Com a aproximação da Copa do Mundo de 2026, um aumento alarmante de sites falsos de venda de ingressos da FIFA foi identificado. Pesquisadores da Group-IB relataram a existência de mais de 4.300 domínios fraudulentos que imitam a presença oficial da FIFA, muitos dos quais estão ativos desde 2025, aguardando fãs desesperados por ingressos. Um grupo criminoso conhecido como Ghost Stadium é o principal responsável, criando uma réplica quase perfeita do site oficial da FIFA, utilizando um kit de phishing compartilhado. Os golpistas atraem vítimas através de anúncios no Facebook que prometem preços muito abaixo do mercado, levando-as a páginas falsas onde são induzidas a inserir suas credenciais. Uma vez que as informações são capturadas, os golpistas mudam as senhas das contas legítimas e revendem os ingressos. Além disso, os novos compradores são levados a preencher formulários que coletam dados pessoais e informações de pagamento, sem que os ingressos sejam entregues. As perdas financeiras decorrentes dessa fraude podem variar entre 71 milhões e 474 milhões de dólares. Para se proteger, os usuários devem sempre verificar o domínio do site e evitar anúncios suspeitos nas redes sociais.

Com o aumento constante de golpistas e spammers, a segurança nas comunicações se torna uma prioridade. O artigo destaca a Surfshark, uma VPN que oferece uma gama de ferramentas de segurança, incluindo um gerador de alias de e-mail, bloqueador de anúncios e cobertura ilimitada de dispositivos. A Surfshark não apenas protege a privacidade do usuário, mas também oferece funcionalidades como alertas de vazamento de dados pessoais e proteção contra e-mails fraudulentos. Os planos começam a partir de $1,99 por mês, com promoções que incluem cartões-presente da Amazon. Além das funções típicas de uma VPN, como acesso a conteúdos restritos geograficamente, a Surfshark se destaca pela proteção de identidade, permitindo que os usuários se registrem em sites com informações alternativas, reduzindo o risco de roubo de dados. A análise também menciona concorrentes como Proton VPN e NordVPN, mas enfatiza a vantagem da Surfshark em termos de cobertura de dispositivos e custo-benefício. Com a crescente incidência de fraudes, a adoção de ferramentas como a Surfshark se torna essencial para garantir uma navegação segura e protegida.

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘CIFSwitch’, foi descoberta no kernel Linux. Essa falha permite que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root. O problema afeta várias distribuições Linux que utilizam combinações vulneráveis do kernel CIFS e cifs-utils, especialmente nas versões 6.14 e superiores. O CIFS (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos e dispositivos em uma rede local. A vulnerabilidade se origina da falha do subsistema CIFS do kernel em verificar a origem das solicitações de chave cifs.spnego, permitindo que um usuário não privilegiado crie uma solicitação forjada e inicie o fluxo normal de autenticação. O pesquisador Asim Viladi Oglu Manizada, que descobriu a falha, publicou um relatório técnico detalhando a exploração da vulnerabilidade. Embora a falha tenha sido introduzida em 2007, sua exploração depende de fatores como a versão do kernel e a configuração do SELinux/AppArmor. A correção foi disponibilizada através de um patch que valida as origens das solicitações de chave. É recomendado que os usuários desativem ou removam o módulo CIFS se não estiver em uso e desativem namespaces de usuários não privilegiados.

A Palo Alto Networks alertou sobre uma vulnerabilidade de média severidade, identificada como CVE-2026-0257, que afeta o software PAN-OS e o Prisma Access. Essa falha, com uma pontuação CVSS de 7.8, permite que atacantes contornem a autenticação e estabeleçam conexões VPN não autorizadas. O problema ocorre especificamente em firewalls que têm o portal ou gateway GlobalProtect configurados, especialmente quando os cookies de substituição de autenticação estão habilitados. Desde a divulgação da vulnerabilidade, foram observadas tentativas de exploração ativa, com a Rapid7 relatando que ataques bem-sucedidos foram detectados em diversos clientes, começando em 17 de maio de 2026. A Palo Alto Networks recomenda que as organizações afetadas atualizem seus dispositivos com um patch fornecido pelo fornecedor com urgência. Como medidas temporárias, sugere-se desativar a funcionalidade de substituição de autenticação ou gerar um novo certificado para essa função. A exploração dessa vulnerabilidade pode ter um impacto significativo nas organizações afetadas, especialmente em relação à segurança da rede interna.

Um relatório recente da Bloomberg indica um aumento alarmante de 75% nos ataques físicos, conhecidos como ‘crypto wrench attacks’, direcionados a detentores de criptomoedas, especialmente os chamados ‘whales’, ou grandes investidores. Esses ataques incluem sequestros e agressões físicas, motivados pela transparência inerente ao blockchain, que permite a identificação de grandes detentores de ativos digitais. Os criminosos veem esses alvos como de baixo risco e alta recompensa, especialmente devido à natureza irreversível das transações em criptomoedas. Em resposta, muitas exchanges e investidores estão intensificando suas medidas de segurança, incluindo a contratação de seguranças e a implementação de protocolos de proteção mais rigorosos. Além disso, a cultura de ostentação entre alguns investidores, que se destacam em conferências e redes sociais, também contribui para a exposição a esses riscos. O aumento dos ataques físicos levanta preocupações significativas sobre a segurança no espaço das criptomoedas, especialmente em um cenário onde muitos casos podem não ser reportados, devido ao medo de represálias ou à natureza delicada das perdas financeiras.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade no OpenAI ChatGPT, que explora a confiança implícita do assistente de inteligência artificial em links e imagens em Markdown. Denominada ChatGPhish pela Permiso Security, a técnica permite que um ator malicioso insira um pequeno payload em uma página da web que o usuário solicita para ser resumida pelo ChatGPT. Isso pode resultar na exposição de informações como IP, User-Agent e Referer do usuário, além de permitir que links maliciosos sejam apresentados como elementos clicáveis na interface do assistente. A vulnerabilidade se torna crítica à medida que mais organizações utilizam o ChatGPT para pesquisa e resumo, pois qualquer página maliciosa processada pode transformar o assistente em uma superfície de phishing. A Permiso destaca que a mudança do e-mail para o navegador amplia significativamente a superfície de ataque, tornando a interação com páginas da web potencialmente arriscada. Este achado se junta a outras técnicas de ataque recentes que visam agentes de codificação de IA, evidenciando a necessidade de vigilância constante e mitigação de riscos em ambientes corporativos.

O FBI emitiu um alerta sobre o aumento de sites falsificados da FIFA, com pelo menos 35 domínios identificados que imitam o site oficial da organização. Esses sites fraudulentos têm como objetivo roubar informações pessoais e financeiras dos fãs, utilizando táticas de engenharia social. Os cibercriminosos costumam alterar levemente a grafia dos domínios legítimos ou usar domínios de nível superior alternativos para enganar os usuários. O FBI recomenda que os usuários acessem o site da FIFA digitando o endereço diretamente em vez de clicar em resultados patrocinados em motores de busca, que podem ser imitações pagas. A prática de criar sites falsos em torno de eventos populares, como a Copa do Mundo, não é nova, e já foi observada em ocasiões anteriores, como nas Olimpíadas e durante a pandemia de Covid-19. O alerta destaca a importância de estar atento a essas fraudes, especialmente com a proximidade do evento esportivo em 2026.

A Industrial Acceptance Corporation (IAC) confirmou que notificou 79.216 pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu nomes, números de Seguro Social e números de carteira de motorista. O ataque foi atribuído ao grupo de ransomware conhecido como Inc, que, embora não tenha listado a IAC em seu site de vazamento de dados, foi responsável por 783 ataques de ransomware até o momento. Em março de 2025, outro grupo chamado Akira reivindicou um ataque à IAC, alegando ter roubado 60 GB de dados, mas a IAC não confirmou essa alegação. A empresa tomou medidas imediatas, desconectando seus sistemas para restaurar operações de forma segura. Para os afetados, a IAC está oferecendo 12 meses de monitoramento de crédito através da Cyberscout. O ataque destaca a crescente ameaça de ransomware, que não apenas rouba dados, mas também bloqueia sistemas até que um resgate seja pago. Em 2025, foram registrados 69 ataques confirmados a empresas financeiras nos EUA, comprometendo 1,5 milhão de registros pessoais. A situação ressalta a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

As autoridades holandesas desmantelaram uma botnet composta por 17 milhões de dispositivos, apreendendo mais de 200 servidores de um provedor local que apoiava suas operações. A ação foi resultado de uma investigação conjunta da polícia e do Centro Nacional de Segurança Cibernética (NCSC) do país. Os servidores apreendidos eram responsáveis por controlar computadores, tablets e smartphones para realizar ciberataques, como ataques de negação de serviço distribuídos (DDoS) e mineração de criptomoedas. Embora a botnet não tenha sido nomeada oficialmente, a mídia local sugere que ela estava associada ao serviço Asocks, que oferece proxies para atividades online. A NCSC destacou que os proprietários dos dispositivos infectados não estavam cientes de que estavam contribuindo para atividades criminosas. Para prevenir infecções por botnets, as autoridades recomendam a alteração de credenciais padrão, a atualização do firmware e a desativação de painéis de administração remota quando não forem necessários.

Os ataques de negação de serviço distribuída (DDoS) têm se tornado uma ameaça crescente para serviços online, com um aumento significativo na oferta de serviços DDoS como um produto acessível. O artigo destaca que, em 2025, Cloudflare e Microsoft relataram ataques massivos, com picos de 31,4 Tbps e 15,72 Tbps, respectivamente. A pesquisa da Flare revelou que, entre 2023 e 2026, houve um aumento de 10 vezes nos anúncios de serviços DDoS, com uma mudança de scripts e tutoriais para ofertas mais estruturadas e fáceis de usar. Os atacantes agora podem acessar painéis de controle e escolher alvos com apenas alguns cliques, tornando o DDoS-as-a-service uma opção viável para indivíduos com pouca habilidade técnica. Os preços para esses serviços são alarmantemente baixos, com ataques a partir de US$ 5. Essa evolução no mercado de DDoS representa um risco significativo para organizações, especialmente aquelas que dependem de serviços online, exigindo que as equipes de segurança estejam atentas e preparadas para mitigar esses ataques.

O Procurador-Geral da Califórnia, Rob Bonta, processou a empresa 23andMe, agora Chrome Holding Co., devido à falha em proteger informações genéticas e pessoais sensíveis de seus clientes. Um ataque de credential stuffing em 2023 expôs dados de aproximadamente 6,9 milhões de usuários, incluindo 855.541 californianos. O incidente foi revelado em outubro de 2023, quando criminosos cibernéticos tentaram vender os dados roubados e divulgaram amostras para comprovar sua autenticidade. A 23andMe confirmou que os dados vazados eram reais e que a violação ocorreu após a exploração de contas com credenciais fracas. O ataque afetou usuários que optaram pela funcionalidade ‘DNA Relatives’ e outros que não a utilizaram. Além das falhas de segurança, o processo destaca declarações enganosas da empresa sobre suas práticas de segurança. O Procurador-Geral argumenta que essas ações violaram várias leis estaduais, incluindo a Lei de Privacidade de Informações Genéticas da Califórnia e a Lei de Privacidade do Consumidor da Califórnia (CCPA). O processo busca impedir novas violações e impor penalidades que podem variar de US$ 1.000 a US$ 7.500 por infração. A 23andMe já enfrenta múltiplas ações judiciais e investigações que podem resultar em multas milionárias, levando a empresa a considerar a falência.

Recentemente, um novo ataque cibernético foi identificado, onde atores maliciosos estão explorando a funcionalidade de compartilhamento de conteúdo do ChatGPT para criar páginas falsas de indisponibilidade da OpenAI. Essa campanha, chamada ‘LLMShare’, foi descoberta pela Push Security e utiliza anúncios do Google para direcionar usuários que buscam pelo ChatGPT a uma página maliciosa hospedada no domínio legítimo chatgpt.com. Ao clicar no anúncio, os usuários são levados a uma página que simula uma mensagem de erro, informando que a versão web está indisponível e sugerindo o download de um aplicativo de desktop falso. Essa mensagem, que afirma que o site está temporariamente fora do ar devido ao alto tráfego, é gerada através das capacidades de renderização do ChatGPT, utilizando HTML e CSS personalizados. Se o usuário clicar no botão de download, ele é redirecionado para um site que imita o portal de download do aplicativo da OpenAI, mas que na verdade instala malware em dispositivos. As versões para macOS e Windows do suposto aplicativo contêm infostealers, que podem roubar informações sensíveis. Essa técnica de cloaking permite que o site mostre conteúdo inofensivo para plataformas de segurança, dificultando a detecção do ataque. A exploração de funcionalidades de compartilhamento em plataformas de IA para disseminar malware não é nova, e campanhas anteriores já utilizaram métodos semelhantes para enganar usuários.

Um ator de ameaça desconhecido utilizou um agente de modelo de linguagem grande (LLM) para realizar ações pós-comprometimento após explorar uma vulnerabilidade crítica no Marimo, uma plataforma de notebooks acessível pela internet. A vulnerabilidade, identificada como CVE-2026-39987, permite a execução remota de comandos arbitrários por atacantes não autenticados. Após comprometer um notebook Marimo, o atacante extraiu credenciais de nuvem e obteve uma chave SSH do AWS Secrets Manager, utilizando-a para acessar um servidor bastião e exfiltrar um banco de dados PostgreSQL interno em menos de dois minutos. O uso do LLM permitiu que o atacante improvisasse ações sem conhecimento prévio do ambiente, demonstrando uma adaptabilidade que torna a defesa mais complexa. A Sysdig, empresa de segurança em nuvem, recomenda que os usuários atualizem para a versão mais recente do Marimo e realizem auditorias em ambientes acessíveis publicamente, além de rotacionar credenciais e chaves de API. Este incidente destaca a necessidade urgente de medidas de segurança robustas em face de ameaças que utilizam inteligência artificial.

A emissora ABC, pertencente ao grupo Disney, está em conflito com a Comissão Federal de Comunicações (FCC) dos EUA após a exigência da FCC para que a rede solicitasse a renovação de suas licenças de transmissão com dois anos de antecedência, em vez dos quatro meses habituais. A FCC justificou a medida alegando que as políticas de Diversidade, Equidade e Inclusão (DEI) da ABC estão sob investigação. A ABC considera essa exigência uma forma de retaliação política, especialmente devido a críticas feitas em programas como ‘Jimmy Kimmel Live’ e ‘The View’ ao governo e ao ex-presidente Donald Trump. A emissora protocolou as renovações ‘sob protesto’, afirmando que a ação da FCC representa uma ameaça à Primeira Emenda da Constituição dos EUA, que garante a liberdade de expressão. A FCC, por sua vez, defendeu sua posição, afirmando que está analisando as estruturas de propriedade para garantir que as emissoras atendam às necessidades de suas comunidades locais. O caso levanta preocupações sobre a liberdade de imprensa e a possibilidade de censura em um ambiente político polarizado.

A gangue de extorsão ShinyHunters anunciou ter roubado informações pessoais de 4,9 milhões de contas após invadir a Charter Communications, uma das maiores operadoras de telecomunicações dos EUA, em abril. A empresa, que atende mais de 32 milhões de clientes, confirmou a violação, mas afirmou que dados sensíveis não foram comprometidos. No entanto, a ShinyHunters alegou que obteve acesso a 42 milhões de registros do Salesforce da Charter, incluindo nomes, endereços de e-mail, números de telefone e informações de planos. Após a recusa da Charter em pagar o resgate, os dados foram divulgados em um site da dark web. A análise do Have I Been Pwned confirmou que os dados vazados afetaram 4,9 milhões de contas, expondo informações como nomes, endereços físicos e números de telefone. A gangue tem um histórico de ataques a clientes do Salesforce, e o FBI aconselhou as vítimas a não cederem às exigências de resgate, pois isso não garante a segurança dos dados. A Charter também foi alvo de um ataque por um grupo de ameaças apoiado pelo estado chinês, o Salt Typhoon.

Michele Spagnuolo, engenheiro de segurança da Google, foi acusado de insider trading após lucrar US$ 1,2 milhão utilizando informações confidenciais da empresa. Ele teria acessado dados internos do Google, especificamente do relatório ‘Year in Search’, para fazer apostas na plataforma de previsão descentralizada Polymarket. Spagnuolo, que trabalha na Google desde 2014 e reside na Suíça, usou um pseudônimo, ‘AlphaRaccoon’, para realizar suas apostas com uma precisão quase perfeita em cerca de 25 resultados improváveis. Após a divulgação pública dos dados em 4 de dezembro de 2025, ele recebeu aproximadamente US$ 1,2 milhão em ganhos. O FBI rastreou sua conta até um processador de pagamentos registrado em seu nome. As autoridades alegam que ele moveu os lucros ilegais através de serviços de troca de criptomoedas. O caso destaca a seriedade das violações de confidencialidade corporativa e as consequências legais que podem advir, incluindo penas de até 20 anos de prisão por fraude e lavagem de dinheiro.

Troy Murray, um homem de 57 anos da Carolina do Norte, foi condenado a mais de 10 anos de prisão por vender informações pessoais de mais de 7 milhões de idosos americanos a golpistas jamaicanos. Ele se declarou culpado de conspiração para cometer fraude eletrônica e foi sentenciado a 121 meses de prisão, além de três anos de liberdade supervisionada e a devolução de US$ 5,2 milhões. Entre 2016 e 2023, Murray comercializou listas de leads contendo nomes, números de telefone, endereços físicos e e-mails de idosos, que foram utilizados em fraudes de loteria. Ele cobrava entre US$ 500 por listas com 100 a 300 nomes, gerando lucros de mais de US$ 5,2 milhões e causando perdas superiores a US$ 9,5 milhões para as vítimas. O aumento da fraude contra idosos é alarmante, com o FBI relatando um aumento de 37% nas reclamações de fraudes entre pessoas com 60 anos ou mais, totalizando quase US$ 7,8 bilhões em perdas em 2025. O caso de Murray destaca a vulnerabilidade dos idosos e a necessidade de medidas de proteção mais robustas contra fraudes.

O Google anunciou que a funcionalidade Chrome Device Bound Session Credentials (DBSC) está agora disponível para todos os usuários, com o objetivo de prevenir o sequestro de contas. Desde abril, a DBSC estava em versão beta e foi projetada para vincular criptograficamente os cookies de sessão a um dispositivo específico, dificultando o uso de cookies roubados por hackers para contornar a autenticação multifatorial (MFA). A tecnologia utiliza chaves públicas e privadas geradas por chips de segurança do hardware, como o Trusted Platform Module (TPM) em Windows e o Secure Enclave em macOS, garantindo que essas chaves não possam ser roubadas. Com a DBSC, mesmo que um malware esteja presente no dispositivo do usuário, o risco de roubo de sessão é reduzido, tornando mais difícil para os atacantes explorarem cookies de sessão furtados. A funcionalidade será ativada por padrão para todos os clientes do Google Workspace, e os administradores não poderão desativá-la. O Google também destacou que a DBSC representa uma mudança significativa na defesa contra ameaças, passando de uma abordagem reativa para uma preventiva. Essa inovação é especialmente relevante em um cenário onde ataques a cookies de autenticação têm sido uma preocupação crescente.

Pesquisadores de cibersegurança descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil. As versões 2.0.0 a 2.0.4 do pacote ‘Sicoob.Sdk’ foram projetadas para exfiltrar informações sensíveis, como IDs de clientes e certificados PFX, que são usados para autenticar empresas na rede bancária do Sicoob. O pacote, que foi baixado quase 500 vezes, captura dados ao instanciar o cliente Sicoob e envia informações para um endpoint Sentry de terceiros. Além disso, o pacote também coleta respostas da API de Boleto, expondo detalhes de transações financeiras. A exploração desses dados pode permitir que atacantes se façam passar pela integração da API bancária do Sicoob. Após a divulgação responsável, o pacote foi bloqueado pelo NuGet, mas o perfil responsável ainda possui outros pacotes com cerca de 6.000 downloads. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software, que podem comprometer a segurança de sistemas financeiros críticos.

O conceito de Shadow AI evoluiu de simples interações com chatbots para a criação de aplicações completas por funcionários, sem a supervisão de equipes de segurança ou TI. Um relatório recente da Red Access revelou mais de 380 mil ativos web acessíveis publicamente em plataformas de vibe coding, com cerca de 2 mil aplicações contendo dados sensíveis de empresas. Esses aplicativos, muitas vezes publicados sem controles de acesso adequados, representam um risco significativo, pois podem ser acessados por qualquer pessoa que tenha o link. A prática de vibe coding permite que não desenvolvedores criem soluções rapidamente, conectando-as a sistemas corporativos, mas sem as devidas salvaguardas. Isso contrasta com o antigo conceito de Shadow IT, onde as ferramentas eram limitadas a softwares não autorizados. A falta de visibilidade e controle em relação a essas novas aplicações torna difícil para as organizações monitorarem e protegerem seus dados. Para mitigar esses riscos, recomenda-se que as empresas realizem um inventário das aplicações criadas, estabeleçam caminhos sancionados para o uso de plataformas de desenvolvimento e adotem uma postura de descoberta contínua para acompanhar a criação de novas aplicações.

O grupo de ciberespionagem GREYVIBE, atribuído a atores de língua russa, tem realizado ataques persistentes contra a Ucrânia e entidades relacionadas desde agosto de 2025. De acordo com a WithSecure, a atividade do grupo está alinhada com os interesses do Estado russo, especialmente no contexto da guerra em curso entre Rússia e Ucrânia. GREYVIBE utiliza uma variedade de vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para disseminar malware. Os alvos incluem organizações militares, governamentais e civis. O grupo também se destaca por utilizar inteligência artificial generativa para aprimorar suas operações, o que indica um nível de sofisticação moderado, embora com falhas de segurança operacional. As campanhas observadas incluem o uso de ferramentas como PhantomMail e PhantomRelay, que permitem acesso remoto e coleta de dados sensíveis. A conexão do GREYVIBE com o ecossistema de cibercrime russo sugere que seus membros podem ser ex-cibercriminosos, complicando a atribuição de suas atividades. A utilização de IA, embora traga vantagens, também introduziu falhas no design do malware, indicando que o grupo pode não ser totalmente estatal. Essa situação representa um desafio significativo para a segurança cibernética, especialmente para países como o Brasil, que podem ser afetados por táticas semelhantes.

A Anthropic confirmou que planeja disponibilizar seus modelos da classe Mythos ao público, após adiar o lançamento devido a preocupações de segurança. Inicialmente anunciado em abril como um modelo restrito, o Mythos foi disponibilizado apenas para empresas selecionadas, incluindo pesquisadores de segurança, devido a riscos significativos associados. A empresa alertou que, no curto prazo, esses modelos poderiam beneficiar atacantes se não fossem lançados com cautela. No entanto, a longo prazo, espera-se que defensores utilizem esses modelos para melhorar a segurança e corrigir falhas antes que novos códigos sejam implementados. A Anthropic afirma ter desenvolvido salvaguardas robustas para evitar o uso indevido do modelo Mythos, que é considerado mais poderoso que outros modelos disponíveis atualmente. Embora a empresa tenha começado a permitir que um número limitado de organizações utilize uma prévia do Claude Mythos para trabalho em cibersegurança, ainda não está claro se o mesmo modelo será lançado publicamente. A expectativa é que os modelos Mythos sejam disponibilizados nas próximas semanas, mas sem um cronograma específico definido.

O grupo de ameaças patrocinado pelo Estado norte-coreano, conhecido como Kimsuky, foi responsável por uma nova onda de ataques cibernéticos direcionados a entidades militares e corporativas da Coreia do Sul entre março e abril de 2026. Utilizando táticas de engenharia social, como páginas falsas de instalação de software de segurança e reuniões do Webex, o grupo conseguiu disseminar uma variante de malware chamada HTTPSpy. Este malware, disfarçado como instaladores de software de segurança sul-coreano, permite acesso remoto completo aos sistemas comprometidos. Os ataques foram projetados para atingir administradores de mensagens em ambientes corporativos, utilizando páginas fraudulentas que simulavam serviços legítimos. Além disso, o Kimsuky evoluiu suas técnicas, incorporando ferramentas como o Microsoft Visual Studio Code para estabelecer acesso remoto, o que representa uma mudança significativa nas suas táticas. A análise destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança de dados sensíveis.

O FBI emitiu um alerta sobre a criação de sites falsos que se passam pela FIFA, visando roubar informações pessoais e financeiras dos usuários, além de vender ingressos e pacotes de hospitalidade falsos para a Copa do Mundo de 2026, que ocorrerá entre 11 de junho e 19 de julho nos Estados Unidos, Canadá e México. Os criminosos cibernéticos estão utilizando centenas de sites de phishing que imitam o domínio oficial fifa.com, fazendo pequenas alterações que podem passar despercebidas, como fiffa[.]com, e utilizando domínios alternativos como .org e .xyz. Esses sites fraudulentos coletam dados sensíveis, como nomes, endereços e informações bancárias, que podem ser usados para fraudes financeiras e roubo de identidade. Pesquisas de empresas de cibersegurança, como a Group-IB e a Bitdefender, revelaram campanhas de malvertising relacionadas à Copa do Mundo, promovidas em plataformas como Google Search e Facebook. Para se proteger, o FBI recomenda que os usuários acessem o site oficial digitando o endereço diretamente no navegador, evitem anúncios patrocinados e verifiquem a autenticidade dos sites antes de inserir dados sensíveis. Os usuários também são incentivados a relatar incidentes ao IC3 do FBI.

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

O grupo de ameaças cibernéticas, identificado como GreyVibe, vinculado à Rússia, tem utilizado iscas geradas por inteligência artificial e um conjunto diversificado de ferramentas de malware para atacar entidades nos setores militar, governamental, civil e empresarial. A campanha de ciberespionagem, que está ativa desde pelo menos agosto de 2025, foca em organizações ucranianas ou relacionadas à Ucrânia. A pesquisa da empresa de cibersegurança WithSecure revelou que GreyVibe emprega várias cadeias de ataque, incluindo e-mails de spear-phishing com arquivos maliciosos, páginas falsas que imitam serviços populares e sites de namoro falsos que distribuem spyware. A utilização de ferramentas de IA, como ChatGPT, para criar conteúdo realista e detalhado para as iscas é um aspecto notável da operação. Embora a atividade do GreyVibe seja consistente com operações de estado-nação, a falta de sofisticação e disciplina operacional sugere que o grupo pode incluir atores cibercriminosos. As organizações podem se proteger utilizando os indicadores de compromisso (IoCs) fornecidos pela WithSecure.

Os Provedores de Serviços Gerenciados (MSPs) enfrentam um volume crescente de alertas de segurança diariamente, mas muitos ainda têm dificuldade em distinguir o ruído operacional das ameaças reais que colocam seus clientes em risco. A fragmentação das ferramentas de segurança é um dos principais fatores que contribuem para essa situação, resultando em alertas duplicados e lacunas de visibilidade. Em vez de obter uma visão clara, os MSPs se veem obrigados a reunir informações de múltiplos consoles, o que gera ineficiências operacionais e fadiga de alertas. A adoção de plataformas de segurança unificadas, como o SIEM, é essencial para melhorar a visibilidade e a eficiência operacional. O SIEM oferece uma visão centralizada das atividades em todo o ambiente, correlacionando eventos relacionados em um fluxo de investigação único, permitindo que as equipes de MSPs identifiquem e respondam a ameaças de forma mais rápida e eficaz. Além disso, a crescente demanda por maturidade em segurança por parte dos clientes torna o SIEM uma ferramenta estratégica para MSPs que buscam se diferenciar no mercado. Com a capacidade de automatizar respostas e melhorar a detecção de ameaças, o SIEM se torna um ativo valioso para a continuidade dos negócios e a conformidade regulatória.

Uma vulnerabilidade zero-day não corrigida no serviço de Git auto-hospedado Gogs pode permitir que atacantes realizem execução remota de código (RCE) em instâncias expostas à Internet. O Gogs, que é uma alternativa ao GitHub Enterprise e GitLab, é frequentemente utilizado para colaboração remota e, por padrão, permite registro aberto e criação ilimitada de repositórios. Isso significa que um atacante não autenticado pode facilmente criar uma conta e um repositório em uma instância configurada com as definições padrão. Uma vez registrado, o usuário pode habilitar a mesclagem rebase, permitindo que o atacante injete comandos maliciosos durante operações de mesclagem, comprometendo assim o servidor. A falha afeta as versões mais recentes do Gogs (0.14.2 e 0.15.0+dev) e ainda não recebeu um ID CVE. O pesquisador Jonah Burges, que descobriu a vulnerabilidade, alertou que ela permite que atacantes leiam repositórios privados, capturem credenciais e comprometam outros sistemas acessíveis na rede. A Gogs ainda não lançou um patch, apesar de ter reconhecido o problema. A situação é preocupante, especialmente considerando que mais de 2.400 servidores Gogs estão expostos online, com a maioria localizada na Ásia e Europa.

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.

O cenário de cibersegurança continua a apresentar desafios significativos, com a descoberta de mais de 1.350 servidores de comando e controle (C2) no Oriente Médio, representando 96,8% das atividades maliciosas na região. A Saudi Telecom Company (STC) é responsável por 72,4% dessa infraestrutura. Além disso, uma falha crítica de escalonamento de privilégios no Azure Backup da Microsoft foi corrigida, permitindo que usuários com permissões mínimas obtivessem acesso total a clusters AKS. Um cidadão romeno foi condenado a 56 meses de prisão por ataques cibernéticos nos EUA, destacando a gravidade das ameaças. A CISA adicionou um ataque à cadeia de suprimentos do software DAEMON Tools ao seu catálogo de vulnerabilidades exploradas, exigindo ações corretivas imediatas. A Apple, por sua vez, lançou implementações de criptografia pós-quântica, enquanto o grupo Silent Ransom Group tem atacado escritórios de advocacia nos EUA, utilizando engenharia social para roubar dados sensíveis. Por fim, campanhas de phishing estão em alta, com a distribuição de malware através de instaladores falsos e e-mails enganosos.

A Microsoft reafirmou seu apoio à Divulgação Coordenada de Vulnerabilidades (CVD) após uma série de vulnerabilidades zero-day serem divulgadas sem aviso prévio, colocando em risco a segurança de seus usuários. O pesquisador conhecido como Chaotic Eclipse revelou falhas críticas em componentes do Windows, como o Defender e o BitLocker, resultando em exploração ativa das vulnerabilidades BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091) e UnDefend (CVE-2026-45498). A empresa expressou preocupação com o impacto dessas divulgações não coordenadas, que dificultam a proteção de seus clientes e podem ser exploradas por agentes maliciosos. A Microsoft também destacou a importância do diálogo com a comunidade de pesquisa em segurança, embora tenha enfrentado críticas por sua abordagem ao processo de divulgação. O incidente levou à suspensão da conta do pesquisador no GitHub, que se manifestou publicamente contra a empresa, prometendo novas divulgações em julho de 2026. A situação ressalta a necessidade de um processo mais colaborativo e seguro para a comunicação de vulnerabilidades entre pesquisadores e fornecedores.

Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.

O FBI emitiu um alerta sobre um novo método de ataque cibernético em que hackers, conhecidos como Silent Ransom Group (SRG), se apresentam como suporte técnico nas empresas para instalar malware e roubar dados. Este grupo, ativo desde 2022, tem como alvo principal escritórios de advocacia nos Estados Unidos. O ataque geralmente começa com uma ligação de ‘vishing’ (phishing por voz), onde tentam convencer a vítima a instalar um software de gerenciamento remoto. Se essa abordagem falhar, os hackers se dirigem fisicamente ao local, portando dispositivos como pen drives e discos externos para realizar a intrusão. Uma vez dentro, eles copiam arquivos sensíveis e instalam malware, escalando privilégios antes de se retirarem. Posteriormente, eles extorquem as vítimas através de e-mails de resgate e chamadas, ameaçando divulgar os dados roubados. O SRG é também conhecido por manter um site de vazamento de dados, onde expõem as vítimas que não pagam o resgate. Este tipo de ataque representa um risco significativo, especialmente para setores que lidam com informações sensíveis, como o jurídico.

Um relatório de 2021 da British Security Industry Association (BSIA) revela que aproximadamente 21 milhões de câmeras de vigilância estão em operação no Reino Unido. A pesquisa, que envolveu pedidos de informação a 380 conselhos municipais e 45 forças policiais, destaca uma disparidade significativa na vigilância entre diferentes regiões. Os conselhos escoceses, por exemplo, têm a maior proporção de câmeras por mil habitantes, com o Conselho de North Ayrshire liderando com 13,8 câmeras por 1.000 pessoas. Londres, especialmente o bairro de Hackney, também se destaca com um número elevado de câmeras, totalizando 3.281. Além disso, a pesquisa identificou que algumas áreas estão implementando câmeras de reconhecimento facial (FRT), levantando preocupações sobre privacidade, já que indivíduos podem ser monitorados sem seu consentimento. Embora a presença de câmeras tenha aumentado, a correlação entre o número de câmeras e a redução da criminalidade é fraca, sugerindo que a vigilância intensificada pode não ser uma solução eficaz para a segurança pública. O estudo também revela que a Escócia é a região mais vigiada do Reino Unido, com uma média de 3,6 câmeras por 1.000 habitantes, quase o dobro da média da Inglaterra.

Um homem canadense, Ramanan Pathmanathan, foi condenado a 33 anos de prisão após se declarar culpado por um esquema de sextorsão que visava mais de 145 crianças nos Estados Unidos, algumas com apenas 6 anos. O crime ocorreu entre março de 2014 e sua prisão em março de 2021, durante o qual ele se passou por um adolescente de Nova Jersey e utilizou contas no Instagram e Facebook Messenger para coagir as vítimas a realizar atos sexuais em vídeo. Pathmanathan gravou essas interações e ameaçou divulgar o material caso as crianças se recusassem a continuar. Além da pena de prisão, ele deve se registrar como agressor sexual e cumprir 10 anos de liberdade supervisionada. O caso destaca a crescente preocupação com a sextorsão, uma forma de chantagem online que tem aumentado significativamente, conforme alertado pelo FBI em setembro de 2021. As autoridades recomendam que as vítimas interrompam toda interação com os criminosos e reportem imediatamente às forças de segurança.

A Carnival Corporation, maior operadora de cruzeiros do mundo, confirmou um vazamento de dados que afetou cerca de 6 milhões de pessoas, reivindicado pelo grupo de extorsão ShinyHunters em abril de 2026. O incidente ocorreu após um ataque de engenharia social que permitiu a um ator não autorizado acessar sistemas de TI da empresa. A companhia notificou 5.995.277 clientes sobre o roubo de dados, que incluiu informações pessoais como nomes, datas de nascimento, endereços de e-mail e detalhes do programa de fidelidade Mariner Society, da Holland America, uma das marcas do grupo. Embora a Carnival tenha agido rapidamente para bloquear a atividade não autorizada e iniciado uma investigação com especialistas em segurança, o grupo ShinyHunters alegou ter roubado mais de 8,7 milhões de registros. Este não é o primeiro incidente de segurança da Carnival, que já enfrentou outros vazamentos em 2020 e 2021, expondo informações pessoais e financeiras de clientes e funcionários. O FBI aconselhou as vítimas a não pagarem os resgates exigidos, pois isso não garante que os atacantes não tentem extorquir novamente.

O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, promovido pela BleepingComputer em parceria com a Tines, abordará as dificuldades enfrentadas pelas equipes de TI na investigação e resolução de incidentes de rede. Apesar da disponibilidade de diversas ferramentas de monitoramento e alertas, muitos incidentes ainda demoram mais do que o esperado para serem resolvidos. O evento, agendado para 2 de junho de 2026, discutirá como a automação e fluxos de trabalho assistidos por inteligência artificial podem acelerar esses processos.

Um cidadão romeno, Catalin Dragomir, foi condenado a 56 meses de prisão federal por invadir a rede de computadores do Departamento de Gestão de Emergências do Oregon e realizar ciberataques a diversas vítimas nos Estados Unidos. Dragomir, de 46 anos, se declarou culpado de roubo de identidade agravado e de obter informações de um computador protegido. As acusações resultaram em uma pena máxima de cinco anos por invasão, além de dois anos adicionais obrigatórios por roubo de identidade, uma multa de $250.000 e a perda de aproximadamente 23 Monero (XMR), avaliados em cerca de $8.500. Durante a invasão, ele acessou informações pessoais identificáveis, como nomes e números de passaporte, que foram vendidas a terceiros. O FBI e o Departamento de Justiça dos EUA coordenaram a prisão de Dragomir na Romênia, resultando em sua extradição para os Estados Unidos em janeiro de 2025. Este caso destaca a crescente preocupação com a segurança cibernética e os riscos associados a invasões de redes governamentais e corporativas.

Uma nova campanha de cibersegurança, atribuída ao ator de ameaças JINX-0164, tem como alvo organizações de criptomoedas, utilizando engenharia social e malware específico para macOS. Os pesquisadores da Wiz identificaram que o grupo, ativo desde meados de 2025, emprega técnicas sofisticadas para enganar desenvolvedores, oferecendo oportunidades de emprego falsas através de perfis verificados no LinkedIn. Os alvos são direcionados a um domínio fraudulento que simula um provedor de teleconferência, onde são induzidos a baixar um programa malicioso.

O Relatório de Uso de IA 2026, publicado pela LayerX Security, revela uma lacuna significativa na visibilidade e compreensão dos riscos associados à inteligência artificial (IA) nas empresas. Embora quase metade dos usuários corporativos tenha interagido com ferramentas de IA no último ano, apenas 18% o fazem semanalmente, indicando que a maioria é composta por usuários casuais. No entanto, um pequeno grupo de ‘usuários poderosos’ é responsável por uma quantidade desproporcional de interações e exposição de dados sensíveis. O ChatGPT continua sendo a plataforma de IA mais utilizada, representando 36% dos usuários corporativos, mas o Copilot M365 está crescendo rapidamente, alcançando 29% de adoção. A pesquisa também destaca o uso crescente de ferramentas de IA fora do controle corporativo, como extensões de navegador e conectores de IA, que ampliam a superfície de risco. Mais de 6% das conversas de IA nas empresas contêm dados sensíveis, com ferramentas como DeepSeek e ChatGPT apresentando as maiores taxas de exposição. O relatório enfatiza a necessidade urgente de as organizações revisarem suas políticas de governança e visibilidade em relação ao uso de IA, especialmente em um cenário onde a adoção de IA pessoal está se tornando comum dentro dos fluxos de trabalho corporativos.

Uma nova campanha de cryptojacking está atacando sistemas com computadores de alto desempenho, utilizando uma operação de envenenamento de SEO coordenada que manipula recomendações de chatbots de IA. Os ataques começam quando usuários buscam por softwares utilitários legítimos, como CrystalDiskInfo e HWMonitor, e são redirecionados para links maliciosos que aparecem nas primeiras posições dos resultados de busca. Após a infecção, os atacantes ganham acesso persistente ao sistema por meio da ferramenta de gerenciamento remoto ScreenConnect, que pode ser usada para instalar malware adicional.

Um vazamento de dados no Instituto Nacional do Seguro Social (INSS) expôs informações de 2,8 milhões de CPFs, conforme confirmado pela Dataprev. As informações vazadas incluem CPFs e datas de nascimento, sendo que 98% dos dados pertencem a cidadãos falecidos. O incidente ocorreu no final de abril, mas foi divulgado apenas na última semana. O INSS informou que a falha já foi corrigida e que medidas adicionais de segurança foram implementadas. Apesar de não terem sido expostos dados sensíveis como senhas, o vazamento pode facilitar tentativas de golpes. O INSS alertou sobre a importância de não confirmar dados pessoais por telefone ou mensagem e recomendou que os cidadãos monitorem seus CPFs no Registrato do Banco Central. Além disso, é aconselhável verificar movimentações suspeitas no aplicativo Meu INSS e estar atento a propostas de empréstimos não solicitados.

A cidade de Sandstone, Minnesota, notificou seus residentes sobre um vazamento de dados ocorrido em abril de 2026, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados financeiros e datas de nascimento. O grupo criminoso Qilin, uma gangue de ransomware de destaque, assumiu a responsabilidade pelo ataque em 4 de maio de 2026, embora a cidade não tenha confirmado essa alegação. O incidente foi descoberto em 8 de abril, quando a cidade percebeu interrupções em seus sistemas de computação, levando à conclusão de que se tratava de um ataque de ransomware. A cidade está oferecendo monitoramento de crédito gratuito para as vítimas do vazamento, mas não divulgou quantas pessoas foram afetadas ou se um resgate foi pago. O grupo Qilin, baseado na Rússia, é conhecido por atacar organizações através de e-mails de phishing e já reivindicou 557 ataques de ransomware em 2026, com um número crescente de alvos governamentais nos EUA. Os ataques de ransomware em entidades governamentais podem resultar em roubo de dados e paralisação de sistemas, afetando serviços essenciais e expondo dados pessoais a riscos de fraude.

A botnet Glassworm, que visava desenvolvedores em ataques à cadeia de suprimentos de software, foi desmantelada após uma operação coordenada entre CrowdStrike, Google e a Shadowserver Foundation. Desde outubro de 2025, a Glassworm utilizava extensões maliciosas do OpenVSX e do Microsoft VS Code para roubar carteiras de criptomoedas e credenciais de desenvolvedores. As campanhas se expandiram para repositórios do GitHub e pacotes npm, afetando mais de 400 artefatos de software em uma única onda de ataques. A infraestrutura de comando e controle (C2) da botnet era resistente, utilizando transações da blockchain Solana e a rede DHT do BitTorrent, o que dificultava sua desativação. Os pesquisadores destacaram que a combinação de canais de comunicação não tradicionais permitiu que a botnet sobrevivesse por tanto tempo. Para desmantelar a Glassworm, foi necessário interromper quatro canais C2 simultaneamente, o que impediu que máquinas infectadas recebessem novas instruções. Após a operação, máquinas comprometidas começaram a se conectar a um endereço IP controlado pela CrowdStrike, e organizações foram alertadas a tomar medidas imediatas de remediação.

A proteção de contas do Active Directory (AD) começa com políticas de senha robustas, que devem ser aplicadas de forma consistente em toda a organização. O desafio é encontrar um equilíbrio entre regras muito fracas, que aumentam a superfície de ataque, e regras excessivamente rigorosas, que levam os usuários a encontrar soluções alternativas, como anotar senhas ou reutilizá-las. Uma abordagem recomendada é a adoção de frases-senha em vez de senhas complexas, priorizando o comprimento em vez da complexidade. Além disso, é crucial bloquear a criação de senhas fracas e comprometidas, utilizando ferramentas como o Specops Password Policy, que permite a criação de listas de palavras banidas e a verificação contínua contra credenciais comprometidas. A revisão das políticas de expiração de senhas também é necessária, evitando a exigência de mudanças frequentes sem evidências de comprometimento. Outras práticas recomendadas incluem o uso de gerenciadores de senhas, a implementação de redefinições de senha autônomas e a comunicação clara com os usuários sobre as políticas. Essas estratégias visam não apenas fortalecer a segurança, mas também melhorar a experiência do usuário, reduzindo a carga sobre as equipes de suporte.

A CrowdStrike, em colaboração com o Google e a Shadowserver Foundation, anunciou a interrupção simultânea de todos os canais de comando e controle (C2) associados ao malware GlassWorm. Desde 2025, os operadores do GlassWorm têm como alvo desenvolvedores de software, utilizando pacotes e extensões maliciosas para comprometer repositórios de código e pipelines de CI/CD. O malware se destaca por sua capacidade de infiltrar-se em extensões do VS Code e pacotes npm e Python, visando roubar credenciais e dados sensíveis. Os ataques têm como objetivo principal a instalação de um framework de roubo de dados, que inclui a coleta de informações de navegadores e credenciais de desenvolvedores. A operação utilizou quatro canais C2 distintos, incluindo o uso da blockchain Solana e o Google Calendar, para garantir resiliência contra desmantelamentos. A CrowdStrike atribui a atividade a cibercriminosos possivelmente baseados na Rússia, dado que o malware interrompe sua execução em sistemas da CEI. O artigo destaca a vulnerabilidade da cadeia de suprimentos de software, alertando que, enquanto ambientes de desenvolvimento permanecerem desprotegidos, todos os usuários de software estarão em risco.

Pesquisadores de cibersegurança identificaram um novo pacote malicioso no registro npm, denominado ‘mouse5212-super-formatter’, que possui capacidades de roubo de informações. Segundo a OX Security, o pacote é projetado para fazer upload de arquivos da pasta ‘/mnt/user-data’, utilizada pela ferramenta de inteligência artificial Claude, da Anthropic. O malware, apelidado de Malware-Slop, se apresenta como uma ferramenta interna de sincronização de repositórios do GitHub, mas na verdade, autentica-se na plataforma usando tokens de acesso encontrados no ambiente da vítima ou um token codificado como alternativa. Após verificar a existência de um repositório alvo, o malware cria um novo repositório, caso necessário, e faz o upload recursivo de todos os arquivos para uma conta controlada por um ator de ameaça. O pacote já foi baixado 676 vezes, mas não está claro quantas dessas correspondem a instalações reais. O GitHub associado à campanha foi desativado, embora tenha sido criado poucas horas antes do upload da versão maliciosa. O incidente levanta preocupações sobre a segurança operacional, pois o pacote vazou detalhes do token privado do GitHub, sugerindo que o ator de ameaça pode estar utilizando inteligência artificial para gerar malware sem seguir práticas básicas de segurança operacional.

Recentes investigações da WatchGuard e ESET revelaram que duas campanhas de malware, Grandoreiro e BTMOB, estão atacando dispositivos Windows e Android na América Latina e Europa. O Grandoreiro, ativo desde 2016, utiliza a técnica de DLL Side-Loading para infectar sistemas, visando bancos em Portugal e expandindo suas operações apesar de esforços de desmantelamento por autoridades brasileiras. O malware é distribuído principalmente por e-mails de phishing, que induzem os usuários a clicar em links maliciosos. A campanha também incorpora verificações de CAPTCHA para dificultar a análise. Por outro lado, o BTMOB, um trojan de acesso remoto para Android, permite que atacantes desbloqueiem dispositivos, capturem telas e roubem credenciais. Este malware é vendido como um serviço, permitindo que até mesmo usuários sem habilidades de programação criem novas campanhas rapidamente. Ambos os malwares representam um risco significativo, especialmente com a crescente sofisticação das técnicas de ataque, tornando a detecção mais difícil. As empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações financeiras.

A Microsoft lançou a atualização cumulativa opcional KB5089573 para as versões 25H2 e 24H2 do Windows 11, trazendo 30 melhorias focadas em desempenho e confiabilidade. Esta atualização, parte do cronograma de pré-visualização mensal da empresa, não inclui correções de segurança, permitindo que administradores de TI e usuários testem novas funcionalidades antes do Patch Tuesday do próximo mês. Entre as melhorias, destaca-se a aceleração no lançamento de aplicativos e na experiência do shell, como o menu Iniciar e o Centro de Ações. Além disso, a atualização aprimora o comportamento de login nas telas de bloqueio e de login, tornando o Windows Hello o método padrão de autenticação. A confiabilidade do Windows também foi melhorada no File Explorer e nas configurações de temas. A atualização pode ser instalada manualmente pelo Catálogo de Atualizações da Microsoft ou através das configurações do Windows Update. A KB5089573 atualiza os dispositivos para as builds 26200.8524 e 26100.8524, respectivamente, e inclui melhorias como áudio compartilhado e exibição de velocidade da CPU no Gerenciador de Tarefas. A Microsoft também está substituindo certificados Secure Boot que expiram em junho de 2026.