apesar do encerramento das operações da HuiOne em maio de 2025, novas plataformas surgiram para preencher o vazio deixado. O Tesouro dos EUA também impôs sanções contra o Prince Group, classificado como Organização Criminosa Transnacional, que se beneficiava de operações de fraude e lavagem de dinheiro. A situação destaca a crescente complexidade e a adaptação do crime cibernético, que continua a impactar cidadãos americanos e, potencialmente, brasileiros.

O grupo cibercriminoso Interlock assumiu a responsabilidade por um vazamento de dados na Reynella East College, localizado perto de Adelaide, Austrália. O incidente ocorreu em 9 de junho de 2026, quando a escola anunciou que uma violação de segurança cibernética resultou na paralisação de seus sistemas de tecnologia da informação por uma semana. Segundo o Interlock, foram roubados 610 GB de dados, incluindo números de identificação de alunos e funcionários, gráficos de assentos e relatórios financeiros. Para corroborar sua afirmação, o grupo publicou imagens de arquivos supostamente extraídos da instituição. Até o momento, a Reynella East College não confirmou a reivindicação do Interlock, e a Comparitech não conseguiu verificar a autenticidade das informações. O grupo Interlock, que começou a operar em outubro de 2024, já reivindicou 23 ataques de ransomware em 2026, afetando diversas instituições educacionais. Os ataques de ransomware em escolas têm se tornado uma preocupação crescente, pois não apenas comprometem dados sensíveis, mas também interrompem operações diárias, como a gestão de presença e comunicação. A situação destaca a vulnerabilidade das instituições educacionais a ataques cibernéticos e a necessidade urgente de medidas de segurança robustas.

Uma nova campanha de cibersegurança, chamada ClickFix, está utilizando comandos do Terminal para baixar, montar e executar silenciosamente malware que rouba informações de dispositivos macOS. O malware em questão é o Atomic macOS Stealer (AMOS), que tem como alvo credenciais de navegadores, dados de carteiras de criptomoedas, informações do Keychain, dados de aplicativos de mensagens e documentos do usuário. A campanha foi descoberta pela Palo Alto Networks e começa com uma página falsa de CAPTCHA que induz os usuários a abrir o Terminal e colar um comando malicioso. Esse comando baixa um arquivo DMG de um servidor controlado pelo atacante, monta-o silenciosamente e executa automaticamente o aplicativo malicioso contido nele. O AMOS é projetado para roubar dados de vários navegadores baseados em Chromium e Firefox, além de informações de carteiras de criptomoedas e dados de aplicativos como Telegram e Discord. Os dados coletados são armazenados em um arquivo ZIP e enviados para o servidor do atacante. Os especialistas alertam que os usuários devem ser cautelosos ao executar comandos do Terminal, especialmente quando solicitados por páginas da web.

A empresa de tecnologia em saúde Xsolis revelou que dados sensíveis de aproximadamente 1,4 milhão de indivíduos foram comprometidos em um ataque de phishing. O incidente ocorreu em 20 de janeiro de 2026, quando a empresa detectou atividade não autorizada em sua rede. Embora não tenha evidências de uso indevido das informações expostas, a Xsolis alertou os afetados para que fiquem atentos a possíveis ataques direcionados. Entre as informações acessadas estão datas de nascimento, informações de seguro saúde, números de Seguro Social e dados sobre tratamentos médicos. A empresa, que fornece software de inteligência artificial para mais de 600 hospitais e seguradoras de saúde nos EUA, tomou medidas imediatas para conter a violação e iniciou uma investigação com especialistas em cibersegurança. Além disso, implementou medidas de segurança adicionais, como redefinição de senhas e monitoramento intensificado. A notificação aos afetados será enviada por correio, incluindo instruções para inscrição em um serviço de monitoramento de identidade. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos e a necessidade de medidas proativas de segurança.

A Microsoft lançou a atualização cumulativa KB5095093 para as versões 24H2 e 25H2 do Windows 11, que corrige diversos bugs e introduz novas funcionalidades, destacando-se a nova ferramenta de restauração ‘Point-in-Time’. Essa atualização, parte do cronograma opcional de atualizações não relacionadas à segurança, permite que os usuários revertam o sistema, aplicativos e arquivos a um estado anterior em minutos, utilizando pontos de restauração armazenados localmente. Para usuários comuns, novos pontos de restauração são gerados a cada 24 horas e mantidos por 72 horas. Já os usuários empresariais podem configurar a frequência de captura de snapshots de 4 a 24 horas. Além disso, a atualização corrige um bug que exibia nomes de arquivos internos em diálogos de confirmação ao excluir arquivos da Lixeira. Outras melhorias incluem atualizações no painel de emojis, melhorias na conectividade de rede e ajustes na exibição de notificações na barra de tarefas. A instalação da atualização pode ser feita através das configurações do Windows ou manualmente pelo Catálogo de Atualizações da Microsoft.

A Tata Electronics, uma divisão do conglomerado indiano Tata Group, confirmou que foi alvo de um ataque cibernético que afetou parte de sua infraestrutura de TI. Apesar do incidente, a empresa assegurou que suas operações continuaram normalmente e não foram impactadas. Em uma declaração ao BleepingComputer, um porta-voz da Tata Electronics informou que os protocolos de resposta foram acionados imediatamente após a identificação do incidente. Embora a identidade do grupo responsável pelo ataque não tenha sido divulgada, o grupo de ameaças World Leaks reivindicou a responsabilidade, alegando ter vazado dados que incluem informações de fabricação de produtos da Apple, como esquemas internos de componentes e especificações de materiais. O World Leaks é considerado uma rebrand do grupo de ransomware Hunters International, que encerrou suas operações em julho de 2025. Ao contrário do Hunters, o World Leaks opera exclusivamente como um grupo de extorsão de dados, ameaçando vazar arquivos roubados. A Tata Electronics, que começou suas atividades em 2020, é uma das maiores fabricantes de tecnologia da Índia, produzindo componentes para iPhones. O incidente levanta preocupações sobre a segurança de dados em empresas que lidam com informações sensíveis, especialmente em um contexto de crescente vigilância sobre a conformidade com a LGPD no Brasil.

Uma vulnerabilidade de alta severidade, identificada como CVE-2026-20230, foi descoberta no Cisco Unified Communications Manager Server e está sendo ativamente explorada em ataques. A Cisco lançou atualizações de segurança em 3 de junho, alertando que a exploração dessa falha pode conceder privilégios de root ao invasor. A vulnerabilidade se origina de uma validação inadequada de entradas em solicitações HTTP específicas, permitindo que um atacante não autenticado realize ataques de Server-Side Request Forgery (SSRF) através de um dispositivo afetado. A empresa de inteligência de ameaças Defused relatou que os ataques estão sendo realizados a partir de um único endereço IP, utilizando cargas úteis bem construídas para criar arquivos no dispositivo. Embora a exploração atual pareça ser de natureza de reconhecimento, a divulgação completa da falha pode levar a um aumento no número de atacantes visando esses servidores. A SSD Secure, que divulgou a vulnerabilidade, também forneceu um artigo técnico explicando como a falha pode ser explorada, permitindo que um invasor escreva arquivos arbitrários no sistema operacional, potencialmente levando à execução remota de código e obtenção de privilégios de root. A situação exige atenção imediata das equipes de segurança para mitigar riscos potenciais.

Um broker de acesso inicial de língua russa, motivado por ganhos financeiros, está por trás de uma operação de coleta de credenciais em larga escala chamada FortiBleed, que já afetou mais de 430.000 firewalls FortiGate em todo o mundo desde fevereiro de 2026. A campanha envolve a coleta de listas de credenciais, busca por serviços expostos e ataques de força bruta em sistemas acessíveis. Os atacantes utilizam uma ferramenta chamada FortigateSniffer, que captura credenciais em texto claro e hashes de senhas de tráfego que passa por dispositivos comprometidos. A operação é focada em pequenas e médias empresas, especialmente nos setores de TI, nos Estados Unidos e na Índia. Além disso, a FortiBleed faz parte de uma operação mais ampla que também visa dispositivos de outros fornecedores, como Synology e Sophos. Até agora, os atacantes identificaram mais de 110 milhões de credenciais, incluindo 14,8 milhões de credenciais RADIUS e 89 milhões de tokens de autenticação MySQL. A campanha é caracterizada por um ciclo de 300 minutos de operações, com uma taxa de validação de 90% nas primeiras tentativas. A situação é crítica, pois os atacantes estão utilizando métodos sofisticados e automatizados para explorar vulnerabilidades em dispositivos amplamente utilizados.

A Copa do Mundo de 2026, que contará com 48 seleções e será realizada em três países, representa um desafio logístico e de segurança cibernética sem precedentes. A complexidade do evento, com a interconexão de sistemas de bilhetagem, plataformas de streaming e redes de telecomunicações, torna-o um alvo atrativo para criminosos cibernéticos. Eventos esportivos anteriores, como a Copa de 2022 no Catar, já mostraram um aumento significativo em ataques de phishing e tentativas de roubo de credenciais. A analogia com as empresas é clara: assim como a Copa, as organizações operam em ambientes digitais distribuídos, onde a proteção de dados é cada vez mais complexa. A resiliência cibernética, portanto, não se resume a evitar ataques, mas sim a garantir a continuidade dos negócios após um incidente. O backup, tradicionalmente visto como uma ferramenta operacional, agora é crucial para a recuperação rápida e segura de dados. A adoção de Data Clean Rooms (DCRs) permite que as empresas validem a integridade dos dados antes de restaurá-los, evitando a reintrodução de códigos maliciosos. Em um mundo digital interconectado, a capacidade de se recuperar rapidamente de um ataque é um diferencial competitivo.

Um relatório da Check Point Software revelou a criação de aproximadamente 7 mil sites falsos da Amazon, com o objetivo de aplicar golpes durante o Prime Day, que ocorre entre 23 e 26 de junho nos EUA e de 1º a 7 de julho no Brasil. A maioria desses domínios foi criada entre dezembro de 2025 e maio de 2026, com um aumento significativo nos últimos dois meses. Os sites fraudulentos imitam a identidade visual da Amazon e são utilizados para phishing, onde as vítimas são induzidas a fornecer dados sensíveis, como informações de cartão de crédito. Uma das campanhas identificadas visa o público latino-americano, oferecendo um suposto cartão de crédito com vantagens. A Amazon, por sua vez, afirmou que a segurança dos clientes é uma prioridade e utiliza inteligência artificial para monitorar e derrubar sites de phishing rapidamente. A empresa também disponibiliza um canal para que os consumidores denunciem golpes. Para se proteger, recomenda-se que os usuários comprem apenas em canais oficiais, verifiquem a URL dos sites e desconfiem de ofertas muito agressivas.

Com a Copa do Mundo se aproximando, muitos fãs de futebol buscam maneiras de assistir aos jogos de forma mais eficiente. O artigo da TechRadar sugere que, em vez de usar métodos tradicionais como espelhamento de tela, os usuários podem optar por aplicativos de VPN nativos disponíveis em dispositivos como Apple TV e Fire TV. Essa abordagem promete uma experiência de streaming mais fluida e sem interrupções. Para começar, basta acessar as lojas de aplicativos de cada dispositivo, instalar o aplicativo da VPN desejada e configurar a localização do servidor para países como Reino Unido ou Austrália, onde as transmissões estão disponíveis. O artigo recomenda o Norton VPN, que oferece uma garantia de devolução do dinheiro em 60 dias, ideal para quem deseja testar o serviço durante o torneio. Outras opções como ExpressVPN e NordVPN também são mencionadas, cada uma com suas características específicas. A facilidade de instalação e uso direto na TV torna essa solução atraente para quem não quer perder nenhum momento da Copa do Mundo.

A Xsolis, uma plataforma de inteligência artificial voltada para o setor de saúde nos Estados Unidos, confirmou um vazamento de dados que afetou aproximadamente 1,4 milhão de indivíduos. O incidente, que ocorreu em 22 de janeiro de 2026, foi resultado de um ataque de phishing bem-sucedido contra um de seus funcionários, permitindo que os invasores acessassem uma parte limitada do ambiente da empresa. As informações comprometidas incluem nomes, endereços, datas de nascimento, números de Seguro Social, informações de seguro saúde e detalhes sobre tratamentos médicos. Embora a empresa tenha iniciado uma investigação e implementado medidas de segurança adicionais, até o momento não há evidências de que os dados tenham sido utilizados em ataques subsequentes ou oferecidos na dark web. A Xsolis está oferecendo monitoramento de crédito e proteção contra roubo de identidade aos afetados, além de alertas sobre tentativas de phishing e fraudes. Este incidente destaca a vulnerabilidade das organizações de saúde a ataques cibernéticos e a importância de medidas de segurança robustas para proteger dados sensíveis.

A LastPass confirmou que hackers conseguiram acessar dados de clientes a partir de sua integração com a plataforma de inteligência de mercado Klue, após o roubo de tokens OAuth durante um ataque à cadeia de suprimentos. O incidente, que ocorreu em 12 de junho, envolveu um ator não autorizado que obteve credenciais da Klue, permitindo acesso a informações de clientes armazenadas no ambiente Salesforce da LastPass. Embora a empresa tenha garantido que seus produtos e serviços não foram comprometidos, dados como nomes, números de telefone, endereços de e-mail e informações de suporte podem ter sido expostos. A LastPass já tomou medidas, como desabilitar o acesso de funcionários à Klue e notificar as autoridades. A situação destaca a importância de os usuários estarem atentos a comunicações não solicitadas, que podem ser tentativas de phishing, e reforça a necessidade de manter a segurança das senhas mestras. O ataque foi reivindicado pelo grupo de extorsão Icarus, que comprometeu a infraestrutura da Klue e lançou uma campanha de extorsão utilizando os dados extraídos.

A gestão de vulnerabilidades enfrenta um novo desafio com a aceleração da exploração de falhas, que agora ocorre em horas, em vez de meses. O ‘Zero Day Clock’ indica que o tempo médio entre a divulgação de uma vulnerabilidade e sua exploração caiu para cerca de 8 horas em 2026, uma redução drástica em relação a 53 dias há dois anos. A resposta tradicional de simplesmente aplicar patches não é mais suficiente, pois o tempo médio para corrigir vulnerabilidades conhecidas que já foram exploradas aumentou para 43 dias, enquanto a porcentagem de organizações que conseguem aplicar patches caiu de 38% para 26%. Além disso, a introdução de modelos de IA, como o Mythos, permite que vulnerabilidades sejam identificadas e exploradas de forma autônoma, aumentando a pressão sobre as equipes de segurança. A validação de técnicas de exploração (TTPs) contra controles existentes se torna essencial para determinar a real exposição a riscos, uma vez que apenas 10 a 15% dos ativos podem ser testados com segurança. A abordagem proposta envolve decompor as vulnerabilidades em suas cadeias de técnicas e testar cada uma delas contra as defesas em vigor, permitindo decisões fundamentadas sobre a segurança dos ativos sem a necessidade de exploração ao vivo.

Dois membros do grupo de cibercrime ‘Scattered Spider’, Thalha Jubair (20) e Owen Flowers (18), se declararam culpados por invadir os sistemas do Transport for London (TfL) entre 31 de agosto e 3 de setembro de 2024, resultando em perdas financeiras significativas. Inicialmente, ambos negaram envolvimento, mas mudaram suas declarações no primeiro dia do julgamento no Woolwich Crown Court. O ataque comprometeu o sistema de reembolso do TfL, atrasando a devolução de valores a clientes e resultando no roubo de dados de usuários. A National Crime Agency (NCA) do Reino Unido confirmou que o ataque causou danos financeiros de £29 milhões (aproximadamente R$ 230 milhões) e forçou 28 mil funcionários a redefinir suas senhas. As investigações revelaram que Flowers estava também ligado a invasões em organizações de saúde nos EUA. O caso destaca a importância da colaboração entre empresas e autoridades para mitigar ataques cibernéticos e proteger infraestruturas críticas.

O GitHub anunciou uma atualização significativa em sua ação ‘actions/checkout’ para fortalecer a segurança da cadeia de suprimentos de software, bloqueando ataques conhecidos como pwn requests. A partir de 18 de junho de 2026, a nova versão da ação não permitirá a execução de códigos maliciosos provenientes de pull requests de forks, a menos que os autores do workflow optem explicitamente por permitir isso. Essa mudança é crucial, pois o trigger ‘pull_request_target’ pode executar código não confiável com privilégios elevados, expondo segredos e o GITHUB_TOKEN. O GitHub destacou que essa vulnerabilidade já foi explorada em ataques recentes, como o comprometimento de pacotes do sistema de construção Nx e outras brechas em projetos populares. A atualização será retroativa a versões suportadas a partir de 16 de julho de 2026. Para mitigar riscos, os desenvolvedores são aconselhados a usar ‘pull_request’ quando não necessitam de permissões elevadas e a revisar cuidadosamente os workflows que utilizam segredos e permissões de escrita.

Em 22 de junho de 2026, o presidente dos EUA, Donald Trump, assinou uma ordem executiva que estabelece prazos rigorosos para que agências federais migrem ativos de alto valor e sistemas de alto impacto para criptografia pós-quântica (PQC). As datas limites são 31 de dezembro de 2030 para o estabelecimento de chaves e 31 de dezembro de 2031 para assinaturas digitais. Essa medida é uma resposta ao risco de adversários que podem coletar dados criptografados atualmente e decifrá-los no futuro, uma ameaça conhecida como ‘colher agora, decifrar depois’. A ordem executiva antecipa o cronograma de migração em quatro a cinco anos em relação ao plano anterior, que previa a conclusão até 2035. As agências devem nomear líderes de migração em 30 dias e revisar seus inventários em 90 dias. Além disso, a ordem se estende a contratantes federais, que terão até 2030 para se adequar aos novos padrões. O NIST já finalizou os padrões necessários, que incluem algoritmos como ML-KEM e ML-DSA. Essa mudança é crucial para garantir a segurança nacional em um cenário onde a computação quântica pode comprometer a criptografia atual.

A empresa de segurança AIR demonstrou uma falha crítica na segurança de habilidades de IA ao criar um agente de IA falso que enganou scanners de segurança, alcançando cerca de 26.000 usuários, incluindo contas corporativas. O agente, chamado ‘brand-landingpage’, prometia criar uma página de destino usando a ferramenta Stitch do Google, mas na verdade coletava endereços de e-mail dos usuários. Os scanners falharam em detectar a ameaça porque analisaram apenas o pacote inicial, que não continha instruções maliciosas. Após a instalação, o link que o agente seguia foi alterado para direcionar os usuários a um script malicioso. Essa situação destaca a fragilidade dos sinais de confiança, como estrelas do GitHub e resultados limpos de scanners, que não garantem a segurança de habilidades de IA. A pesquisa sugere que as habilidades devem ser tratadas como software, com uma verificação rigorosa do que elas apontam, e não apenas do que está embutido nelas. A falha estrutural nos scanners, que avaliam pacotes fixos enquanto atacantes podem modificar o conteúdo externo, é um alerta para as empresas sobre a necessidade de uma abordagem mais robusta na segurança de suas implementações de IA.

Uma análise de 373 sites de conselhos do Reino Unido revelou que apenas um em cada três implementou uma Política de Segurança de Conteúdo (CSP), uma ferramenta crucial para proteger contra ataques de injeção de código e cross-site scripting (XSS). Apesar de o XSS ser considerado uma das vulnerabilidades mais perigosas, apenas 34,3% dos conselhos adotaram uma CSP, e apenas 20,1% dessas políticas foram classificadas como fortes. Além disso, a pesquisa mostrou que mais de 60% dos sites não utilizam essa proteção, o que pode expor os dados dos usuários a riscos significativos. Embora a maioria dos conselhos tenha adotado padrões modernos de criptografia, a implementação de controles de segurança recomendados pelo governo, como o arquivo security.txt e o cabeçalho Permissions-Policy, permanece baixa. Por outro lado, 78,8% dos sites utilizam HTTP Strict Transport Security (HSTS), que protege as comunicações contra interceptações. A pesquisa destaca a necessidade urgente de uma abordagem mais robusta em relação à segurança cibernética, especialmente considerando que conselhos são alvos frequentes de ataques cibernéticos, com implicações diretas na proteção de dados pessoais dos cidadãos.

Apesar dos investimentos significativos em controles de segurança de e-mail, as ameaças como phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO) continuam a sobrecarregar as equipes de segurança. Em um webinar programado para 8 de julho de 2026, especialistas discutirão como a IA comportamental pode automatizar a detecção, investigação e remediação de ameaças, aliviando a carga operacional das equipes de segurança. O evento abordará os desafios enfrentados pelas equipes de operações de segurança (SOC), como a fadiga de alertas e os atrasos nas investigações, que são exacerbados pelo aumento no volume de ataques. A Abnormal AI se propõe a ajudar as organizações a identificar padrões de comportamento malicioso e a priorizar ameaças de alto risco, permitindo que os analistas se concentrem em incidentes mais críticos. Os participantes aprenderão técnicas práticas para melhorar a eficiência operacional e acelerar os tempos de resposta, transformando a abordagem da segurança de e-mail em um processo mais automatizado e eficaz.

Pesquisadores de cibersegurança descobriram uma série de pacotes npm maliciosos que têm como objetivo entregar um trojan de acesso remoto (RAT) baseado em Windows. Os pacotes identificados, publicados por um usuário chamado ‘abdrizak’, incluem ‘aes-decode-runner-pro’, ‘postcss-minify-selector’ e ‘postcss-minify-selector-parser’. Apesar de parecerem pacotes legítimos, todos eles contêm um dropper em JavaScript que escreve e executa um script PowerShell, o qual baixa um payload adicional de um servidor externo. Esse payload inclui um arquivo de script Visual Basic e um runtime Python, que juntos permitem que o RAT colete informações do host, roube credenciais do Google Chrome e execute comandos shell. A análise ressalta a importância de tratar dependências que se assemelham a ferramentas de construção legítimas como potenciais vetores de ataque. Além disso, outras campanhas maliciosas foram relatadas, incluindo pacotes que visam roubar credenciais de desenvolvedores e implantar RATs em sistemas Linux. Os usuários que instalaram esses pacotes devem removê-los imediatamente e rotacionar suas credenciais.

A OpenAI anunciou o lançamento do modelo GPT-5.5-Cyber, uma versão aprimorada de sua inteligência artificial voltada para a segurança cibernética, que será disponibilizada a defensores confiáveis como parte da iniciativa Daybreak. Este modelo é descrito como o mais robusto para identificar e ajudar a corrigir vulnerabilidades de software, permitindo análises mais profundas em grandes bases de código. Além disso, a empresa atualizou o plugin Codex Security, que acelera a descoberta e correção de vulnerabilidades em sistemas existentes. O plugin permite que desenvolvedores realizem varreduras profundas, gerem relatórios detalhados e desenvolvam patches específicos para suas bases de código. Em parceria com a Trail of Bits, a OpenAI lançou a iniciativa Patch the Planet, que visa ajudar a proteger projetos de código aberto, envolvendo participantes como cURL e Python. As novas ferramentas surgem em um contexto onde a descoberta de vulnerabilidades está acelerando, mas o desafio agora é a correção rápida dessas falhas. Especialistas alertam que modelos de IA mais avançados também estão sendo utilizados por agentes maliciosos, aumentando a necessidade de uma resposta rápida e eficaz das organizações. A OpenAI destaca que a iniciativa já ajudou a identificar várias vulnerabilidades críticas em sistemas operacionais e navegadores, enfatizando a importância de integrar a segurança cibernética nas estratégias empresariais.

Uma nova campanha de malware está sendo disseminada através de mensagens diretas no WhatsApp, visando usuários do WhatsApp Desktop e WhatsApp Web em diversos países, incluindo Brasil, Malásia e Índia. De acordo com a Kaspersky, os atacantes utilizam arquivos de script Visual Basic (VBScript) disfarçados como documentos financeiros e empresariais para enganar os destinatários a baixá-los e executá-los. Uma vez executado, o VBScript inicia uma cadeia de infecção que resulta na instalação de software legítimo de Monitoramento e Gerenciamento Remoto (RMM), permitindo acesso remoto ao sistema da vítima. Os arquivos maliciosos são nomeados de maneira enganosa, como “Relatórios Financeiros.vbs” e “Extrato de Conta.vbs”, e contêm comentários e metadados que imitam componentes legítimos do Windows. A Kaspersky alerta que os usuários devem ter cautela ao receber anexos inesperados, mesmo que pareçam vir de contatos conhecidos, e recomenda não abrir arquivos de tipos como VBS, EXE e JS sem verificação prévia de sua legitimidade.

A empresa de segurança SOCRadar revelou que a campanha FortiBleed, que visa dispositivos Fortinet FortiGate, utiliza ferramentas personalizadas para coletar segredos de autenticação de firewalls comprometidos. O relatório indica que mais de 430 mil firewalls foram alvos desde fevereiro de 2026, resultando na coleta de credenciais de VPN de mais de 80 mil URLs de firewall em todo o mundo. Os atacantes, atuando como corretores de acesso inicial, empregam técnicas como credential stuffing e brute-force para obter acesso a redes corporativas. Um dos principais instrumentos utilizados é o ‘FortigateSniffer’, uma ferramenta baseada em Golang que explora a funcionalidade de diagnóstico do FortiOS para capturar tráfego de autenticação. O tráfego é monitorado em 24 protocolos, e os dados coletados são processados para extrair credenciais e hashes de senhas. Os atacantes também teriam baixado arquivos de configuração do FortiGate para obter credenciais hash, que foram quebradas usando clusters de GPU. A situação é preocupante para organizações que utilizam dispositivos Fortinet, que devem investigar se foram afetadas por essa campanha.

Uma nova vulnerabilidade no FFmpeg, chamada ‘PixelSmash’, foi identificada e pode ser explorada para execução remota de código (RCE) em servidores Jellyfin, além de provocar condições de negação de serviço (DoS) em aplicações como Kodi, Emby, Nextcloud, PhotoPrism e OBS Studio. A falha, rastreada como CVE-2026-8461, é um erro de escrita fora dos limites da memória (heap out-of-bounds) no decodificador MagicYUV, recebendo uma pontuação de severidade alta, 8.8. A exploração é possível através de arquivos de vídeo maliciosos nos formatos AVI, MKV ou MOV. A vulnerabilidade se origina de inconsistências no processamento de ‘slices’ de vídeo, que podem ser ativadas ao abrir arquivos ou gerar miniaturas. A pesquisa da JFrog demonstrou que a exploração pode ocorrer em Jellyfin e Nextcloud, especialmente quando a proteção ASLR (Address Space Layout Randomization) está desativada. Embora a Plex tenha mitigado o risco com uma versão personalizada do FFmpeg, outras aplicações populares ainda estão vulneráveis. O FFmpeg lançou uma correção na versão 8.1.2, e Jellyfin também atualizou sua versão do FFmpeg. A vulnerabilidade apresenta um grande vetor de ataque, pois o decodificador MagicYUV é utilizado em muitos projetos que confiam no FFmpeg para lidar com entradas não confiáveis.

O bot de MEV (Maximal Extractable Value) conhecido como JaredFromSubway sofreu uma perda significativa de US$ 15 milhões após um ataque que manipulou sua lógica de detecção de oportunidades. O ataque foi identificado pela empresa de segurança blockchain Blockaid, que revelou que o invasor criou pools e tokens falsos para enganar o bot, levando-o a aprovar contratos controlados pelo atacante. O bot, que opera de forma automatizada, analisava rotas e oportunidades de negociação que pareciam lucrativas, gerando transações que concediam permissões de gastos a contratos do invasor. O planejamento do ataque foi meticuloso, com transações iniciais servindo como testes para confirmar as rotinas de ação do bot. O invasor acumulou permissões de gastos válidas, totalizando 92,1614 WETH, que foram posteriormente retiradas do contrato do bot. Em resposta, o JaredFromSubway ofereceu recompensas crescentes para a devolução dos fundos, mas até o momento não obteve sucesso. Este incidente destaca os riscos associados aos bots de MEV, que, embora possam gerar lucros, também podem ser alvos de ataques sofisticados.

Uma campanha de malware em andamento está visando usuários do WhatsApp em vários países, enviando mensagens enganosas que promovem arquivos VBScript, resultando em acesso remoto aos sistemas das vítimas. Os atacantes utilizam nomes de arquivos que sugerem documentos financeiros e empresariais, supostamente enviados por contatos cujas contas foram comprometidas. Ao baixar e executar os anexos maliciosos, a vítima inicia uma cadeia de infecção que culmina na instalação do ManageEngine Endpoint Central, uma ferramenta legítima usada por administradores de TI para gerenciar sistemas. Dados de telemetria da Kaspersky indicam que a campanha se espalha por países como Brasil, Índia, México, Reino Unido e outros. Os ataques começam com mensagens de contas comprometidas contendo arquivos VBS ofuscados, que, ao serem abertos, baixam scripts adicionais que desativam proteções do sistema e instalam o software malicioso. A Kaspersky não atribui os ataques a um ator específico, mas observa indícios de uso da língua chinesa e sobreposição de infraestrutura com atividades de grupos conhecidos. Usuários do WhatsApp são aconselhados a ter cautela ao abrir arquivos enviados por contatos, mesmo que confiáveis, e a sempre verificar a autenticidade dos mesmos.

A Copa do Mundo de 2026, que ocorrerá nos Estados Unidos, México e Canadá, promete ser um marco no uso de reconhecimento facial em eventos esportivos. Com a expectativa de mais de seis milhões de torcedores e um orçamento de segurança superior a um bilhão de dólares, o torneio se tornará um grande laboratório de vigilância biométrica. No Brasil, a Lei Geral do Esporte já tornou a biometria obrigatória em estádios com capacidade acima de 20 mil pessoas, e o Allianz Parque, em São Paulo, já identificou mais de 200 foragidos desde a implementação do sistema. Entretanto, essa tecnologia levanta questões sobre privacidade e direitos humanos, especialmente em relação à precisão dos sistemas de reconhecimento facial, que têm mostrado taxas de erro alarmantes, especialmente em grupos minoritários. A discussão é ainda mais complexa com a Lei Geral de Proteção de Dados (LGPD), que classifica dados biométricos como sensíveis e exige rigor na sua coleta e tratamento. A Copa de 2026 pode acelerar a adoção dessas tecnologias, mas é crucial encontrar um equilíbrio entre segurança e privacidade.

O Distrito Escolar Unificado de Bellflower, localizado em Los Angeles, confirmou um vazamento de dados que ocorreu em agosto de 2025, comprometendo números de Seguro Social e outras informações pessoais. O ataque cibernético, atribuído ao grupo criminoso Rhysida, resultou na inoperabilidade temporária de muitos serviços da rede do distrito. Em 28 de outubro de 2025, Rhysida reivindicou a responsabilidade pelo ataque e exigiu um resgate de 10 bitcoins, equivalente a aproximadamente 1,15 milhão de dólares na época. Embora o distrito tenha notificado as vítimas do vazamento em junho de 2026, não está claro se o resgate foi pago ou como os atacantes conseguiram acessar a rede. O distrito oferece monitoramento de crédito gratuito para as vítimas afetadas. Rhysida, que opera um modelo de ransomware como serviço, já foi responsável por 92 ataques em 2025, afetando diversas instituições educacionais. Os ataques de ransomware em escolas nos EUA comprometeram mais de 4 milhões de registros em 2025, destacando a vulnerabilidade do setor educacional a esse tipo de crime cibernético.

Uma nova vulnerabilidade chamada AutoJack foi identificada no AutoGen Studio da Microsoft, uma interface para prototipagem de agentes de IA. Essa falha permite que atacantes manipulem um agente para executar comandos arbitrários no sistema host apenas ao visitar uma página maliciosa. O AutoGen Studio é uma ferramenta popular, com mais de 59 mil estrelas no GitHub, que permite a criação de sistemas de IA multi-agente. A Microsoft informou que a vulnerabilidade foi corrigida antes de qualquer lançamento oficial, limitando a exposição a desenvolvedores que compilaram o software diretamente do repositório do GitHub durante um curto período. O ataque se baseia em três fraquezas: a confiança em conexões locais, a falta de autenticação em rotas específicas e a aceitação de parâmetros codificados em base64 que podem ser explorados para executar comandos. Embora a Microsoft tenha mitigado a falha, recomenda que os usuários instalem o AutoGen Studio em ambientes isolados e sob contas de baixo privilégio para evitar riscos futuros. Essa situação destaca a importância de manter práticas de segurança rigorosas ao trabalhar com ferramentas de desenvolvimento de IA.

A Microsoft anunciou que a próxima atualização de recursos do Windows 11 será a versão 26H2, que já está em fase de testes com usuários do programa Windows Insiders. A atualização promete uma experiência de atualização previsível e de baixo impacto, especialmente para organizações e profissionais de TI. Dispositivos que operam nas versões 24H2 e 25H2 poderão realizar a atualização para a nova versão utilizando um pequeno pacote de habilitação, que requer apenas um reinício rápido. Este pacote de habilitação, com apenas 174 KB, ativa recursos já presentes no dispositivo, ao contrário da atualização completa, que exige um download de 6,5 GB. A Microsoft ainda não divulgou a data de lançamento geral da versão 26H2, mas as atualizações com a designação ‘H2’ costumam ser lançadas no segundo semestre do ano. Importante ressaltar que sistemas com versões anteriores, como 23H2, precisarão da atualização completa, pois não compartilham o mesmo ramo de manutenção. A empresa não anunciou mudanças nos requisitos de hardware para esta nova versão.