Em um cenário de eleições em 2026 no Brasil, golpistas estão utilizando mensagens fraudulentas para enganar cidadãos, simulando cobranças para regularização eleitoral. O Tribunal Superior Eleitoral (TSE) alertou sobre campanhas de phishing que se aproveitam da urgência do processo eleitoral. As mensagens, que chegam principalmente pelo WhatsApp, informam sobre supostas irregularidades no título de eleitor, exigindo um pagamento para regularização. Os criminosos se passam pelo TSE, utilizando uma linguagem alarmante e links fraudulentos que levam a armadilhas financeiras. O TSE reforça que não realiza cobranças por mensagens e que a regularização é um serviço gratuito, acessível apenas por canais oficiais. Para se proteger, os cidadãos devem evitar clicar em links desconhecidos e nunca fornecer dados pessoais ou financeiros. A consulta sobre a situação eleitoral deve ser feita exclusivamente através do site ou do aplicativo e-Título, garantindo assim a segurança das informações pessoais.

A OpenAI anunciou a descoberta de uma vulnerabilidade em seu fluxo de trabalho do GitHub Actions, que comprometeu diversos aplicativos para macOS, incluindo o ChatGPT Desktop e Codex. A falha permitiu que hackers explorassem um pacote malicioso chamado Axios, que corrompia os aplicativos da empresa. Apesar do incidente, a OpenAI garantiu que não houve exposição de dados de usuários nem danos aos seus sistemas internos. Como medida de precaução, a empresa está revogando e substituindo o certificado de segurança dos aplicativos afetados, que agora serão bloqueados pelas proteções do macOS. O incidente ocorreu em um contexto de crescente preocupação com ataques de supply chain, especialmente após um ataque atribuído a um grupo hacker norte-coreano. A OpenAI está implementando medidas adicionais para proteger seus processos de certificação de aplicativos, destacando a importância de segurança em fluxos de trabalho de desenvolvimento de software.

O infostealer Storm, que surgiu em redes de cibercrime em 2026, marca uma nova fase na evolução do roubo de credenciais. Por menos de mil dólares mensais, operadores podem acessar um software que coleta credenciais de navegadores, cookies de sessão e dados de carteiras de criptomoedas, enviando tudo para servidores controlados pelos atacantes. A mudança na abordagem se deve à introdução da App-Bound Encryption no Chrome, dificultando a decriptação local e levando os desenvolvedores a optar pela decriptação em servidores. O Storm é capaz de lidar com navegadores baseados em Chromium e Gecko, coletando dados essenciais para restaurar sessões comprometidas e acessar plataformas SaaS sem alertar sobre a violação. A coleta de dados inclui senhas salvas, cookies de sessão e informações de contas, permitindo que um único navegador comprometido forneça acesso a múltiplos serviços. O artigo destaca a automação do processo de restauração de sessões, que torna o ataque ainda mais eficiente. Com um modelo de assinatura acessível, o Storm representa uma ameaça significativa, especialmente para empresas que utilizam serviços amplamente adotados como Google e Microsoft 365.

A Adobe divulgou uma atualização de segurança emergencial para o Acrobat Reader, visando corrigir uma vulnerabilidade crítica identificada como CVE-2026-34621. Essa falha, que tem sido explorada em ataques de zero-day desde dezembro, permite que arquivos PDF maliciosos contornem as restrições de sandbox e invoquem APIs JavaScript privilegiadas, o que pode resultar na execução arbitrária de código. O exploit observado permite a leitura e o roubo de arquivos locais sem necessidade de interação do usuário, além de abusar de APIs como util.readFileIntoStream() e RSS.addFeed() para exfiltração de dados. A vulnerabilidade foi descoberta por Haifei Li, fundador do sistema de detecção de exploits EXPMON, após a análise de um PDF suspeito. A Adobe inicialmente classificou a falha como crítica, mas posteriormente reavaliou sua gravidade para 8.6, considerando que o vetor de ataque é local. A atualização está disponível para várias versões do Acrobat DC e Acrobat Reader DC, e a Adobe recomenda que os usuários atualizem seus aplicativos imediatamente. Não foram listadas alternativas ou mitigação, tornando a aplicação da atualização a única ação recomendada. Os usuários devem ser cautelosos ao abrir PDFs de fontes desconhecidas e preferir ambientes isolados para tal.

Recentemente, o modelo Mythos Preview da Anthropic foi restringido após descobrir e explorar vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores. Especialistas, como Wendi Whitmore da Palo Alto Networks, alertam que capacidades semelhantes podem se proliferar em breve. O relatório global de ameaças da CrowdStrike de 2026 revela que o tempo médio de exploração de crimes cibernéticos é de apenas 29 minutos, enquanto a Mandiant aponta que o tempo de transferência entre adversários caiu para 22 segundos.

O cenário de cibersegurança apresenta uma série de ameaças críticas, incluindo uma vulnerabilidade zero-day no Adobe Acrobat Reader, identificada como CVE-2026-34621, que permite a execução de código malicioso ao abrir PDFs manipulados. Essa falha, com um CVSS de 8.6, está sendo ativamente explorada desde dezembro de 2025, levando a Adobe a lançar atualizações de emergência. Além disso, um grupo de hackers ligado ao Irã tem atacado sistemas de controle industrial nos EUA, causando interrupções operacionais significativas. Outro ponto alarmante é o uso de modelos de IA, como o Mythos da Anthropic, que podem gerar exploits de forma autônoma, aumentando a capacidade de ataque de grupos maliciosos. A operação de desmantelamento do botnet APT28, que explorava vulnerabilidades em roteadores, também destaca a complexidade das ameaças atuais. Por fim, um ataque sofisticado de um grupo norte-coreano resultou no roubo de $285 milhões em ativos digitais, evidenciando a crescente habilidade de atores estatais em realizar operações de espionagem e roubo. Esses eventos ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

O FBI, em colaboração com a Polícia Nacional da Indonésia, desmantelou uma operação global de phishing que utilizava um kit chamado W3LL para roubar credenciais de contas de milhares de vítimas, resultando em tentativas de fraude que ultrapassam US$ 20 milhões. A operação levou à prisão do suposto desenvolvedor, identificado como G.L., e à apreensão de domínios-chave associados ao esquema. O kit W3LL permitia que criminosos criassem páginas de login falsas, enganando as vítimas para que entregassem suas credenciais. Vendido por cerca de US$ 500, o kit oferecia uma plataforma completa de cibercrime, incluindo ferramentas personalizadas de phishing e listas de e-mails. Desde 2017, o operador do W3LL Store, que atendia cerca de 500 cibercriminosos, facilitou a venda de mais de 25.000 contas comprometidas. O FBI destacou que a operação não apenas visava credenciais do Microsoft 365, mas também utilizava técnicas avançadas para contornar autenticações multifatoriais. Apesar do fechamento do W3LL Store em 2023, a operação continuou a operar por meio de plataformas de mensagens criptografadas, atingindo mais de 17.000 vítimas em um ano.

Recentemente, a OpenAI revelou que um fluxo de trabalho do GitHub Actions utilizado para assinar seus aplicativos macOS resultou no download da biblioteca maliciosa Axios, embora não tenha havido comprometimento de dados de usuários ou sistemas internos. O incidente ocorreu em 31 de março e foi atribuído a um grupo de hackers norte-coreano conhecido como UNC1069, que comprometeu a conta de um mantenedor do pacote npm para inserir versões contaminadas da biblioteca. Essas versões continham uma dependência maliciosa chamada ‘plain-crypto-js’, que implantava um backdoor cross-platform chamado WAVESHAPER.V2, afetando sistemas Windows, macOS e Linux.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, foi identificado em uma nova campanha de engenharia social que utiliza o Facebook como plataforma de ataque. Os cibercriminosos criaram contas falsas para se conectar com alvos, estabelecendo uma relação de confiança antes de mover a conversa para o Messenger. A estratégia inclui o uso de um software malicioso disfarçado de visualizador de PDF, alegando ser necessário para acessar documentos militares criptografados. O software comprometido é uma versão adulterada do Wondershare PDFelement, que, ao ser executado, ativa um código malicioso que permite o controle remoto do dispositivo da vítima. Além disso, a campanha utiliza uma infraestrutura legítima, mas comprometida, para comandos e controle, aproveitando um site de serviços imobiliários japonês. O malware, chamado RokRAT, é disfarçado como uma imagem JPG e permite que os atacantes capturem informações do sistema e realizem comandos remotamente, enquanto evita a detecção por programas de segurança. Essa abordagem sofisticada e evasiva destaca a evolução das táticas de ataque do APT37, que continua a adaptar suas estratégias de entrega e execução.

A Intel e a SambaNova Systems anunciaram uma nova arquitetura de hardware que combina GPUs, RDUs da SambaNova e processadores Intel Xeon 6, projetada para otimizar cargas de trabalho de inferência em larga escala. Este sistema distribui as tarefas entre os diferentes componentes: as GPUs são responsáveis pelas operações de pré-preenchimento, os RDUs geram tokens com alta taxa de transferência e baixa latência, enquanto os processadores Xeon 6 gerenciam a execução e a orquestração das tarefas. Segundo Rodrigo Liang, CEO da SambaNova, essa abordagem heterogênea é essencial para a produção de IA, pois nenhum tipo de chip é ideal para todas as etapas de um fluxo de trabalho. A arquitetura promete ser mais eficiente, com o Xeon 6 apresentando tempos de compilação mais rápidos e melhor desempenho em bancos de dados vetoriais em comparação com CPUs baseadas em Arm. O lançamento está previsto para o segundo semestre de 2026, visando empresas, provedores de nuvem e implementações soberanas, permitindo escalabilidade sem exigir novas construções em data centers existentes.

As novas regras da FCC (Comissão Federal de Comunicações dos EUA) visam aumentar a segurança das redes ao exigir que todos os novos roteadores não fabricados nos EUA obtenham uma autorização antes de serem vendidos. Essa medida surge em resposta a vulnerabilidades de segurança em roteadores estrangeiros, que têm sido alvo de ciberataques recentes. No entanto, 71% dos lares americanos utilizam roteadores fornecidos por provedores de internet (ISPs), que geralmente não atualizam o hardware a menos que seja estritamente necessário. Isso significa que muitos consumidores não têm a opção de adquirir roteadores mais seguros, pois dependem do equipamento fornecido pelos ISPs. A falta de uma cadeia de suprimentos para roteadores fabricados nos EUA complica ainda mais a situação, pois os ISPs não têm incentivos para substituir equipamentos antigos e vulneráveis. Além disso, a nova regra pode atrasar a adoção de tecnologias mais recentes, como Wi-Fi 6E e Wi-Fi 7, uma vez que os provedores enfrentam dificuldades para cumprir as novas exigências. Assim, a intenção da FCC de melhorar a segurança pode, paradoxalmente, resultar em um aumento do uso de roteadores obsoletos e inseguros.

Com o avanço das ferramentas de inteligência artificial, a identificação de deepfakes se tornou uma tarefa desafiadora. O artigo do Canaltech apresenta oito sinais que podem ajudar os usuários a reconhecer conteúdos manipulados. O primeiro passo é analisar o contexto da imagem ou vídeo, verificando a origem e a credibilidade da fonte. Em seguida, é importante observar movimentos humanos estranhos, sincronia facial e inconsistências na iluminação e textura da pele. O áudio também deve ser analisado, pois deepfakes frequentemente apresentam vozes artificiais e mecânicas. Além disso, recomenda-se realizar buscas reversas para confirmar a autenticidade do conteúdo. O artigo alerta que apelos emocionais, como urgência ou medo, são frequentemente utilizados em fraudes com deepfakes. Por fim, o uso de ferramentas de detecção pode ser útil, mas deve ser combinado com a análise humana. A conscientização sobre esses sinais é essencial para evitar enganos em um ambiente digital cada vez mais complexo.

Uma vulnerabilidade crítica foi descoberta na plataforma de notebooks reativos Marimo, permitindo a execução remota de código sem autenticação. A falha, identificada como CVE-2026-39987, afeta as versões 0.20.4 e anteriores e recebeu uma pontuação crítica de 9.3 de 10 pela GitHub. A exploração começou apenas 10 horas após a divulgação pública da falha, com atacantes utilizando informações do aviso do desenvolvedor para realizar operações de exfiltração de dados sensíveis. A vulnerabilidade se origina do endpoint WebSocket ‘/terminal/ws’, que expõe um terminal interativo sem as devidas verificações de autenticação, permitindo que qualquer cliente não autenticado se conecte e execute comandos. O Marimo é amplamente utilizado por cientistas de dados e desenvolvedores, com 20.000 estrelas no GitHub. Os desenvolvedores lançaram a versão 0.23.0 para corrigir a falha, recomendando que os usuários atualizem imediatamente e monitorem as conexões WebSocket. Caso a atualização não seja viável, a recomendação é bloquear o acesso ao endpoint vulnerável.

A Adobe lançou atualizações de emergência para corrigir uma falha crítica de segurança no Acrobat Reader, identificada como CVE-2026-34621, que está sendo ativamente explorada. Com uma pontuação CVSS de 8.6, a vulnerabilidade permite que atacantes executem código malicioso em instalações afetadas. Descrita como um caso de poluição de protótipo, a falha afeta versões do Acrobat DC e Acrobat Reader DC anteriores à 26.001.21411, além do Acrobat 2024. A Adobe confirmou que a vulnerabilidade está sendo explorada na prática, com evidências sugerindo que isso ocorre desde dezembro de 2025. A exploração se dá através da execução de código JavaScript malicioso ao abrir documentos PDF especialmente elaborados. A empresa ajustou a classificação do vetor de ataque de rede para local, indicando que a exploração pode ocorrer em sistemas já comprometidos. Os usuários são aconselhados a atualizar seus softwares imediatamente para evitar possíveis ataques.

Um grupo de hackers desconhecidos comprometeu o site da CPUID, conhecido por hospedar ferramentas de monitoramento de hardware como CPU-Z e HWMonitor, por menos de 24 horas. O ataque ocorreu entre 9 e 10 de abril de 2026, quando os links para download dos instaladores foram substituídos por URLs maliciosas. A CPUID confirmou a violação, que foi atribuída a uma falha em uma API secundária, permitindo que o site exibisse links maliciosos. O malware distribuído incluía um trojan de acesso remoto chamado STX RAT, que possui capacidades de roubo de informações e controle remoto. Os atacantes utilizaram uma técnica de side-loading de DLL, onde um executável legítimo foi combinado com uma DLL maliciosa chamada ‘CRYPTBASE.dll’. A Kaspersky identificou mais de 150 vítimas, principalmente indivíduos, mas também organizações em setores como varejo e telecomunicações, com a maioria das infecções ocorrendo no Brasil, Rússia e China. O uso de uma cadeia de infecção já conhecida pelos atacantes foi considerado um erro grave, facilitando a detecção do comprometimento.

O Pix, sistema de pagamento instantâneo implementado pelo Banco Central em 2020, trouxe agilidade nas transações financeiras, mas também aumentou a vulnerabilidade a fraudes digitais. O vazamento de chaves Pix pode ocorrer devido a violações de segurança em sistemas de empresas, expondo dados como nome, CPF, instituição bancária e informações da conta. Embora a exposição não signifique que a conta foi invadida, aumenta o risco de fraudes, como golpes de engenharia social e solicitações de devolução de valores indevidos. Para se proteger, é crucial agir rapidamente: acompanhar comunicações oficiais do banco, ignorar contatos não oficiais, revisar senhas e monitorar movimentações da conta. Além disso, recomenda-se o uso de chaves aleatórias, revisão de limites de transação e ativação de notificações para detectar atividades suspeitas. O artigo destaca a importância de estar atento a sinais de golpes, como urgência exagerada e pedidos de confirmação de dados, para evitar prejuízos financeiros.

Uma ação internacional de combate à fraude, liderada pela Agência Nacional do Crime do Reino Unido (NCA), revelou mais de 20.000 vítimas de fraudes com criptomoedas no Canadá, Reino Unido e Estados Unidos. A operação, chamada ‘Operação Atlantic’, ocorreu no mês passado e envolveu a NCA, o Serviço Secreto dos EUA, a Polícia Provincial de Ontário e a Comissão de Valores Mobiliários de Ontário, além de parceiros do setor privado. Durante a operação, foram congelados mais de 12 milhões de dólares em lucros criminosos provenientes de ataques de ‘phishing de aprovação’, onde golpistas enganam as vítimas para obter acesso às suas carteiras de criptomoedas. Também foram identificados mais de 45 milhões de dólares em criptomoedas roubadas relacionadas a esquemas de fraude em todo o mundo. A NCA destacou que a colaboração entre o setor público e privado foi fundamental para o sucesso da operação, que ajudou a proteger milhares de vítimas e interromper redes de fraude. Além disso, o FBI, em uma operação paralela chamada ‘Operação Level Up’, identificou mais de 8.000 vítimas de fraudes de investimento em criptomoedas, com perdas estimadas em mais de 511 milhões de dólares. O relatório de crimes na internet de 2025 do FBI revelou um aumento significativo nas queixas relacionadas a fraudes com criptomoedas, totalizando 61.559 reclamações e perdas de 7,228 bilhões de dólares em 2024.

Um novo relatório do Citizen Lab revela que o sistema de vigilância global Webloc, desenvolvido pela empresa israelense Cobwebs Technologies e agora vendido pela Penlink, está sendo utilizado por diversas agências de segurança, incluindo a polícia nacional de El Salvador e departamentos de polícia nos EUA. O Webloc permite o monitoramento de até 500 milhões de dispositivos móveis, coletando dados de localização, identificadores de dispositivos e informações pessoais através de aplicativos móveis e publicidade digital. A ferramenta é vendida como um complemento ao sistema de inteligência de mídia social Tangles e pode rastrear a localização e os movimentos de indivíduos por até três anos. A Penlink, que afirma seguir as leis de privacidade dos EUA, foi acusada de operar sem mandados, levantando preocupações sobre a legalidade e a ética do uso dessa tecnologia. O relatório também destaca a conexão da Cobwebs com o fornecedor de spyware Quadream, aumentando as preocupações sobre a privacidade e a segurança de dados em um contexto global. O uso de sistemas de vigilância desse tipo pode ter implicações significativas para a conformidade com a LGPD no Brasil, especialmente considerando a coleta de dados sem consentimento explícito.

A OpenAI anunciou a introdução de uma nova assinatura Pro para o ChatGPT, com custo de $100, alinhando-se ao modelo de preços da Anthropic. Anteriormente, a OpenAI oferecia três níveis de assinatura: Go a aproximadamente $8, Plus a $20 e uma opção mais cara a $200. A nova assinatura Pro visa atender profissionais que utilizam a inteligência artificial para trabalhos complexos e de alto risco, oferecendo limites de uso significativamente maiores em comparação ao plano Plus. A estrutura atual de preços da OpenAI agora inclui: Plus a $20 para uso leve, Pro a $100 para projetos reais com limites cinco vezes maiores que o Plus, e Pro a $200 para cargas de trabalho intensivas, com limites 20 vezes superiores. Todos os planos Pro oferecem acesso a recursos avançados, como pesquisa aprofundada, criação de imagens e upload de arquivos. Embora a OpenAI afirme que o plano Pro inclui acesso ilimitado ao GPT-5 e modelos legados, isso é condicionado às políticas típicas de ‘Termos de Uso’, que incluem restrições sobre compartilhamento de contas. Essa mudança reflete uma estratégia da OpenAI para atrair codificadores e empresas, semelhante à abordagem da Anthropic.

O Google anunciou que a criptografia de ponta a ponta (E2EE) para o Gmail agora está disponível em todos os dispositivos Android e iOS. Essa nova funcionalidade permite que usuários empresariais leiam e compõem e-mails de forma segura, sem a necessidade de ferramentas adicionais. A partir desta semana, mensagens criptografadas serão entregues como e-mails normais nas caixas de entrada dos destinatários que utilizam o aplicativo Gmail. Para aqueles que não possuem o aplicativo, é possível acessar as mensagens em um navegador, independentemente do dispositivo ou serviço de e-mail utilizado.

O grupo de cibercriminosos conhecido como Storm-2755 está realizando ataques direcionados a funcionários canadenses, roubando seus pagamentos salariais após sequestrar suas contas. Os atacantes utilizam páginas de login maliciosas do Microsoft 365 para roubar tokens de autenticação e cookies de sessão, redirecionando as vítimas para domínios que hospedam formulários falsos. Essa técnica permite que eles contornem a autenticação multifatorial (MFA) ao reproduzir tokens de sessão roubados, evitando a necessidade de reautenticação. Após acessar as contas, os criminosos criam regras de caixa de entrada para ocultar mensagens de recursos humanos relacionadas a depósitos diretos, dificultando a percepção das vítimas. Em seguida, enviam e-mails fraudulentos para a equipe de RH, solicitando a atualização das informações bancárias. Caso as táticas de engenharia social falhem, os atacantes acessam diretamente plataformas de software de RH, como o Workday, para alterar manualmente os dados de depósito. Para mitigar esses ataques, a Microsoft recomenda bloquear protocolos de autenticação legados e implementar MFA resistente a phishing. O FBI registrou mais de 24.000 queixas de fraudes relacionadas a compromissos de e-mail empresarial (BEC) no ano passado, resultando em perdas superiores a US$ 3 bilhões, evidenciando a gravidade dessa ameaça.

Recentemente, hackers conseguiram acessar a API do projeto CPUID, alterando os links de download no site oficial para direcionar usuários a executáveis maliciosos das populares ferramentas CPU-Z e HWMonitor. Essas utilidades, utilizadas por milhões para monitorar a saúde do hardware do computador, foram afetadas por um ataque que redirecionava downloads para uma versão trojanizada do HWiNFO, um software de diagnóstico de outro desenvolvedor. O arquivo malicioso, chamado HWiNFO_Monitor_Setup, apresenta um instalador russo, o que levanta suspeitas. Embora os arquivos originais ainda estivessem disponíveis através de URLs diretas, os links de distribuição estavam comprometidos. Pesquisadores confirmaram que o malware é sofisticado, utilizando técnicas avançadas para evitar detecções de antivírus e sistemas de resposta a incidentes. O CPUID informou que a violação ocorreu por cerca de seis horas entre 9 e 10 de abril, durante a ausência do desenvolvedor principal. Após a descoberta, a empresa corrigiu o problema e agora fornece versões limpas das ferramentas. Este incidente destaca a vulnerabilidade de softwares amplamente utilizados e a necessidade de vigilância constante na segurança cibernética.

Um novo estudo da Qualys revela que o modelo operacional de segurança cibernética está falhando em proteger as organizações. A análise de vulnerabilidades exploradas pela CISA nos últimos quatro anos mostra que 63% das vulnerabilidades críticas permanecem abertas após sete dias, um aumento em relação a 56%. Apesar de um esforço significativo das equipes de segurança, que fecharam 400 milhões de eventos de vulnerabilidade a mais anualmente, a velocidade de exploração das falhas está superando a de remediação. O estudo destaca que 88% das vulnerabilidades armadas foram corrigidas mais lentamente do que foram exploradas, com exemplos como o Spring4Shell, que foi explorado dois dias antes de sua divulgação, enquanto a média de remediação levou 266 dias. A pesquisa sugere que a verdadeira métrica de risco deve ser a exposição cumulativa, não apenas a contagem de CVEs. Para enfrentar essa nova realidade, as organizações precisam adotar operações de risco autônomas e fechadas, que integrem inteligência artificial para acelerar a resposta a ameaças. O artigo conclui que o tempo para exploração não voltará a números positivos e que o volume de vulnerabilidades continuará a crescer, exigindo uma reavaliação urgente das estratégias de defesa.

Hackers vinculados ao Irã têm como alvo redes de infraestrutura crítica dos EUA, focando em controladores lógicos programáveis (PLCs) da Rockwell Automation. Um aviso conjunto de agências federais dos EUA revelou que esses ataques, que começaram em março de 2026, resultaram em interrupções operacionais e perdas financeiras significativas. A atividade maliciosa inclui a extração de arquivos de projeto e manipulação de dados em displays HMI e SCADA. A empresa de cibersegurança Censys identificou que 74,6% dos mais de 5.200 sistemas de controle industrial expostos online são de origem americana, com 3.891 dispositivos vulneráveis. Para mitigar esses riscos, recomenda-se que os defensores de rede utilizem firewalls, desconectem os PLCs da Internet e implementem autenticação multifatorial. Essa campanha de ataques segue um padrão de ações semelhantes de grupos de hackers iranianos, que anteriormente comprometeram sistemas de tecnologia operacional nos EUA. A crescente escalada das campanhas de ataque está ligada a tensões geopolíticas entre o Irã, os EUA e Israel.

Uma vulnerabilidade de segurança crítica foi identificada no Marimo, um notebook Python de código aberto voltado para ciência de dados, e foi explorada em menos de 10 horas após sua divulgação pública. A falha, classificada como CVE-2026-39987 com um escore CVSS de 9.3, permite a execução remota de código sem autenticação em todas as versões do Marimo até a 0.20.4. A vulnerabilidade reside no endpoint WebSocket /terminal/ws, que não valida a autenticação, permitindo que atacantes obtenham um shell interativo completo e executem comandos do sistema. A Sysdig observou a primeira tentativa de exploração apenas 9 horas e 41 minutos após a divulgação, onde um ator desconhecido acessou um sistema honeypot e começou a explorar o sistema, buscando dados sensíveis como chaves SSH e o arquivo .env. A rapidez com que as falhas recém-divulgadas estão sendo exploradas indica que os atacantes monitoram atentamente as divulgações de vulnerabilidades, o que reduz o tempo disponível para que os defensores respondam. Isso ressalta que qualquer aplicação exposta à internet com uma vulnerabilidade crítica é um alvo, independentemente de sua popularidade.

Um novo relatório da LayerX destaca a crescente ameaça representada por extensões de navegador de inteligência artificial (IA) nas redes corporativas. Embora a segurança em IA tenha se concentrado em aplicações SaaS e APIs, as extensões de navegador, que não são monitoradas por controles tradicionais, representam um risco significativo. O estudo revela que 99% dos usuários corporativos utilizam pelo menos uma extensão, e mais de 25% têm mais de dez instaladas. As extensões de IA são 60% mais propensas a ter vulnerabilidades e têm acesso elevado a dados sensíveis, como cookies e scripts remotos. Além disso, muitas dessas extensões mudam suas permissões ao longo do tempo, criando um alvo móvel que as listas de permissões tradicionais não conseguem acompanhar. A falta de visibilidade e governança sobre essas ferramentas torna-as uma superfície de ataque emergente e crítica. O relatório recomenda que as equipes de segurança realizem auditorias contínuas das extensões utilizadas, apliquem controles de segurança direcionados e analisem o comportamento das extensões para mitigar riscos. Com a rápida adoção dessas ferramentas, é essencial que as organizações implementem políticas rigorosas para proteger seus dados e usuários.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que utiliza um dropper Zig para infectar ambientes de desenvolvimento integrados (IDEs) em máquinas de desenvolvedores. A técnica foi encontrada em uma extensão do Open VSX chamada ‘specstudio.code-wakatime-activity-tracker’, que se disfarça como uma ferramenta legítima, WakaTime, usada para monitorar o tempo de programação. A extensão, que já não está disponível para download, inclui um binário nativo compilado em Zig que, ao ser executado, busca IDEs compatíveis no sistema, como Microsoft Visual Studio Code e suas variantes.

Um incidente de segurança cibernética recente revelou que atacantes desconhecidos comprometeram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em sites WordPress e Joomla. A versão afetada, 3.5.1.35, foi lançada em 7 de abril de 2026 e, em um intervalo de aproximadamente seis horas, permitiu que uma versão maliciosa fosse instalada em mais de 800 mil sites. O malware incluía um backdoor que possibilitava a criação de contas de administrador ocultas e a execução remota de comandos no servidor. A empresa Nextend, responsável pelo plugin, agiu rapidamente para desativar seus servidores de atualização e remover a versão comprometida. Os usuários afetados foram aconselhados a atualizar para a versão 3.5.1.36 e realizar uma série de etapas de limpeza, incluindo a remoção de contas suspeitas e arquivos persistentes. Este incidente destaca a vulnerabilidade das cadeias de suprimento de software, onde um ataque pode ocorrer através de canais de atualização confiáveis, tornando as defesas tradicionais ineficazes.

O Google anunciou a disponibilidade geral das Credenciais de Sessão Vinculadas a Dispositivos (DBSC) para usuários do Windows no navegador Chrome, após meses de testes em beta aberto. Essa funcionalidade, que visa combater o roubo de sessões, é especialmente relevante em um cenário onde o roubo de cookies de sessão se tornou uma ameaça comum. Os cookies de sessão, que permitem acesso a contas online, podem ser furtados por malwares que coletam informações do sistema, como os da família Infostealer. Com o DBSC, a autenticação é criptograficamente ligada a um dispositivo específico, utilizando módulos de segurança de hardware, como o Trusted Platform Module (TPM) no Windows. Isso significa que, mesmo que um cookie seja roubado, ele se tornará rapidamente inútil para os atacantes, pois a chave privada necessária para a autenticação não pode ser extraída do dispositivo. O Google observou uma redução significativa no roubo de sessões desde a implementação dessa tecnologia. A expansão para macOS está prevista para lançamentos futuros, e a empresa planeja integrar o DBSC em uma gama mais ampla de dispositivos, reforçando a segurança em ambientes corporativos.

Um processo judicial movido por Malikie Innovations e Key Patent Innovations contra a Brother Industries destaca a ressurreição de patentes da BlackBerry, que alegam que impressoras e dispositivos multifuncionais da Brother utilizam tecnologias desenvolvidas originalmente para smartphones BlackBerry. As patentes em questão incluem métodos de codificação de dados, interfaces de toque e links sem fio seguros. O processo alega que a Brother infringiu essas patentes de forma intencional, o que pode resultar em penalidades financeiras significativas e até mesmo em uma liminar permanente que obrigaria a empresa a redesenhar seus produtos. Este caso é um alerta para toda a indústria de impressão, pois pode estabelecer precedentes para outras fabricantes, como HP e Canon, que também podem ser alvo de ações semelhantes. A BlackBerry, que já foi uma potência no mercado de smartphones, agora vê suas patentes se tornarem ativos valiosos nas mãos de entidades de afirmação de patentes, que geram receita por meio de licenciamento e litígios. O desfecho deste caso pode ter implicações significativas para a conformidade e a operação de empresas no setor de impressão, especialmente no Brasil, onde a tecnologia é amplamente utilizada.

Funcionários federais dos EUA conseguiram restaurar o acesso ao modelo de inteligência artificial Claude, da Anthropic, após um juiz federal da Califórnia bloquear a designação do governo Trump que considerava a empresa um risco à cadeia de suprimentos. A juíza Rita Lin emitiu uma liminar preliminar, permitindo que os trabalhadores do governo, incluindo aqueles do Departamento de Saúde e Serviços Humanos, voltassem a usar o serviço, que inclui histórico de conversas e dados anteriores. O conflito começou em 2026, quando a Anthropic se recusou a permitir que seu modelo fosse utilizado para desenvolver armas autônomas letais ou para vigilância em massa. Em resposta, a administração Trump designou a empresa como um risco à cadeia de suprimentos, uma ação considerada por muitos como uma retaliação inconstitucional. A juíza Lin criticou a administração, afirmando que a designação era uma violação da Primeira Emenda. Embora o acesso tenha sido restaurado, a batalha legal continua, com a Anthropic buscando uma suspensão de emergência da designação. O Departamento de Defesa apelou da decisão, mas não solicitou uma suspensão imediata da liminar, permitindo que ela entre em vigor.

O grupo de ransomware Anubis reivindicou um ataque cibernético contra a Signature Healthcare, resultando em sérias interrupções no Brockton Hospital, em Massachusetts. Em um comunicado de 6 de abril de 2026, a Signature Healthcare informou que um incidente de segurança cibernética levou o hospital a adotar procedimentos de emergência, incluindo a desvio de ambulâncias e o cancelamento de consultas de quimioterapia. Anubis alegou ter roubado 2 TB de dados sensíveis de pacientes e deu um prazo de sete dias para que a instituição pagasse um resgate, caso contrário, os dados seriam divulgados. Embora a Signature Healthcare não tenha confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware no setor de saúde, onde a proteção de dados é crucial. Até agora, em 2026, Anubis já reivindicou 27 ataques, com seis deles confirmados em organizações de saúde. Os ataques de ransomware podem comprometer a segurança e a privacidade dos pacientes, além de causar danos financeiros significativos às instituições afetadas.

A Google anunciou a implementação da proteção Device Bound Session Credentials (DBSC) na versão 146 do Chrome para Windows, com o objetivo de impedir que malwares que roubam informações, como os infostealers, capturem cookies de sessão. Essa nova funcionalidade, que será disponibilizada para usuários de macOS em uma versão futura ainda não anunciada, vincula criptograficamente a sessão do usuário ao hardware específico do dispositivo, utilizando chips de segurança como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. Com isso, as chaves públicas e privadas geradas pelo chip de segurança não podem ser exportadas, tornando os dados de sessão roubados inúteis para os atacantes. A Google destaca que, sem a chave privada correspondente, qualquer cookie de sessão exfiltrado expira rapidamente, reduzindo significativamente o risco de acesso não autorizado. A empresa também observou uma diminuição notável nos eventos de roubo de sessão durante um ano de testes com o protocolo DBSC, desenvolvido em parceria com a Microsoft e outras plataformas da web. Os desenvolvedores web podem implementar essa nova proteção em seus sistemas, garantindo maior segurança sem comprometer a compatibilidade com as interfaces existentes.

A ChipSoft, uma importante fornecedora de sistemas de Registro Eletrônico de Saúde (EHR) na Holanda, foi alvo de um ataque de ransomware que resultou na desativação de seu site e serviços digitais para pacientes e prestadores de saúde. O incidente foi confirmado por um memorando interno que alertou instituições de saúde sobre ‘possível acesso não autorizado’. A empresa recomendou que os operadores de centros de saúde desconectassem seus sistemas até que a situação fosse normalizada. O Z-CERT, equipe de resposta a emergências de cibersegurança na saúde, está colaborando com a ChipSoft e as instituições afetadas para avaliar o impacto e auxiliar na recuperação. Embora alguns sistemas voltados para pacientes estejam operando normalmente, relatos indicam que vários hospitais, como o Sint Jans Gasthuis e o Flevo Hospital, enfrentam interrupções. Ataques cibernéticos a provedores de TI na saúde podem ser extremamente prejudiciais, dado que essas empresas gerenciam grandes volumes de dados sensíveis. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem ter consequências graves para a privacidade e a continuidade dos serviços.

Um novo grupo de cibercriminosos está utilizando uma plataforma de phishing como serviço (PhaaS) chamada VENOM, que visa coletar credenciais de executivos de alto escalão, como CEOs e CFOs, em diversas indústrias. A operação, que está ativa desde novembro do ano passado, se destaca por sua abordagem direcionada e personalizada, utilizando e-mails que imitam notificações do Microsoft SharePoint. Esses e-mails são elaborados com detalhes que aumentam a credibilidade, incluindo códigos QR que redirecionam as vítimas para páginas de captura de credenciais.

Um novo malware baseado em Lua, chamado LucidRook, está sendo utilizado em campanhas de spear-phishing que visam organizações não governamentais e universidades em Taiwan. Pesquisadores da Cisco Talos atribuíram o malware a um grupo de ameaças conhecido internamente como UAT-10362, caracterizado como um adversário capaz com táticas operacionais maduras. O LucidRook foi observado em ataques em outubro de 2025, onde e-mails de phishing continham arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção: uma usando um arquivo de atalho LNK que entregou um dropper de malware chamado LucidPawn, e outra baseada em um executável falso de antivírus que se passava por um serviço da Trend Micro. O LucidPawn, por sua vez, descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, juntamente com uma DLL maliciosa para carregar o LucidRook. O malware é notável por seu design modular e ambiente de execução Lua, permitindo que os operadores atualizem funcionalidades sem modificar o núcleo do malware, além de dificultar a visibilidade forense. Durante a execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuários e aplicativos instalados, que são criptografadas e exfiltradas para a infraestrutura controlada pelos atacantes. A Cisco Talos conclui que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada, embora não tenham conseguido capturar o bytecode Lua descriptografável, o que limita o conhecimento sobre as ações pós-infecção.

Uma vulnerabilidade crítica foi descoberta e já corrigida no EngageLab SDK, um kit de desenvolvimento de software amplamente utilizado em aplicativos Android, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. Segundo a equipe de pesquisa de segurança da Microsoft Defender, essa falha permitia que aplicativos no mesmo dispositivo contornassem a sandbox de segurança do Android, obtendo acesso não autorizado a dados privados. O EngageLab SDK, que oferece um serviço de notificações push, foi integrado em muitos aplicativos do ecossistema de criptomoedas, totalizando mais de 30 milhões de instalações. A vulnerabilidade, identificada na versão 4.5.4 do SDK, é classificada como uma vulnerabilidade de redirecionamento de intent, onde um aplicativo malicioso poderia manipular intents para acessar dados sensíveis de outros aplicativos. Embora não haja evidências de exploração maliciosa, a Microsoft recomenda que os desenvolvedores atualizem para a versão mais recente do SDK para evitar riscos futuros. Este caso destaca como falhas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como o gerenciamento de ativos digitais.

O LinkedIn enfrenta duas ações judiciais coletivas na Califórnia, acusando a plataforma de coletar dados de usuários sem consentimento através da varredura de extensões de navegadores. Segundo um relatório da associação Fairlinked e.V., a rede social teria utilizado um arquivo JavaScript para escanear mais de 6 mil extensões no Chrome, coletando informações sensíveis como resolução de tela, fuso horário e configurações de idioma. O LinkedIn, por sua vez, refutou as alegações, classificando-as como exageradas e distorcidas, e afirmou que a verificação de extensões é uma prática para proteger a privacidade dos usuários e garantir a estabilidade do site. As ações judiciais exigem que a plataforma pague indenizações e interrompa a coleta de dados. Uma das ações foca na possível violação de leis de privacidade, enquanto a outra questiona a conduta da empresa em relação ao escaneamento silencioso. O caso levanta preocupações sobre a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Um estudo recente revelou que grupos e canais no Telegram estão sendo utilizados por homens para vender ferramentas de hacking e espionagem com o objetivo de assediar mulheres. Pesquisadores do grupo AI Forensics analisaram 2,8 milhões de mensagens em 16 grupos italianos e espanhóis, identificando a troca de aproximadamente 82 mil conteúdos ilegais, incluindo imagens e vídeos de mulheres, muitas vezes sem o seu consentimento. As publicações variam desde ataques a celebridades até assédios a mulheres comuns, como amigas e esposas. Além disso, a pesquisa destacou a prática de doxing, onde informações pessoais são coletadas e utilizadas para intimidar as vítimas. O Telegram, por sua vez, afirmou que remove milhões de conteúdos nocivos diariamente, embora a eficácia dessas ações esteja sob questionamento, especialmente em meio a investigações sobre seu fundador na França. A situação levanta preocupações sobre a segurança digital e a proteção da privacidade das mulheres, além de implicações legais significativas, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil.

Em março de 2026, a Rússia intensificou sua repressão ao uso de VPNs, com a Roskomnadzor emitindo 233 ordens de remoção de aplicativos do Google Play, especificamente direcionadas a ferramentas que contornam restrições de internet. Além disso, foram solicitadas a remoção de mais de 500 URLs dos resultados de busca do Google. Apesar da pressão, o Google tem resistido em grande parte a essas ordens, removendo apenas seis aplicativos até o momento, segundo Benjamin Ismail, diretor da GreatFire. Em contraste, a Apple removeu pelo menos 60 aplicativos de VPN de sua loja russa em 2024. A situação se agrava com o aumento da censura na internet na Rússia, onde apenas sites aprovados estão acessíveis em grandes cidades como Moscou e São Petersburgo. O governo russo, por meio do ministro de Desenvolvimento Digital, anunciou planos para reduzir o uso de VPNs, impondo novas multas e restrições. Enquanto isso, algumas VPNs resistentes à censura, como Amnezia VPN e Windscribe, continuam operando no país. A remoção do ZoogVPN, um aplicativo popular, foi considerada um falso positivo por seus desenvolvedores, mas destaca a crescente dificuldade de acesso à internet livre na Rússia.

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

O webinar “Do ruído ao sinal: O que os atores de ameaças estão mirando a seguir”, promovido pela BleepingComputer, abordará como equipes de segurança podem monitorar sinais de alerta precoce em comunidades underground e traduzi-los em defesas acionáveis. A apresentação, que contará com a participação de Tammy Harper, pesquisadora de inteligência de ameaças da RansomLook, examinará o uso de fóruns da dark web, canais do Telegram e marketplaces de corretores de acesso por parte de atores de ameaças para coordenar ataques e compartilhar vulnerabilidades. Esses sinais, embora frequentemente fragmentados e difíceis de interpretar, podem revelar intenções semanas antes de um ataque. A Flare Systems, uma empresa especializada em inteligência de ameaças, ajudará as organizações a detectar esses sinais iniciais, permitindo que as equipes de segurança adotem uma abordagem proativa em vez de reativa. Os participantes aprenderão a identificar sinais significativos na comunicação online, acompanhar as táticas dos adversários e transformar a inteligência em ações defensivas priorizadas. O evento é uma oportunidade valiosa para profissionais de segurança que desejam aprimorar suas estratégias de defesa.

Em fevereiro de 2026, a empresa de serviços financeiros Figure sofreu uma violação de dados que expôs cerca de 967.200 registros de e-mail. O incidente não envolveu exploração de vulnerabilidades, mas sim a exposição direta de dados, permitindo que adversários realizassem ataques como credential stuffing e phishing direcionado. Os atacantes podem usar os e-mails expostos para testar combinações de senhas em portais corporativos, resultando em uma taxa de sucesso de 2 a 3%, o que poderia significar até 29.000 credenciais válidas. Além disso, ferramentas de inteligência artificial permitem a criação rápida de campanhas de phishing personalizadas, aumentando a eficácia dos ataques. A análise destaca que a autenticação multifator (MFA) tradicional não é suficiente para interromper esses fluxos de ataque, pois os adversários podem usar técnicas como relay de phishing, onde as credenciais são capturadas em tempo real. O artigo enfatiza a necessidade de uma arquitetura de autenticação mais robusta, que inclua verificação biométrica e chaves privadas de hardware, para garantir que o usuário autorizado esteja presente no momento da autenticação. Com a crescente preocupação sobre a segurança de dados e a conformidade com a LGPD, as organizações precisam reavaliar suas estratégias de autenticação para proteger informações sensíveis.

Recentemente, hackers invadiram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em mais de 900 mil sites WordPress e Joomla, e distribuíram uma versão maliciosa que contém múltiplas portas dos fundos. O desenvolvedor do plugin confirmou que apenas a versão 3.5.1.35 está comprometida e recomenda que os usuários atualizem imediatamente para a versão 3.5.1.36 ou revertam para a versão 3.5.1.34 ou anterior. A atualização maliciosa não apenas instalou backdoors em várias localizações, mas também criou um usuário oculto com permissões de administrador e roubou dados sensíveis. A análise da empresa PatchStack revelou que o malware é um kit de ferramentas multi-camadas que permite a execução de comandos remotamente, sem autenticação, e inclui uma segunda porta dos fundos autenticada. Além disso, o malware cria um diretório ‘mu-plugins’ que carrega um plugin disfarçado, tornando-se invisível no painel do WordPress. O alerta se estende também para instalações Joomla, onde o código malicioso pode criar contas de administrador ocultas e roubar informações do site. Administradores são aconselhados a remover o plugin comprometido e seguir um guia de limpeza manual fornecido pelo desenvolvedor.

Uma campanha de hack-for-hire, supostamente ligada ao governo indiano, visou jornalistas, ativistas e oficiais do governo no Oriente Médio e Norte da África (MENA). Entre os alvos estavam os jornalistas egípcios Mostafa Al-A’sar e Ahmed Eltantawy, que sofreram ataques de spear-phishing em 2023 e 2024, tentando comprometer suas contas da Apple e Google. Os ataques incluíram mensagens fraudulentas que redirecionavam os alvos a páginas falsas para coletar credenciais e códigos de autenticação de dois fatores (2FA). Um jornalista libanês também foi alvo de uma campanha de phishing em 2025, que resultou na violação total de sua conta Apple. Embora os ataques não tenham conseguido comprometer as contas dos jornalistas egípcios, a evidência sugere que os atores de ameaça podem usar essas táticas para entregar malwares e exfiltrar dados sensíveis. A análise da Lookout atribui essas atividades a um grupo de espionagem conhecido como Bitter, que tem estado ativo desde 2022, levantando preocupações sobre a vigilância regional e a segurança de dados pessoais. A campanha destaca a crescente utilização de malware móvel como uma ferramenta de espionagem contra a sociedade civil.

Desde dezembro de 2025, atacantes têm explorado uma vulnerabilidade zero-day desconhecida no Adobe Reader, utilizando documentos PDF maliciosos. A descoberta, feita por Haifei Li da EXPMON, revela um exploit sofisticado que se apresenta como um arquivo chamado ‘Invoice540.pdf’, que foi inicialmente detectado na plataforma VirusTotal em novembro de 2025. Os documentos PDF contêm elementos de engenharia social, atraindo usuários a abri-los. Ao serem executados, eles acionam um JavaScript ofuscado que coleta dados sensíveis e pode receber cargas adicionais. Os pesquisadores observaram que os arquivos estão em russo e fazem referência a eventos atuais da indústria de petróleo e gás na Rússia. A vulnerabilidade permite a execução de APIs privilegiadas do Acrobat e já foi confirmada na versão mais recente do Adobe Reader. O exploit pode exfiltrar informações para um servidor remoto e executar código adicional, aumentando o risco de coleta de dados e execução remota de código. A situação exige atenção da comunidade de segurança, pois a exploração dessa vulnerabilidade pode levar a consequências graves.

O uso de ferramentas de inteligência artificial (IA) sem a aprovação formal das equipes de TI e segurança está se tornando uma prática comum nas organizações, resultando em um fenômeno conhecido como shadow AI. Embora essas ferramentas possam aumentar a produtividade, elas operam fora da visibilidade das equipes de segurança, criando novos riscos, como exposição não controlada de dados e superfícies de ataque ampliadas. Um estudo da Salesforce de 2024 revelou que 55% dos funcionários utilizam ferramentas de IA não aprovadas, o que pode levar ao compartilhamento inadvertido de dados sensíveis. Além disso, a integração de APIs de IA sem revisão de segurança pode expor dados internos e criar vetores de ataque que as equipes de segurança não conseguem monitorar. Para mitigar esses riscos, as organizações devem estabelecer políticas claras de uso de IA, oferecer alternativas aprovadas, melhorar a visibilidade do uso de IA e educar os funcionários sobre os riscos de segurança associados. A gestão eficaz do shadow AI pode proporcionar maior controle sobre o uso de IA, reduzir a exposição regulatória e facilitar a adoção segura de ferramentas de IA.

O cenário de cibersegurança continua a evoluir com novas ameaças e vulnerabilidades que merecem atenção. Um dos principais destaques é a variante do botnet Phorpiex, que utiliza um modelo híbrido de comunicação para garantir continuidade operacional, mesmo diante de desativação de servidores. Este malware tem como objetivos principais redirecionar transações de criptomoedas e disseminar spam de extorsão sexual, além de facilitar a implementação de ransomware.

Outra vulnerabilidade crítica identificada é a do Apache ActiveMQ Classic, que permitiu a execução remota de código (RCE) por 13 anos. Essa falha pode ser combinada com uma vulnerabilidade anterior para contornar autenticações, tornando-se uma ameaça significativa, especialmente em ambientes que utilizam credenciais padrão.

Um novo grupo de ameaças cibernéticas, denominado UAT-10362, foi identificado em campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) e universidades em Taiwan. O grupo utiliza um malware sofisticado chamado LucidRook, que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL). A Cisco Talos, responsável pela descoberta, relatou que o ataque foi iniciado em outubro de 2025, utilizando arquivos compactados RAR ou 7-Zip para entregar um dropper chamado LucidPawn. Este dropper, por sua vez, executa um arquivo de disfarce e inicia o LucidRook. Existem duas cadeias de infecção distintas: uma baseada em arquivos de atalho do Windows (LNK) e outra envolvendo um executável que se apresenta como um programa antivírus da Trend Micro. O LucidRook é projetado para coletar informações do sistema e exfiltrá-las para um servidor externo, além de receber e executar cargas úteis em bytecode Lua. O uso de técnicas de geofencing permite que o malware opere apenas em ambientes de língua chinesa tradicional, limitando sua execução a Taiwan. A complexidade e a modularidade do malware indicam que UAT-10362 é um ator de ameaças altamente capacitado, com um foco em operações furtivas e específicas para suas vítimas.

A Microsoft suspendeu contas de desenvolvedores responsáveis por importantes projetos open-source, como WireGuard e VeraCrypt, sem notificação prévia. Os desenvolvedores relataram que não receberam explicações sobre a suspensão e enfrentaram dificuldades para contatar o suporte da empresa. A suspensão ocorreu devido à falha na verificação obrigatória de contas do Programa de Hardware do Windows, que começou em outubro de 2025. Apesar de a Microsoft afirmar que notificou todos os parceiros, os desenvolvedores afetados contestam essa alegação, destacando a gravidade da situação, especialmente em relação à segurança dos usuários do Windows. A falta de comunicação clara e a impossibilidade de apelação agravam a situação, pois impede a publicação de atualizações críticas de segurança. Após a repercussão na mídia, a Microsoft se comprometeu a revisar suas práticas de comunicação, reconhecendo que algumas notificações podem ter sido perdidas. Este incidente levanta preocupações sobre a gestão de contas de desenvolvedores e a segurança de software amplamente utilizado.