A Microsoft alertou sobre um bug introduzido em uma atualização recente do navegador Microsoft Edge, que afeta a funcionalidade de colar no cliente desktop do Microsoft Teams. Usuários têm relatado que a opção ‘Colar’ aparece desativada ao tentar colar URLs, textos ou imagens em chats, utilizando o menu de contexto do botão direito. Para contornar o problema, a empresa recomenda o uso de atalhos de teclado: Ctrl + C e Ctrl + V no Windows, ou Cmd + C e Cmd + V no macOS. O erro é resultado de uma regressão de código na atualização do Edge, que o Teams utiliza para algumas funcionalidades. A Microsoft está ciente do problema e está implementando uma correção em etapas, mas ainda não forneceu um cronograma exato para a resolução completa. O bug tem afetado tanto usuários corporativos quanto individuais, com relatos de que reinstalar o Teams ou limpar o cache não resolveu a questão. A situação é monitorada pela Microsoft, que busca garantir a recuperação dos sistemas afetados.

Um código de exploração de prova de conceito foi publicado para uma falha crítica de execução remota de código (RCE) no protobuf.js, uma implementação JavaScript amplamente utilizada dos Protocol Buffers do Google. Essa biblioteca, que é popular no registro do Node Package Manager (npm) com cerca de 50 milhões de downloads semanais, é utilizada para comunicação entre serviços e armazenamento eficiente de dados estruturados. A vulnerabilidade, identificada como GHSA-xq3m-2v4x-88gg, resulta de uma geração de código dinâmico insegura, onde a biblioteca constrói funções JavaScript a partir de esquemas protobuf sem validar adequadamente os identificadores derivados do esquema. Isso permite que um atacante forneça um esquema malicioso que injete código arbitrário na função gerada, possibilitando a execução desse código quando a aplicação processa uma mensagem usando o esquema comprometido. A falha afeta as versões 8.0.0/7.5.4 e anteriores do protobuf.js, e a Endor Labs recomenda a atualização para as versões 8.0.1 e 7.5.5, que corrigem o problema. Embora a exploração seja considerada simples, até o momento não foram observadas explorações ativas na natureza.

Pesquisas recentes da Fortinet e Palo Alto Networks revelam que atores de ameaças estão explorando falhas de segurança em dispositivos TBK DVR e roteadores TP-Link fora de suporte para implantar variantes da botnet Mirai. A vulnerabilidade CVE-2024-3721, que afeta modelos de DVR, permite a injeção de comandos e a instalação de um malware chamado Nexcorium. Este malware é projetado para persistir e realizar ataques de negação de serviço (DDoS). Além disso, a CVE-2023-33538, que impacta roteadores TP-Link, também está sendo alvo de tentativas de exploração, embora com abordagens falhas. Os dispositivos afetados, como o TL-WR940N e TL-WR841N, não recebem mais suporte, o que aumenta o risco para os usuários. Especialistas alertam que a combinação de credenciais padrão e vulnerabilidades conhecidas torna os dispositivos IoT alvos fáceis para ataques. A recomendação é que os usuários substituam esses dispositivos por modelos mais novos e seguros.

A exchange de criptomoedas Grinex, incorporada no Quirguistão e sancionada pelo Reino Unido e pelos EUA, anunciou a suspensão de suas operações após um ataque cibernético que resultou no roubo de 13,74 milhões de dólares. A empresa afirmou que o ataque, ocorrido em 15 de abril de 2026, possui características que sugerem a participação de agências de inteligência estrangeiras, visando desestabilizar a soberania financeira da Rússia. O ataque resultou na perda de mais de 1 bilhão de rublos em fundos de usuários. Grinex é considerada uma rebranding da Garantex, que já havia sido sancionada por lavagem de dinheiro. O roubo foi realizado através de uma série de transações que evitaram a detecção e o congelamento dos ativos. A análise de blockchain revelou que os fundos roubados foram rapidamente convertidos em tokens não congeláveis, uma tática comum entre criminosos para lavar dinheiro. A situação levanta questões sobre a segurança das exchanges de criptomoedas e a possibilidade de operações de bandeira falsa, dada a natureza do ataque e o histórico da Grinex.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica em versões antigas do Microsoft Excel, identificada como CVE-2009-0238. Essa falha, detectada em 2009, permite a execução remota de código (RCE), possibilitando que cibercriminosos comprometam sistemas ao enviar documentos Excel maliciosos. Os ataques podem resultar no roubo de informações sensíveis, implantação de ransomware e corrupção da memória do dispositivo. A vulnerabilidade afeta versões do Microsoft Office Excel 2000 SP3 até 2004 e 2008 para Mac, enquanto versões mais recentes já receberam correções. A CISA não detalhou como os documentos maliciosos são enviados, mas a ameaça permanece ativa, com a possibilidade de exploração por hackers. Especialistas associaram a falha à distribuição de um malware conhecido como “Trojan.Mdropper.AC”. É crucial que usuários e empresas que ainda utilizam essas versões antigas do Excel tomem medidas imediatas para mitigar os riscos associados a essa vulnerabilidade.

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

O recente caso envolvendo os funkeiros MC Ryan SP e MC Poze do Rodo, que foram presos sob suspeita de lavagem de dinheiro, destaca a importância dos backups na nuvem, especialmente no iCloud. A investigação da Polícia Federal revelou que arquivos armazenados na nuvem do contador do grupo foram cruciais para desvendar um esquema de R$ 1,6 bilhão. Os dados, que incluíam extratos financeiros e conversas, foram acessados por meio de autorização judicial, evidenciando como informações pessoais podem ser utilizadas em investigações criminais. O perito em crimes digitais Wanderson Castilho alerta que muitos usuários não têm plena consciência do que está armazenado na nuvem, já que o iCloud sincroniza automaticamente diversos tipos de dados, mesmo aqueles que foram excluídos. Além disso, ele ressalta que a privacidade e a segurança são conceitos distintos; enquanto a nuvem oferece um nível de privacidade, a segurança dos dados depende da ação do usuário. Para informações sensíveis, Castilho recomenda o armazenamento offline, como em HDs externos criptografados, para evitar riscos de exposição. O caso serve como um alerta sobre a necessidade de maior controle e conscientização sobre o que se armazena na nuvem.

Com a aproximação da Copa do Mundo de 2026, especialistas em cibersegurança da Proofpoint alertam sobre os riscos cibernéticos associados ao evento. A pesquisa revelou que 36% dos patrocinadores e parceiros da FIFA não possuem medidas de segurança adequadas para proteger seus e-mails, tornando-os vulneráveis a ataques como roubo de identidade e fraudes. O estudo analisou 25 domínios relacionados ao evento e constatou que, embora 96% deles utilizem o protocolo DMARC, apenas 64% têm políticas robustas para prevenir ataques. Preocupantemente, 32% dos domínios estavam configurados apenas em modo de monitoramento, o que não impede o envio de e-mails falsificados. Esses dados indicam que os clientes podem ser alvos de cibercriminosos que se passam por marcas renomadas para aplicar golpes. Diante desse cenário, é essencial que os usuários adotem medidas de proteção e mantenham uma higiene digital adequada para evitar cair em armadilhas cibernéticas.

O senador Bernie Sanders, em um recente comício, uniu-se a líderes sindicais para exigir proteções mais rigorosas para trabalhadores em face da crescente automação impulsionada pela inteligência artificial (IA). Sanders criticou os magnatas da tecnologia, afirmando que eles buscam substituir milhões de empregos com IA, referindo-se a planos de empresas como Tesla e Microsoft. A preocupação com a automação não é exclusiva de Sanders; pesquisas indicam que a maioria dos trabalhadores americanos teme que a adoção de IA resulte em cortes salariais e perda permanente de empregos. A oposição à construção de novos data centers, essenciais para o funcionamento da IA, também está crescendo, com estados como Maine já implementando proibições. Sanders e a deputada Alexandria Ocasio-Cortez propuseram uma pausa no desenvolvimento de IA para proteger os trabalhadores e a saúde pública, enfatizando a necessidade de um debate público e supervisão democrática sobre o impacto da tecnologia na economia e na sociedade. O sentimento anti-data center está se espalhando, refletindo uma mudança significativa na opinião pública sobre o futuro do trabalho e da tecnologia nos Estados Unidos.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs) e empresas. O phishing se destaca como um dos principais motores do cibercrime moderno. Em um webinar programado para 14 de maio de 2026, a BleepingComputer, em parceria com especialistas da Kaseya, discutirá a necessidade de uma abordagem integrada entre segurança e estratégias de recuperação. O evento abordará como ataques impulsionados por inteligência artificial, como phishing e ransomware, estão se tornando mais direcionados e difíceis de detectar, frequentemente burlando controles de segurança tradicionais. Mesmo quando as ameaças são identificadas, atrasos na resposta ou lacunas no planejamento de recuperação podem transformar um incidente contido em uma interrupção em larga escala. A Kaseya, conhecida por suas soluções de segurança e backup focadas em MSPs, enfatiza a importância de combinar prevenção, detecção e recuperação rápida para proteger melhor os ambientes dos clientes e garantir a continuidade dos negócios. O webinar também abordará como os atacantes exploram infraestruturas confiáveis e plataformas SaaS para contornar defesas, destacando a importância de backups e planejamento de recuperação de desastres (BCDR) para a resiliência cibernética.

O mercado clandestino de dados de cartões de crédito tem se tornado cada vez mais volátil, com criminosos enfrentando fraudes, desconfiança interna e pressão das autoridades. Um guia encontrado em um fórum underground, intitulado ‘The Underground Guide to Legit CC Shops’, revela como os atores do crime tentam mitigar riscos nesse ambiente instável. O documento enfatiza a importância de avaliar fornecedores e a qualidade dos dados roubados, destacando que a legitimidade de uma loja não é definida pela marca, mas pela sua capacidade de operar de forma contínua. Além disso, o guia sugere práticas de segurança operacional, como o uso de criptomoedas focadas em privacidade e a adoção de protocolos técnicos para verificar a confiabilidade das lojas. A transparência nos modelos de preços e a validação comunitária são fundamentais para construir confiança em um mercado onde a desconfiança é predominante. Essa mudança de foco para uma abordagem mais disciplinada e estruturada reflete a evolução do crime cibernético, onde a sobrevivência e a qualidade dos dados são cruciais para o sucesso das operações.

A exchange de criptomoedas Grinex, baseada no Quirguistão, suspendeu suas operações após um ataque cibernético que resultou no roubo de US$ 13,7 milhões. Os fundos foram retirados de carteiras de usuários russos, uma vez que a plataforma facilita operações de troca entre negócios e indivíduos da Rússia. Grinex, que é considerada uma rebranding da exchange russa Garantex, já havia sido alvo de sanções do Departamento do Tesouro dos EUA por suas ligações com atividades ilícitas. O ataque, segundo a Grinex, foi realizado por agentes de inteligência estrangeiros com recursos tecnológicos avançados, visando diretamente a soberania financeira da Rússia. A análise da blockchain revelou que os fundos roubados foram transferidos para endereços TRON e Ethereum e convertidos em criptomoedas. Além disso, a TRM Labs identificou um segundo ataque em outra exchange, a TokenSpot, que também possui vínculos com Grinex. Embora a Grinex tenha atribuído o ataque a agências de inteligência ocidentais, não foram apresentados dados técnicos que comprovassem essa alegação.

O Google anunciou atualizações em suas políticas do Play Store para aprimorar a privacidade dos usuários e proteger empresas contra fraudes. Em 2025, a empresa bloqueou ou removeu mais de 8,3 bilhões de anúncios globalmente e suspendeu 24,9 milhões de contas. As novas políticas introduzem um ‘Contact Picker’, que permite que aplicativos acessem apenas contatos específicos escolhidos pelo usuário, em vez de toda a lista de contatos. Isso representa uma mudança significativa em relação à permissão anterior, que era muito ampla. Além disso, um novo botão de localização foi implementado, permitindo que aplicativos solicitem acesso temporário à localização precisa do usuário, com um indicador persistente que alerta quando um aplicativo não-sistema acessa essa informação. Os desenvolvedores são incentivados a revisar o uso de dados de localização em seus aplicativos para garantir que apenas as informações necessárias sejam solicitadas. O Google também está utilizando seu modelo de inteligência artificial, Gemini, para detectar e bloquear anúncios maliciosos, tendo removido 602 milhões de anúncios e 4 milhões de contas associadas a fraudes em 2025. Essas mudanças visam aumentar a segurança e a transparência no uso de dados pessoais dos usuários.

A Huntress alertou sobre a exploração de três vulnerabilidades recentemente divulgadas no Microsoft Defender, conhecidas como BlueHammer, RedSun e UnDefend. Essas falhas, que permitem a elevação de privilégios em sistemas comprometidos, foram reveladas por um pesquisador sob o pseudônimo Chaotic Eclipse. BlueHammer e RedSun são falhas de elevação de privilégios locais (LPE), enquanto UnDefend pode causar uma condição de negação de serviço (DoS), bloqueando atualizações de definições. A Microsoft já lançou uma correção para BlueHammer, identificada como CVE-2026-33825, mas as outras duas falhas ainda não têm solução disponível. A Huntress observou que a exploração de BlueHammer começou em 10 de abril de 2026, seguida por RedSun e UnDefend em 16 de abril. As atividades dos atacantes foram identificadas através de comandos típicos de enumeração, indicando que os invasores estavam ativos no sistema. A empresa de cibersegurança tomou medidas para isolar as organizações afetadas e evitar novas explorações. A situação destaca a importância de uma resposta rápida a vulnerabilidades críticas, especialmente em ambientes corporativos que utilizam amplamente o Microsoft Defender.

O uso não autorizado de tecnologia no ambiente corporativo, conhecido como shadow IT, representa um desafio crescente para a segurança e conformidade regulatória, especialmente no setor de viagens. Um estudo revela que 78% dos funcionários utilizam sistemas de IA não aprovados, o que agrava a situação. A insatisfação com ferramentas oficiais, devido a experiências de usuário ruins, leva os colaboradores a buscar alternativas mais convenientes, mas potencialmente inseguras. Isso pode resultar em fraudes, perda de descontos corporativos e aumento da carga administrativa. Além disso, o uso de aplicativos não gerenciados para capturar dados sensíveis pode expor informações críticas e violar regulamentos como a LGPD. Para mitigar esses riscos, é crucial que as equipes de TI, finanças e recursos humanos colaborem na educação dos funcionários sobre os perigos do shadow IT e implementem políticas que desencorajem o uso de ferramentas não autorizadas. A falta de visibilidade sobre os movimentos dos funcionários durante viagens pode comprometer a segurança e a capacidade de resposta em emergências, tornando a gestão de viagens mais complexa e arriscada.

Recentemente, três vulnerabilidades de segurança do Windows estão sendo exploradas por atores maliciosos para obter permissões de administrador ou SYSTEM. O pesquisador de segurança conhecido como ‘Chaotic Eclipse’ divulgou códigos de exploração para essas falhas, em protesto à forma como o Centro de Resposta a Segurança da Microsoft (MSRC) lidou com o processo de divulgação. As vulnerabilidades, chamadas BlueHammer e RedSun, são falhas de escalonamento de privilégios locais no Microsoft Defender, enquanto a terceira, UnDefend, permite que um usuário padrão bloqueie atualizações de definições do Defender. No momento da divulgação, essas falhas eram consideradas zero-days, pois não havia patches disponíveis. Pesquisadores da Huntress Labs relataram que as três explorações estão sendo usadas ativamente, com a BlueHammer sendo explorada desde 10 de abril. Embora a Microsoft tenha corrigido a vulnerabilidade BlueHammer, as falhas RedSun e UnDefend ainda não têm patches disponíveis. A RedSun, por exemplo, permite que atacantes obtenham privilégios SYSTEM em sistemas Windows 10, 11 e Server 2019 e posteriores, mesmo após a aplicação de correções anteriores. A Microsoft reafirmou seu compromisso em investigar problemas de segurança reportados e atualizar dispositivos afetados rapidamente.

Kamerin Stokes, de 23 anos, foi condenado a 30 meses de prisão por vender acesso a contas da DraftKings que foram hackeadas. O ataque, realizado por Nathan Austad e Joseph Garrison, comprometeu cerca de 68 mil contas em novembro de 2022, utilizando uma técnica chamada ‘credential stuffing’, que envolve o uso de credenciais roubadas de outras brechas. Os criminosos conseguiram roubar aproximadamente 635 mil dólares de cerca de 1.600 contas comprometidas. Stokes, que comprou as contas hackeadas e as revendeu, reabriu sua loja de fraudes após ser preso e admitiu ter operado esse tipo de negócio por três anos. Além da pena de prisão, ele foi condenado a pagar mais de 1,3 milhão de dólares em restituição. O caso destaca a vulnerabilidade de plataformas de apostas online e a necessidade de medidas de segurança robustas para proteger os dados dos usuários.

A Microsoft confirmou que alguns controladores de domínio do Windows estão enfrentando loops de reinicialização devido a falhas no Serviço de Subsistema de Autoridade de Segurança Local (LSASS) após a instalação das atualizações de segurança de abril de 2026. O problema ocorre principalmente em controladores de domínio não Global Catalog (não-GC) em ambientes que utilizam Gestão de Acesso Privilegiado (PAM). Após a instalação da atualização de segurança KB5082063 e reinicialização, esses controladores podem falhar durante o processo de inicialização, resultando em reinicializações contínuas e impossibilitando a autenticação e os serviços de diretório. A Microsoft recomenda que administradores de TI entrem em contato com o Suporte da Microsoft para Negócios para medidas de mitigação. Este problema afeta apenas organizações que utilizam PAM e não deve impactar dispositivos pessoais não gerenciados. A lista de plataformas afetadas inclui Windows Server 2025, 2022, 23H2, 2019 e 2016. A empresa está investigando também um problema separado que impede a instalação da atualização KB5082063 em alguns sistemas Windows Server 2025.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre uma vulnerabilidade crítica no Apache ActiveMQ, identificada como CVE-2026-34197, que está sendo ativamente explorada em ataques. O Apache ActiveMQ é um popular broker de mensagens open-source baseado em Java, utilizado para comunicação assíncrona entre aplicações. A falha, que passou despercebida por 13 anos, foi descoberta pelo pesquisador Naveen Sunkavally da Horizon3, e se origina de uma validação inadequada de entrada, permitindo que atacantes autenticados executem código arbitrário através de ataques de injeção. A correção foi disponibilizada em 30 de março para as versões 6.2.3 e 5.19.4 do ActiveMQ Classic. A CISA incluiu a vulnerabilidade em seu Catálogo de Vulnerabilidades Conhecidas e ordenou que agências federais atualizassem seus servidores ActiveMQ até 30 de abril. A Horizon3 também destacou que mais de 7.500 servidores ActiveMQ estão expostos online, aumentando o risco de exploração. A CISA recomenda que organizações que utilizam ActiveMQ tratem essa vulnerabilidade como prioridade alta, dada a frequência com que o ActiveMQ é alvo de ataques reais.

Uma operação internacional de aplicação da lei, chamada Operação PowerOFF, resultou na desativação de 53 domínios e na prisão de quatro indivíduos envolvidos em operações comerciais de negação de serviço distribuído (DDoS). Esses serviços eram utilizados por mais de 75.000 cibercriminosos. A ação, que contou com a participação de 21 países, incluindo o Brasil, teve como objetivo interromper o acesso a serviços de DDoS por contratação, desmantelar a infraestrutura técnica que os sustentava e acessar bancos de dados com mais de 3 milhões de contas de usuários criminosos. A Europol destacou que esses serviços permitem que até mesmo pessoas com pouco conhecimento técnico realizem ataques maliciosos em larga escala, causando danos significativos a empresas. A operação também incluiu o envio de avisos a usuários identificados e a emissão de 25 mandados de busca. A atividade de DDoS é considerada uma das tendências mais acessíveis e prolíficas do cibercrime, com motivações que vão desde extorsão até hacktivismo. A operação é um passo importante na luta contra a criminalidade cibernética, especialmente após a desativação de uma botnet chamada RapperBot em agosto de 2025, que havia realizado ataques em mais de 80 países desde 2021.

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou mudanças significativas na forma como gerencia as vulnerabilidades e exposições de cibersegurança (CVEs) em sua base de dados nacional (NVD). Devido a um aumento de 263% nas submissões de CVEs entre 2020 e 2025, o NIST decidiu enriquecer apenas aqueles que atendem a critérios específicos, como a inclusão no catálogo de Vulnerabilidades Conhecidas e Exploitadas (KEV) da CISA e software crítico utilizado pelo governo federal. As CVEs que não se enquadrarem nesses critérios serão marcadas como “Não Programadas”. Essa mudança visa priorizar as vulnerabilidades com maior potencial de impacto generalizado, embora o NIST reconheça que outras CVEs possam ter impactos significativos. Além disso, o NIST não fornecerá mais pontuações de severidade separadas para CVEs já avaliadas por autoridades de numeração de CVE. As mudanças têm como objetivo melhorar a eficiência na gestão de vulnerabilidades em um cenário de crescente volume de novas ameaças. Especialistas alertam que essa nova abordagem exigirá que as organizações adotem uma gestão de riscos mais proativa, focando em dados acionáveis em vez de uma lista abrangente de vulnerabilidades.

Mais de 75.000 usuários de plataformas de negação de serviço distribuído (DDoS) foram alertados por e-mails e cartas durante a mais recente fase da Operação PowerOFF, uma ação internacional de aplicação da lei apoiada pela Europol e envolvendo autoridades de 21 países. A operação resultou na prisão de quatro pessoas, na desativação de 53 domínios e na emissão de 25 mandados de busca. As chamadas ‘booters’, plataformas que oferecem serviços DDoS sob demanda, foram alvo de ações que desmantelaram a infraestrutura técnica que as sustenta. Embora alguns operadores tentem justificar essas plataformas como ferramentas de teste de estresse legítimas, a falta de verificação de propriedade dos alvos as torna ilegais. A operação, que já desmantelou infraestruturas críticas e apreendeu bancos de dados com mais de 3 milhões de contas criminosas, agora entra em uma fase de prevenção, que inclui campanhas de conscientização e medidas de interrupção. Isso envolve anúncios em motores de busca direcionados a jovens que buscam ferramentas DDoS e a remoção de URLs que promovem esses serviços ilegais.

Uma vulnerabilidade de alta severidade foi recentemente divulgada no Apache ActiveMQ Classic, identificada como CVE-2026-34197, com uma pontuação CVSS de 8.8. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que essa falha está sendo explorada ativamente, levando à inclusão no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade resulta de uma validação inadequada de entrada, permitindo que atacantes executem código arbitrário em instalações vulneráveis. O especialista Naveen Sunkavally, da Horizon3.ai, destacou que a falha estava ’escondida à vista’ por 13 anos. A exploração pode ocorrer através da API Jolokia do ActiveMQ, onde um invasor pode induzir o broker a buscar um arquivo de configuração remoto e executar comandos do sistema operacional. Embora a vulnerabilidade exija credenciais, as credenciais padrão (admin:admin) são comuns em muitos ambientes, e em algumas versões, a autenticação não é necessária devido a outra vulnerabilidade. As versões afetadas incluem Apache ActiveMQ Broker antes da 5.19.4 e 6.0.0 antes da 6.2.3. A CISA recomenda que as agências federais apliquem as correções até 30 de abril de 2026. A situação ressalta a rapidez com que os atacantes exploram novas vulnerabilidades, destacando a necessidade urgente de atualização e monitoramento das implementações do ActiveMQ.

O Museu de Arte de Phoenix, localizado no Arizona, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu nomes e números de Seguro Social. A violação foi identificada em 8 de dezembro de 2025, após o museu detectar acessos não autorizados em seus sistemas. O grupo cibercriminoso Rhysida assumiu a responsabilidade pelo ataque em 12 de fevereiro de 2026, exigindo um resgate de 10 bitcoins, equivalente a aproximadamente 667 mil dólares na época. O museu não confirmou a reivindicação do Rhysida e não se sabe quantas pessoas foram afetadas ou como os atacantes conseguiram acessar a rede. Como resposta, o museu está oferecendo monitoramento de crédito gratuito e seguro contra roubo de identidade aos afetados. O Rhysida, que opera um modelo de ransomware como serviço, foi responsável por 92 ataques em 2025, afetando organizações sem fins lucrativos, incluindo o Welthungerhilfe na Alemanha e o Hudson River Housing em Nova York. Os ataques de ransomware nos EUA aumentaram significativamente, com 708 incidentes confirmados em 2025, comprometendo quase 46 milhões de registros pessoais.

Recentemente, o pesquisador conhecido como ‘Chaotic Eclipse’ divulgou um exploit de prova de conceito para uma falha zero-day no Microsoft Defender, chamada ‘RedSun’. Essa vulnerabilidade permite a escalada de privilégios locais (LPE), concedendo privilégios de SYSTEM em sistemas operacionais Windows 10, Windows 11 e Windows Server, especialmente nas atualizações mais recentes do Patch Tuesday de abril. O exploit explora um comportamento peculiar do Windows Defender, que reescreve arquivos maliciosos com uma etiqueta de nuvem, permitindo que arquivos de sistema sejam sobrescritos e, assim, concedendo privilégios administrativos ao atacante. Will Dormann, analista de vulnerabilidades, confirmou que o exploit funciona em sistemas totalmente atualizados. O pesquisador também lançou um exploit anterior, chamado ‘BlueHammer’, em protesto contra a forma como a Microsoft lida com a divulgação de vulnerabilidades. A Microsoft, em resposta, afirmou que investiga questões de segurança relatadas e apoia a divulgação coordenada de vulnerabilidades. Essa situação levanta preocupações sobre a segurança de sistemas amplamente utilizados e a necessidade de uma resposta rápida por parte das empresas que utilizam essas tecnologias.

Um novo malware chamado ZionSiphon, projetado especificamente para tecnologia operacional, está atacando ambientes de tratamento de água e dessalinização, com o objetivo de sabotar suas operações. Pesquisadores descobriram que a ameaça pode ajustar pressões hidráulicas e elevar níveis de cloro a níveis perigosos. A análise indica que o malware tem como alvo sistemas localizados em Israel, com mensagens políticas embutidas em seu código. A empresa de cibersegurança Darktrace identificou um erro de lógica de criptografia que torna a versão atual do malware não funcional, mas alertou que futuras versões podem corrigir essa falha e causar danos significativos. O ZionSiphon verifica se o IP do host está dentro de faixas israelenses e se o sistema contém software relacionado a água ou tecnologia operacional. Caso ativado, o malware poderia aumentar os níveis de cloro e maximizar a pressão, utilizando uma função chamada “IncreaseChlorineLevel()”. Embora a versão atual não esteja operacional, a intenção de interagir com sistemas de controle industrial é clara, e o malware possui um mecanismo de propagação via USB. A situação é preocupante, pois a correção de um pequeno erro de verificação pode liberar seu potencial destrutivo.

Pesquisadores de cibersegurança alertaram sobre uma campanha maliciosa ativa que visa a força de trabalho na República Tcheca, utilizando uma botnet inédita chamada PowMix desde dezembro de 2025. O PowMix se destaca por empregar intervalos de beaconing aleatórios para evitar detecções de assinatura de rede, utilizando URLs que imitam APIs REST legítimas. O ataque se inicia com um arquivo ZIP malicioso, provavelmente entregue por e-mail de phishing, que ativa uma cadeia de infecção em múltiplas etapas. Essa cadeia envolve um atalho do Windows que inicia um loader PowerShell, extraindo e executando o malware na memória.

O Anna’s Archive, um repositório clandestino, foi condenado a pagar US$ 322 milhões ao Spotify e às gravadoras Universal Music Group, Warner Music Group e Sony Music Entertainment. A decisão judicial ocorreu após o vazamento de 86 milhões de faixas do Spotify, que foram disponibilizadas ilegalmente para download. O Spotify e as gravadoras processaram o Anna’s Archive por violação de direitos autorais, alegando que o acervo extraiu quase todas as gravações comerciais do mundo. O juiz Jed S. Rakoff considerou o Anna’s Archive culpado por violação direta de direitos autorais, quebra de contrato e violação da Lei de Direitos Autorais do Milênio Digital (DMCA). A multa será dividida entre os envolvidos, com o Spotify recebendo a maior parte. O caso destaca a crescente preocupação com a pirataria digital e a proteção dos direitos autorais na indústria musical, especialmente em um cenário onde vazamentos massivos de dados se tornaram comuns. A ausência de defesa por parte do Anna’s Archive durante o processo contribuiu para a gravidade da condenação.

Três empresas de segurança digital identificaram um esquema criminoso que visa usuários de dispositivos Apple e Android, envolvendo o roubo de dados do iCloud e a instalação de spyware. Os hackers, contratados por uma empresa de vigilância indiana, criam páginas falsas de login para capturar credenciais do ID Apple, permitindo acesso a informações pessoais armazenadas na nuvem, como fotos e mensagens. Até agora, foram detectados cerca de 1.500 endereços falsos que imitam serviços da Apple. Para usuários de Android, o spyware chamado ProSpy é disseminado por meio de aplicativos populares como WhatsApp e Zoom, permitindo que os criminosos monitorem mensagens e acessem microfone e câmera. A situação é alarmante, pois os ataques estão direcionados a jornalistas, ativistas e autoridades em várias regiões, incluindo o Oriente Médio e os Estados Unidos, levantando preocupações sobre privacidade e segurança de dados.

Recentemente, cerca de 20 empresas de telecomunicações russas assinaram um moratório que congela a expansão de canais de comunicação para a Europa, com o objetivo de limitar o uso de VPNs no país. Essa medida, que visa restringir a liberdade na internet, resulta na imposição de um ‘filtro econômico’ que pode aumentar os custos de acesso a serviços estrangeiros e forçar plataformas digitais a estabelecer servidores locais na Rússia. O uso de VPNs é identificado como tráfego estrangeiro nas redes de telecomunicações, e a limitação da largura de banda pode saturar as linhas existentes, dificultando ainda mais o acesso à internet global. Além disso, a partir de abril, as principais operadoras de telecomunicações da Rússia desativaram a opção de pagamento de assinaturas de VPNs via contas de celular, visando desestimular o uso dessas ferramentas. Embora as autoridades afirmem que não há proibição direta do uso de VPNs, discussões sobre penalidades para usuários têm ocorrido, refletindo um ambiente cada vez mais hostil para a privacidade digital. Essa situação destaca a luta contínua contra a censura e a vigilância na internet na Rússia.

O MasterChef Austrália retorna em 2026 com uma nova temporada que contará com a participação especial de Meghan Markle, Duquesa de Sussex, como jurada. A estreia está marcada para o dia 19 de abril de 2026, às 18h (horário local). Os fãs do programa poderão assistir gratuitamente pela Channel 10, de segunda a sexta-feira, às 18h, e aos domingos, às 18h30. Para aqueles que estão fora da Austrália e desejam acessar o conteúdo, a utilização de uma VPN, como a Surfshark, é recomendada. Essa ferramenta permite que usuários de outros países assistam ao programa como se estivessem na Austrália, contornando bloqueios geográficos. A participação de Meghan Markle gerou reações mistas, com críticos questionando sua presença no programa, alegando que foi uma estratégia de marketing para aumentar a audiência. Apesar das controvérsias, a expectativa é alta para a nova temporada, que contará com 60 episódios e um elenco de jurados renomados, incluindo chefs premiados. Para assistir, basta se inscrever na Surfshark e seguir alguns passos simples para configurar a localização virtual.

A Cisco lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas, incluindo uma falha de validação de certificado no Webex Services, que exige ação adicional dos clientes. A vulnerabilidade, identificada como CVE-2026-20184, afeta a integração de autenticação única (SSO) com o Control Hub, permitindo que atacantes remotos sem privilégios se façam passar por qualquer usuário. A Cisco alertou que os clientes que utilizam a integração SSO devem fazer o upload de um novo certificado SAML para evitar interrupções no serviço. Além disso, três outras falhas críticas foram corrigidas na plataforma Identity Services Engine (ISE), que poderiam permitir a execução de comandos arbitrários no sistema operacional, embora a exploração exija credenciais administrativas. A empresa também abordou 10 falhas de severidade média que podem ser exploradas para contornar autenticações e escalar privilégios. A Cisco não encontrou evidências de que essas vulnerabilidades tenham sido exploradas em ataques. O alerta é especialmente relevante para organizações que utilizam as soluções da Cisco, considerando a possibilidade de impactos significativos em suas operações.

O conceito de ‘AI SOC’ (Centro de Operações de Segurança com Inteligência Artificial) está em alta, com fornecedores prometendo sistemas que triagem alertas, investigam incidentes e respondem de forma autônoma. Embora as demonstrações sejam atraentes, a realidade em produção revela que muitos desses sistemas apenas aceleram a triagem, resumindo alertas e sugerindo próximos passos, mas não resolvem o problema central das operações de segurança: a falta de tempo e coordenação das equipes. Os alertas raramente estão isolados e requerem contexto de múltiplas ferramentas, o que torna o trabalho fragmentado e dependente de etapas manuais. As equipes que obtêm resultados reais com IA não param na triagem; elas incorporam a IA em fluxos de trabalho que executam processos de ponta a ponta, economizando tempo e permitindo que os analistas se concentrem em tarefas mais complexas. No entanto, a transição de recomendações para execução apresenta desafios, como a necessidade de confiabilidade, integração e controle. A supervisão humana continua sendo essencial, pois a responsabilidade não pode ser totalmente delegada à IA. Para os CISOs brasileiros, a adoção de IA deve ser feita com cautela, priorizando a integração e a transparência nos processos de segurança.

A plataforma de cibercrime ATHR está revolucionando os ataques de phishing e vishing ao permitir a coleta automatizada de credenciais através de chamadas telefônicas. Oferecida em fóruns underground por US$ 4.000 e uma comissão de 10% sobre os lucros, a ATHR é capaz de roubar dados de login de serviços populares como Google, Microsoft e Coinbase. A operação é totalmente automatizada, abrangendo desde a atração de vítimas por e-mail até a engenharia social via voz, utilizando agentes de IA. Os ataques começam com um e-mail que simula um alerta de segurança, levando a vítima a ligar para um número que conecta a um agente de voz que simula um suporte técnico. Este agente é programado para extrair um código de verificação de seis dígitos, permitindo o acesso à conta da vítima. A plataforma também oferece um painel de controle que permite aos operadores gerenciar ataques em tempo real, reduzindo a necessidade de uma equipe técnica grande. Com a ascensão de plataformas como a ATHR, espera-se que ataques de vishing se tornem mais frequentes e difíceis de identificar, exigindo novas abordagens de defesa, como a modelagem do comportamento de comunicação normal dentro das organizações.

O Google anunciou que está intensificando o uso de seus modelos de IA Gemini para detectar e bloquear anúncios prejudiciais em suas plataformas de publicidade. Em 2025, a empresa removeu 8,3 bilhões de anúncios e suspendeu 24,9 milhões de contas de anunciantes, incluindo 602 milhões de anúncios relacionados a fraudes. O malvertising, que envolve anúncios que imitam marcas legítimas para disseminar malware ou realizar phishing, continua a ser um problema significativo. Os cibercriminosos estão utilizando IA generativa para criar anúncios enganosos em larga escala, o que torna a detecção mais desafiadora. O Google afirma que o Gemini permite a análise de bilhões de sinais, como comportamento do anunciante e histórico de contas, para identificar anúncios maliciosos. Nos EUA, 1,7 bilhão de anúncios foram removidos, e as principais violações de políticas foram abuso da rede de anúncios e má representação. A precisão aumentada dos modelos de IA reduziu em 80% as suspensões incorretas de anunciantes. O Google planeja expandir o uso do Gemini para mais formatos de anúncios, visando bloquear campanhas maliciosas no momento da submissão.

Hackers estão aproveitando uma vulnerabilidade crítica no notebook Python reativo Marimo para implantar uma nova variante do malware NKAbuse, hospedada na plataforma Hugging Face Spaces. As primeiras tentativas de exploração da falha de execução remota de código (CVE-2026-39987) começaram na semana passada, logo após a divulgação pública de detalhes técnicos. Pesquisadores da Sysdig monitoraram a atividade e identificaram uma campanha que começou em 12 de abril, utilizando a plataforma Hugging Face para demonstrar aplicações de inteligência artificial.

Uma nova campanha de engenharia social, identificada como REF6598, tem explorado o aplicativo de anotações Obsidian para distribuir um trojan de acesso remoto chamado PHANTOMPULSE, visando indivíduos nos setores financeiro e de criptomoedas. Os atacantes utilizam táticas elaboradas de engenharia social através de plataformas como LinkedIn e Telegram, apresentando-se como uma empresa de capital de risco. Após estabelecer contato, os alvos são direcionados a um grupo no Telegram, onde discutem tópicos relacionados a serviços financeiros e soluções de liquidez em criptomoedas. Os alvos são instruídos a usar o Obsidian para acessar um painel compartilhado, que na verdade é um cofre malicioso. Ao abrir o cofre, o usuário é solicitado a ativar a sincronização de plugins comunitários, o que permite a execução de código malicioso. O PHANTOMPULSE, uma backdoor gerada por inteligência artificial, utiliza a blockchain Ethereum para se conectar a servidores de comando e controle, permitindo acesso remoto completo ao sistema da vítima. Embora a campanha tenha sido detectada e bloqueada antes de causar danos, ela ilustra como os atacantes continuam a encontrar vetores de acesso criativos, explorando aplicativos confiáveis e técnicas de engenharia social.

Um incidente recente envolvendo um banco europeu revelou uma falha crítica de segurança relacionada ao uso de um pixel da Taboola. O pixel, que deveria ser inofensivo, redirecionou usuários logados para um endpoint de rastreamento da Temu sem o conhecimento do banco ou o consentimento dos usuários. Essa situação expõe uma falha comum em muitas pilhas de segurança, que avaliam apenas a origem declarada de um script, ignorando o destino final das requisições. Durante uma auditoria em fevereiro de 2026, foi identificado que o redirecionamento incluía um cabeçalho que permitia o envio de cookies, possibilitando que a Temu acessasse informações de sessões bancárias autenticadas. A falta de controles de segurança que registrassem essa violação e a ausência de transparência para os usuários levantam sérias preocupações sobre a conformidade com o GDPR. O artigo destaca a necessidade de que as equipes de segurança inspecionem o comportamento em tempo de execução, em vez de confiar apenas nas listas de fornecedores aprovados, para evitar que ameaças entrem por portas abertas.

A Cisco anunciou a correção de quatro vulnerabilidades críticas que afetam seus serviços de Identity Services e Webex, as quais podem permitir a execução de código arbitrário e a impersonificação de usuários. As falhas incluem a CVE-2026-20184, que envolve uma validação inadequada de certificados na integração do single sign-on (SSO) com o Control Hub do Webex, permitindo que atacantes remotos não autenticados se façam passar por qualquer usuário. Outras vulnerabilidades, como a CVE-2026-20147, permitem que atacantes autenticados com credenciais administrativas executem código remotamente ao enviar requisições HTTP manipuladas. As CVEs 2026-20180 e 2026-20186 também apresentam falhas de validação que podem permitir a execução de comandos arbitrários em sistemas afetados. A Cisco recomenda que os usuários atualizem suas versões para evitar possíveis explorações, embora não tenha conhecimento de ataques ativos relacionados a essas vulnerabilidades. Para a CVE-2026-20184, não é necessária ação do cliente, mas os usuários de SSO devem carregar um novo certificado SAML no Control Hub.

Em 2024, 68% das violações de segurança na nuvem foram atribuídas a contas de serviço comprometidas e chaves de API esquecidas, superando métodos tradicionais como phishing e senhas fracas. O artigo destaca que, para cada funcionário, existem de 40 a 50 credenciais automatizadas, como contas de serviço e tokens de API, que permanecem ativas mesmo após a saída de colaboradores ou o término de projetos. Essas identidades não humanas, frequentemente não monitoradas, representam uma porta aberta para atacantes, que podem explorar essas credenciais para movimentação lateral em ambientes corporativos. O tempo médio de permanência de intrusões é alarmante, ultrapassando 200 dias. O artigo sugere que as soluções tradicionais de gerenciamento de identidade (IAM) não são suficientes, pois focam em pessoas e ignoram máquinas. Um webinar é oferecido para ensinar como descobrir e eliminar essas ‘Identidades Fantasmas’, além de apresentar um checklist de limpeza de identidade. A proposta é fornecer um guia prático para que as equipes de segurança possam agir rapidamente e evitar que credenciais não gerenciadas comprometam dados sensíveis.

Nesta semana, o cenário de cibersegurança trouxe à tona uma série de incidentes significativos. O serviço de carteira de criptomoedas Zerion sofreu uma violação que resultou no roubo de cerca de $100 mil, atribuída a um ataque de engenharia social sofisticado por um ator de ameaças da Coreia do Norte. Além disso, a União Europeia anunciou um aplicativo de verificação de idade que promete respeitar a privacidade dos usuários, permitindo acesso anônimo a plataformas online. No campo das vulnerabilidades, um exploit de zero-day para o Microsoft Defender foi revelado, enquanto uma falha crítica de execução remota no Excel, com 17 anos, foi adicionada ao catálogo de vulnerabilidades exploradas pela CISA, exigindo ação imediata das agências governamentais. A Raspberry Pi também fez uma atualização importante ao desabilitar o sudo sem senha por padrão, visando aumentar a segurança do seu sistema operacional. Por fim, um aplicativo falso no Apple App Store conseguiu roubar $9,5 milhões em criptomoedas de usuários, levantando questões sobre a eficácia do processo de revisão da Apple. Esses eventos destacam a necessidade urgente de vigilância e atualização constante das medidas de segurança em um ambiente digital em rápida evolução.

A Microsoft está investigando um problema que impede a instalação da atualização de segurança KB5082063 em alguns sistemas Windows Server 2025. Usuários afetados relatam erros de instalação com o código 0x800F0983 ao tentar aplicar as atualizações cumulativas de abril de 2026. A empresa está monitorando dados diagnósticos e reconheceu que um número limitado de servidores pode enfrentar falhas de instalação. Além disso, a Microsoft alertou que alguns dispositivos podem iniciar no modo de recuperação do BitLocker após a aplicação da atualização, exigindo a inserção de uma chave. Essa situação, no entanto, deve impactar principalmente configurações geridas por equipes empresariais, não usuários domésticos. A Microsoft também abordou um bug que causava atualizações automáticas inesperadas para o Windows Server 2025 em sistemas que operam com Windows Server 2019 e 2022. Desde o início do ano, a empresa lançou várias atualizações de emergência para corrigir vulnerabilidades de segurança em ferramentas como o Routing and Remote Access Service (RRAS) e problemas de visibilidade de dispositivos Bluetooth.

Dois cidadãos norte-americanos, Kejia Wang e Zhenxing Wang, foram condenados a penas de prisão por facilitar a contratação de trabalhadores de tecnologia da informação (TI) da Coreia do Norte, que se passavam por residentes dos EUA. Entre 2021 e outubro de 2024, eles geraram mais de 5 milhões de dólares em receita ilícita para o governo da Coreia do Norte, causando danos financeiros estimados em 3 milhões de dólares a mais de 100 empresas, incluindo várias da lista Fortune 500. Os Wang criaram contas financeiras, sites falsos e empresas de fachada para disfarçar a verdadeira origem dos trabalhadores norte-coreanos, que usavam identidades roubadas de mais de 80 cidadãos americanos. Zhenxing Wang também hospedou laptops fornecidos por empresas em residências nos EUA, permitindo que os trabalhadores norte-coreanos acessassem redes corporativas sem levantar suspeitas. As ações dos réus foram consideradas uma ameaça à segurança nacional dos EUA. Além deles, nove outros indivíduos estão foragidos, e o Departamento de Estado dos EUA oferece uma recompensa de até 5 milhões de dólares por informações que ajudem a interromper atividades ilícitas que apoiam o programa de armas de destruição em massa da Coreia do Norte.

O grupo de extorsão ShinyHunters vazou dados de 13,5 milhões de contas de usuários da McGraw Hill, uma editora educacional global com receita anual de US$ 2,2 bilhões. O incidente ocorreu após uma violação no ambiente Salesforce da empresa, onde os atacantes exploraram uma configuração inadequada. A McGraw Hill confirmou a violação, mas assegurou que os dados internos e sistemas não foram afetados. O vazamento inclui informações pessoais, como nomes, endereços físicos, números de telefone e e-mails, que podem ser utilizados em ataques de phishing direcionados. O serviço de notificação de vazamentos Have I Been Pwned indicou que mais de 100GB de arquivos foram expostos, com dados de 13,5 milhões de contas. Além disso, o grupo ShinyHunters também está envolvido em vazamentos de dados de outras empresas, como a Rockstar Games. Este incidente destaca a vulnerabilidade de grandes organizações a ataques cibernéticos e a importância de uma configuração adequada de sistemas de segurança.

O Computer Emergencies Response Team da Ucrânia (CERT-UA) revelou uma nova campanha de malware que visa governos e instituições de saúde municipais, especialmente clínicas e hospitais de emergência. Essa atividade, observada entre março e abril de 2026, foi atribuída ao grupo de ameaças UAC-0247, cujas origens permanecem desconhecidas. O ataque começa com um e-mail que finge ser uma proposta de ajuda humanitária, levando os destinatários a clicar em um link que redireciona para um site legítimo comprometido ou um site falso criado com ferramentas de inteligência artificial. O objetivo é baixar e executar um arquivo de atalho do Windows (LNK), que, por sua vez, executa um aplicativo HTML remoto (HTA) que desvia a atenção da vítima enquanto busca um binário para injetar código malicioso em processos legítimos. Entre as ferramentas utilizadas estão o ChromElevator, que contorna proteções de criptografia de navegadores, e o AGINGFLY, um malware que permite controle remoto dos sistemas afetados. As investigações indicam que também houve tentativas de atingir as Forças de Defesa da Ucrânia. Para mitigar os riscos, recomenda-se restringir a execução de arquivos LNK, HTA e JS, além de utilitários legítimos como ‘mshta.exe’ e ‘powershell.exe’.

Uma vulnerabilidade crítica no Nginx UI, relacionada ao suporte ao Model Context Protocol (MCP), está sendo explorada ativamente, permitindo que atacantes assumam o controle total do servidor sem necessidade de autenticação. A falha, identificada como CVE-2026-33032, ocorre devido à falta de proteção no endpoint ‘/mcp_message’, que permite a execução de ações privilegiadas do MCP sem credenciais. Isso possibilita que um único pedido não autenticado altere o comportamento do servidor, incluindo a modificação e recarregamento de arquivos de configuração do Nginx.

Um novo golpe de phishing está atingindo usuários do iCloud, com e-mails fraudulentos que ameaçam a exclusão de dados armazenados na nuvem. Os e-mails, que se apresentam como alertas de armazenamento, afirmam que a conta do usuário foi bloqueada ou que o limite de armazenamento foi excedido, com prazos urgentes para a suposta resolução do problema. Muitas vezes, esses e-mails contêm erros gramaticais e endereços de remetentes suspeitos, o que pode ajudar os usuários a identificá-los como fraudes. Ao clicar em links contidos nesses e-mails, os usuários são redirecionados para páginas falsas que visam coletar informações pessoais e bancárias, aumentando o risco de roubo de identidade e transações não autorizadas. Especialistas recomendam que os usuários verifiquem o status de armazenamento diretamente nas configurações do dispositivo e evitem interagir com e-mails suspeitos. Além disso, é importante relatar esses e-mails para limitar sua disseminação e manter práticas de segurança atualizadas, como o uso de firewalls adequadamente configurados.

Uma ferramenta de adware digitalmente assinada foi identificada como responsável por desativar proteções antivírus em milhares de dispositivos, afetando setores críticos como educação, utilidades, governo e saúde. Pesquisadores da Huntress descobriram a campanha em 22 de março, quando executáveis assinados, considerados programas indesejados (PUPs), geraram alertas em ambientes gerenciados. A empresa Dragon Boss Solutions LLC, envolvida em atividades de monetização de busca, é a responsável pela distribuição de ferramentas que, embora rotuladas como navegadores, são detectadas como PUPs. Além de exibir anúncios, essas ferramentas possuem um mecanismo de atualização avançado que implanta um ‘killer’ de antivírus. O processo de atualização é silencioso e executa payloads com privilégios elevados, desativando produtos de segurança como Malwarebytes e Kaspersky. A Huntress registrou um domínio de atualização não registrado, permitindo que eles monitorassem conexões de milhares de dispositivos comprometidos. A operação já afetou 23.500 hosts em 124 países, incluindo instituições acadêmicas e redes de infraestrutura crítica. A Huntress alerta que, embora a ferramenta atualmente utilize um desativador de antivírus, mecanismos para implantar payloads mais perigosos estão em vigor, representando um risco significativo para a segurança cibernética.

Recentemente, mais de 30 plugins do pacote EssentialPlugin foram comprometidos com um código malicioso que permite acesso não autorizado a sites que os utilizam. O código backdoor foi inserido no ano passado, mas começou a ser distribuído por meio de atualizações apenas recentemente, gerando páginas de spam e redirecionamentos, conforme as instruções de um servidor de comando e controle (C2). O problema foi identificado por Austin Ginder, fundador da Anchor Hosting, após receber uma dica sobre um dos plugins. Investigações subsequentes revelaram que o backdoor estava presente em todos os plugins do pacote desde agosto de 2025, após a aquisição do projeto por um novo proprietário. O código malicioso, que se mantinha inativo até então, foi ativado e começou a se comunicar com uma infraestrutura externa para baixar um arquivo que injeta malware no arquivo de configuração do WordPress. A equipe do WordPress.org agiu rapidamente, desativando os plugins e forçando uma atualização para neutralizar a comunicação do backdoor. No entanto, alertaram que a ação não limpa o arquivo de configuração principal, que contém configurações críticas do site. Administradores de sites que utilizam produtos EssentialPlugin devem estar atentos, pois o malware pode estar oculto em outros arquivos além do identificado.

Uma nova família de malware chamada ‘AgingFly’ foi identificada em ataques direcionados a governos locais e hospitais na Ucrânia, com o objetivo de roubar dados de autenticação de navegadores baseados em Chromium e do WhatsApp. Os ataques foram detectados pelo CERT-UA, que atribuiu a responsabilidade a um grupo de ameaças cibernéticas conhecido como UAC-0247. O vetor de ataque começa com um e-mail que simula uma oferta de ajuda humanitária, levando a vítima a clicar em um link que redireciona para um site legítimo comprometido ou um site falso gerado por uma ferramenta de IA. Após o download de um arquivo comprimido, o malware é executado, utilizando técnicas como injeção de shellcode e comunicação com um servidor de comando e controle (C2) via WebSockets. O AgingFly se destaca por compilar comandos em tempo real a partir de código-fonte recebido, o que dificulta a detecção. O CERT-UA recomenda que usuários bloqueiem a execução de arquivos LNK, HTA e JS para interromper a cadeia de ataque. Este incidente representa um risco significativo, especialmente para organizações que utilizam tecnologias semelhantes às atacadas.