A Apple anunciou a liberação oficial do iOS 26.5, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens de Rich Communication Services (RCS) na versão beta. Essa atualização faz parte de um esforço conjunto da indústria para substituir o SMS tradicional por uma alternativa mais segura. A funcionalidade de E2EE está disponível para usuários de iPhone com iOS 26.5 e para usuários de Android que utilizam a versão mais recente do Google Messages. A criptografia é ativada por padrão em novas e antigas conversas, garantindo que as mensagens não possam ser lidas durante a transmissão entre dispositivos. A Apple destacou que os usuários poderão identificar conversas criptografadas pelo ícone de cadeado que aparecerá nas mensagens RCS. A implementação da E2EE foi testada inicialmente em versões beta anteriores e, em 2025, a GSMA anunciou apoio à criptografia para proteger mensagens enviadas via protocolo RCS. A colaboração entre Apple, Google e a GSMA é vista como um avanço significativo na segurança das comunicações móveis, estabelecendo uma base reconhecida globalmente para serviços seguros.

Um site falso que imita a IA Claude, da Anthropic, está sendo utilizado para disseminar a backdoor Beagle, que afeta sistemas Windows. A Malwarebytes identificou a ameaça, e a Sophos X-Ops aprofundou a investigação. O domínio malicioso, claude-pro.com, apresenta uma interface semelhante à da IA original e oferece um programa fictício chamado Claude-Pro Relay, destinado a desenvolvedores. Ao baixar o arquivo ZIP de 505MB, os usuários instalam um instalador MSI que, além de um atualizador de antivírus legítimo disfarçado, contém um arquivo DLL malicioso. Este DLL carrega um payload que instala a backdoor Beagle, capaz de executar comandos, transferir arquivos e até se autodeletar. A campanha está ativa desde abril de 2026 e utiliza anúncios patrocinados no Google para atrair vítimas. Este é o terceiro incidente em 2026 em que ferramentas de IA são exploradas para fins maliciosos.

Recentemente, a Nvidia confirmou um vazamento de dados relacionado ao seu serviço de jogos em nuvem, GeForce NOW. O incidente ocorreu devido a uma falha na infraestrutura de um parceiro regional, a GFN.am, que gerencia operações em países como Azerbaijão e Geórgia. Os dados comprometidos incluem nomes, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação em dois fatores (2FA), mas não houve comprometimento de senhas. O vazamento afetou apenas usuários na Armênia, e a Nvidia afirmou que não houve impacto em seus serviços operados diretamente. O grupo de hackers, que se apresentou como ShinyHunters, foi identificado como um impostor, e a GFN.am está colaborando com a Nvidia para investigar o incidente. Embora o vazamento tenha gerado preocupações, a empresa garantiu que a maioria dos usuários não foi afetada, especialmente aqueles que se registraram após 9 de março de 2026. O valor de venda dos dados vazados foi estimado em US$ 100.000, pagos em criptomoedas como Bitcoin ou Monero.

O grupo de ransomware Genesis reivindicou um ataque cibernético à CarePoint Health, uma clínica médica em Ontário, que resultou em um vazamento de dados em março de 2026. A clínica confirmou que informações sensíveis, como nomes, dados médicos, endereços e números de telefone, foram comprometidas. Genesis alegou ter roubado 70 GB de dados médicos, operacionais e financeiros da CarePoint, publicando a reivindicação em seu site de vazamento de dados. Até o momento, a CarePoint não confirmou oficialmente a alegação do grupo e não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O ataque à CarePoint é o primeiro incidente confirmado de 2026 para o grupo, que já atacou outras quatro organizações de saúde desde seu início em 2025. Os ataques de ransomware têm se tornado uma preocupação crescente no Canadá, com sete incidentes confirmados em 2026 até agora, destacando o risco significativo que essas ameaças representam para a segurança de dados e a continuidade dos serviços de saúde.

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

A Checkmarx alertou sobre a publicação de uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) no Jenkins Marketplace, atribuída ao grupo hacker TeamPCP. Este incidente faz parte de uma série de ataques à cadeia de suprimentos, que também afetaram outras ferramentas como npm e Trivy. O plugin AST da Checkmarx é amplamente utilizado para integrar a segurança em pipelines automatizados de desenvolvimento. Os hackers conseguiram acessar os repositórios do GitHub da Checkmarx e injetar código malicioso, utilizando credenciais obtidas em um ataque anterior ao Trivy. A Checkmarx confirmou que a versão maliciosa do plugin foi publicada fora do pipeline oficial e não seguiu os padrões de versionamento adequados. A empresa recomendou que os usuários verifiquem se estão utilizando a versão correta do plugin e alertou que aqueles que baixaram a versão comprometida devem considerar suas credenciais como comprometidas e realizar uma rotação de segredos. A Checkmarx também disponibilizou indicadores de comprometimento (IoCs) para ajudar na detecção de possíveis infecções em ambientes de desenvolvimento.

O Procurador-Geral da Califórnia, Rob Bonta, anunciou um acordo de liquidação de US$ 12,75 milhões com a General Motors (GM) devido a alegações de violação da Lei de Privacidade do Consumidor da Califórnia (CCPA). As acusações surgiram a partir de investigações que indicaram que a GM coletou e vendeu ilegalmente dados de direção e localização de motoristas californianos para corretores de dados, como Verisk Analytics e LexisNexis Risk Solutions, entre 2020 e 2024. A coleta de dados foi realizada através da subsidiária OnStar da GM e do sistema ‘Smart Driver’, destinado a produtos de pontuação de motoristas relacionados a seguros. Além da multa, a GM deve interromper a venda de dados de direção por cinco anos, excluir dados retidos em 180 dias, solicitar a exclusão dos dados já vendidos e implementar um programa de conformidade de privacidade mais robusto. Este caso é o primeiro a focar em regras de minimização de dados e representa um marco na proteção da privacidade dos consumidores na Califórnia.

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

A Checkmarx confirmou a publicação de uma versão modificada do plugin Jenkins AST no Jenkins Marketplace, alertando os usuários para utilizarem a versão 2.0.13-829.vc72453fa_1c16, lançada em 17 de dezembro de 2025, ou versões anteriores. A nova versão, 2.0.13-848.v76e89de8a_053, foi disponibilizada, mas a empresa ainda está trabalhando em uma nova atualização. O ataque foi atribuído ao grupo cibercriminoso TeamPCP, que já havia comprometido anteriormente a imagem Docker KICS da Checkmarx, extensões do VS Code e um fluxo de trabalho do GitHub Actions para implantar malware que rouba credenciais. O acesso não autorizado ao repositório do plugin no GitHub permitiu que o grupo renomeasse o repositório para uma mensagem provocativa, evidenciando a falha na rotação de segredos por parte da Checkmarx. A rápida reentrada do TeamPCP sugere que a remediação inicial pode ter sido incompleta ou que o grupo ainda mantém um ponto de acesso não identificado. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância contínua contra tais ameaças.

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.

Pesquisadores do Google Threat Intelligence Group (GTIG) relataram que um exploit de zero-day, que visa uma popular ferramenta de administração web de código aberto, foi provavelmente gerado com o auxílio de inteligência artificial (IA). Este exploit poderia contornar a proteção de autenticação de dois fatores (2FA) do sistema, que não foi nomeado. Embora o ataque tenha sido frustrado antes de uma exploração em massa, o incidente destaca a crescente dependência de atores maliciosos em ferramentas de IA para descobrir e explorar vulnerabilidades. A análise do código do exploit, escrito em Python, sugere que um modelo de linguagem de grande porte (LLM) foi utilizado, evidenciado pela presença de docstrings educacionais e um formato estruturado típico de dados de treinamento de LLMs. Além disso, o tipo de falha explorada é uma lógica semântica de alto nível, que sistemas de IA são particularmente bons em identificar. O Google também observou que grupos de hackers da China e da Coreia do Norte têm utilizado modelos de IA para desenvolvimento de exploits, enquanto atores ligados à Rússia têm empregado código gerado por IA para ofuscar malware. O relatório alerta que os atores de ameaças estão industrializando o acesso a modelos de IA premium, utilizando infraestrutura automatizada para criação de contas e proxies.

Os resets de senha são uma resposta comum a suspeitas de comprometimento de contas, mas não resolvem completamente o problema em ambientes de Active Directory (AD) e Entra ID. Após um reset, as credenciais antigas podem permanecer válidas por um curto período, permitindo que atacantes mantenham acesso. Isso ocorre devido ao cache local de hashes de senha nos sistemas Windows e a possíveis atrasos na sincronização de senhas em ambientes híbridos. Existem três estados possíveis após um reset: o usuário logou com a nova senha, não logou em um dispositivo específico ou a nova senha ainda não foi sincronizada. Os atacantes podem explorar essas lacunas utilizando técnicas como pass-the-hash e mantendo sessões ativas com tickets Kerberos válidos. Para mitigar esses riscos, é crucial invalidar sessões ativas, revisar permissões e rotacionar senhas de contas de serviço. A implementação de soluções como o Specops uReset pode ajudar a garantir que os resets de senha sejam mais seguros e eficazes, reduzindo a exposição a ataques. A segurança das senhas no AD é vital, considerando que 44,7% das violações de dados envolvem credenciais roubadas, segundo o relatório da Verizon.

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, confirmou que uma vulnerabilidade de segurança permitiu que hackers modificassem portais de login do Canvas e deixassem uma mensagem de extorsão. O ataque envolveu múltiplas falhas de cross-site scripting (XSS), que possibilitaram ao invasor obter sessões administrativas autenticadas. Em 29 de abril, a Instructure detectou a violação e imediatamente revogou o acesso não autorizado, iniciando uma investigação com especialistas forenses. Dias depois, foi confirmado que dados foram roubados, totalizando mais de 3,6 terabytes de informações. O grupo ShinyHunters, responsável pelo ataque, utilizou a mesma vulnerabilidade em um segundo ataque em 7 de maio, pressionando a Instructure a negociar um resgate. A empresa tomou medidas para mitigar os danos, incluindo a suspensão temporária de contas do Canvas. Embora o ataque não tenha comprometido dados durante a defaceação, a violação inicial afetou 8.809 instituições educacionais, resultando na possível exposição de 275 milhões de registros de alunos e funcionários. A Instructure restaurou o Canvas em 9 de maio, mas a situação destaca a necessidade de vigilância contínua em sistemas educacionais.

O cenário de cibersegurança continua a ser alarmante, com novas vulnerabilidades sendo exploradas ativamente. Recentemente, a Ivanti alertou sobre a exploração de uma falha crítica (CVE-2026-6973) em seu Endpoint Manager Mobile, permitindo que usuários autenticados executem código remotamente. Além disso, uma vulnerabilidade zero-day em firewalls da Palo Alto Networks (CVE-2026-0300) também está sendo explorada, afetando cerca de 263 mil hosts expostos na Internet.

Outro destaque é o surgimento do Quasar Linux RAT, um trojan modular que transforma sistemas Linux em pontos de entrada para ataques em cadeia, utilizando uma rede P2P para comunicação entre sistemas comprometidos. A campanha PCPJack, que substitui o malware TeamPCP, visa roubar credenciais de serviços em nuvem, propagando-se lateralmente em redes.

O Google anunciou a descoberta de um ator de ameaças desconhecido utilizando um exploit de zero-day, supostamente desenvolvido com um sistema de inteligência artificial (IA). Esta é a primeira vez que a tecnologia é empregada em um contexto malicioso para a descoberta e geração de exploits. A operação, descrita como uma “operação de exploração de vulnerabilidades em massa”, envolveu a colaboração de grupos de cibercrime. O exploit, que permite contornar a autenticação de dois fatores (2FA) em uma ferramenta de administração de sistemas web de código aberto, foi implementado em um script Python. O Google trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e garantir sua correção. Embora não haja evidências de que o Google Gemini tenha sido usado, a análise sugere que um modelo de IA foi instrumental na descoberta da vulnerabilidade. Além disso, a IA está acelerando a descoberta de vulnerabilidades e permitindo o desenvolvimento de malware polimórfico, como o PromptSpy, que pode monitorar atividades do usuário e capturar dados biométricos. O uso de IA por grupos de ameaças, incluindo grupos ligados à China e à Coreia do Norte, tem se intensificado, levantando preocupações sobre a segurança cibernética em um cenário global cada vez mais complexo.

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Uma nova variante do malware TrickMo, focada em bancos, foi identificada em campanhas que visam usuários na Europa, especialmente na França, Itália e Áustria. Desde sua primeira aparição em setembro de 2019, o TrickMo tem passado por constantes atualizações e agora se disfarça como aplicativos populares, como TikTok e plataformas de streaming. A análise da ThreatFabric revela que essa versão, chamada ‘Trickmo.C’, utiliza a rede descentralizada The Open Network (TON) para comunicações furtivas com seus operadores, dificultando a identificação e bloqueio do servidor. O malware é modular e opera em duas etapas: um APK que atua como carregador e um segundo APK que executa funções ofensivas, como roubo de credenciais bancárias, keylogging e interceptação de SMS. Novas capacidades incluem suporte a proxy SOCKS5 e tunelamento SSH. Os usuários de Android são aconselhados a baixar aplicativos apenas do Google Play e a manter o Play Protect ativo para se proteger contra essa ameaça crescente.

Um repositório malicioso no Hugging Face conseguiu enganar usuários ao se passar pelo modelo Privacy Filter da OpenAI, resultando na distribuição de um malware ladrão de informações para usuários do Windows. O projeto, intitulado Open-OSS/privacy-filter, copiou a descrição do modelo legítimo da OpenAI para atrair downloads. Após a descoberta, o acesso ao repositório foi desativado. O malware, que utiliza um script Python para executar código malicioso, desativa a verificação SSL e baixa um script adicional que eleva privilégios e configura exclusões no Microsoft Defender. O ladrão de informações coleta dados sensíveis, como capturas de tela e informações de carteiras de criptomoedas, e exfiltra os dados para um domínio controlado pelos atacantes. O repositório malicioso alcançou rapidamente a primeira posição na lista de tendências do Hugging Face, com cerca de 244 mil downloads em apenas 18 horas, sugerindo que os números foram manipulados para criar uma falsa sensação de confiança. Além disso, foram identificados outros seis repositórios com características semelhantes, indicando uma operação mais ampla de ataque a ecossistemas de código aberto.

Uma nova campanha de malvertising está explorando o Google Ads e chats compartilhados do Claude.ai para disseminar malware entre usuários de macOS. Pesquisadores identificaram que ao buscar por ‘Claude mac download’, os usuários podem encontrar anúncios patrocinados que direcionam para um guia de instalação malicioso disfarçado de suporte oficial da Apple. O ataque foi descoberto por Berk Albayrak, engenheiro de segurança do Trendyol Group, que alertou sobre a presença de chats compartilhados que contêm instruções para executar comandos no Terminal do macOS, resultando na instalação silenciosa de malware.

Um estudo recente revelou que a maioria dos usuários de smartphones confia nas ferramentas de segurança integradas em seus dispositivos, ignorando a necessidade de proteção adicional. Apenas 18% dos entrevistados pagam por software antivírus de terceiros, enquanto 14% não possuem nenhuma ferramenta de cibersegurança instalada. A pesquisa, realizada com mais de 1.000 adultos americanos, mostra que a adoção de antivírus pagos em dispositivos móveis caiu 10% nos últimos anos, enquanto no desktop, o uso de soluções pagas cresceu. Os usuários acreditam que as funcionalidades de segurança já disponíveis em seus smartphones são suficientes, o que pode ser um erro, dado o aumento das ameaças cibernéticas, como ataques de ransomware. Embora a maioria dos usuários combine diferentes abordagens de segurança, muitos ainda estão desinformados sobre as proteções que possuem. Marcas estabelecidas como McAfee e Norton continuam a dominar o mercado de antivírus pagos, enquanto soluções menos conhecidas enfrentam dificuldades para ganhar a confiança dos consumidores.

As autoridades alemãs encerraram uma versão relançada do mercado criminoso ‘Crimenetwork’, que gerou mais de 3,6 milhões de euros. O Crimenetwork, que operava desde 2012, era o maior mercado de cibercrime online na Alemanha, com cerca de 100.000 usuários registrados, permitindo a venda de serviços ilegais, substâncias e dados roubados. Em dezembro de 2024, o Ministério Público de Frankfurt, em conjunto com a Polícia Criminal Federal, desmantelou a operação, prendendo um dos administradores. No entanto, poucos dias após o fechamento, uma nova versão do Crimenetwork foi lançada, gerida por um novo operador. Recentemente, um homem de 35 anos foi preso em Mallorca, Espanha, sob um mandado de prisão europeu, acusado de administrar essa nova versão, que rapidamente atraiu 22.000 usuários e mais de 100 vendedores. A nova plataforma também gerou pelo menos 3,6 milhões de euros em receita. As autoridades apreenderam cerca de 194.000 euros em ativos ilícitos e coletaram dados de usuários e transações para investigações futuras. O diretor da Polícia Criminal Federal da Alemanha afirmou que o relançamento do Crimenetwork falhou e que o novo administrador enfrentará a justiça. O operador original já havia sido condenado a sete anos e 10 meses de prisão e a devolução de mais de 10 milhões de euros em lucros criminosos.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no framework open-source Ollama, que permite a execução local de grandes modelos de linguagem. A falha, identificada como CVE-2026-7482, possui um CVSS de 9.1 e pode afetar mais de 300.000 servidores globalmente. A vulnerabilidade é um erro de leitura fora dos limites que permite a um atacante remoto e não autenticado vazar toda a memória do processo do Ollama. O problema se origina do uso do pacote ‘unsafe’ na criação de modelos a partir de arquivos GGUF, permitindo que um arquivo malicioso provoque a leitura de dados sensíveis, como variáveis de ambiente e chaves de API. Além disso, duas falhas não corrigidas no mecanismo de atualização do Ollama para Windows podem permitir a execução de código persistente. Os usuários são aconselhados a aplicar correções, limitar o acesso à rede e implementar um proxy de autenticação. A situação é crítica, pois pode comprometer informações sensíveis de organizações que utilizam o Ollama.

Um estudo realizado por pesquisadores da UNSW Sydney e da QUT revelou que a inteligência artificial (IA) pode criar perfis pessoais detalhados a partir de padrões de anúncios do Facebook, sem precisar acessar dados pessoais ou históricos de navegação dos usuários. A pesquisa analisou mais de 435 mil anúncios coletados de 891 australianos e demonstrou que a IA consegue inferir características como gênero, idade, educação, emprego, preferências políticas e situação econômica apenas com a exposição a anúncios. O processo é 200 vezes mais barato e 50 vezes mais rápido do que a análise humana. Além disso, mesmo sessões curtas de navegação fornecem dados suficientes para a IA construir perfis precisos. Os pesquisadores alertam que extensões de navegador, como bloqueadores de anúncios, podem ser vetores de ataque, pois requerem permissões para acessar o conteúdo das páginas, o que pode ser explorado para coletar informações sobre os anúncios vistos. A situação é preocupante, pois não há necessidade de hacking, e a plataforma de anúncios não percebe que seu sistema está sendo usado como uma ferramenta de vigilância. Para proteger a privacidade online, é recomendado ter cuidado com as extensões de navegador e ajustar as configurações de privacidade, embora uma VPN não ofereça proteção contra esse tipo de coleta de dados. Os pesquisadores defendem que as leis de privacidade devem evoluir para proteger as inferências feitas a partir do consumo passivo de conteúdo.

O site do popular gerenciador de downloads JDownloader foi comprometido entre os dias 6 e 7 de maio de 2026, resultando na distribuição de instaladores maliciosos para Windows e Linux. Os atacantes alteraram os links de download para direcionar os usuários a payloads maliciosos, incluindo um trojan de acesso remoto baseado em Python. O incidente foi inicialmente relatado por um usuário no Reddit, que percebeu que os instaladores estavam sendo sinalizados como software malicioso pelo Microsoft Defender. Os desenvolvedores do JDownloader confirmaram a violação e tomaram o site offline para investigação. A vulnerabilidade explorada permitiu que os atacantes modificassem listas de controle de acesso do site sem autenticação. Apenas os links de download alternativos para Windows e o instalador Linux foram afetados, enquanto outras versões do software permaneceram seguras. Os usuários que baixaram os instaladores comprometidos são aconselhados a reinstalar seus sistemas operacionais e redefinir senhas, pois credenciais podem ter sido comprometidas. O ataque destaca a crescente tendência de hackers visando sites de ferramentas de software populares para disseminar malware.

Um repositório malicioso no Hugging Face, que se disfarçou como o projeto ‘Privacy Filter’ da OpenAI, foi responsável por distribuir malware que rouba informações de usuários do Windows. O repositório, que chegou a ser o mais baixado na plataforma, acumulou 244.000 downloads antes de ser removido. Pesquisadores da HiddenLayer, uma empresa focada em proteger modelos de IA, descobriram que o repositório continha um arquivo ’loader.py’ que, disfarçado de código inofensivo, desativava a verificação SSL e executava um comando PowerShell para baixar um infostealer. Este malware, desenvolvido em Rust, visava dados sensíveis, como cookies de navegadores, tokens do Discord e credenciais de criptomoedas. A HiddenLayer também observou que a maioria dos usuários que interagiram com o repositório parecia ser contas geradas automaticamente, levantando preocupações sobre a segurança da plataforma. Os usuários que baixaram arquivos do repositório malicioso devem reformatar suas máquinas e alterar todas as credenciais armazenadas.

O cPanel anunciou a liberação de atualizações para corrigir três vulnerabilidades significativas em seu software e no Web Host Manager (WHM). As falhas, identificadas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, podem ser exploradas para escalonamento de privilégios, execução de código e negação de serviço. A primeira vulnerabilidade (CVE-2026-29201) apresenta uma pontuação CVSS de 4.3 e envolve uma validação insuficiente de entrada, permitindo a leitura de arquivos arbitrários. As outras duas falhas (CVE-2026-29202 e CVE-2026-29203) têm uma pontuação CVSS de 8.8 e permitem a execução de código Perl arbitrário e a manipulação de permissões de arquivos, respectivamente, o que pode levar a negação de serviço ou escalonamento de privilégios. As versões afetadas incluem cPanel e WHM a partir de 11.136.0.9 e outras versões anteriores. Embora não haja evidências de exploração ativa, a divulgação ocorre após a identificação de outra falha crítica que foi utilizada por agentes de ameaças. Os usuários são aconselhados a atualizar para as versões mais recentes para garantir a proteção adequada.

Pesquisadores de segurança cibernética identificaram um novo trojan bancário brasileiro chamado TCLBANKER, que tem a capacidade de atacar 59 plataformas de bancos, fintechs e criptomoedas. O malware, rastreado pelo Elastic Security Labs sob o nome REF3076, é considerado uma atualização significativa da família Maverick, que utiliza um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. O ataque começa com um instalador MSI malicioso embutido em um arquivo ZIP, que abusa de um programa legítimo da Logitech para contornar a detecção de ferramentas de análise e antivírus. Após a execução, o trojan verifica se está operando em um sistema brasileiro e estabelece persistência através de tarefas agendadas. Além disso, ele se conecta a servidores externos para enviar informações do sistema e pode realizar uma série de ações maliciosas, como capturar telas, manipular o teclado e o mouse, e roubar credenciais através de sobreposições enganosas. O TCLBANKER também se propaga via mensagens de spam no WhatsApp e e-mails falsos enviados pelo Outlook, aproveitando a confiança dos usuários. Essa evolução no ecossistema de trojans bancários no Brasil representa uma ameaça significativa, especialmente devido à sua capacidade de contornar defesas tradicionais.

Recentemente, um incidente curioso chamou a atenção para as falhas nos sistemas de verificação de idade online. Uma criança de 12 anos conseguiu enganar as ferramentas de verificação da Meta, pintando um bigode em seu rosto e se passando por um adolescente de 15 anos. Esse caso ilustra as dificuldades que empresas como a Meta enfrentam ao tentar identificar usuários menores de 13 anos, especialmente em plataformas como Instagram e Facebook. A Meta está implementando novas tecnologias de inteligência artificial que analisam imagens e vídeos para detectar ‘dicas visuais’ da idade dos usuários, como características físicas e postagens relacionadas a aniversários. Apesar dessas melhorias, a eficácia dessas ferramentas ainda é questionável, já que muitos menores conseguem contornar as restrições. A Meta anunciou que, caso haja suspeita de que um menor esteja gerenciando uma conta, a conta será suspensa e o usuário terá que passar por um novo processo de verificação de idade. Essas medidas estão sendo implementadas em vários países, incluindo Brasil e na União Europeia, como resposta a preocupações regulatórias sobre a proteção de crianças online.

A Mozilla anunciou que, com o auxílio do modelo de IA Mythos da Anthropic, conseguiu identificar e corrigir 423 falhas de segurança no navegador Firefox em apenas um mês. O Mythos é descrito como um modelo de ’nova fronteira’ que pode revolucionar a cibersegurança, sendo capaz de detectar vulnerabilidades zero-day em sistemas operacionais e navegadores. A eficácia do Mythos se deve a duas inovações principais: a melhoria das ferramentas de IA e um ‘harness’ desenvolvido pela Mozilla, que permite que o modelo analise o código do Firefox sem gerar os ‘falsos positivos’ comuns em ferramentas de fuzzing anteriores. Durante o processo, o Mythos conseguiu identificar vulnerabilidades que estavam presentes por até 20 anos, que normalmente levariam semanas para serem descobertas por métodos tradicionais. No entanto, a Mozilla ressalta que o Mythos não é uma solução mágica e requer supervisão humana para operar em larga escala, evidenciando a importância da colaboração entre tecnologia e expertise humana na cibersegurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

O grupo de cibercriminosos RansomHouse reivindicou a invasão do repositório de código-fonte da Trellix, uma empresa internacional de cibersegurança, e divulgou imagens como prova do ataque. A Trellix confirmou a violação em 1º de maio, informando que identificou acesso não autorizado a uma parte de seu repositório de código-fonte e que está colaborando com especialistas forenses para investigar o incidente. Apesar da confirmação do ataque, a empresa afirmou não ter encontrado evidências de que seu código-fonte tenha sido explorado ou que o processo de distribuição tenha sido afetado. O ataque ocorreu em 17 de abril e resultou em criptografia de dados. O RansomHouse, que atua desde 2022, é conhecido por suas operações de extorsão de dados, utilizando ferramentas avançadas de criptografia. Um caso recente notável do grupo envolveu o roubo de 740 mil registros de clientes da gigante de e-commerce japonesa Askul Corporation. A Trellix ainda está investigando o incidente e prometeu compartilhar mais informações assim que estiverem disponíveis.

O artigo de Rich Perkins, da Prophet Security, aborda a crescente disparidade entre o investimento em segurança cibernética e a eficácia na resposta a incidentes. Apesar de os gastos em segurança terem dobrado nos últimos seis anos, o tempo para investigar e responder a alertas permanece estagnado. A raiz do problema está na arquitetura do Centro de Operações de Segurança (SOC), que não se adaptou ao volume atual de alertas, resultando em um backlog que compromete a segurança. O texto apresenta um diagnóstico em quatro perguntas que os líderes de segurança devem considerar para avaliar a eficácia de suas operações. Além disso, destaca que simplesmente contratar mais analistas não resolverá a questão, pois a demanda por investigações supera a capacidade humana. Exemplos de empresas que implementaram soluções de inteligência artificial mostram que a mudança no modelo operacional pode resultar em investigações mais rápidas e eficientes, liberando tempo valioso para os analistas. O artigo conclui que a verdadeira solução reside em repensar o modelo de operação do SOC, em vez de apenas aumentar a equipe.

A NVIDIA confirmou que informações de usuários do serviço GeForce NOW foram expostas em uma violação de dados, afetando especificamente a Armênia. A empresa esclareceu que a falha ocorreu em uma infraestrutura operada por um parceiro regional, e que sua própria rede não foi comprometida. O incidente, que ocorreu entre 20 e 26 de março, resultou na exposição de dados como nomes completos, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação de dois fatores. O operador regional GFN.am informou que nenhuma senha de conta foi exposta e que usuários que se registraram após 9 de março não foram afetados. Um ator de ameaças, conhecido como ShinyHunters, alegou ter acessado o serviço e ofereceu a base de dados roubada por US$ 100.000 em criptomoedas. Embora a violação tenha sido limitada à Armênia, a NVIDIA está colaborando com o parceiro para investigar e resolver a situação. Não há confirmação de impacto em outros países onde o GFN.am opera, como Azerbaijão e Ucrânia.

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Pesquisadores de cibersegurança descobriram 28 aplicativos fraudulentos na Google Play Store que prometiam acesso a históricos de chamadas de qualquer número, mas apenas enganavam os usuários para que se inscrevessem em serviços que forneciam dados falsos. Esses aplicativos, que acumulam mais de 7,3 milhões de downloads, foram identificados pela empresa ESET e visavam principalmente usuários na Índia e na região Ásia-Pacífico. Os aplicativos solicitavam pagamento para desbloquear funcionalidades que, na verdade, não existiam, entregando apenas dados aleatórios gerados. Um dos aplicativos foi publicado sob o nome de um desenvolvedor que imitava uma entidade governamental, aumentando a confiança do usuário. Os pagamentos eram realizados através do sistema oficial da Google Play ou de aplicativos de pagamento de terceiros, como Google Pay e Paytm. Embora os aplicativos tenham sido removidos, usuários que pagaram por assinaturas podem ter direito a reembolsos, mas aqueles que usaram métodos de pagamento de terceiros podem não ter essa opção. Este incidente destaca a vulnerabilidade de plataformas populares a fraudes e a importância de uma vigilância constante por parte dos usuários e das autoridades de segurança.

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Um homem de 34 anos da Virgínia foi condenado por conspirar para destruir dezenas de bancos de dados do governo após ser demitido de seu trabalho como contratado federal. Sohaib Akhter e seu irmão gêmeo, Muneeb Akhter, já haviam sido condenados em 2016 por acessar sistemas do Departamento de Estado dos EUA sem autorização e roubar informações pessoais de colegas e de um agente da lei. Após cumprirem suas penas, os irmãos foram recontratados, mas foram demitidos em fevereiro de 2025 ao serem descobertos. Após a demissão, eles tentaram prejudicar a empresa acessando computadores sem autorização, escrevendo proteção em bancos de dados e deletando informações. Em um ataque coordenado, eles apagaram cerca de 96 bancos de dados do governo, incluindo documentos sensíveis de várias agências federais. Além disso, tentaram ocultar suas atividades criminosas, limpando seus laptops e discutindo como evitar a detecção. Sohaib Akhter enfrenta uma pena máxima de 21 anos, enquanto Muneeb pode ser condenado a até 45 anos por múltiplas acusações, incluindo roubo de informações do governo e fraude computacional.

Um ataque cibernético à Zara, varejista espanhola de moda rápida, resultou no roubo de dados de mais de 197 mil clientes, conforme relatado pelo serviço de notificação de vazamentos Have I Been Pwned. A Inditex, grupo proprietário da Zara, confirmou que as informações comprometidas estavam em bancos de dados de um fornecedor de tecnologia anterior e incluíam e-mails únicos, localizações geográficas, compras e tickets de suporte, mas não continham nomes, números de telefone, endereços ou informações de pagamento. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque e divulgou um arquivo de 140GB com documentos supostamente roubados. A Inditex acionou seus protocolos de segurança e notificou as autoridades competentes sobre o incidente. Embora a empresa tenha afirmado que suas operações não foram afetadas, a falta de detalhes sobre o fornecedor hackeado e a atribuição do ataque a um ator específico ainda gera preocupações. Este incidente destaca a vulnerabilidade de empresas que dependem de fornecedores externos e a crescente ameaça de grupos de extorsão cibernética.

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Linux, chamado PamDOORa, que está sendo comercializado por $1.600 em um fórum de cibercrime russo. Desenvolvido por um ator de ameaças conhecido como ‘darkworm’, o PamDOORa é um módulo de autenticação pluggable (PAM) que permite acesso SSH persistente a sistemas comprometidos. O backdoor utiliza uma combinação de senha mágica e porta TCP específica para garantir o acesso contínuo, além de ser capaz de coletar credenciais de usuários legítimos que se autenticam no sistema afetado.

Um recente relatório revela que as operações de segurança cibernética em empresas têm ignorado sistematicamente alertas de baixa severidade, resultando em brechas significativas. A análise de mais de 25 milhões de alertas mostrou que quase 1% dos incidentes confirmados vieram de alertas inicialmente classificados como informativos ou de baixa severidade. Isso se traduz em cerca de 54 ameaças reais por ano que não são investigadas, o que representa um ataque a cada semana. Além disso, a pesquisa destacou que ferramentas de Detecção e Resposta de Endpoint (EDR) frequentemente marcam máquinas como ‘mitigadas’ mesmo quando estão comprometidas, evidenciando a falha na confiança em tais sistemas. O relatório também aponta uma mudança nas táticas de phishing, onde menos de 6% dos e-mails maliciosos continham anexos, utilizando links e plataformas confiáveis como PayPal para enganar os usuários. A análise sugere que a falta de investigação de alertas de baixa severidade impede a melhoria contínua dos sistemas de detecção, criando um ciclo vicioso de vulnerabilidades não abordadas. Para mitigar esses riscos, é essencial que as empresas adotem uma abordagem de investigação abrangente, analisando todos os alertas, independentemente da severidade.

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

A Disc Soft Limited, desenvolvedora do Daemon Tools Lite, confirmou que seus sistemas foram invadidos, resultando na transformação de uma versão do aplicativo em um trojan. O ataque foi realizado por meio de exploração da cadeia de suprimento, afetando especificamente as versões 12.5.0.2421 a 12.5.0.2434. Após a identificação do problema, a empresa conseguiu remover o malware em 12 horas e lançou a versão 12.6, que está livre de ameaças. A Kaspersky relatou que o malware, classificado como infostealer, comprometeu usuários em mais de 100 países, incluindo o Brasil, e é capaz de roubar informações do sistema e executar comandos maliciosos. A Disc Soft reforçou sua infraestrutura, mas ainda não identificou os responsáveis pelo ataque. Usuários que instalaram a versão afetada devem desinstalar o aplicativo, realizar uma varredura em seus sistemas e instalar a versão mais recente a partir do site oficial.

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

Um novo framework de malware chamado PCPJack está em operação, focando no roubo de credenciais de infraestrutura em nuvem exposta e na remoção do acesso do grupo TeamPCP aos sistemas comprometidos. Os serviços visados incluem Docker, Kubernetes, Redis, MongoDB e aplicações web vulneráveis. Pesquisadores da SentinelLabs indicam que o PCPJack é projetado para roubo de credenciais em larga escala, possivelmente monetizando suas atividades através de fraudes financeiras, operações de spam, revenda de credenciais ou extorsão.

O TCLBanker é um novo trojan que visa 59 plataformas de bancos, fintechs e criptomoedas, utilizando um instalador MSI trojanizado do Logitech AI Prompt Builder para infectar sistemas. Descoberto pelos Elastic Security Labs, o malware é uma evolução significativa da família de malwares Maverick/Sorvepotel. Embora atualmente esteja focado no Brasil, suas características de propagação e a possibilidade de expansão para outros países da América Latina são preocupantes.

O TCLBanker se destaca por suas capacidades de proteção contra análise, utilizando rotinas de descriptografia dependentes do ambiente e um thread de vigilância que busca ferramentas de análise. Ele se carrega no contexto de um aplicativo legítimo, evitando alarmes de segurança. O módulo bancário monitora a barra de endereços do navegador e, ao detectar um site alvo, estabelece uma sessão com o comando e controle (C2), permitindo controle remoto sobre o sistema da vítima.

A gangue de extorsão ShinyHunters comprometeu novamente a Instructure, empresa de tecnologia educacional, explorando uma vulnerabilidade para alterar os portais de login do Canvas de centenas de instituições de ensino. As defacements, que ficaram visíveis por cerca de 30 minutos, continham uma mensagem da gangue reivindicando a responsabilidade pela violação anterior e ameaçando vazar dados roubados caso um resgate não fosse pago. A mensagem estipula um prazo até 12 de maio para que a Instructure e as instituições afetadas entrem em contato para negociar. A Instructure confirmou que dados de aproximadamente 280 milhões de registros de estudantes e funcionários foram roubados, abrangendo 8.809 escolas e universidades. A empresa está investigando o incidente e tomou medidas para desativar temporariamente o Canvas enquanto responde ao ataque. A vulnerabilidade que permitiu a alteração dos portais de login foi identificada, e a Instructure está trabalhando para mitigar os danos. Este ataque destaca a crescente ameaça de grupos de cibercrime que visam instituições educacionais, que frequentemente lidam com grandes volumes de dados sensíveis.

Pesquisadores de cibersegurança revelaram um novo framework de roubo de credenciais chamado PCPJack, que visa infraestruturas em nuvem expostas e elimina artefatos associados ao grupo TeamPCP. O PCPJack coleta credenciais de serviços em nuvem, contêineres e aplicações vulneráveis, exfiltrando dados através de uma infraestrutura controlada pelos atacantes e se espalhando de forma semelhante a um worm. O objetivo final da campanha é gerar receita ilícita por meio de roubo de credenciais, fraudes e extorsão. O PCPJack se destaca por não incluir componentes de mineração de criptomoedas, diferentemente do TeamPCP, sugerindo que pode ser obra de um ex-membro familiarizado com as táticas do grupo. O ataque começa com um script de shell que prepara o ambiente e baixa ferramentas adicionais, enquanto remove processos associados ao TeamPCP. O framework utiliza seis scripts Python para orquestrar o ataque, extrair credenciais e facilitar a movimentação lateral em serviços como Docker e Kubernetes. A análise indica que o PCPJack é uma ameaça significativa, especialmente para empresas que utilizam serviços em nuvem amplamente utilizados no Brasil.

A Ivanti emitiu um alerta sobre uma nova vulnerabilidade de alta severidade, identificada como CVE-2026-6973, que afeta o Endpoint Manager Mobile (EPMM) em versões anteriores a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Essa falha, que possui um score CVSS de 7.2, permite que um usuário autenticado com acesso administrativo execute código remotamente. A empresa informou que, até o momento, há um número muito limitado de clientes que foram explorados devido a essa vulnerabilidade. A exploração bem-sucedida requer autenticação de administrador, e a Ivanti recomenda que os clientes que seguiram suas orientações anteriores sobre a rotação de credenciais estão em menor risco. Além da CVE-2026-6973, a Ivanti também corrigiu outras quatro vulnerabilidades no EPMM, com scores CVSS variando de 7.0 a 8.9, que incluem problemas de controle de acesso e validação de certificados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que as agências federais apliquem as correções até 10 de maio de 2026. A Ivanti esclareceu que as falhas afetam apenas o produto EPMM on-premises e não impactam suas soluções baseadas em nuvem.