Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

A gangue de extorsão ShinyHunters comprometeu os sistemas da rede de lojas de conveniência 7-Eleven, resultando no roubo de informações pessoais de mais de 183 mil indivíduos. O ataque ocorreu em abril de 2026, quando um terceiro não autorizado acessou sistemas utilizados para armazenar documentos de franqueados. A 7-Eleven confirmou a violação em cartas enviadas aos clientes afetados em 1º de maio, mas não atribuiu o ataque a um grupo específico. No entanto, os ShinyHunters reivindicaram a responsabilidade em 17 de abril, alegando ter roubado mais de 600 mil registros, incluindo dados corporativos e informações pessoais identificáveis. Após a recusa da empresa em pagar um resgate, os criminosos vazaram um arquivo de 9,4 GB em seu site na dark web. A análise do serviço Have I Been Pwned revelou que os dados expostos incluíam nomes, endereços, datas de nascimento, e-mails e números de telefone. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam grandes empresas e a importância de medidas de segurança robustas para proteger informações sensíveis.

Uma falha de segurança de alta gravidade, agora corrigida, afetou o sistema de gestão de aprendizagem Digital Knowledge KnowledgeDeliver, amplamente utilizado no Japão. A vulnerabilidade, identificada como CVE-2026-5426, possui uma pontuação CVSS de 7.5 e permite a execução remota de código não autenticado através de um ataque de desserialização do ViewState, devido ao uso de chaves de máquina ASP.NET codificadas. A exploração dessa falha possibilitou que um ator malicioso injetasse código malicioso na plataforma, visando infectar usuários que acessavam o site. O ataque resultou na implantação do shell web Godzilla e na execução de comandos que comprometeram o sistema de arquivos do servidor, além de manipulações que induziram os usuários a instalar um plugin de segurança falso, culminando na infecção por Cobalt Strike Beacon. A situação ressalta os riscos associados ao uso de segredos compartilhados em templates de implantação, onde uma única chave vazada pode comprometer múltiplas instâncias do sistema. A implementação de segredos únicos e monitoramento robusto de endpoints é recomendada para prevenir tais ataques.

Desde o início de 2026, uma nova onda de fraudes digitais, conhecida como CypherLoc, tem enganado milhões de usuários na internet. Pesquisadores de segurança da Barracuda alertaram que cerca de 2,8 milhões de pessoas foram alvo dessa campanha, que utiliza e-mails de phishing e manipulação psicológica para induzir os usuários a acreditar que seus navegadores estão completamente bloqueados. Ao clicar em links maliciosos ou anexos infectados, as vítimas são redirecionadas para páginas que parecem inofensivas, mas que na verdade são armadilhas. Uma vez ativado, o ataque transforma o navegador em uma ‘prisão digital’, desativando menus e ocultando o cursor, enquanto exibe mensagens alarmantes de segurança. Um número de suporte falso aparece como a única solução, levando os usuários a fornecer informações sensíveis a golpistas que se passam por funcionários de suporte técnico. Para se proteger, os usuários devem ser cautelosos com e-mails desconhecidos, evitar clicar em links suspeitos e instalar softwares antivírus confiáveis. Alertas de segurança legítimos nunca bloqueiam navegadores ou exigem ações imediatas através de janelas pop-up.

Uma grave vulnerabilidade de injeção de comandos foi identificada no sistema operacional PolyScope 5, da Universal Robots, que afeta milhares de robôs industriais. A falha, classificada como CVE-2026-8153, possui uma pontuação CVSS de 9.8, indicando um risco crítico. Um atacante não autenticado que consiga acessar a porta de rede do Dashboard Server pode injetar comandos diretamente no sistema operacional do robô, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A Universal Robots lançou um patch na versão 5.25.1, mas a instalação é necessária para mitigar a vulnerabilidade. A empresa alerta que a segurança da rede é crucial, pois a exploração remota requer que o Dashboard Server esteja habilitado e acessível na rede. Embora não haja relatos de exploração pública até o momento, a falta de segmentação adequada da rede pode permitir que esta vulnerabilidade seja explorada facilmente em ambientes industriais. A presença de robôs colaborativos, que trabalham ao lado de humanos, torna essa ameaça ainda mais preocupante, pois um robô comprometido pode causar danos físicos aos trabalhadores nas proximidades.

O FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing-as-a-service (PhaaS) que visa contas Microsoft 365. Essa plataforma, que surgiu em abril de 2026, utiliza a autenticação via código de dispositivo OAuth para roubar tokens de sessão e contornar a autenticação multifator (MFA). Kali365 é distribuída por canais do Telegram e permite que até mesmo atacantes com pouca habilidade comprometam contas sem precisar roubar senhas ou interceptar códigos MFA. O método de phishing por código de dispositivo explora um fluxo legítimo de autorização do OAuth 2.0, permitindo que dispositivos com capacidades limitadas se autentiquem por meio de um código gerado. Os atacantes induzem as vítimas a inserir esse código na página de login da Microsoft, obtendo acesso total às contas após a conclusão da MFA. O FBI recomenda que as empresas restrinjam ou bloqueiem esses fluxos de autenticação e auditem seu uso. A plataforma Kali365 também oferece funcionalidades avançadas, como iscas de phishing geradas por IA e painéis de rastreamento em tempo real. A adoção generalizada desse método de phishing representa uma ameaça crescente, com outros grupos cibernéticos, como EvilTokens e Tycoon2FA, também explorando essa técnica.

A Anthropic está se preparando para o lançamento público do modelo ‘Mythos’, anunciado em abril como um modelo restrito que apresenta riscos significativos à segurança de softwares privados e públicos. O Mythos promete avanços notáveis em tarefas de segurança cibernética, superando seu modelo anterior, Opus 4.7, em raciocínio de código e autonomia. A empresa alertou que o modelo pode desenvolver automaticamente ciberataques em um nível profissional, o que representa uma ameaça à infraestrutura digital global. Para mitigar esses riscos, a Anthropic decidiu adiar o lançamento até que um sistema de proteção robusto estivesse em vigor. O modelo Mythos já foi referenciado em versões públicas de Claude Code e Claude Security, indicando que a empresa está próxima de disponibilizá-lo. Além disso, a Anthropic está colaborando com outras empresas no projeto ‘Glasswing’, que visa proteger softwares críticos contra explorações impulsionadas por IA, utilizando o Mythos Preview. Nos primeiros 30 dias, o modelo identificou 10.000 vulnerabilidades de alta ou crítica severidade, o que justifica a cautela em seu lançamento.

Na última semana, o cenário de cibersegurança apresentou incidentes significativos, incluindo a violação do GitHub, que resultou na exfiltração de cerca de 3.800 repositórios devido a uma versão comprometida da extensão Nx Console do Visual Studio Code. O grupo TeamPCP foi identificado como responsável pelo ataque, que se insere em uma série de compromissos relacionados à cadeia de suprimentos de software. Além disso, uma vulnerabilidade crítica no núcleo do Linux, que permaneceu oculta por nove anos, foi divulgada, permitindo a execução de comandos como root em várias distribuições. A Microsoft também alertou sobre falhas ativas no Defender, que estão sendo exploradas, e lançou mitigações para uma vulnerabilidade de bypass do BitLocker. A situação é preocupante, com um aumento nas tentativas de exploração de falhas, como uma vulnerabilidade SQL no Drupal Core, que já está sendo atacada ativamente. A crescente sofisticação das campanhas de phishing e a exploração de botnets para atacar sistemas expostos à internet também foram destacadas, evidenciando a necessidade urgente de atualização e monitoramento contínuo das infraestruturas de segurança.

Pesquisadores de cibersegurança identificaram um malware multiplataforma conhecido como RemotePE, utilizado pelo grupo Lazarus, vinculado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas. O RemotePE faz parte de uma cadeia de ataque em múltiplas etapas que começa com o DPAPILoader, que descriptografa e carrega o RemotePELoader, que por sua vez se conecta a um servidor de comando e controle (C2) para receber o módulo principal, o RemotePE. Este malware, executado inteiramente na memória, não deixa rastros no sistema de arquivos, dificultando a detecção. A sequência de infecção inicia-se com engenharia social, onde um funcionário é abordado por um criminoso disfarçado de colega em plataformas como Telegram. O RemotePE permite uma variedade de comandos, incluindo operações de arquivos e gerenciamento de processos, e é projetado para manter acesso a longo prazo, visando furtos de dados ou grandes roubos financeiros. A análise indica que o RemotePE está em desenvolvimento ativo desde 2023, com um foco claro em alvos de alto valor, como instituições financeiras e de criptomoedas.

Recentemente, um grave problema de segurança foi identificado no Ghost CMS, uma plataforma popular de gerenciamento de conteúdo. A vulnerabilidade, classificada como CVE-2026-26980, apresenta uma pontuação de 9.4 no CVSS e permite que atacantes não autenticados realizem injeções SQL, acessando dados arbitrários do banco de dados. Essa falha foi corrigida na versão 6.19.1, lançada em fevereiro de 2026, após ser descoberta pela Anthropic.

Os atacantes estão utilizando essa vulnerabilidade para obter a chave da API de administração do site, o que lhes permite injetar código JavaScript malicioso em artigos, facilitando ataques de ClickFix. Desde sua detecção em 7 de maio de 2026, mais de 700 sites foram comprometidos, incluindo instituições de ensino, empresas de tecnologia e fintechs. O código injetado atua como um carregador de dois estágios, que busca um payload malicioso de um domínio externo, permitindo que os atacantes adaptem suas ações conforme necessário.

O NymVPN, um provedor de serviços de VPN focado em privacidade, anunciou uma série de atualizações significativas em um período de dois meses, incluindo a introdução do split-tunneling e um bloqueador de anúncios em versão beta. Essas funcionalidades permitem que os usuários escolham quais aplicativos usarão a rede mixnet, enquanto outros podem se conectar normalmente. Além disso, a primeira fase da segurança pós-quântica foi implementada, utilizando um protocolo inovador chamado Lewes Protocol, que visa proteger dados contra a ameaça de futuros computadores quânticos. Outra novidade é o modelo de pagamento ‘Pay as You Go’, que permite acesso à rede sem a necessidade de criar uma conta ou fornecer informações pessoais. O NymVPN também está se preparando para lançar um aplicativo redesenhado, prometendo uma interface mais limpa e simples. Essas melhorias visam atender às expectativas dos usuários e reforçar a posição do NymVPN como uma opção de VPN que prioriza a privacidade, especialmente em um cenário de crescente vigilância digital.

A Surfshark lançou uma promoção exclusiva para leitores do TechRadar, oferecendo cartões presentes da Amazon de até $30 e três meses adicionais de proteção ao adquirir um plano de dois anos. Essa oferta é válida até 2 de junho de 2026 e proporciona um total de 27 meses de proteção com um dos VPNs mais recomendados do mercado. Os planos começam a partir de $1,99 por mês, com pagamento inicial de $53,73. Para obter o melhor valor, o plano One, que custa $2,49 por mês (totalizando $67,23), inclui um voucher de $20 e oferece recursos adicionais como proteção contra vírus e alertas de vazamento de dados. Todos os planos contam com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. A promoção é uma oportunidade interessante para quem busca melhorar sua privacidade online e, ao mesmo tempo, obter um benefício adicional com o cartão presente da Amazon.

Uma nova campanha de ataque coordenada, chamada TrapDoor, tem como alvo as plataformas npm, PyPI e Crates.io, distribuindo malware que rouba credenciais. Desde 22 de maio de 2026, mais de 34 pacotes maliciosos foram identificados, com 384 versões diferentes. O foco principal do ataque são desenvolvedores nas comunidades de criptomoedas, DeFi, Solana e IA. Os pacotes maliciosos visam roubar segredos de desenvolvedores, carteiras de criptomoedas, chaves SSH e credenciais de nuvem. A operação utiliza métodos sofisticados, como hooks de pós-instalação e scripts de construção maliciosos, para se infiltrar em ambientes de desenvolvimento. Um aspecto notável é a inclusão de instruções ocultas em arquivos que enganam assistentes de IA para realizar varreduras de segurança, resultando na descoberta e exfiltração de segredos. A campanha destaca a crescente tendência de atacantes que visam fluxos de trabalho de desenvolvedores, utilizando técnicas de typosquatting e caminhos de ataque específicos do ecossistema.

Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL (CVE-2026-26980) no Ghost CMS, permitindo que atacantes injetem código JavaScript malicioso em mais de 700 domínios, incluindo portais universitários e empresas de tecnologia. A vulnerabilidade afeta as versões do Ghost CMS entre 3.24.0 e 6.19.0, permitindo que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves da API de administração. O código malicioso injetado é um carregador leve que busca scripts adicionais da infraestrutura do atacante, levando a um ataque ClickFix que engana os visitantes a executarem comandos prejudiciais em seus sistemas. Embora um patch tenha sido disponibilizado em 19 de fevereiro de 2023, muitos sites ainda não o aplicaram, expondo-se a riscos significativos. Os administradores de sites são aconselhados a atualizar para a versão 6.19.1 ou superior e a revisar minuciosamente seus sistemas em busca de scripts injetados.

O artigo da TechRadar destaca a importância de utilizar uma VPN, como a ExpressVPN, especialmente durante viagens, como o feriado do Memorial Day. Conectar-se a redes Wi-Fi públicas, comuns em cafés e postos de gasolina, pode expor os usuários a riscos de segurança, como monitoramento de atividades online e interceptação de dados não criptografados. A ExpressVPN se destaca por oferecer servidores em todos os 50 estados dos EUA, além de chaves de criptografia seguras e ferramentas adicionais, como um gerenciador de senhas, dependendo do plano escolhido. Com um preço inicial de apenas $2,79 por mês, a ExpressVPN se posiciona como uma das opções mais acessíveis no mercado, superando concorrentes como NordVPN e ProtonVPN. O artigo também menciona que, embora a ExpressVPN tenha credenciais de segurança robustas, outras opções podem ser mais adequadas dependendo das necessidades específicas do usuário, como streaming ou privacidade. A ExpressVPN também oferece o Aircove, um roteador que integra a segurança da VPN de forma simplificada. Essa análise é relevante para usuários que buscam segurança online, especialmente em um cenário de crescente vigilância digital.

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.

As autoridades italianas desmantelaram uma rede de pirataria que operava através do aplicativo CINEMAGOAL, que oferecia acesso a plataformas de streaming como Netflix, Disney+ e Spotify. A operação, chamada ‘Tutto Chiaro’, resultou em 100 buscas e na apreensão de materiais que podem ajudar a identificar os envolvidos e os lucros obtidos ilegalmente. A Guardia di Finanza revelou que os operadores do CINEMAGOAL teriam gerado milhões de euros em lucros por meio de pirataria audiovisual e fraudes. O aplicativo se conectava diretamente a plataformas legítimas, utilizando códigos de decriptação válidos obtidos de servidores estrangeiros. O sistema capturava esses códigos a cada três minutos e os redistribuía aos usuários, que se beneficiavam de uma qualidade de streaming superior. Durante a operação, servidores do CINEMAGOAL foram apreendidos na França e na Alemanha, e mais de 70 revendedores foram identificados, vendendo assinaturas anuais entre €40 e €130. Estima-se que a operação tenha causado danos de cerca de €300 milhões em receitas não pagas. As autoridades estão analisando o material apreendido para identificar todos os envolvidos, incluindo usuários finais, e já aplicaram multas a alguns assinantes.

No último mês, a Anthropic anunciou que seu projeto de cibersegurança, denominado Glasswing, identificou mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares essenciais globalmente. Dentre essas, 6.202 foram classificadas como falhas impactantes em mais de 1.000 projetos de código aberto, com 1.726 sendo confirmadas como verdadeiros positivos. Um exemplo crítico é a vulnerabilidade no WolfSSL (CVE-2026-5194), que permite a falsificação de certificados. A iniciativa, que oferece acesso antecipado ao modelo Claude Mythos Preview para cerca de 50 parceiros, visa fortalecer a infraestrutura de software global. A Anthropic destaca a necessidade urgente de que desenvolvedores reduzam seus ciclos de correção e implementem medidas de segurança, como autenticação multifatorial. Além disso, a empresa lançou um Programa de Verificação Cibernética, permitindo que profissionais de segurança utilizem seus modelos para pesquisa de vulnerabilidades e testes de penetração. Com a crescente descoberta de vulnerabilidades assistida por IA, a pressão sobre os fornecedores de software para corrigir falhas está aumentando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

O Drupal, um popular sistema de gerenciamento de conteúdo, emitiu um alerta sobre uma vulnerabilidade de injeção SQL considerada ‘altamente crítica’, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi da Google/Mandiant, afeta a API de abstração de banco de dados do Drupal e permite que atacantes executem comandos SQL maliciosos em sites que utilizam PostgreSQL. A exploração dessa vulnerabilidade não requer autenticação, o que aumenta significativamente os riscos, podendo levar à execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis. Desde a publicação do alerta, tentativas de exploração já foram detectadas, levando o Drupal a atualizar a pontuação de risco para 23 em 25, embora o NIST a classifique como de severidade média, com uma pontuação CVSS de 6.5. O Drupal recomenda que todos os administradores atualizem imediatamente para as versões mais recentes de suas ramificações, uma vez que a falha impacta diversas versões do sistema. Além disso, mesmo aqueles que não utilizam PostgreSQL devem realizar a atualização, pois as correções incluem melhorias em dependências críticas como Symfony e Twig. O uso contínuo das versões 8 e 9 do Drupal, que estão no fim de sua vida útil, é considerado arriscado devido a outras vulnerabilidades conhecidas.

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

Dois ex-executivos de uma empresa de rastreamento e análise de chamadas, Adam Young e Harrison Gevirtz, se declararam culpados por ocultar um esquema de fraude em suporte técnico que afetou vítimas em todo o mundo. Entre 2017 e 2022, eles operaram a C.A. Cloud Attribution, Ltd., fornecendo serviços a clientes envolvidos em fraudes de telemarketing e suporte técnico. Os golpistas enganavam usuários com anúncios falsos, alegando que seus sistemas estavam infectados, e direcionavam as vítimas a centros de atendimento que cobravam altas quantias por serviços técnicos fictícios, muitas vezes se passando por empresas como Microsoft e Apple. Young e Gevirtz não apenas ignoraram as atividades fraudulentas de seus clientes, mas também aconselharam a utilização de números de telefone rotativos para evitar reclamações. Além disso, eles operaram um call center na Tunísia, onde alguns funcionários participaram de fraudes semelhantes. O FBI relatou que os americanos perderam pelo menos $2,1 bilhões para fraudes de suporte técnico em 2025, destacando a gravidade do problema. Os executivos enfrentam uma pena máxima de três anos de prisão e multas de até $250 mil, com a sentença marcada para 16 de junho.

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

A Ubiquiti divulgou atualizações de segurança para corrigir três vulnerabilidades de gravidade máxima no UniFi OS, que podem ser exploradas por atacantes remotos sem privilégios. O UniFi OS é um sistema operacional unificado que gerencia a infraestrutura de TI, incluindo redes e segurança. A primeira falha (CVE-2026-34908) permite alterações não autorizadas em sistemas, enquanto a segunda (CVE-2026-34909) possibilita o acesso a arquivos do sistema subjacente por meio de uma vulnerabilidade de Path Traversal. A terceira falha (CVE-2026-34910) permite ataques de injeção de comandos após o acesso à rede, explorando uma vulnerabilidade de validação inadequada de entrada. Além disso, a Ubiquiti corrigiu uma segunda falha crítica de injeção de comandos (CVE-2026-33000) e uma de divulgação de informações (CVE-2026-34911). Embora a empresa não tenha confirmado se as vulnerabilidades foram exploradas antes da divulgação, elas podem ser utilizadas em ataques de baixa complexidade. Atualmente, a empresa de inteligência de ameaças Censys rastreia cerca de 100.000 endpoints do UniFi OS expostos na Internet, a maioria localizada nos Estados Unidos. A Ubiquiti já enfrentou ataques de grupos de hackers apoiados por estados e cibercriminosos, o que destaca a importância de mitigar essas vulnerabilidades rapidamente.

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

A Cisco lançou atualizações para uma vulnerabilidade de alta severidade no Secure Workload, identificada como CVE-2026-20223, com uma pontuação CVSS de 10.0. Essa falha permite que um atacante remoto e não autenticado acesse dados sensíveis devido à validação e autenticação insuficientes ao acessar endpoints da API REST. Segundo a Cisco, um atacante pode explorar essa vulnerabilidade enviando uma solicitação de API manipulada para um endpoint afetado, o que pode resultar na leitura de informações confidenciais e na realização de alterações de configuração com privilégios de administrador do site. A vulnerabilidade afeta o Cisco Secure Workload Cluster Software em implementações SaaS e locais, independentemente da configuração do dispositivo, e não há soluções alternativas disponíveis. As versões afetadas incluem o Cisco Secure Workload Release 3.9 e anteriores, com correções disponíveis nas versões 3.10.8.3 e 4.0.3.17. A Cisco identificou a falha durante testes internos de segurança e não há evidências de exploração ativa até o momento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Um erro grave no Chromium, que permite que o JavaScript continue a ser executado em segundo plano mesmo após o fechamento do navegador, foi acidentalmente revelado pelo Google. A falha, identificada pela pesquisadora de segurança Lyra Rebane, foi reconhecida em dezembro de 2022 e afeta todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave. Um atacante pode explorar essa vulnerabilidade criando uma página maliciosa que utiliza um Service Worker, permitindo a execução contínua de código JavaScript nos dispositivos dos usuários. Isso pode resultar em ataques de negação de serviço distribuído (DDoS) e redirecionamento de tráfego malicioso. Apesar de a falha ter sido marcada como corrigida em fevereiro de 2023, a pesquisadora constatou que o problema persiste em versões recentes do Chrome e Edge. A exposição das informações sobre a vulnerabilidade pode facilitar a exploração, embora não permita acesso direto a dados pessoais dos usuários. Dada a gravidade da situação, espera-se que o Google trate o problema como urgente e lance correções rapidamente.

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

A Apple anunciou que bloqueou mais de R$ 11 bilhões em transações fraudulentas na App Store nos últimos seis anos, com mais de R$ 2,2 bilhões apenas em 2025. Em um comunicado à imprensa, a empresa revelou que rejeitou mais de 2 milhões de submissões problemáticas de aplicativos no último ano e bloqueou mais de 1,1 bilhão de criações de contas fraudulentas. Além disso, a Apple encerrou 193 mil contas de desenvolvedores devido a preocupações com fraudes e desativou 40,4 milhões de contas de clientes suspeitas de abuso. Os números de 2025 mostram um aumento significativo em relação aos anos anteriores, com a empresa utilizando tecnologia avançada e revisão humana para detectar e impedir o uso de informações financeiras roubadas. A equipe de revisão de aplicativos da Apple avaliou mais de 9,1 milhões de submissões em 2025, rejeitando um número considerável por violações de privacidade e táticas enganosas. A Apple também processou mais de 1,3 bilhão de avaliações e bloqueou quase 195 milhões de avaliações fraudulentas. A empresa aconselha os usuários a reportarem atividades suspeitas em aplicativos baixados da App Store.

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.