O RPG gacha free-to-play Duet Night Abyss sofreu um ataque cibernético na última atualização, resultando na distribuição de um malware conhecido como Umbral Stealer. Este trojan é capaz de registrar teclas pressionadas, capturar imagens da webcam e roubar credenciais e criptomoedas dos jogadores. O incidente ocorreu no dia 18 de março de 2026, e a equipe do Pan Studio, responsável pelo jogo, agiu rapidamente para corrigir a vulnerabilidade, lançando uma atualização duas horas e meia após a infecção. O malware, que é uma versão antiga de 2023, foi automaticamente detectado e isolado por muitos antivírus. Como forma de compensação, a desenvolvedora ofereceu aos jogadores lootboxes, que incluem recompensas dentro do jogo. A equipe também se comprometeu a revisar a segurança do título e pediu paciência aos usuários enquanto implementam melhorias. Este incidente destaca a importância da segurança em jogos online, especialmente em plataformas populares como a Steam.

A Microsoft está lidando com um problema de serviço que tem impedido intermitentemente alguns usuários de acessar suas caixas de entrada do Exchange Online através dos aplicativos móveis do Outlook e do cliente de desktop para Mac desde quinta-feira. Após investigar o incidente, identificado como EX1256020, a empresa descobriu que a causa raiz foi uma nova conta virtual introduzida recentemente. No sábado, a Microsoft começou a reverter essa mudança como uma possível solução de longo prazo, após não conseguir resolver o problema reiniciando a infraestrutura afetada. A empresa confirmou que a alteração no serviço do Exchange Online, que visava introduzir uma nova conta virtual, resultou em impactos significativos. Embora a Microsoft não tenha especificado quais regiões ou quantos usuários foram afetados, classificou a interrupção como um incidente, o que geralmente se aplica a problemas críticos de serviço com impacto visível para os usuários. Este não é o primeiro incidente recente, já que uma semana antes, a Microsoft havia resolvido outra interrupção que impedia o acesso a caixas de entrada e calendários via Outlook na web e outros protocolos de conexão do Exchange Online.

A Varonis anunciou a disponibilidade do Varonis Atlas, uma plataforma de segurança de IA que abrange todo o ciclo de vida da segurança de IA, desde a descoberta até a proteção em tempo real e conformidade. Atlas se conecta a qualquer sistema de IA utilizado pelas organizações, como plataformas de IA hospedadas, modelos de linguagem personalizados e chatbots. A plataforma é construída sobre a Varonis Data Security Platform, oferecendo um contexto de dados que supera as ferramentas de segurança de IA isoladas.

A Microsoft emitiu um alerta sobre novas campanhas de phishing que estão explorando a temporada de impostos nos Estados Unidos para roubar credenciais e disseminar malware. Os ataques se disfarçam como notificações de reembolso, formulários de folha de pagamento e lembretes de declaração, visando tanto indivíduos quanto profissionais contábeis que lidam com dados financeiros sensíveis. As campanhas utilizam plataformas de Phishing-as-a-Service (PhaaS) para criar páginas falsas que imitam o login do Microsoft 365, além de empregar QR codes e links maliciosos. Uma campanha em larga escala afetou mais de 29.000 usuários em 10.000 organizações, com 95% dos alvos localizados nos EUA. Os e-mails fraudulentos, que se passavam pelo IRS, instruíam os destinatários a baixar um suposto ‘Visualizador de Transcrições do IRS’, levando a um site malicioso que instalava ferramentas de acesso remoto como ScreenConnect. Para se proteger, as organizações devem implementar autenticação de dois fatores (2FA), monitorar e escanear e-mails recebidos e bloquear acessos a domínios maliciosos.

O AWS Bedrock, plataforma da Amazon para desenvolvimento de aplicações com inteligência artificial, apresenta vulnerabilidades significativas que podem ser exploradas por atacantes. O artigo da XM Cyber detalha oito vetores de ataque que se aproveitam da conectividade do Bedrock com sistemas empresariais, como Salesforce e SharePoint. Esses vetores incluem ataques a logs de invocação de modelos, compromissos de bases de conhecimento, e manipulação de agentes autônomos. Por exemplo, um atacante pode redirecionar logs para um bucket controlado, permitindo a coleta silenciosa de dados sensíveis. Além disso, a degradação de guardrails, que são as defesas primárias do Bedrock, pode facilitar a manipulação do modelo, tornando-o vulnerável a conteúdos tóxicos e injeções de prompts maliciosos. A pesquisa destaca que a segurança do Bedrock depende da gestão rigorosa de permissões e da compreensão das integrações com dados empresariais. O artigo conclui que a proteção do Bedrock requer um mapeamento cuidadoso dos caminhos de ataque e controles rigorosos em toda a infraestrutura.

O cenário da cibersegurança continua alarmante, com sistemas considerados seguros sendo comprometidos de maneiras simples. Recentemente, o scanner de vulnerabilidades Trivy foi alvo de um ataque que injetou malware em suas versões oficiais, resultando na propagação de um worm autônomo chamado CanisterWorm. Além disso, uma operação do Departamento de Justiça dos EUA desmantelou botnets de IoT responsáveis por alguns dos maiores ataques DDoS, que afetaram dispositivos como câmeras IP e roteadores com credenciais fracas. Em outra frente, uma falha crítica no software Cisco FMC foi explorada por um ransomware, permitindo que atacantes executassem código malicioso remotamente. A velocidade com que as vulnerabilidades são exploradas está aumentando, como evidenciado por uma falha no Langflow que foi atacada apenas 20 horas após sua divulgação. O novo fluxo avançado de instalação de aplicativos no Android também foi introduzido para combater fraudes e malware, adicionando etapas de verificação. O artigo destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e atualizem suas defesas para mitigar esses riscos.

A NordVPN lançou uma oferta exclusiva para leitores da TechRadar, válida por uma semana, que promete aumentar a segurança dos dados durante o feriado de primavera. A promoção, que começa em 23 de março, oferece até US$ 50 em cartões-presente da Amazon e 4 meses adicionais de cobertura ao adquirir planos de 2 anos. A NordVPN é reconhecida como a melhor VPN do mercado, com um preço mensal a partir de apenas US$ 2,91, o mais baixo desde a Black Friday. Além disso, a empresa tem aprimorado sua experiência móvel, expandindo o recurso de Proteção de Chamadas na Europa e introduzindo um layout de aplicativo mais limpo. O plano NordVPN Plus é recomendado, pois inclui recursos como gerenciamento de senhas com o NordPass, proteção contra ameaças e alertas de vazamento de dados. A promoção termina às 23h59 do dia 28 de março, e é uma oportunidade para quem busca segurança online a um preço acessível.

A Microsoft lançou uma atualização de emergência para resolver um problema significativo que impede o login em contas Microsoft em diversos aplicativos, incluindo Teams e OneDrive. O erro surgiu após a instalação da atualização cumulativa KB5079473, liberada durante o Patch Tuesday deste mês, que gerou uma mensagem de erro informando que os dispositivos afetados não estão conectados à Internet, mesmo quando estão. Além do Teams e OneDrive, aplicativos como Microsoft Edge, Microsoft 365 Copilot e ferramentas do Office, como Excel e Word, também foram impactados. A Microsoft confirmou que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam o Entra ID para autenticação. Enquanto uma solução definitiva está sendo desenvolvida, a empresa sugeriu que os usuários reiniciassem seus PCs como uma medida temporária. Para corrigir o problema, a Microsoft começou a distribuir a atualização opcional KB5085516, que inclui correções para a falha e melhorias de segurança. Essa atualização é aplicável a dispositivos Windows 11 nas versões 25H2 e 24H2 e pode ser instalada via Windows Update ou Catálogo de Atualizações da Microsoft.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA corrigissem três vulnerabilidades do iOS, que estão sendo exploradas em ataques de roubo de criptomoedas e ciberespionagem, utilizando o kit de exploração DarkSword. Pesquisadores do Google e da iVerify identificaram uma cadeia de seis vulnerabilidades, incluindo CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520, que permitem a execução remota de código em iPhones não corrigidos. Embora a Apple já tenha lançado patches para essas falhas, dispositivos rodando iOS entre as versões 18.4 e 18.7 ainda estão vulneráveis. O DarkSword está associado a grupos de ameaças, como UNC6748 e UNC6353, que realizam ataques direcionados a usuários de iPhone em sites comprometidos. A CISA alertou que essas vulnerabilidades representam riscos significativos e recomendou que todas as organizações, incluindo as do setor privado, priorizem a segurança de seus dispositivos. O alerta destaca a necessidade de ações imediatas para mitigar os riscos associados a essas falhas.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

Uma grave vulnerabilidade de segurança, identificada como CVE-2025-32975, está sendo explorada por atores maliciosos em sistemas Quest KACE Systems Management Appliance (SMA) não atualizados. Com uma pontuação CVSS de 10.0, essa falha permite que atacantes contornem a autenticação e se façam passar por usuários legítimos, possibilitando a tomada de controle total de contas administrativas. A atividade maliciosa foi detectada pela Arctic Wolf, que observou tentativas de exploração a partir da semana de 9 de março de 2026, em ambientes de clientes expostos à internet. Os atacantes utilizam a vulnerabilidade para executar comandos remotos e implantar cargas úteis codificadas em Base64 a partir de um servidor externo. Além disso, foram identificadas modificações no Registro do Windows e a criação de contas administrativas adicionais. Para mitigar essa ameaça, é crucial que os administradores apliquem as atualizações mais recentes e evitem expor instâncias do SMA à internet. A falha foi corrigida em versões específicas do software lançadas em maio de 2025.

Pesquisadores de cibersegurança descobriram artefatos maliciosos distribuídos via Docker Hub após um ataque à cadeia de suprimentos do Trivy, um popular scanner de vulnerabilidades de código aberto mantido pela Aqua Security. As versões comprometidas 0.69.4, 0.69.5 e 0.69.6 foram removidas do repositório, sendo que a última versão limpa conhecida é a 0.69.3. O ataque permitiu que os invasores utilizassem credenciais comprometidas para inserir um ladrão de credenciais em versões trojanizadas do Trivy e em duas ações do GitHub relacionadas. Além disso, os atacantes conseguiram comprometer pacotes npm, distribuindo um worm autossustentável chamado CanisterWorm. O grupo responsável, identificado como TeamPCP, também defaceou repositórios internos da Aqua Security no GitHub, expondo-os publicamente. A análise forense sugere que um token de conta de serviço comprometido foi o vetor do ataque. A crescente sofisticação dos atacantes é evidenciada pela introdução de um novo malware que apaga clusters Kubernetes, especialmente em sistemas iranianos. Diante da gravidade do incidente, é crucial que as organizações revisem o uso do Trivy em seus pipelines de CI/CD e evitem as versões afetadas.

O Salt Typhoon é um grupo de hackers associado ao governo chinês, que ganhou notoriedade por suas invasões a infraestruturas críticas, incluindo uma recente violação da rede do FBI. Este grupo, que surgiu em 2020, se destaca por sua abordagem discreta e técnica, utilizando ataques indiretos através de roteadores de provedores de internet, o que dificulta a detecção por sistemas de segurança. Em 2024, o Salt Typhoon invadiu sistemas de telecomunicações como AT&T e Verizon, obtendo acesso a informações sensíveis sobre investigações governamentais. A violação do FBI permitiu que os hackers acessassem dados confidenciais, incluindo mandados da Lei de Vigilância de Inteligência Estrangeira (FISA), possibilitando a eles monitorar e até alterar informações sobre alvos de vigilância. Este incidente evidencia como a ciberespionagem pode impactar a segurança nacional e a integridade de informações estratégicas. A atuação do Salt Typhoon ressalta a necessidade de vigilância constante e de medidas de segurança robustas para proteger dados sensíveis em um mundo cada vez mais digital.

O VoidStealer é um novo infostealer que utiliza uma abordagem inovadora para contornar a Application-Bound Encryption (ABE) do Google Chrome, permitindo a extração da chave mestra necessária para decifrar dados sensíveis armazenados no navegador. Essa técnica, que se baseia em breakpoints de hardware, permite que o malware acesse diretamente a memória do navegador sem necessidade de elevação de privilégios ou injeção de código. O ABE foi introduzido na versão 127 do Chrome, em junho de 2024, como uma proteção para cookies e dados sensíveis, mas já foi burlado por diversas famílias de malware. O VoidStealer, que opera como uma plataforma de malware como serviço (MaaS) desde dezembro de 2025, é o primeiro a adotar essa técnica de bypass em um ambiente real. O ataque ocorre durante a inicialização do navegador, quando a chave mestra é temporariamente acessível em texto claro. Embora a técnica tenha sido inspirada em um projeto de código aberto, sua implementação no VoidStealer representa um avanço significativo na capacidade de roubo de dados. A situação é preocupante, pois o malware pode afetar uma ampla gama de usuários do Chrome, exigindo atenção redobrada das equipes de segurança.

O combate à pirataria na internet enfrenta desafios significativos, conforme evidenciado por casos como o de Anna’s Archive e plataformas de streaming como Stremio. A dificuldade em desmantelar sites piratas se deve à distinção entre domínios, servidores e acervos de dados. Quando um domínio é removido, os arquivos podem permanecer em servidores alternativos, permitindo que a pirataria se reinvente rapidamente. Os sites utilizam magnet links, que são textos simples que direcionam para torrents, facilitando a replicação de sua infraestrutura. Além disso, a hospedagem em servidores internacionais e na dark web complica a aplicação da lei, uma vez que as jurisdições variam e o rastreamento se torna mais difícil. A prisão de indivíduos envolvidos na pirataria nem sempre resulta em uma solução duradoura, pois muitos podem continuar a operar sob pseudônimos ou com código aberto. A demanda por conteúdo acessível e a alta dos preços de serviços legais perpetuam a pirataria, indicando que bloqueios pontuais não resolverão o problema. Para que a pirataria diminua, as empresas precisam abordar questões de acessibilidade e disponibilidade de seus serviços.

O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.

Os roteadores, muitas vezes negligenciados pelos usuários, são alvos preferenciais para hackers devido à sua posição central na rede doméstica. Ao comprometer um roteador, os cibercriminosos podem monitorar e manipular todo o tráfego de dados que passa por ele, sem a necessidade de invadir cada dispositivo individualmente. Um exemplo recente é o malware DKnife, que opera silenciosamente desde 2019, permitindo que hackers interceptem conexões e redirecionem usuários para sites falsos, como páginas de bancos, onde podem roubar credenciais. Além disso, o malware pode substituir downloads legítimos por versões infectadas, aumentando ainda mais o risco. A falta de proteção nos roteadores, que não possuem antivírus ou alertas visíveis, torna essa vulnerabilidade ainda mais crítica. Para proteger sua rede, é essencial que os usuários atualizem regularmente o firmware do roteador, alterem senhas padrão e utilizem firewalls adequados. A segurança da rede depende da proteção do elo mais fraco, que neste caso é o roteador.

Nos últimos meses, um novo golpe de phishing tem se espalhado, utilizando alertas do Microsoft Azure Monitor para enganar usuários. Esses alertas, que normalmente são usados para monitorar recursos e atividades na nuvem, estão sendo manipulados por criminosos para enviar e-mails fraudulentos que se passam por notificações de segurança da Microsoft. Os e-mails alertam sobre cobranças suspeitas na conta do usuário, incentivando-o a ligar para um número de telefone fornecido. Os golpistas utilizam o endereço de e-mail legítimo azure-noreply@microsoft.com, o que permite que suas mensagens passem por verificações de segurança como SPF, DKIM e DMARC, tornando-as ainda mais convincentes. Os alertas são configurados para serem disparados por condições facilmente acionáveis, como novos pedidos ou pagamentos, e são enviados a uma lista de contatos controlada pelos atacantes. Essa abordagem não só aumenta a credibilidade dos e-mails, mas também cria um senso de urgência, levando os usuários a agir rapidamente. É fundamental que os usuários tratem qualquer alerta do Azure ou da Microsoft que inclua um número de telefone ou solicitação urgente com cautela, pois isso pode levar a roubo de credenciais ou fraudes financeiras.

O Google anunciou uma nova funcionalidade chamada Advanced Flow, que permitirá a instalação de APKs de desenvolvedores não verificados de forma mais segura no Android. Programada para ser lançada em agosto, essa nova abordagem visa minimizar os riscos de infecções por malware e fraudes, que causaram perdas estimadas em US$ 442 bilhões no último ano, segundo a Global Anti-Scam Alliance (GASA). Para instalar aplicativos de desenvolvedores não verificados, os usuários precisarão passar por um processo único que inclui ativar o Modo Desenvolvedor, confirmar que não estão sendo orientados por agentes maliciosos, reiniciar o dispositivo e reautenticar. Após um dia, eles devem confirmar a legitimidade das modificações. O sistema foi projetado para dificultar táticas de golpe que exploram a urgência, evitando que os usuários instalem software malicioso sob pressão. O Google também está implementando um sistema de verificação de identidade para todos os desenvolvedores de aplicativos Android, que entrará em vigor em agosto de 2026. Essa medida é uma resposta à crescente sofisticação do malware e à necessidade de proteger os usuários em um ambiente digital cada vez mais arriscado.

A Oracle divulgou atualizações de segurança para corrigir uma falha crítica que afeta o Oracle Identity Manager e o Oracle Web Services Manager, permitindo a execução remota de código. A vulnerabilidade, identificada como CVE-2026-21992, possui uma pontuação CVSS de 9.8, indicando um risco elevado. Segundo a Oracle, a falha é explorável remotamente e sem necessidade de autenticação, o que a torna particularmente perigosa. As versões afetadas incluem o Oracle Identity Manager nas versões 12.2.1.4.0 e 14.1.2.1.0, e o Oracle Web Services Manager nas mesmas versões. A descrição da falha na base de dados de vulnerabilidades do NIST destaca que um atacante não autenticado com acesso à rede via HTTP pode comprometer os sistemas afetados. Embora a Oracle não tenha relatado exploração ativa da vulnerabilidade, recomenda a aplicação imediata das atualizações para garantir a proteção. Este alerta é especialmente relevante, considerando que, em novembro de 2025, uma falha semelhante no Oracle Identity Manager foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA, indicando um histórico de exploração ativa. Portanto, a atualização é crucial para a segurança das organizações que utilizam essas tecnologias.

Recentemente, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) e o FBI alertaram sobre campanhas de phishing conduzidas por atores associados aos serviços de inteligência da Rússia. Essas campanhas têm como alvo aplicativos de mensagens comerciais (CMAs) como WhatsApp e Signal, visando indivíduos de alto valor de inteligência, incluindo oficiais do governo dos EUA, militares, figuras políticas e jornalistas. Os ataques resultaram no comprometimento de milhares de contas, permitindo que os invasores visualizassem mensagens, listas de contatos e enviassem mensagens em nome das vítimas. Importante ressaltar que os ataques não exploram vulnerabilidades de segurança, mas sim utilizam engenharia social para enganar as vítimas a fornecerem códigos de verificação ou a clicarem em links maliciosos. A C4, centro de coordenação de crises cibernéticas da França, também emitiu um alerta sobre o aumento dessas campanhas. Para se proteger, os usuários devem evitar compartilhar códigos de verificação e ter cautela ao receber mensagens inesperadas. A Signal enfatizou que nunca solicitará códigos de verificação por mensagens diretas ou redes sociais, alertando que qualquer solicitação desse tipo é uma fraude.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu cinco vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), afetando produtos da Apple, Craft CMS e Laravel Livewire. As falhas, que variam em pontuação CVSS de 7.8 a 10.0, exigem que agências federais realizem correções até 3 de abril de 2026. Entre as vulnerabilidades, destaca-se a CVE-2025-32432, uma falha de injeção de código no Craft CMS, que está sendo explorada ativamente desde fevereiro de 2025, permitindo a execução remota de código por atacantes. Além disso, três vulnerabilidades no WebKit e no kernel da Apple podem resultar em corrupção de memória e comprometimento do sistema. Relatórios indicam que um kit de exploração chamado DarkSword está utilizando essas falhas para implantar malwares como GHOSTBLADE e GHOSTKNIFE. A CISA enfatiza a urgência na aplicação de patches, especialmente em um cenário onde grupos de hackers, como o MuddyWater, estão intensificando suas atividades de espionagem cibernética, visando setores críticos e diplomáticos. A situação é alarmante, pois a combinação de técnicas de engenharia social e ferramentas avançadas de malware representa uma ameaça significativa para a segurança cibernética.

Um ataque à cadeia de suprimentos visando o popular scanner Trivy resultou na infecção de diversos pacotes npm por um novo malware chamado CanisterWorm. Este worm se propaga automaticamente e utiliza um canister da Internet Computer blockchain como ponto de controle. O ataque foi atribuído ao grupo criminoso TeamPCP, que publicou versões maliciosas do Trivy contendo um ladrão de credenciais. A infecção ocorre através de um hook postinstall que executa um loader, instalando um backdoor em Python que se conecta ao canister para buscar novos payloads. O malware é projetado para ser resiliente, utilizando um serviço systemd que reinicia automaticamente o backdoor. Além disso, uma nova variante do CanisterWorm foi identificada, que se propaga sem intervenção manual, coletando tokens npm do ambiente do desenvolvedor. A situação é crítica, pois cada desenvolvedor que instala pacotes infectados pode se tornar um vetor de propagação, ampliando o alcance do ataque. Este incidente destaca a vulnerabilidade dos sistemas de gerenciamento de pacotes e a necessidade urgente de medidas de segurança mais robustas.

A Kingston apresentou o IronKey Locker+ 50 G2, um pen drive USB com criptografia de hardware XTS-AES de 256 bits, que atende aos padrões de conformidade FIPS 197, frequentemente exigidos em contratos governamentais e empresariais. Este dispositivo é projetado para proteger dados sensíveis, utilizando firmware digitalmente assinado para minimizar riscos de ataques do tipo BadUSB. O IronKey Locker+ 50 G2 oferece múltiplos modos de senha, permitindo combinações complexas e frases mais longas, o que facilita a memorização sem comprometer a segurança. Além disso, possui um teclado virtual para evitar a captura de teclas e um revestimento anti-impressão digital, focado na durabilidade física. Com capacidade que varia de 32 GB a 256 GB e velocidades de leitura de até 145 MB/s, o dispositivo é compatível com Windows 11 e macOS, sem necessidade de instalação de software adicional. A configuração é simples, embora a exigência de letras de unidade consecutivas possa limitar algumas configurações de sistema. O IronKey Locker+ 50 G2 é uma solução robusta para empresas e usuários que buscam segurança avançada para seus dados.

A Operação Alice, uma ação internacional de combate ao cibercrime, resultou no fechamento de mais de 373 mil sites na dark web que ofereciam pacotes fraudulentos de material de abuso sexual infantil (CSAM). A investigação, liderada pela Alemanha e apoiada pela Europol, começou em meados de 2021 e focou em uma plataforma chamada ‘Alice with Violence CP’, operada por um suspeito de 35 anos na China. Os sites enganavam os usuários ao mostrar prévias de pacotes de CSAM, cobrando entre 17 e 250 euros em Bitcoin, mas nunca entregando o material prometido. Aproximadamente 10 mil usuários foram enganados, resultando em um prejuízo de cerca de 400 mil dólares para os operadores. Embora os usuários não tenham recebido o material ilegal, suas tentativas de compra demonstram intenção criminosa, o que pode levar a processos em várias jurisdições. A infraestrutura da rede de fraudes incluía 287 servidores, dos quais 105 estavam na Alemanha, todos agora apreendidos. As autoridades alemãs emitiram um mandado de prisão internacional para o operador chinês. A Europol também destacou suas iniciativas de proteção infantil, como a plataforma Help4U e a campanha ‘Stop Child Abuse – Trace an Object’.

A Oracle lançou uma atualização de segurança fora do cronograma para corrigir uma vulnerabilidade crítica de execução remota de código não autenticada, identificada como CVE-2026-21992, que afeta o Oracle Identity Manager e o Oracle Web Services Manager. Essa falha, com uma pontuação de severidade CVSS v3.1 de 9.8, permite que atacantes explorem o sistema remotamente, sem necessidade de autenticação ou interação do usuário, aumentando o risco em servidores expostos. A Oracle recomenda fortemente que os clientes apliquem os patches imediatamente, especialmente aqueles que utilizam as versões 12.2.1.4.0 e 14.1.2.1.0 do Oracle Identity Manager e do Oracle Web Services Manager. A empresa não confirmou se a vulnerabilidade já foi explorada, mas enfatizou a importância de manter as versões ativas e aplicar todas as atualizações de segurança sem demora. A falha é considerada de baixa complexidade e pode ser explorada via HTTP, o que a torna ainda mais preocupante para as organizações que utilizam essas tecnologias. A Oracle também alertou os clientes para revisar o alerta de segurança para obter detalhes completos sobre os patches disponíveis.

O FBI emitiu um alerta público informando que atores de ameaças ligados à inteligência russa estão atacando usuários de aplicativos de mensagens criptografadas, como Signal e WhatsApp, por meio de campanhas de phishing que já comprometeram milhares de contas. Este é o primeiro reconhecimento público que vincula essas campanhas diretamente aos serviços de inteligência da Rússia. Os ataques visam contornar as proteções da criptografia de ponta a ponta não quebrando a criptografia, mas sim por meio de sequestros de contas. Os atacantes podem acessar mensagens privadas, listas de contatos e até se passar pelas vítimas para lançar novas campanhas de phishing. O FBI destaca que os alvos principais incluem indivíduos com acesso a informações sensíveis, como funcionários do governo dos EUA, militares, figuras políticas e jornalistas. As autoridades de cibersegurança da França e da Holanda também emitiram alertas semelhantes, enfatizando que os ataques são amplos e em andamento em vários países. Os usuários são aconselhados a desconfiar de mensagens inesperadas e a nunca compartilhar códigos de verificação ou escanear QR codes suspeitos.

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

Sasha-Jay Davies, uma jovem britânica de 19 anos, se tornou vítima de catfishing, uma prática onde indivíduos roubam a identidade de outra pessoa na internet para enganar outros usuários. O caso de Davies é alarmante, pois um perfil falso que usava suas fotos e informações pessoais acumulou mais de 81 mil seguidores no TikTok e 22 mil no Instagram. O impostor, que atuou por quase quatro anos, não apenas gerou constrangimento para Davies, mas também a colocou em situações perigosas, como ser confrontada por pessoas que acreditavam que ela era a responsável por encontros que nunca ocorreram. Apesar da gravidade da situação, a polícia afirmou que pouco poderia ser feito, já que o ato não envolvia extorsão ou ameaças diretas, o que levanta questões sobre a eficácia das leis atuais em lidar com crimes virtuais. Especialistas alertam que a prevenção é crucial, recomendando que os usuários limitem a exposição de informações pessoais e adotem práticas de segurança, como senhas fortes e autenticação em duas etapas. O caso destaca a necessidade urgente de uma legislação mais robusta para lidar com crimes de identidade na era digital.

O uso de ferramentas de inteligência artificial para clonar vozes está se tornando uma realidade preocupante, especialmente em golpes financeiros. Giovanni La Porta, CEO da vortice.ai, destacou em entrevista que criminosos estão utilizando ligações silenciosas para coletar amostras de voz de suas vítimas. Após alguns segundos de conversa, a voz clonada é utilizada para enviar mensagens de áudio pelo WhatsApp, imitando a voz de um familiar ou amigo e solicitando transferências de dinheiro. Essa nova abordagem elimina a desconfiança que normalmente acompanha mensagens de texto, tornando os golpes mais eficazes. A evolução dos deepfakes, que antes eram facilmente identificáveis, agora permite a clonagem de vozes com apenas alguns segundos de áudio. La Porta também mencionou casos em que deepfakes foram usados em reuniões corporativas, levando a decisões baseadas em instruções falsas. Embora a criação de deepfakes não seja, por si só, um crime, o uso malicioso desse tipo de tecnologia levanta preocupações legais e éticas, especialmente no contexto da LGPD no Brasil.

O fórum virtual 4chan foi multado em £ 520 mil (aproximadamente R$ 3,65 milhões) pela Ofcom, órgão regulador do Reino Unido, devido a falhas na proteção de menores de idade contra conteúdos pornográficos e ilegais. A multa é resultado de infrações à Lei de Segurança Online de 2023, que exige mecanismos eficazes de verificação de idade. Além da falta de controle etário, o 4chan também foi acusado de não impedir a veiculação de conteúdo ilegal. O site tem até 2 de abril para implementar medidas adequadas, sob pena de multas adicionais que podem chegar a £ 800 por dia. A Ofcom intensificou sua fiscalização sobre plataformas que operam sem moderação, e o 4chan, conhecido por permitir discursos de ódio e conteúdo questionável, enfrenta crescente pressão legal. O advogado do site, Preston Byrne, defendeu que a operação do 4chan nos Estados Unidos não infringe leis locais, citando a proteção da Primeira Emenda. No entanto, a falta de verificação de idade pode forçar mudanças significativas na política de anonimato do fórum, caso queiram evitar sanções mais severas.

Durante uma audiência no Senado dos Estados Unidos, o diretor do FBI, Kash Patel, confirmou que a agência federal compra dados de localização de cidadãos americanos para auxiliar em investigações. Essa é a primeira vez que o FBI admite publicamente essa prática desde que o ex-diretor Christopher Wray mencionou a aquisição de dados no passado. Patel defendeu a compra como uma forma de obter ‘informações valiosas’, alegando que a coleta é feita em conformidade com a Constituição e as leis de privacidade. No entanto, a declaração gerou controvérsia, especialmente porque a legislação exige um mandado judicial para a coleta de dados de localização fornecidos por operadoras de telefonia. O senador Ron Wyden criticou a prática, considerando-a uma violação da Quarta Emenda, especialmente com o uso de inteligência artificial para analisar grandes volumes de dados pessoais. A situação levanta preocupações sobre privacidade e os limites da vigilância governamental, especialmente em um contexto onde a proteção de dados é cada vez mais debatida.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

O aumento da adoção de agentes de inteligência artificial (IA) nas empresas do Reino Unido está gerando preocupações significativas em relação à segurança cibernética. De acordo com o relatório Cyber Pulse da Microsoft, 62% das empresas britânicas já utilizam agentes de IA, um aumento de 22% em relação ao ano anterior. Apesar de 84% dos líderes empresariais reconhecerem que agentes de IA não autorizados representam um risco sério, a visibilidade sobre o uso desses agentes não está acompanhando o crescimento. A falta de gerenciamento adequado cria pontos cegos para as equipes de segurança, especialmente quando esses agentes operam de forma autônoma em diferentes redes e dispositivos. As prioridades das equipes de segurança incluem garantir visibilidade sobre onde os agentes estão operando, introduzir esses agentes de forma segura nos sistemas existentes e assegurar que atendam aos requisitos de conformidade e auditoria. A Microsoft sugere que as empresas tratem os agentes de IA como identidades gerenciadas, aplicando princípios de zero trust e acesso com privilégios mínimos para mitigar riscos enquanto continuam a inovar.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A Microsoft confirmou que a atualização cumulativa KB5079473, lançada em março, está causando problemas de login em várias aplicações que utilizam contas Microsoft, como Teams, OneDrive, Edge, Excel e Word. Após a instalação dessa atualização, os usuários estão recebendo mensagens de erro que indicam que seus dispositivos não estão conectados à Internet, mesmo quando estão. A empresa esclareceu que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam Entra ID para autenticação. Para contornar a situação, a Microsoft sugere que os usuários reiniciem seus dispositivos enquanto permanecem conectados à Internet, o que pode resolver temporariamente o problema. Além disso, a Microsoft lançou atualizações de emergência para corrigir falhas de segurança e problemas de visibilidade de dispositivos Bluetooth em versões específicas do Windows 11. A situação destaca a importância de monitorar atualizações e suas consequências, especialmente em ambientes corporativos que dependem de ferramentas Microsoft.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O músico Michael Smith, da Carolina do Norte, se declarou culpado por um esquema de fraude de royalties que arrecadou mais de R$ 10 milhões através de plataformas de streaming como Spotify, Apple Music, Amazon Music e YouTube Music. Smith, de 54 anos, adquiriu centenas de milhares de músicas geradas por inteligência artificial (IA) e as carregou nessas plataformas. Para inflacionar artificialmente as estatísticas de audição, ele utilizou bots de IA que reproduziram as faixas bilhões de vezes entre 2017 e 2024. Documentos judiciais revelaram que ele colaborou com um promotor musical não identificado e o CEO de uma empresa de música baseada em IA para evitar a detecção dos sistemas antifraude, utilizando redes privadas virtuais (VPNs). Em um e-mail de 2018, Smith destacou a necessidade de criar um grande volume de conteúdo com pequenas quantidades de streams para contornar as políticas antifraude. No auge da operação, ele operava mais de 1.000 contas de bots, estimando que cada bot poderia gerar cerca de 661.440 streams por dia. Smith concordou em pagar mais de R$ 8 milhões em confisco e enfrenta uma pena máxima de 5 anos de prisão por conspiração para cometer fraude eletrônica. O caso levanta preocupações sobre a integridade das plataformas de streaming e o impacto de fraudes semelhantes na indústria musical.

A Apple está alertando os usuários sobre a necessidade de atualizar seus dispositivos iOS para evitar ataques cibernéticos que utilizam kits de exploração como Coruna e DarkSword. Esses kits aproveitam vulnerabilidades em versões desatualizadas do sistema operacional para roubar dados sensíveis. A empresa recomenda que os usuários que ainda estão em versões antigas do iOS atualizem para iOS 15.8.7 ou iOS 16.7.15, dependendo da compatibilidade do dispositivo. Para aqueles que não podem atualizar, a Apple sugere ativar o Modo de Bloqueio para reduzir a superfície de ataque. A empresa enfatiza que manter o software atualizado é crucial para a segurança dos produtos Apple, já que dispositivos com software atualizado não estão em risco desses ataques. Recentemente, foram relatados dois exploits do iOS que estão sendo utilizados por diversos atores de ameaças para roubar dados, o que indica uma escalada na exploração de vulnerabilidades do iOS, antes focadas em ataques direcionados por estados-nação. A facilidade de uso desses exploits e sua disponibilidade no mercado secundário aumentam o risco de ataques em larga escala, tornando a segurança móvel uma preocupação crítica para empresas.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

Um estudo da Jscrambler revelou que as plataformas Meta e TikTok estão coletando dados sensíveis dos usuários sem o devido consentimento, utilizando pixels de rastreamento de anúncios. Entre as informações coletadas estão dados sobre cartões de crédito, nomes completos, comportamentos online e geolocalização, mesmo quando os usuários optam por não compartilhar essas informações. A coleta ocorre no momento em que o usuário interage com anúncios ou visita sites de anunciantes, o que pode configurar uma violação das leis de privacidade de dados, como a LGPD no Brasil. Em resposta, representantes da Meta e do TikTok negaram as acusações, alegando que as práticas estão em conformidade com as políticas de privacidade e as leis locais. A utilização de pixels de rastreamento, que são pequenos trechos de código JavaScript, é uma prática comum entre empresas que buscam maximizar o retorno sobre investimento em publicidade, mas levanta sérias preocupações sobre a privacidade dos usuários. O estudo também aponta que 9% dos sites utilizam o pixel de rastreamento da Meta, enquanto 0,7% usam o do TikTok, evidenciando a amplitude do problema.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.