O FBI, em colaboração com o Departamento de Justiça dos EUA e autoridades internacionais, desativou quatro botnets conhecidas como Aisuru, KimWolf, JackSkid e Mossad, que impactaram mais de 3 milhões de dispositivos domésticos com ataques de Negação de Serviço Distribuído (DDoS). Esses ataques, considerados sem precedentes, conseguiram transferir até 30 terabits de dados por segundo, o que poderia paralisar a infraestrutura da internet. As botnets operavam sob um modelo de Crime como Serviço (CaaS), comercializando ferramentas ilegais para hackers, o que ampliou a escala dos ataques. A operação incluiu a apreensão de domínios e servidores, interrompendo a comunicação entre os hackers e os dispositivos infectados. Especialistas alertam que os danos financeiros decorrentes desses ataques podem ser significativos, especialmente na recuperação dos sistemas afetados.

O FBI e a Agência de Segurança Cibernética e de Infraestrutura (CISA) estão investigando uma nova campanha de phishing que utiliza os aplicativos de mensagens WhatsApp e Signal para roubar dados confidenciais. Os ataques são realizados por hackers associados aos serviços de inteligência da Rússia, que visam indivíduos considerados de alto valor, como funcionários do governo dos EUA, militares e jornalistas. A estratégia dos criminosos não envolve a exploração de vulnerabilidades nos aplicativos, mas sim o envio de mensagens fraudulentas que alertam sobre atividades suspeitas nas contas das vítimas. Essas mensagens criam uma falsa sensação de urgência, levando as pessoas a agirem impulsivamente e a fornecerem acesso às suas contas. Embora o foco esteja em alvos específicos nos Estados Unidos, o alerta é relevante para usuários comuns no Brasil, que devem estar atentos a mensagens de desconhecidos e links suspeitos. A situação destaca a importância da cautela ao usar aplicativos de mensagens, especialmente em um cenário onde a segurança digital é cada vez mais ameaçada.

Criminosos estão explorando a credibilidade do portal gov.br para disseminar malware que captura senhas e dados bancários. Segundo Rodolfo Almeida, cofundador da ViperX, o ataque se diferencia dos golpes tradicionais, pois induz a vítima a baixar um arquivo malicioso em vez de coletar dados por meio de formulários falsos. O golpe começa com um link enviado via SMS, WhatsApp ou e-mail, que redireciona para uma página idêntica ao gov.br, onde a vítima é instruída a baixar um arquivo. Uma vez executado, o malware, conhecido como ‘infostealer’, se camufla em aplicativos legítimos do Windows e opera em segundo plano, registrando digitações e capturando telas. A eficácia desse golpe está ligada à confiança que o público deposita nas instituições governamentais, aumentando a taxa de conversão do ataque. Para se proteger, Almeida recomenda verificar o endereço do link, desconfiar de downloads, ativar a autenticação em dois fatores e manter sistemas atualizados. Caso alguém suspeite de infecção, deve encerrar sessões abertas e notificar o banco imediatamente.

O grupo de ransomware PEAR reivindicou a responsabilidade por um ataque cibernético à Universidade de Monmouth, ocorrido no início deste mês. O presidente da universidade, Patrick Leahy, informou os alunos sobre o incidente, que resultou em acesso não autorizado a informações na rede da instituição. PEAR afirma ter roubado 16 TB de dados e publicou amostras de documentos supostamente extraídos da universidade em seu site de vazamento de dados. Embora a universidade tenha iniciado protocolos de resposta e notificado o FBI e o Departamento de Educação, não há confirmação sobre a veracidade das alegações do grupo, nem se a universidade pagou um resgate. O ataque destaca a crescente ameaça de ransomware no setor educacional dos EUA, com pelo menos seis ataques confirmados em instituições de ensino em 2026. O grupo PEAR, que se especializa em roubo de dados sem criptografá-los, já reivindicou 64 ataques, com 13 confirmados por entidades alvo. A universidade se comprometeu a investigar o incidente e a melhorar a segurança de seus sistemas para evitar futuros ataques.

Em 24 de março de 2026, o pacote LiteLLM foi alvo de um ataque à cadeia de suprimentos realizado pelo grupo TeamPCP. Duas versões maliciosas (1.82.7 e 1.82.8) foram publicadas no PyPi, executando automaticamente um payload para roubo de credenciais e permitindo a exfiltração de dados sensíveis, como tokens de API, dados em nuvem e chaves SSH. O LiteLLM, uma biblioteca Python de código aberto, é amplamente utilizada, com cerca de 97 milhões de downloads mensais, o que aumenta a gravidade do incidente. Estima-se que cerca de 500.000 credenciais já tenham sido comprometidas, e especialistas alertam que isso pode ser apenas o começo de um ataque maior. Ferramentas de segurança tradicionais falharam em detectar a exploração, e muitos desenvolvedores podem não estar cientes de que o LiteLLM é uma dependência em seus projetos. Em resposta, a Point Wild desenvolveu um scanner de IA chamado ‘who-touched-my-packages’ para detectar comportamentos maliciosos em pacotes de terceiros. O TeamPCP também é responsável por outros ataques recentes, incluindo a distribuição de malware via o scanner de vulnerabilidades Trivy e uma campanha que visa clusters Kubernetes. Os ataques à cadeia de suprimentos estão se tornando uma prioridade para hackers, pois permitem acesso a múltiplas organizações a partir de uma única fonte.

O grupo de ransomware Interlock adicionou a Goodwill Industries da Pensilvânia Central ao seu site de vazamento de dados após alegadamente roubar 80 GB de informações. O ataque, que ocorreu em março de 2026, gerou problemas técnicos em várias lojas, incluindo a interrupção de sistemas que forçaram clientes a pagar apenas em dinheiro. Funcionários relataram que o sistema foi hackeado, corroborando a situação com postagens nas redes sociais. A Goodwill Industries International afirmou não ter conhecimento de um ataque cibernético em seus sites, sugerindo que as informações sobre a Goodwill de Greater Grand Rapids deveriam ser verificadas diretamente com eles. O Interlock, que começou a registrar vítimas em outubro de 2024, já realizou 96 ataques, utilizando uma técnica de dupla extorsão, onde exige um resgate para descriptografar sistemas e também ameaça vender dados na dark web. Este incidente destaca a vulnerabilidade de organizações sem fins lucrativos e a crescente ameaça de ataques de ransomware nos Estados Unidos, que já contabilizam 41 ataques confirmados em 2026, afetando diversas instituições, incluindo escolas e organizações de saúde.

O kit de exploração Coruna representa uma evolução do framework utilizado na campanha de espionagem Operation Triangulation, que em 2023 visou iPhones através de exploits zero-click no iMessage. Este novo software foi ampliado para atacar hardware moderno, incluindo os chips A17 e M3 da Apple, e sistemas operacionais até iOS 17.2. O Coruna contém cinco cadeias completas de exploits para iOS, aproveitando 23 vulnerabilidades, incluindo CVE-2023-32434 e CVE-2023-38606, que também foram utilizadas na Operation Triangulation. A análise da Kaspersky revelou que o Coruna é uma versão atualizada do exploit original, com melhorias que permitem a exploração de novas arquiteturas de processadores. Os ataques iniciam no Safari, onde um stager coleta informações do dispositivo e seleciona exploits adequados. A Kaspersky alerta que, além de espionagem, o Coruna tem sido usado em campanhas motivadas financeiramente, visando roubo de criptomoedas. A Apple já lançou atualizações de segurança para mitigar essas vulnerabilidades, mas a ameaça permanece significativa, especialmente com a disponibilidade pública de outros kits de exploração como o DarkSword.

Os ataques de fraude modernos se assemelham a uma corrida de revezamento, onde diferentes ferramentas e atores gerenciam cada etapa do processo, desde o cadastro até o saque. A cadeia de ataque típica começa com a automação, onde bots e scripts criam um grande número de contas com esforço humano mínimo, utilizando e-mails comprometidos e credenciais vazadas para parecerem usuários legítimos. Proxies residenciais mascaram o tráfego, fazendo-o parecer de usuários normais. Após a criação das contas, os atacantes mudam para sessões manuais, utilizando táticas como phishing e malware para realizar transações de alto valor. A análise de um único sinal, como IP ou e-mail, pode levar a falsos positivos, pois usuários legítimos podem compartilhar a mesma infraestrutura que os atacantes. Para uma defesa eficaz, é essencial correlacionar sinais de IP, identidade, dispositivo e comportamento em um modelo de risco unificado. Essa abordagem permite identificar padrões de abuso coordenado e reduzir a fricção para usuários genuínos. O artigo destaca a importância de um modelo de múltiplos sinais para melhorar a precisão na detecção de fraudes, essencial para empresas que buscam proteger suas operações e receitas.

O WhatsApp está implementando diversas funcionalidades para melhorar a experiência do usuário, incluindo respostas automáticas baseadas em IA e retouching de fotos. A empresa Meta anunciou que os usuários poderão editar imagens antes de compartilhá-las, utilizando a tecnologia de IA da Meta. Além disso, a nova funcionalidade de ‘Ajuda para Escrita’ permite que os usuários redijam mensagens com base na conversa ativa, garantindo a privacidade através do ‘Processamento Privado’, que assegura que nem a Meta nem o WhatsApp leiam as mensagens. Outra novidade é a possibilidade de usar duas contas simultaneamente no iOS, já disponível no Android, e a transferência de histórico de chats entre dispositivos iOS e Android. Essas atualizações visam facilitar a migração de dados e a gestão de conversas. A Meta também introduziu contas gerenciadas por pais para pré-adolescentes e novas proteções contra fraudes, especialmente após alertas de agências de inteligência sobre ataques de phishing. A empresa lançou ainda uma funcionalidade de segurança para proteger usuários em risco, como jornalistas e figuras públicas, contra ameaças sofisticadas, incluindo spyware.

Recentemente, contas do TikTok for Business estão sendo alvo de uma campanha de phishing que dificulta a análise por bots de segurança. Os atacantes visam essas contas devido ao seu potencial para fraudes publicitárias e distribuição de conteúdo malicioso. A empresa Push Security relaciona essa campanha a uma anterior que afetou contas do Google Ad Manager. Os criminosos utilizam páginas de phishing hospedadas no Cloudflare, registradas em um domínio frequentemente associado a atividades cibernéticas ilícitas. Os usuários são atraídos por links que redirecionam para páginas falsas que imitam o TikTok e o Google Careers, solicitando informações básicas para validar o uso de e-mails corporativos. Após essa validação, uma página de login falsa captura credenciais e cookies de sessão, permitindo que os atacantes acessem contas, mesmo com a autenticação de dois fatores (2FA) ativada. É crucial que os usuários estejam atentos a convites e ofertas de emprego suspeitas e verifiquem sempre os domínios antes de inserir credenciais. A campanha destaca a vulnerabilidade das contas de negócios e a necessidade de medidas de segurança robustas.

O Escritório de Relações Exteriores, Comunidade e Desenvolvimento do Reino Unido (FCDO) impôs sanções ao Xinbi, um mercado online em língua chinesa que comercializa dados roubados e equipamentos de internet via satélite, supostamente utilizado por redes de fraude no Sudeste Asiático. O Xinbi, que opera via Telegram, é acusado de ajudar atores de ameaças da Coreia do Norte a lavar criptomoedas obtidas em grandes roubos. Entre 2021 e 2025, o mercado processou mais de $19,9 bilhões, facilitando desde negociações não licenciadas até a venda de bancos de dados pessoais roubados. As sanções também atingem o #8 Park, um grande centro de fraudes em Camboja, e a Legend Innovation Co, operadora do local. O FCDO busca isolar o Xinbi do ecossistema legítimo de criptomoedas, dificultando suas operações financeiras. O governo britânico enfatiza que não tolerará abusos de direitos humanos associados a esses centros de fraude, que frequentemente coagem trabalhadores a participar de esquemas criminosos globais, como fraudes de investimento em criptomoedas. As sanções são parte de uma ação mais ampla contra redes criminosas que exploram pessoas vulneráveis, com o Reino Unido liderando esforços internacionais para combater o financiamento ilícito.

Recentemente, a Kaspersky revelou que o kit de exploração Coruna, que afeta dispositivos Apple com iOS entre as versões 13.0 e 17.2.1, utiliza uma versão atualizada de um exploit previamente empregado na campanha de ciberespionagem Operation Triangulation, de 2023. O Coruna, inicialmente identificado por Google e iVerify, contém cinco cadeias completas de exploits para iOS e um total de 23 exploits, incluindo os CVEs 2023-32434 e 2023-38606. Esses exploits foram projetados para atacar vulnerabilidades do sistema operacional móvel da Apple, com um foco crescente em dispositivos mais recentes, como os processadores A17 e M3. O kit foi utilizado em ataques de watering hole na Ucrânia e em campanhas de exploração em massa através de sites falsos de jogos e criptomoedas. A Kaspersky alerta que, embora o Coruna tenha sido desenvolvido para fins de ciberespionagem, agora está sendo utilizado por cibercriminosos, colocando milhões de usuários em risco. O uso de exploits modulares e a facilidade de reutilização indicam que outros atores maliciosos podem adotar essa ferramenta em seus ataques.

Nesta semana, o boletim de segurança destaca uma série de ameaças cibernéticas e inovações tecnológicas. A Google anunciou um cronograma acelerado para a migração para a criptografia pós-quântica (PQC), visando proteger dados contra futuros ataques de computadores quânticos. A atualização inclui a integração do algoritmo de assinatura digital ML-DSA no Android 17, aumentando a segurança durante o processo de inicialização. Além disso, o GitHub introduziu detecções de segurança impulsionadas por IA para identificar vulnerabilidades em códigos, melhorando a cobertura de segurança em diversas linguagens e frameworks.

Pesquisadores de cibersegurança identificaram uma vulnerabilidade crítica na extensão do Google Chrome do assistente Claude, da Anthropic, que poderia ser explorada para injetar comandos maliciosos apenas ao visitar uma página da web. A falha, chamada ShadowPrompt, resulta de uma lista de permissões excessivamente permissiva e uma vulnerabilidade de cross-site scripting (XSS) em um componente CAPTCHA da Arkose Labs. Essa combinação permite que um atacante injete código JavaScript que simula um comando legítimo do usuário, possibilitando o roubo de dados sensíveis, acesso ao histórico de conversas e até ações em nome da vítima, como o envio de e-mails. Após a divulgação responsável da vulnerabilidade em dezembro de 2025, a Anthropic lançou uma correção que restringe as permissões da extensão, enquanto a Arkose Labs também corrigiu a falha de XSS. A crescente complexidade e capacidade dos assistentes de IA os tornam alvos valiosos para ataques, destacando a importância de uma segurança robusta nas extensões de navegador.

As VPNs (Redes Privadas Virtuais) são ferramentas essenciais para proteger a privacidade online, mas é crucial entender quais dados elas coletam para operar. Embora uma VPN precise de algumas informações para funcionar, como logs de conexão, que incluem o endereço IP original e os horários de início e término das sessões, a coleta excessiva de dados pode comprometer a privacidade do usuário. VPNs que se autodenominam ‘sem registros’ prometem não armazenar informações sobre as atividades online, mas muitas ainda mantêm dados mínimos para garantir a operação do serviço. É importante diferenciar entre VPNs ‘sem registros’ e ‘zero registros’, sendo que as últimas não mantêm nenhum tipo de log, nem mesmo dados não identificáveis. A coleta de logs de atividade, que pode incluir sites visitados e consultas DNS, é a maior preocupação em termos de privacidade, pois pode permitir a reconstrução das atividades do usuário. Além disso, VPNs gratuitas frequentemente coletam dados de forma excessiva, vendendo informações para terceiros. Para escolher uma VPN confiável, os usuários devem priorizar provedores com práticas transparentes e um histórico sólido de proteção à privacidade.

Pesquisadores de cibersegurança descobriram um novo skimmer de pagamento que utiliza canais de dados WebRTC para receber cargas maliciosas e exfiltrar dados, contornando controles de segurança tradicionais. Em um ataque recente, um site de e-commerce de um fabricante de automóveis foi comprometido devido à vulnerabilidade PolyShell, que afeta o Magento Open Source e o Adobe Commerce. Essa falha permite que atacantes não autenticados carreguem executáveis arbitrários via API REST, resultando em execução de código. Desde 19 de março de 2026, a PolyShell tem sido amplamente explorada, com mais de 50 endereços IP envolvidos na atividade de varredura, afetando 56,7% das lojas vulneráveis. O skimmer estabelece uma conexão peer-to-peer WebRTC com um endereço IP específico e injeta código JavaScript na página da web para roubar informações de pagamento. A utilização de WebRTC representa uma evolução significativa nos ataques de skimmer, pois contorna as diretrizes de Política de Segurança de Conteúdo (CSP), dificultando a detecção do tráfego malicioso. A Adobe lançou uma correção para a vulnerabilidade, mas ainda não está disponível nas versões de produção. Os proprietários de sites são aconselhados a bloquear o acesso a diretórios específicos e a escanear suas lojas em busca de shells web e outros malwares.

O GitHub está implementando uma nova funcionalidade de escaneamento baseada em inteligência artificial (IA) para sua ferramenta de Segurança de Código, visando ampliar a detecção de vulnerabilidades além da análise estática tradicional do CodeQL. Essa mudança busca identificar problemas de segurança em áreas que são desafiadoras para a análise estática convencional, abrangendo mais linguagens e frameworks, como Shell/Bash, Dockerfiles, Terraform e PHP. O modelo híbrido, que combina a análise semântica profunda do CodeQL com as detecções de IA, deve entrar em pré-visualização pública no início do segundo trimestre de 2026.

O GMKtec NucBox K13 é um mini PC que suporta dual boot entre Windows 11 Pro e Ubuntu, permitindo que os usuários alternem entre os sistemas operacionais sem complicações de particionamento. Equipado com um processador Intel Core Ultra 7 256V, que alcança até 4.8GHz, e uma GPU Intel Arc 140V, o dispositivo promete desempenho adequado para tarefas de IA e desenvolvimento. O NucBox K13 também inclui o OpenClaw, uma ferramenta de IA que facilita a implementação de modelos de inteligência artificial localmente, reduzindo o tempo de configuração de horas para minutos. No entanto, a Microsoft alerta contra o uso do OpenClaw em dispositivos comuns devido a vulnerabilidades conhecidas, o que levanta preocupações sobre a segurança do sistema. O dispositivo é voltado para desenvolvedores e criadores de conteúdo, mas sua capacidade de manter desempenho sob carga intensa de IA ainda não foi testada. O preço do NucBox K13 é de aproximadamente $719.99, com disponibilidade global. Apesar de suas especificações promissoras, a gestão de calor e a performance sob uso contínuo são questões que precisam ser avaliadas.

Um novo malware de roubo de informações, chamado Torg Grabber, está comprometendo dados sensíveis de 850 extensões de navegador, sendo mais de 700 delas voltadas para carteiras de criptomoedas. O acesso inicial é realizado através da técnica ClickFix, que sequestra a área de transferência e engana o usuário para executar um comando PowerShell malicioso. Pesquisadores da Gen Digital relatam que o Torg Grabber está em desenvolvimento ativo, com 334 amostras únicas compiladas em apenas três meses e novos servidores de comando e controle (C2) sendo registrados semanalmente. Além de carteiras de criptomoedas, o malware também rouba dados de 103 gerenciadores de senhas e ferramentas de autenticação de dois fatores. O Torg Grabber evoluiu rapidamente, abandonando métodos anteriores de exfiltração de dados em favor de uma conexão HTTPS, e implementou mecanismos de anti-análise e ofuscação para evitar detecções. O malware é capaz de roubar credenciais, cookies e dados de preenchimento automático, além de coletar informações de aplicativos populares como Discord, Telegram e Steam. A Gen Digital alerta que o Torg Grabber continua a se desenvolver, com uma base de operadores em expansão e um potencial impacto significativo na segurança de dados dos usuários.

Pesquisadores da Kaspersky identificaram uma nova técnica de phishing que utiliza a plataforma de criação de aplicativos sem código, Bubble, para gerar e hospedar aplicativos maliciosos. Esses aplicativos são hospedados em um domínio legítimo (*.bubble.io), o que dificulta a detecção por soluções de segurança de e-mail. Os criminosos cibernéticos redirecionam os usuários para páginas de phishing que imitam portais de login da Microsoft, frequentemente ocultas por verificações do Cloudflare. As credenciais inseridas nessas páginas falsas são capturadas pelos atacantes, que podem acessar dados sensíveis de contas do Microsoft 365. A plataforma Bubble, que permite a criação de aplicativos por meio de uma interface intuitiva, gera códigos complexos que não são facilmente analisados por ferramentas automatizadas de segurança. Os pesquisadores alertam que essa técnica pode ser adotada por plataformas de phishing como serviço (PhaaS), aumentando a furtividade dos ataques. A Kaspersky entrou em contato com a Bubble para discutir as descobertas, mas não obteve resposta até o momento da publicação.

Recentemente, a vulnerabilidade PolyShell, presente nas versões 2 do Magento Open Source e Adobe Commerce, começou a ser explorada em massa, afetando mais de 56% das lojas vulneráveis. A empresa de segurança Sansec relatou que os ataques começaram em 19 de março, apenas dois dias após a divulgação pública do problema. A falha está relacionada à API REST do Magento, que permite o upload de arquivos, possibilitando a execução remota de código e a tomada de controle de contas através de cross-site scripting (XSS) armazenado, dependendo da configuração do servidor web.

As autoridades russas prenderam o suposto administrador do fórum de cibercrime LeakBase, que operava desde 2021, permitindo a troca de bancos de dados pessoais roubados. O detido, residente de Taganrog, teve equipamentos técnicos e outros itens confiscados em sua residência. O LeakBase abrigava centenas de milhões de contas de usuários, informações bancárias, nomes de usuários e senhas, além de documentos corporativos obtidos por meio de hacking. Com mais de 147 mil usuários registrados, o fórum era um dos maiores centros de comércio de dados roubados e ferramentas de cibercrime do mundo, segundo o Departamento de Justiça dos EUA. A operação de desmantelamento do LeakBase ocorreu no início de março de 2026, e a plataforma foi substituída por um banner de apreensão, informando que todo o conteúdo foi preservado para fins de evidência. O administrador, conhecido por vários apelidos online, foi vinculado a um indivíduo de 33 anos, e a investigação continua em andamento.

O phishing por voz, conhecido como vishing, está se tornando uma tática cada vez mais comum entre os criminosos digitais. De acordo com o relatório M-Trends da Mandiant, subsidiária de cibersegurança do Google, o vishing foi responsável por 11% dos ataques digitais em 2025, tornando-se o segundo método mais utilizado para obter acesso ilegal a sistemas. Em contraste, os golpes por e-mail, que tradicionalmente dominaram o cenário de phishing, caíram para apenas 6% dos casos.

Um novo malware chamado ‘DarkSword’ foi identificado, afetando iPhones com versões antigas do iOS, especificamente entre 18.4 e 18.7. O software malicioso é instalado remotamente através de um link em um site comprometido, permitindo que hackers coletem dados sensíveis dos usuários. A descoberta do malware ocorreu após o vazamento de seu código-fonte no GitHub, o que gerou preocupações entre especialistas em segurança. Embora os dispositivos com iOS 26 estejam protegidos, há indícios de que o desenvolvedor do malware esteja tentando criar uma versão que ataque também as versões mais recentes do sistema operacional da Apple. A Apple já recomendou que os usuários atualizem seus dispositivos para a versão mais recente do iOS e lançou atualizações para iOS 15 e 16, visando proteger aparelhos mais antigos. A situação destaca a importância de manter os sistemas operacionais atualizados para evitar a exploração de vulnerabilidades.

Uma operação conjunta entre a Europol e a polícia alemã resultou na desativação de 373 mil sites criminosos na dark web, todos operados por um homem de 35 anos na China. A investigação, conhecida como ‘Operação Alice’, começou no início de março e envolveu agências de 23 países. Os sites ofereciam uma variedade de serviços ilegais, incluindo conteúdos de abuso sexual infantil e fraudes financeiras, coletando criptomoedas de usuários. Estima-se que o suspeito tenha lucrado mais de € 345 mil com aproximadamente 10 mil clientes. Para dificultar o rastreamento, o criminoso criou milhares de sites temporários. Durante a operação, mais de 100 servidores e dispositivos eletrônicos foram apreendidos, e cerca de 440 usuários da plataforma ilegal foram identificados, com mais de 100 casos ainda sob investigação. Essa ação é considerada uma das maiores operações de combate ao crime cibernético na história recente.

A TP-Link anunciou a correção de várias vulnerabilidades em sua série de roteadores Archer NX, incluindo uma falha de gravidade crítica, identificada como CVE-2025-15517. Essa vulnerabilidade permite que atacantes contornem a autenticação e façam upload de novos firmwares, afetando os modelos Archer NX200, NX210, NX500 e NX600. A falha se origina de uma verificação de autenticação ausente em certos endpoints CGI do servidor HTTP, permitindo acesso não autenticado a ações que deveriam ser restritas a usuários autenticados. Além disso, a TP-Link removeu uma chave criptográfica hardcoded (CVE-2025-15605) que permitia a atacantes autenticados descriptografar e modificar arquivos de configuração. Outras duas vulnerabilidades de injeção de comando (CVE-2025-15518 e CVE-2025-15519) também foram corrigidas, permitindo que administradores executassem comandos arbitrários. A empresa recomenda fortemente que os usuários atualizem para a versão mais recente do firmware para evitar possíveis ataques. A CISA já havia classificado outras falhas da TP-Link como exploradas em ataques, destacando a necessidade de atenção contínua à segurança desses dispositivos.

A nova versão do Kali Linux, 2026.1, já está disponível para download e traz diversas novidades para profissionais de cibersegurança. Entre as principais atualizações, destacam-se a adição de 25 novos pacotes e a atualização de 183 outros, além da atualização do kernel para a versão 6.18. O Kali Team introduziu oito novas ferramentas, incluindo o AdaptixC2, um framework extensível para pós-exploração, e o Fluxion, uma ferramenta de auditoria de segurança e pesquisa em engenharia social.

Ferramentas de Inteligência Artificial (IA) estão se tornando parte integrante do cotidiano, sendo amplamente utilizadas em criação de conteúdo, desenvolvimento de software e fluxos de trabalho empresariais. No entanto, essa popularidade também atraiu a atenção de cibercriminosos, que estão explorando um mercado negro crescente para a venda de acessos a plataformas de IA. Pesquisas indicam que contas premium estão sendo revendidas em grupos do Telegram, com métodos de aquisição que incluem roubo de credenciais, criação em massa de contas e abuso de programas promocionais. O acesso a essas ferramentas permite que atores maliciosos automatizem fraudes, criem mensagens de phishing e realizem campanhas de engenharia social de forma mais eficiente. A análise sugere que a venda de contas de IA se tornou um produto valioso no mercado negro, com ofertas que prometem acesso ilimitado ou menos restrições. Para as organizações, isso representa um risco significativo, pois a exploração dessas ferramentas pode resultar em fraudes mais sofisticadas e personalizadas. A necessidade de monitoramento e proteção de contas de IA é mais urgente do que nunca, à medida que a dependência dessas tecnologias cresce.

A Citrix lançou patches para duas vulnerabilidades críticas que afetam seus dispositivos NetScaler ADC e soluções de acesso remoto seguro NetScaler Gateway. A primeira falha, identificada como CVE-2026-3055, resulta de uma validação insuficiente de entrada, permitindo que atacantes remotos não privilegiados possam acessar informações sensíveis, como tokens de sessão, em dispositivos configurados como provedores de identidade SAML. A empresa recomenda que os clientes afetados atualizem suas versões imediatamente. A segunda vulnerabilidade, CVE-2026-4368, afeta dispositivos configurados como Gateways e pode permitir que atores maliciosos com privilégios baixos explorem uma condição de corrida, resultando em confusão de sessões de usuários. Ambas as falhas impactam as versões 13.1 e 14.1 do NetScaler ADC e Gateway. A Shadowserver, um grupo de vigilância de segurança na internet, está monitorando mais de 30.000 instâncias do NetScaler ADC expostas online, mas não há informações sobre quantas estão vulneráveis. Especialistas em cibersegurança alertam que a exploração dessas falhas é iminente, especialmente devido à similaridade com vulnerabilidades anteriores amplamente exploradas, como CitrixBleed.

Pesquisadores de cibersegurança alertam sobre uma campanha ativa de phishing por código de dispositivo que está atacando identidades do Microsoft 365 em mais de 340 organizações nos EUA, Canadá, Austrália, Nova Zelândia e Alemanha. Identificada pela Huntress em 19 de fevereiro de 2026, a campanha utiliza redirecionamentos do Cloudflare Workers e uma infraestrutura hospedada na Railway, transformando-a em um motor de coleta de credenciais. Os setores mais afetados incluem construção, serviços financeiros, saúde e governo. A técnica de phishing por código de dispositivo explora o fluxo de autorização OAuth, permitindo que os atacantes obtenham tokens de acesso persistentes, mesmo após a redefinição de senhas. O ataque começa com um e-mail de phishing que leva a uma página de login legítima da Microsoft, onde a vítima insere seu código de dispositivo e credenciais. A Huntress também atribui a campanha a uma nova plataforma de phishing como serviço chamada EvilTokens, que oferece ferramentas para enviar e-mails de phishing e contornar filtros de spam. A Palo Alto Networks também relatou uma campanha semelhante, destacando o uso de técnicas anti-análise para evitar detecções.

O Departamento de Justiça dos EUA anunciou a condenação de Ilya Angelov, um cidadão russo de 40 anos, a dois anos de prisão e uma multa de $100.000 por gerenciar uma botnet utilizada em ataques de ransomware contra empresas americanas. Angelov, que operava sob os pseudônimos ‘milan’ e ‘okart’, co-gerenciou o grupo cibercriminoso TA551 entre 2017 e 2021. O grupo foi responsável por construir uma rede de computadores comprometidos através da distribuição de arquivos maliciosos anexados a e-mails de spam. Os ataques visavam revender o acesso a esses computadores para outros grupos criminosos, resultando em extorsões que ultrapassaram $14 milhões. A colaboração de Angelov com outros grupos, como o BitPaymer e o IcedID, destaca a complexidade e a sofisticação das operações de ransomware. O caso ressalta a crescente ameaça de cibercrime, especialmente para empresas que podem ser alvos de tais ataques, e a necessidade de medidas de segurança robustas.

Em setembro de 2025, a Anthropic revelou que um ator de ameaça patrocinado por um estado utilizou um agente de codificação de IA para conduzir uma campanha de espionagem cibernética autônoma contra 30 alvos globais. O agente de IA executou de 80% a 90% das operações táticas de forma independente, realizando reconhecimento, escrevendo códigos de exploração e tentando movimentação lateral em alta velocidade. O artigo destaca uma preocupação ainda maior: a possibilidade de um atacante comprometer um agente de IA já presente no ambiente de uma organização, que possui acesso e permissões legítimas para se mover pelos sistemas. O modelo tradicional de cadeia de ataque cibernético, desenvolvido pela Lockheed Martin, presume que os atacantes precisam conquistar cada passo de acesso, mas os agentes de IA não seguem esse padrão. Uma vez comprometido, um agente de IA pode fornecer ao atacante um mapa completo do ambiente, acesso amplo e uma justificativa legítima para movimentar dados, tornando a detecção extremamente difícil. O artigo também menciona a crise do OpenClaw, onde 12% das habilidades em seu mercado público eram maliciosas, evidenciando o risco de agentes de IA comprometidos. Para mitigar esses riscos, a Reco oferece uma solução que descobre e mapeia agentes de IA, avaliando suas permissões e ajudando a identificar comportamentos anômalos.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que agora utiliza um framework de múltiplas etapas para roubo de dados e instalação de um trojan de acesso remoto (RAT). Este malware se disfarça como uma extensão offline do Google Docs e é capaz de registrar teclas, capturar cookies, tokens de sessão e tirar screenshots. A campanha se infiltra em sistemas através de pacotes maliciosos publicados em repositórios como npm e PyPI, e compromete contas de mantenedores de projetos para disseminar atualizações contaminadas.

Ilya Angelov, um cidadão russo de 40 anos, foi condenado a dois anos de prisão após confessar que gerenciou uma botnet de phishing utilizada em ataques de ransomware BitPaymer contra 72 empresas nos Estados Unidos. Angelov, que se apresentou nos EUA após a invasão da Ucrânia, era um dos líderes de uma operação criminosa russa conhecida como Mario Kart, que entre 2017 e 2021, enviou até 700 mil e-mails de spam por dia, infectando cerca de 3 mil computadores diariamente. A gangue não apenas distribuía malware, mas também vendia o acesso a dispositivos infectados para outros cibercriminosos, que realizavam extorsões em criptomoedas, resultando em mais de 14 milhões de dólares em pagamentos de resgate. Além disso, Angelov colaborou com outros grupos de ransomware, como o IcedID, e sua operação foi associada a diversas campanhas de phishing e ransomware, incluindo a parceria com a gangue TrickBot. Outro cidadão russo, Aleksey Volkov, também foi condenado a quase sete anos de prisão por atuar como intermediário em ataques de ransomware Yanluowang. O caso destaca a crescente ameaça de ransomware e phishing, que continua a impactar empresas globalmente.

A Comissão Federal de Comunicações dos EUA (FCC) anunciou a proibição da importação de novos roteadores de consumo fabricados no exterior, citando riscos inaceitáveis à segurança cibernética e nacional. O presidente da FCC, Brendan Carr, afirmou que a medida visa proteger os cidadãos americanos e as redes de comunicação do país. Os roteadores estrangeiros foram incluídos na ‘Covered List’, a menos que tenham recebido uma aprovação condicional do Departamento de Guerra ou do Departamento de Segurança Interna, que ateste a ausência de riscos. A decisão foi motivada por uma determinação de segurança nacional que destaca como esses dispositivos podem ser explorados por atores estatais e não estatais para realizar espionagem cibernética e comprometer a infraestrutura crítica dos EUA. A FCC também mencionou que roteadores comprometidos podem ser usados para ataques em larga escala, como ‘password spraying’ e acesso não autorizado a redes. Embora a nova política não afete roteadores já adquiridos, ela ressalta a vulnerabilidade dos dispositivos fabricados no exterior, especialmente em um contexto onde adversários como grupos patrocinados pelo Estado chinês têm utilizado botnets formadas por esses roteadores para atacar setores críticos. A FCC enfatiza que a segurança das redes americanas é uma prioridade e que as vulnerabilidades introduzidas por roteadores estrangeiros são inaceitáveis.

O grupo de hackers TeamPCP lançou um ataque à cadeia de suprimentos, comprometendo o popular pacote Python LiteLLM, que possui mais de 3,4 milhões de downloads diários. As versões maliciosas 1.82.7 e 1.82.8 foram publicadas no repositório PyPI, contendo um infostealer que coleta dados sensíveis de dispositivos. A pesquisa da Endor Labs revelou que o código malicioso é ativado quando o pacote é importado, permitindo a coleta de credenciais, chaves SSH, tokens de nuvem e segredos do Kubernetes. O ataque é semelhante a uma violação anterior do scanner de vulnerabilidades Trivy, também atribuída ao TeamPCP. A quantidade de dados exfiltrados é estimada em cerca de 500 mil, embora a confirmação independente desses números não tenha sido possível. As versões comprometidas foram removidas do PyPI, e a versão 1.82.6 é agora a mais recente e limpa. Organizações que utilizam o LiteLLM são aconselhadas a verificar instalações das versões afetadas e a rotacionar imediatamente todas as credenciais e segredos expostos.

A PTC Inc. emitiu um alerta sobre uma vulnerabilidade crítica identificada como CVE-2026-4681, que afeta suas soluções de gerenciamento de ciclo de vida de produtos, Windchill e FlexPLM. Essa falha pode permitir a execução remota de código através da desserialização de dados confiáveis. A gravidade do problema levou as autoridades alemãs, incluindo a polícia federal (BKA), a tomar medidas emergenciais, enviando agentes para notificar empresas afetadas sobre o risco cibernético. Embora não haja patches oficiais disponíveis no momento, a PTC está desenvolvendo correções para todas as versões suportadas. Enquanto isso, recomenda-se que os administradores de sistema apliquem regras de mitigação para negar acesso ao caminho servlet afetado. A empresa também publicou indicadores de comprometimento (IoCs) e alertou que há evidências de uma ameaça iminente de um grupo externo para explorar essa vulnerabilidade. A resposta rápida das autoridades sugere que a exploração dessa falha pode ter implicações significativas, especialmente em setores críticos como engenharia e manufatura.

A Crunchyroll, plataforma de streaming de animes, está investigando uma possível violação de segurança que pode ter exposto dados pessoais de aproximadamente 6,8 milhões de usuários. Segundo informações do Bleeping Computer, um hacker alegou ter roubado 100 GB de dados, incluindo endereços de e-mail, nomes de login, endereços IP, localização geográfica e informações de suporte ao cliente. A empresa declarou estar ciente das alegações e está colaborando com especialistas em segurança cibernética para apurar os fatos. A suspeita inicial é de que a invasão esteja relacionada a um fornecedor terceirizado que presta serviços de atendimento ao cliente. A Crunchyroll tomou conhecimento da violação através de uma conta no X (antigo Twitter), que recebeu uma notificação do hacker, incluindo uma captura de tela como prova do acesso aos sistemas. O ataque pode ter sido facilitado por um malware instalado por um funcionário da Telus, parceira de suporte da Crunchyroll. A investigação ainda está em andamento e mais detalhes não foram divulgados até o momento.

Um novo ataque de malvertising, focado na temporada de declaração de impostos nos Estados Unidos, está sendo utilizado por hackers para disseminar ransomware. Especialistas da Huntress alertam que, com a proximidade do prazo de 15 de abril, muitos usuários apressam-se em buscar formulários fiscais, o que os torna vulneráveis a sites falsos promovidos por anúncios do Google. Esses sites maliciosos instalam o ScreenConnect, uma ferramenta legítima de acesso remoto, que é utilizada para fins maliciosos. Antes de ativar essa ferramenta, os atacantes instalam um driver de kernel que desativa as proteções de segurança, como o Windows Defender. A campanha não se limita apenas a iscas relacionadas a impostos; também foram identificadas páginas falsas de atualização do Chrome, sugerindo um arsenal de engenharia social mais amplo. O ataque parece ser uma fase inicial de uma campanha mais complexa, onde os criminosos buscam estabelecer uma base e coletar credenciais, possivelmente preparando o terreno para a implementação de ransomware.

Um novo estudo da equipe Donjon da Ledger revelou uma vulnerabilidade crítica em smartphones Android que utilizam processadores MediaTek. Essa falha permite que hackers acessem dados sensíveis, como PINs e frases-semente de carteiras de criptomoedas, mesmo quando os dispositivos estão desligados. O ataque é realizado através de uma conexão USB, onde os invasores podem extrair chaves criptográficas antes que o sistema operacional seja carregado. Essa vulnerabilidade afeta cerca de um quarto dos smartphones Android no mundo, destacando a fragilidade da segurança em dispositivos móveis. O CTO da Ledger, Charles Guillemet, enfatizou que smartphones não foram projetados para serem cofres e que a atualização de segurança é crucial para mitigar esses riscos. A vulnerabilidade foi divulgada sob o processo padrão de 90 dias, e a MediaTek já começou a implementar patches para os fabricantes de dispositivos. Usuários são aconselhados a instalar atualizações de segurança imediatamente para proteger seus dados.

A Crunchyroll, plataforma de streaming de anime, confirmou ter sido alvo de um ciberataque que resultou no roubo de dados de aproximadamente 6,8 milhões de usuários. O ataque foi realizado por um grupo de hackers que acessou a conta Okta de um agente de suporte, que trabalhava para a Telus International, uma empresa de terceirização. Durante 24 horas, os hackers conseguiram extrair cerca de 8 milhões de tickets de suporte, que incluíam endereços de e-mail, nomes de usuários, endereços IP e informações geográficas. Embora os dados de pagamento não tenham sido diretamente comprometidos, informações sensíveis dos usuários foram expostas. A Crunchyroll está colaborando com especialistas em cibersegurança para investigar o incidente e monitorar a situação. O atacante exigiu um resgate de US$ 5 milhões para não divulgar os dados roubados, mas a empresa não respondeu à demanda. A investigação está em andamento, e a Crunchyroll acredita que o acesso aos sistemas foi limitado ao incidente com o fornecedor terceirizado.

A Mozilla lançou a versão 149 do Firefox, que inclui uma nova ferramenta de VPN embutida, oferecendo até 50 GB de tráfego mensal para usuários com conta Mozilla. Essa funcionalidade utiliza um servidor proxy seguro para redirecionar apenas o tráfego do navegador, ao contrário do Mozilla VPN comercial, que cobre todo o tráfego do sistema. A empresa destaca que essa ferramenta é útil para proteger a privacidade em redes Wi-Fi públicas, ao buscar informações sensíveis ou realizar compras online. Os usuários são notificados quando se aproximam do limite de dados e podem ativar a VPN em sites específicos para economizar tráfego. Além disso, o Firefox 149 introduz a função Split View, permitindo que os usuários visualizem várias abas lado a lado, e melhora a segurança ao bloquear notificações de sites considerados maliciosos. A atualização também corrige 46 vulnerabilidades de segurança, com mais da metade delas classificadas como de alta severidade, incluindo falhas críticas que podem comprometer a segurança do usuário. A nova funcionalidade de VPN será lançada progressivamente em regiões como EUA, Reino Unido, Alemanha e França, sem previsão de expansão para outras áreas no momento.

A Comissão Federal de Comunicações dos Estados Unidos (FCC) atualizou sua ‘Covered List’, incluindo todos os roteadores de consumo fabricados no exterior, o que proíbe a venda de novos modelos no país. Essa lista, criada pela Lei de Redes de Comunicações Seguras e Confiáveis de 2019, contém equipamentos e serviços que representam riscos inaceitáveis à segurança nacional. A decisão foi baseada em uma determinação de segurança nacional que identificou riscos na cadeia de suprimentos, podendo afetar a economia dos EUA e sua infraestrutura crítica. A FCC destacou que roteadores estrangeiros foram utilizados em ataques cibernéticos a infraestruturas vitais, como os perpetrados pelos hackers Volt, Flax e Salt Typhoon. Embora a nova regra não afete imediatamente os consumidores, que continuarão a usar roteadores existentes, a disponibilidade de novos modelos pode ser reduzida e os preços podem aumentar devido ao processo de aprovação regulatória. Exceções foram feitas para alguns roteadores utilizados pelo Departamento de Guerra e pelo Departamento de Segurança Interna, que não representam riscos de segurança. Fabricantes estrangeiros ainda podem buscar aprovação nos EUA, desde que divulguem informações sobre sua estrutura corporativa e cadeia de suprimentos.

Uma nova campanha de phishing está atacando ambientes corporativos francófonos, utilizando currículos falsos para implantar mineradores de criptomoedas e ferramentas de roubo de informações. Os pesquisadores da Securonix, Shikha Sangwan, Akshay Gaikwad e Aaron Beardslee, relataram que a campanha, chamada FAUX#ELEVATE, utiliza arquivos VBScript altamente ofuscados disfarçados como documentos de currículos, entregues por meio de e-mails de phishing. Ao serem executados, esses arquivos ativam um kit de ferramentas multifuncional que combina roubo de credenciais, exfiltração de dados e mineração de criptomoedas Monero. A campanha se destaca pelo uso de serviços legítimos, como Dropbox e sites WordPress, para hospedar e distribuir os payloads. O dropper inicial mostra uma mensagem de erro em francês, enganando os usuários e executando um código ofuscado que contorna mecanismos de defesa. Após obter privilégios administrativos, o malware desativa controles de segurança e realiza a exfiltração de dados através de contas de e-mail comprometidas. A rapidez da execução, que leva apenas 25 segundos do início ao fim da cadeia de infecção, e o foco em máquinas corporativas tornam essa ameaça particularmente perigosa para a segurança das empresas.

Uma campanha de malvertising em larga escala, ativa desde janeiro de 2026, está direcionada a indivíduos nos EUA que buscam documentos fiscais, utilizando anúncios fraudulentos para instalar o ConnectWise ScreenConnect. Essa instalação entrega uma ferramenta chamada HwAudKiller, que utiliza a técnica de ‘bring your own vulnerable driver’ (BYOVD) para desativar programas de segurança. A pesquisa da Huntress identificou mais de 60 sessões maliciosas do ScreenConnect ligadas a essa campanha. O ataque se destaca por empregar serviços de camuflagem comercial para evitar a detecção e por abusar de um driver de áudio da Huawei, que é legítimo e assinado, para desarmar soluções de segurança. Embora os objetivos exatos da campanha não sejam claros, há indícios de que o ator da ameaça busca implantar ransomware ou monetizar o acesso obtido. O ataque começa quando usuários clicam em resultados de busca patrocinados que os direcionam a sites falsos, onde o instalador do ScreenConnect é entregue. A complexidade da campanha, que combina ferramentas comerciais e técnicas sofisticadas, destaca a crescente acessibilidade de ataques cibernéticos avançados.

O grupo de ameaças TeamPCP comprometeu o pacote Python litellm, publicando versões maliciosas (1.82.7 e 1.82.8) que contêm um coletor de credenciais, um kit de ferramentas para movimentação lateral no Kubernetes e um backdoor persistente. As versões comprometidas foram removidas do PyPI após a descoberta por empresas de segurança como Endor Labs e JFrog. O ataque é descrito como uma operação em três etapas, começando com a coleta de chaves SSH, credenciais de nuvem e segredos do Kubernetes. O código malicioso é executado automaticamente quando o pacote é importado, e a versão 1.82.8 introduz um vetor mais agressivo que permite a execução em segundo plano. Os dados coletados são enviados para um domínio de comando e controle. A campanha do TeamPCP é uma escalada deliberada de ataques à cadeia de suprimentos, afetando várias ecossistemas, incluindo GitHub Actions e Docker Hub. Especialistas alertam que a situação pode se agravar, com o grupo se comprometendo a continuar suas atividades maliciosas. Usuários são aconselhados a auditar ambientes, isolar hosts afetados e reverter para versões limpas do pacote.

A Prefeitura Municipal de Caieiras, localizada no estado de São Paulo, pode ter sido alvo de um ataque cibernético que resultou no vazamento de mais de 300 mil registros sensíveis de cidadãos. De acordo com informações divulgadas, a violação de segurança comprometeu os sistemas internos da administração, que gerencia serviços essenciais da cidade. Os dados expostos incluem nomes completos, datas de nascimento, CPFs, RGs, endereços de e-mail, números de telefone, registros médicos, localização e imagens. O material coletado está sendo comercializado em fóruns da dark web, o que representa um risco significativo para os cidadãos afetados. Para se proteger, recomenda-se que os usuários verifiquem se seus dados foram comprometidos utilizando ferramentas como o site Have I Been Pwned, além de realizar uma higiene digital, trocando senhas e revisando configurações de e-mail. O incidente destaca a crescente preocupação com a segurança de dados pessoais e a necessidade de medidas preventivas eficazes.

A AstraZeneca, fabricante de vacinas contra a covid-19, pode ter sido alvo de um grave vazamento de dados, conforme reportado pelo Daily Dark Web. O grupo hacker LAPSUS$ assumiu a responsabilidade pelo ataque, que resultou no roubo de aproximadamente 3 GB de dados internos da empresa. Os criminosos divulgaram a invasão em um fórum clandestino, onde pretendem vender os dados roubados, marcando uma mudança em sua abordagem, que anteriormente se concentrava em extorsão pública.

Um grave vazamento de dados ocorreu na Pefisa S.A., uma instituição financeira do grupo Pernambucanas, expondo 28 mil chaves Pix de clientes. O incidente, que se deu entre agosto de 2025 e fevereiro de 2026, afetou informações cadastrais, incluindo nome, CPF, instituição financeira e dados da conta, mas não comprometeu dados sensíveis como senhas ou informações financeiras. O Banco Central (BC) alertou os clientes para que fiquem atentos a comunicações oficiais e desconsiderem tentativas de contato que solicitem informações pessoais. A Pefisa notificará os usuários afetados pelo aplicativo, enquanto o BC investiga o caso e implementa medidas para mitigar os danos. Apesar da gravidade do vazamento, a falta de acesso direto às contas dos clientes reduz o risco imediato, mas a situação ainda gera preocupação em relação à segurança dos dados pessoais.

Aleksey Olegovich Volkov, um cidadão russo de 26 anos, foi condenado a quase 7 anos de prisão após se declarar culpado por atuar como um corretor de acesso inicial (IAB) em ataques de ransomware da gangue Yanluowang. Entre julho de 2021 e novembro de 2022, ele invadiu pelo menos oito empresas nos Estados Unidos, vendendo o acesso a redes corporativas para a operação de ransomware, cujos afiliados exigiam resgates que variavam de US$ 300 mil a US$ 15 milhões. Volkov foi extraditado para os EUA após ser preso na Itália em janeiro de 2024. Durante a investigação, o FBI recuperou registros de conversas, dados roubados e credenciais de rede das vítimas, além de rastrear a identidade de Volkov por meio de dados do iCloud e registros de troca de criptomoedas. Ele admitiu que sua parte nos resgates coletados chegou a US$ 1,5 milhão e foi condenado a pagar mais de US$ 9 milhões em restituição às vítimas. O caso destaca a crescente ameaça de ransomware e a complexidade das operações criminosas que envolvem múltiplos atores e tecnologias.