Um jornalista da BBC demonstrou que é alarmantemente fácil manipular chatbots de inteligência artificial (IA) para disseminar informações falsas. Thomas Germain publicou um artigo fictício em seu blog, alegando ser o melhor ‘jornalista tech comedor competitivo de cachorro-quente’, e em menos de 24 horas, seu nome apareceu como o principal resultado em buscas no Gemini, ChatGPT e na Visão Geral da IA do Google. Essa facilidade de manipulação levanta preocupações sérias, especialmente em áreas críticas como saúde e política, onde informações erradas podem ter consequências graves. Especialistas, como Lily Ray, alertam que a evolução rápida da tecnologia de IA supera os esforços das empresas para controlar a qualidade das informações. Embora a Google afirme que 99% dos resultados de pesquisa estão livres de spam, a realidade é que 15% das buscas diárias são novas, o que abre espaço para manipulações. Germain sugere que a solução pode ser a implementação de avisos legais mais claros sobre as fontes das informações apresentadas pelos chatbots. O artigo destaca a importância do pensamento crítico por parte dos usuários, que não devem aceitar informações de IA sem questionamento.

Uma nova campanha de phishing está explorando uma vulnerabilidade do Excel para disseminar um trojan de acesso remoto (RAT) conhecido como ‘XWorm 7.2’. O malware é disfarçado como um arquivo JPEG, que na verdade contém um código malicioso. Ao abrir um arquivo Excel enviado por e-mail, a vítima é levada a executar um script que instala o malware, permitindo que os hackers tenham controle total sobre a máquina. Essa técnica utiliza engenharia social, com mensagens que parecem legítimas, solicitando pagamentos ou documentos que não existem. O XWorm 7.2, que já existe desde 2022, teve sua versão mais recente identificada em lojas do Telegram, mostrando uma evolução em sua sofisticação. O malware é capaz de roubar senhas, chaves de Wi-Fi e até mesmo coletar cookies do navegador. Além disso, ele pode espionar a vítima através da webcam e lançar ataques de negação de serviço (DDoS). A complexidade do XWorm 7.2 torna sua remoção extremamente difícil, pois ele se oculta em processos legítimos do Windows, dificultando a detecção por antivírus.

Especialistas da Kaspersky identificaram uma nova ameaça para usuários de dispositivos Android: um malware chamado Keenadu, que pode vir pré-instalado no sistema operacional. Este software malicioso é capaz de roubar dados sensíveis, como senhas e informações bancárias, sem que o usuário perceba. O Keenadu se infiltra no firmware dos dispositivos através de pacotes de atualização OTA e também pode ser instalado por meio de fontes não oficiais, incluindo a Play Store. A Kaspersky alerta que a remoção do malware é extremamente difícil e requer ajuda especializada. Até o momento, mais de 13 mil dispositivos foram afetados, com vítimas localizadas em países como Brasil, Japão, Rússia, Holanda e Alemanha. O Keenadu tem acesso completo aos dados do dispositivo, permitindo que atacantes realizem operações ilegais, como a instalação de aplicativos sem consentimento do usuário. A origem do malware ainda é desconhecida, mas ele tem sido utilizado principalmente para fraudes publicitárias.

Duas gangues de cibercriminosos afirmaram ter invadido a Resource Corporation of America (RCA), uma empresa de faturamento médico, e roubaram dados pessoais significativos, incluindo números de Seguro Social, informações de seguro de saúde, diagnósticos médicos e datas de nascimento. A RCA confirmou a violação de seus sistemas em dezembro de 2025, após detectar atividades suspeitas. As gangues Medusa e Qilin reivindicaram a responsabilidade pelo ataque, com Medusa exigindo um resgate de $800.000, enquanto Qilin não divulgou seu pedido. Medusa publicou amostras de documentos supostamente roubados e reiterou que os dados foram publicados após negociações de resgate fracassadas. O ataque ocorreu entre 9 e 17 de dezembro de 2025, comprometendo a segurança de dados de milhões de pessoas. A RCA não confirmou as reivindicações das gangues, e a Comparitech está aguardando um comentário da empresa. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já registrou 30 ataques confirmados em 2025, afetando mais de 6 milhões de pessoas.

Hackers apoiados pelo Estado norte-coreano, associados ao grupo de ameaças Lazarus, estão atacando organizações de saúde nos Estados Unidos com extorsões utilizando o ransomware Medusa. Desde sua emergência em janeiro de 2021, o Medusa, que opera como um serviço de ransomware (RaaS), afetou mais de 300 organizações em setores críticos, com a gangue reivindicando pelo menos 80 novas vítimas até fevereiro de 2025. A Symantec, empresa de cibersegurança, relatou que um subgrupo do Lazarus, possivelmente Andariel/Stonefly, está agora utilizando o Medusa em ataques cibernéticos motivados financeiramente. Os ataques têm como alvo não apenas instituições de saúde, mas também organizações sem fins lucrativos, com um dos alvos sendo uma instituição educacional para crianças autistas. O valor do resgate pode chegar a 15 milhões de dólares, embora a média seja de cerca de 260 mil dólares. Os fundos obtidos são utilizados para apoiar operações de espionagem contra entidades nos setores de defesa, tecnologia e governo dos EUA, Taiwan e Coreia do Sul. A Symantec também forneceu indicadores de comprometimento (IoCs) que incluem dados de infraestrutura de rede e hashes do malware utilizado nos ataques.

A gangue de extorsão ShinyHunters assumiu a responsabilidade por uma violação de dados na operadora de telecomunicações holandesa Odido, resultando no roubo de milhões de registros de usuários. A Odido, uma das maiores empresas de telecomunicações da Holanda, revelou que os atacantes acessaram seu sistema de contato com clientes em 7 de fevereiro e baixaram dados pessoais de aproximadamente 6,2 milhões de clientes. Embora a empresa tenha afirmado que informações sensíveis, como senhas e dados de cobrança, não foram expostas, a ShinyHunters alegou ter roubado quase 21 milhões de registros, incluindo dados corporativos internos e senhas em texto claro. A Odido notificou a Autoridade de Proteção de Dados da Holanda e contratou especialistas em cibersegurança para mitigar os danos. A gangue também emitiu um aviso de extorsão, sugerindo que a empresa deve entrar em contato para evitar a divulgação dos dados. Este incidente se insere em uma série de ataques recentes da ShinyHunters, que visaram outras empresas conhecidas, utilizando técnicas de phishing e vishing para comprometer contas de acesso único (SSO).

A SolarWinds lançou atualizações de segurança para corrigir quatro vulnerabilidades críticas no software de transferência de arquivos Serv-U, que podem permitir que atacantes obtenham acesso root a servidores não corrigidos. A falha mais grave, identificada como CVE-2025-40538, permite que atacantes com altos privilégios criem um usuário administrador do sistema e executem código arbitrário como root. Além disso, foram corrigidas duas falhas de confusão de tipo e uma vulnerabilidade de Referência Direta Insegura (IDOR), todas exigindo que os atacantes já possuam privilégios elevados nos servidores-alvo. Atualmente, mais de 12.000 servidores Serv-U estão expostos na Internet, tornando-os alvos atraentes para grupos de cibercrime, que já exploraram vulnerabilidades anteriores para roubo de dados e ataques de ransomware. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está monitorando nove falhas de segurança da SolarWinds que estão sendo ativamente exploradas. É crucial que as organizações que utilizam o Serv-U apliquem as atualizações de segurança imediatamente para mitigar riscos potenciais.

O Escritório do Comissário de Informação do Reino Unido (ICO) multou o Reddit em £14,47 milhões (mais de $19,5 milhões) por coletar e usar informações pessoais de crianças menores de 13 anos sem as devidas proteções. O ICO destacou que o Reddit não implementou um sistema de verificação de idade eficaz até julho de 2025, apesar de suas próprias diretrizes proibir usuários nessa faixa etária. O regulador estimou que um número significativo de crianças estava utilizando a plataforma antes dessa data, expondo-as a conteúdos potencialmente prejudiciais. Embora o Reddit tenha introduzido medidas de verificação de idade em julho de 2025, o ICO criticou a eficácia dessas medidas, afirmando que as crianças poderiam facilmente contorná-las. O Comissário de Informação do Reino Unido, John Edwards, expressou preocupação com a falha do Reddit em proteger as informações pessoais de crianças, ressaltando que a auto-declaração de idade não é suficiente para garantir a segurança dos menores. Em resposta, um porta-voz do Reddit anunciou que a empresa pretende recorrer da decisão, argumentando que a maioria de seus usuários no Reino Unido são adultos e que a coleta de mais informações pessoais seria contrária ao compromisso da plataforma com a privacidade dos usuários.

O artigo de Itamar Apelblat, CEO da Token Security, discute a evolução dos agentes de IA dentro das empresas, que passaram de assistentes passivos a operadores ativos, gerando novos desafios de segurança, especialmente no que diz respeito ao gerenciamento de identidade e acesso. Os agentes de IA, que utilizam chaves de API, tokens OAuth e contas de serviço, não são tratados como identidades de primeira classe em muitas organizações, herdando privilégios excessivos de seus criadores. Isso cria um ponto cego emergente na segurança da IA.

O grupo de hackers Lazarus, vinculado à Coreia do Norte, foi identificado utilizando o ransomware Medusa em um ataque recente a uma entidade não revelada no Oriente Médio. De acordo com um relatório da equipe de inteligência de ameaças da Symantec e Carbon Black, o mesmo grupo tentou, sem sucesso, atacar uma organização de saúde nos Estados Unidos. O Medusa, que é uma operação de ransomware como serviço (RaaS) lançada pelo grupo Spearwing em 2023, já foi responsável por mais de 366 ataques. Desde novembro de 2025, foram registradas invasões a quatro organizações de saúde e sem fins lucrativos nos EUA, incluindo uma instituição de saúde mental e uma escola para crianças autistas, com um pedido médio de resgate de $260.000. A análise sugere que os grupos de hackers da Coreia do Norte estão mudando suas táticas, optando por usar variantes de ransomware já disponíveis em vez de desenvolver suas próprias ferramentas. Isso pode indicar uma abordagem mais pragmática, onde os benefícios de se associar a grupos estabelecidos de RaaS superam os custos de desenvolvimento. A campanha Medusa do Lazarus inclui o uso de diversas ferramentas, como Mimikatz e um backdoor personalizado chamado Comebacker. O uso de ransomware por grupos da Coreia do Norte continua a ser uma preocupação crescente, especialmente em setores críticos como saúde.

A Fundação Getúlio Vargas (FGV) foi alvo de um ataque hacker que ocorreu entre os dias 19 e 20 de fevereiro de 2026, resultando na paralisação total de seus sistemas. Embora alguns serviços já tenham sido restaurados, a normalização completa ainda não tem previsão, e não foram divulgados detalhes sobre dados que possam ter sido comprometidos. A FGV, uma das principais organizadoras de concursos públicos no Brasil, viu seus processos afetados, incluindo o concurso CNPU 2025/2026, cujo prazo para manifestação de interesse coincide com a inoperância do sistema. A publicação do resultado da prova objetiva do concurso CGE SP e a divulgação do Cartão de Confirmação de Inscrição do concurso do IBGE também foram prejudicadas. Em comunicado oficial, a FGV informou que uma equipe técnica está trabalhando na investigação e recuperação dos sistemas, afirmando que não há indícios de comprometimento de dados internos. Candidatos são aconselhados a acompanhar os canais oficiais da instituição e a manter registros de tentativas de acesso ao site, caso precisem contestar decisões relacionadas a inscrições.

A Anthropic revelou a descoberta de campanhas em larga escala por três empresas de inteligência artificial, DeepSeek, Moonshot AI e MiniMax, que tentaram extrair ilegalmente as capacidades do modelo Claude para aprimorar seus próprios sistemas. Essas campanhas, que envolveram mais de 16 milhões de interações com o modelo, foram realizadas por meio de cerca de 24.000 contas fraudulentas, violando as restrições de acesso e os termos de serviço da Anthropic. As empresas estão baseadas na China, onde o uso dos serviços da Anthropic é proibido devido a riscos legais e de segurança. A técnica utilizada, chamada destilação, é legítima quando aplicada para criar versões menores de modelos, mas se torna ilegal quando usada por concorrentes para adquirir capacidades de outros modelos. A Anthropic alertou que modelos obtidos de forma ilícita não possuem as salvaguardas necessárias, representando riscos significativos à segurança nacional, pois podem ser utilizados em operações cibernéticas maliciosas. Para combater essas ameaças, a empresa implementou sistemas de classificação e verificação para identificar padrões suspeitos de ataque em seu tráfego de API.

O grupo de ciberameaças conhecido como UnsolicitedBooker tem direcionado suas atividades para empresas de telecomunicações no Quirguistão e no Tajiquistão, após uma série de ataques anteriores a entidades na Arábia Saudita. Os ataques utilizam duas backdoors distintas, chamadas LuciDoor e MarsSnake, conforme relatado pela Positive Technologies. A UnsolicitedBooker, que foi documentada pela primeira vez pela ESET em maio de 2025, é considerada ativa desde março de 2023 e tem um histórico de ataques a organizações na Ásia, África e Oriente Médio. Recentemente, os ataques foram realizados através de e-mails de phishing que continham documentos do Microsoft Office, que, ao serem abertos, solicitavam que os usuários ‘ativassem o conteúdo’ para executar macros maliciosas. Essas macros implantavam um carregador de malware chamado LuciLoad, que, por sua vez, instalava a backdoor LuciDoor. Em um ataque posterior, o grupo utilizou um carregador diferente, o MarsSnakeLoader, para implantar a backdoor MarsSnake. A Positive Technologies também observou que o MarsSnake foi utilizado em ataques direcionados à China. O uso de ferramentas raras de origem chinesa e a possibilidade de um roteador hackeado servir como servidor de comando e controle destacam a sofisticação das operações do grupo.

Um estudo recente revelou que vários aplicativos móveis de saúde mental, com milhões de downloads na Google Play, contêm vulnerabilidades de segurança que podem expor informações médicas sensíveis dos usuários. Pesquisadores da empresa Oversecured identificaram mais de 1.575 falhas de segurança em dez aplicativos, incluindo 54 de alta severidade. Esses aplicativos, que oferecem suporte a condições como depressão e ansiedade, afirmam que as conversas dos usuários são privadas ou criptografadas. No entanto, muitos deles não validam adequadamente as URIs fornecidas pelos usuários, permitindo que atacantes acessem dados confidenciais, como registros de terapia. Além disso, a falta de detecção de root em alguns aplicativos pode permitir que dados de saúde sejam acessados por aplicativos maliciosos em dispositivos comprometidos. Com um total de downloads superior a 14,7 milhões, a segurança desses aplicativos é uma preocupação crescente, especialmente considerando que dados de terapia podem ser vendidos por altos valores no mercado negro. A pesquisa destaca a necessidade urgente de atualizações e melhorias na segurança desses aplicativos para proteger a privacidade dos usuários.

O PayPal notificou seus clientes sobre uma violação de dados que expôs informações sensíveis de usuários por quase seis meses em 2025. O incidente foi causado por um erro de software no aplicativo PayPal Working Capital, que oferece empréstimos para pequenas empresas. As informações vazadas incluem nomes, endereços de e-mail, números de telefone, endereços comerciais, datas de nascimento e números de identificação pessoal. O problema foi identificado em dezembro de 2025, mas as informações estavam vulneráveis desde julho do mesmo ano. Embora a empresa tenha afirmado que apenas um pequeno número de clientes foi afetado, foram registradas transações não autorizadas em contas de alguns usuários. O PayPal reverteu o erro no dia seguinte à descoberta e bloqueou o acesso dos cibercriminosos. Além de reembolsar os clientes afetados, a empresa ofereceu dois anos de monitoramento de crédito gratuito. O PayPal também reforçou que nunca solicita informações sensíveis por telefone ou e-mail, recomendando que os usuários fiquem atentos a atividades suspeitas em suas contas.

Uma pesquisa realizada pelas Universidades de Zurique e da Svizzera Italiana revelou falhas críticas em gerenciadores de senha populares, como Bitwarden, LastPass e Dashlane. O estudo, liderado por Kenneth Paterson, demonstrou que 27 ataques bem-sucedidos foram realizados, comprometendo a segurança dos dados dos usuários. Embora esses serviços utilizem a Encriptação Zero-Knowledge, que promete que nem mesmo as empresas podem acessar os dados dos usuários, os resultados mostraram que essa proteção é falha. Os pesquisadores identificaram vulnerabilidades que permitem que hackers manipulem dados armazenados, como logins, para obter senhas desencriptadas. Além disso, métodos de segurança obsoletos ainda ativos em alguns aplicativos aumentam o risco de ataques. O 1Password se destacou como o mais seguro, utilizando uma tecnologia de Chave Secreta que mantém os dados no dispositivo do usuário. As empresas afetadas já começaram a lançar atualizações para corrigir as falhas, mas os usuários são aconselhados a atualizar seus aplicativos imediatamente para garantir a segurança de suas informações.

O grupo de ransomware conhecido como Inc reivindicou um ataque cibernético à cidade de Cocoa, na Flórida, ocorrido em fevereiro de 2026. A cidade anunciou problemas técnicos em seus sistemas de TI e pagamentos de serviços públicos, que foram interrompidos. No site de vazamento de dados do grupo, Inc afirmou ter roubado arquivos dos servidores oficiais da cidade, apresentando imagens como prova. Até o momento, as autoridades de Cocoa não confirmaram a reivindicação e não se sabe quais dados foram comprometidos, nem se um resgate foi exigido ou pago. O grupo Inc, que surgiu em julho de 2023, é conhecido por atacar setores como saúde, educação e governo, utilizando técnicas de phishing direcionado e explorando vulnerabilidades conhecidas. Em 2025, o grupo foi responsável por 360 ataques de ransomware, com 68 confirmações de suas reivindicações. O ataque à Cocoa se insere em um contexto mais amplo de ataques a entidades governamentais nos EUA, que têm enfrentado desafios significativos com a segurança de seus sistemas, podendo resultar em perda de dados e interrupções nos serviços públicos.

A empresa de tecnologia de anúncios Optimizely, com sede em Nova York, notificou um número não revelado de clientes sobre uma violação de dados resultante de um ataque de phishing por voz. Os atacantes conseguiram acessar alguns sistemas da empresa em 11 de fevereiro, embora a Optimizely tenha afirmado que não houve acesso a dados sensíveis ou informações pessoais, apenas a ‘informações básicas de contato comercial’. A empresa alertou os clientes sobre a possibilidade de novos ataques de phishing utilizando os dados roubados, que poderiam ocorrer por meio de chamadas, mensagens de texto ou e-mails. O ataque foi atribuído a um grupo que utiliza táticas de engenharia social sofisticadas, possivelmente vinculado à operação de extorsão ShinyHunters, que já comprometeu outras empresas de renome. Embora a Optimizely tenha afirmado que suas operações comerciais continuam sem interrupções, a situação destaca a necessidade de vigilância contínua contra ataques de phishing, especialmente em um cenário onde as credenciais de acesso podem ser facilmente manipuladas por criminosos. Os clientes devem estar atentos a tentativas de phishing que possam surgir a partir das informações obtidas durante a violação.

A Microsoft está investigando um problema conhecido que faz com que o ponteiro do mouse desapareça no cliente de e-mail Outlook clássico para alguns usuários. O bug foi reconhecido quase dois meses após os primeiros relatos, onde usuários relataram que o Outlook se tornou inutilizável após o desaparecimento do ponteiro. A empresa explicou que o ponteiro do mouse, e em alguns casos o cursor, pode sumir ao ser movido pela interface do Outlook, embora a lista de e-mails ainda mude de cor ao passar o mouse sobre eles. Esse problema também foi observado em outros aplicativos do Microsoft 365, como o OneNote. A Microsoft orientou os usuários afetados a solicitar que seus administradores do Microsoft 365 abram um caso de suporte com a equipe do Outlook e enviem arquivos de log para análise. Enquanto uma solução permanente não está disponível, a Microsoft sugeriu três soluções temporárias, como clicar em um e-mail na lista de mensagens ou reiniciar o computador. No mês passado, a Microsoft já havia corrigido outro problema no Outlook que impedia a abertura de e-mails criptografados após atualizações de dezembro de 2025.

As autoridades espanholas prenderam quatro supostos membros do grupo hacktivista ‘Anonymous Fénix’, que é acusado de realizar ataques cibernéticos contra ministérios, partidos políticos e instituições públicas. O grupo, que se dizia afiliado ao coletivo Anonymous, executou ataques de negação de serviço distribuída (DDoS) em alvos na Espanha e em países da América do Sul. Os primeiros ataques ocorreram em abril de 2023 e aumentaram após as inundações em Valência em outubro de 2024, quando o grupo atacou sites do governo, alegando que as autoridades eram responsáveis pelas mortes e destruição causadas pela tempestade. Além disso, o grupo utilizou plataformas como X e Telegram para disseminar mensagens anti-governamentais e recrutar voluntários. A Guarda Civil da Espanha prendeu o administrador e o moderador do grupo em maio de 2025, e, após investigações, identificou e prendeu outros dois membros ativos. As autoridades também ordenaram a apreensão das contas do grupo nas redes sociais e o fechamento de seu canal no Telegram. Não foram divulgados detalhes sobre as acusações específicas ou possíveis penalidades.

Pesquisadores de cibersegurança revelaram uma nova campanha de cryptojacking que utiliza pacotes de software pirata como iscas para implantar um programa minerador XMRig em sistemas comprometidos. A análise do malware indica uma infecção sofisticada em múltiplas etapas, priorizando a maximização da taxa de hash de mineração de criptomoedas, o que pode desestabilizar o sistema da vítima. O ataque começa com engenharia social, onde usuários são enganados a baixar executáveis maliciosos disfarçados de softwares legítimos. O malware possui capacidades semelhantes a vermes, espalhando-se por dispositivos de armazenamento externo e permitindo movimento lateral, mesmo em ambientes isolados. Além disso, ele utiliza um driver vulnerável para escalar privilégios e garantir persistência. A campanha foi projetada para operar até uma data limite específica, 23 de dezembro de 2025, sugerindo um planejamento estratégico por parte dos atacantes. A atividade de mineração foi observada em novembro de 2025, com um pico em dezembro. Este caso destaca a inovação contínua do malware comercial, combinando engenharia social, disfarces de software legítimo e exploração de vulnerabilidades de kernel.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, lançou uma nova campanha chamada Operação MacroMaze, visando entidades específicas na Europa Central e Ocidental. De acordo com a equipe de inteligência de ameaças LAB52, a atividade ocorreu entre setembro de 2025 e janeiro de 2026. A campanha utiliza e-mails de spear-phishing para distribuir documentos maliciosos que contêm macros projetadas para explorar serviços legítimos para a exfiltração de dados.

O artigo aborda a crescente demanda por profissionais de cibersegurança, especialmente no Brasil, onde o país se tornou um alvo frequente de cibercriminosos. Com um déficit estimado de 140 mil vagas até 2025, a necessidade de especialistas é urgente, especialmente em áreas defensivas como o Blue Team. O texto destaca a importância de uma base técnica sólida, sugerindo que iniciantes aprendam linguagens de programação, como Python, e conceitos fundamentais de redes e sistemas operacionais. Além disso, menciona as três principais vertentes da cibersegurança: Red Team, Blue Team e GRC, cada uma com suas especificidades e demandas no mercado. O artigo também discute a relevância de formação acadêmica versus certificações, enfatizando que, embora a familiaridade com tecnologia seja essencial, a transição de áreas como Humanas é possível com dedicação. Por fim, ressalta que a cibersegurança é uma área em expansão, com oportunidades significativas para quem busca ingressar nesse campo.

Pesquisadores da ESET identificaram o PromptSpy, o primeiro malware para Android que utiliza inteligência artificial generativa para aprimorar suas capacidades de ataque. Embora ainda seja uma prova de conceito, o malware é projetado para fornecer controle remoto sobre dispositivos infectados, utilizando um módulo de computação de rede virtual (VNC). O PromptSpy interage com o chatbot Gemini da Google, enviando comandos em linguagem natural para manipular o dispositivo atacado. Isso permite que os hackers adaptem seus ataques a diferentes versões do sistema operacional Android.

Pesquisadores da Threat Fabric identificaram um novo trojan bancário chamado Massiv, que está sendo distribuído por meio de aplicativos disfarçados de IPTV. Este malware tem sido utilizado em campanhas fraudulentas em diversos países, especialmente no sul da Europa. O Massiv possui funcionalidades avançadas, como overlay, keylogging e interceptação de SMS, permitindo que os hackers capturem credenciais e dados financeiros das vítimas. Um dos alvos do ataque foi o aplicativo gov.pt, utilizado em Portugal para autenticação digital, o que levanta preocupações sobre a segurança de informações sensíveis. Os hackers podem abrir contas em nome das vítimas e realizar transações fraudulentas, utilizando um canal WebSocket para controle remoto dos dispositivos infectados. A ameaça é particularmente atrativa para os usuários devido à promessa de serviços premium em aplicativos IPTV, levando-os a baixar APKs maliciosos. Embora o Massiv ainda não seja um malware-as-a-service, há indícios de que essa possibilidade possa surgir em breve, aumentando a disseminação do malware.

A Wikipedia decidiu colocar o site Archive.today na lista negra, afetando mais de 695.000 links em cerca de 400.000 páginas em inglês. A decisão foi tomada após alegações de que Archive.today facilitou um ataque DDoS contra o blog de Jani Patokallio, utilizando um código JavaScript malicioso inserido em sua página CAPTCHA. Esse código fazia com que os navegadores dos usuários enviassem requisições repetidas ao blog, consumindo recursos e tornando-o inacessível. O ataque começou após o mantenedor do Archive.today exigir a remoção de um post que investigava a propriedade do site. A Wikipedia argumentou que a segurança dos usuários é mais importante do que a conveniência, considerando que um site que utiliza os navegadores dos visitantes para ataques é ’não confiável’. Além disso, a Wikipedia já havia banido Archive.today em 2013, antes de reverter a decisão em 2016. Agora, os editores da Wikipedia precisarão substituir os links do Archive.today por alternativas como Internet Archive ou Wayback Machine, ou utilizar fontes não arquivadas sempre que possível.

A Mullvad VPN, conhecida por sua postura firme em defesa da privacidade, enfrentou resistência ao tentar veicular seu anúncio anti-vigilância ‘And Then?’ na televisão britânica. O comercial, que critica a proposta da União Europeia para a ‘Chat Control’, foi barrado pela Clearcast, que alegou falta de clareza e relevância nas menções a criminosos violentos. Em resposta à proibição, a empresa lançou uma campanha de outdoor em Londres, que também encontrou obstáculos, levando-a a projetar o anúncio em paredes da cidade. A Mullvad expressou preocupação com o aumento da vigilância em massa e a censura no Reino Unido, citando a Lei de Poderes de Investigação e a proposta de restrições ao uso de VPNs para crianças. A resistência à sua campanha é vista como um sinal de um ambiente legal em deterioração para a privacidade digital, o que pode ter implicações sérias para a liberdade de expressão e a proteção de dados no país.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

O conceito de identidade como base da segurança no ambiente de trabalho está em transformação. Tradicionalmente, a confirmação da identidade de um usuário era suficiente para conceder acesso a sistemas corporativos. No entanto, com a crescente mobilidade da força de trabalho, que utiliza diversos dispositivos e redes, essa abordagem se torna inadequada. A segurança moderna deve considerar não apenas quem está acessando, mas também o estado do dispositivo e o contexto do acesso. A dependência excessiva da identidade como proxy de confiança pode levar a falhas de segurança, já que um usuário legítimo pode acessar sistemas a partir de um dispositivo comprometido. A solução proposta envolve a implementação de controles de acesso baseados em dispositivos, que garantem que o acesso seja concedido apenas a dispositivos confiáveis, além de verificações contínuas que se adaptam às mudanças nas condições do dispositivo. Ferramentas como o Infinipoint são mencionadas como soluções que operacionalizam essa abordagem, permitindo uma verificação contínua de usuários e dispositivos. Essa mudança é crucial para mitigar riscos e garantir a segurança em um ambiente de trabalho cada vez mais dinâmico.

Pesquisadores de cibersegurança revelaram uma campanha ativa de worm na cadeia de suprimentos, denominada SANDWORM_MODE, que utiliza pelo menos 19 pacotes npm maliciosos para roubo de credenciais e chaves de criptomoedas. Os pacotes, publicados por dois aliases, contêm código malicioso que coleta informações do sistema, tokens de acesso e segredos de ambiente, além de se propagar por meio de identidades roubadas do npm e GitHub. A campanha inclui um módulo chamado ‘McpInject’, que visa assistentes de codificação baseados em IA, injetando um servidor de protocolo de contexto malicioso (MCP) em suas configurações. O malware também possui um mecanismo polimórfico para evitar detecções, sugerindo que os operadores pretendem lançar versões futuras. Os usuários que instalaram esses pacotes devem removê-los imediatamente, rotacionar tokens e revisar arquivos de configuração para alterações inesperadas. A situação é crítica, pois a campanha representa um alto risco de comprometimento ativo, exigindo atenção imediata dos profissionais de segurança da informação.

Com o aumento do uso de Modelos de Linguagem de Grande Escala (LLMs) nas organizações, surgem novos riscos de segurança, principalmente relacionados à infraestrutura que suporta esses modelos. Os endpoints, que são interfaces de comunicação com os LLMs, frequentemente acumulam permissões excessivas e credenciais de longa duração, tornando-se alvos atrativos para cibercriminosos. A falta de monitoramento e a confiança implícita em endpoints internos contribuem para a exposição dessas interfaces, que podem ser acessadas sem a devida autenticação ou com tokens fracos. Uma vez comprometidos, esses endpoints podem permitir que atacantes realizem ações prejudiciais, como a exfiltração de dados sensíveis ou a manipulação de ferramentas internas. Para mitigar esses riscos, é crucial que as organizações adotem princípios de segurança de confiança zero, implementando acesso com privilégios mínimos e monitorando continuamente as atividades em endpoints. A gestão adequada de identidades não humanas (NHIs) também é vital, pois credenciais mal geridas podem ampliar a superfície de ataque. Portanto, a segurança em ambientes de LLMs deve ser uma prioridade para evitar consequências graves.

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

O LLMjacking é uma nova forma de ciberataque que visa explorar o poder computacional de placas de vídeo (GPUs) de usuários desavisados. Ao invés de minerar criptomoedas, os hackers invadem máquinas com inteligência artificial instalada, como o Ollama, para gerar textos, códigos e imagens sem restrições. Esse tipo de ataque se torna lucrativo porque modelos de IA avançados, como o Llama 3, exigem um alto custo de hospedagem na nuvem, levando os criminosos a buscar PCs com GPUs potentes, como RTX 3060 ou 4090.

O grupo de hackers iraniano MuddyWater, também conhecido como Earth Vetala, iniciou uma nova campanha chamada Operação Olalampo, visando organizações e indivíduos na região do Oriente Médio e Norte da África (MENA). Desde 26 de janeiro de 2026, a campanha tem utilizado novas famílias de malware, como o downloader GhostFetch e o backdoor CHAR, além de um implante avançado chamado GhostBackDoor. Os ataques geralmente começam com e-mails de phishing que contêm documentos do Microsoft Office com macros maliciosas, permitindo que os atacantes assumam o controle remoto dos sistemas.

O typosquatting é uma técnica utilizada por cibercriminosos que consiste em registrar domínios fraudulentos que se assemelham a sites legítimos, aproveitando-se de erros de digitação ou confusões comuns entre usuários. Um exemplo recente é o caso do programa 7-Zip, onde um site falso com domínio .com foi criado para enganar os usuários, que normalmente buscam pelo site original .org. Os golpistas utilizam anúncios pagos, conhecidos como malvertising, para garantir que seus sites apareçam no topo dos resultados de busca do Google, frequentemente com a tag ‘Patrocinado’, o que aumenta a probabilidade de cliques. Essa prática é facilitada pela falta de atenção dos usuários, que podem não perceber a diferença entre os domínios. Para se proteger, é essencial que os internautas verifiquem cuidadosamente a barra de endereços antes de clicar em links, evitem resultados patrocinados e utilizem fontes confiáveis, como a Wikipédia, para confirmar a autenticidade dos sites. A desconfiança e a atenção são as melhores defesas contra esses golpes, que podem resultar em perda de dados pessoais e financeiros.

Pesquisadores alertam que senhas geradas por modelos de linguagem artificial (LLMs), como ChatGPT e Claude, podem parecer seguras, mas possuem padrões previsíveis que as tornam vulneráveis a ataques. Um estudo da Irregular analisou 50 senhas de 16 caracteres geradas por esses sistemas e descobriu que muitas eram duplicadas e seguiam estruturas semelhantes. Embora essas senhas tenham passado em testes de força comuns, a análise revelou que sua entropia variava entre 20 e 27 bits, enquanto uma senha verdadeiramente aleatória teria entre 98 e 120 bits. Essa diferença significa que senhas geradas por IA podem ser quebradas em questão de horas, mesmo em computadores antigos. Os pesquisadores alertam que ferramentas de avaliação de senhas não consideram padrões estatísticos ocultos, o que pode levar à falsa sensação de segurança. Além disso, a recomendação é que os usuários utilizem geradores de senhas baseados em aleatoriedade criptográfica e gerenciadores de senhas, em vez de confiar nas sugestões de LLMs, que não são adequadas para autenticação segura.

Recentemente, o Brasil tem enfrentado um aumento alarmante de golpes digitais que se disfarçam como comunicações legítimas do Microsoft Teams. Esses ataques, que utilizam engenharia social, frequentemente envolvem convites falsos para reuniões, mensagens de cobrança e solicitações de transferências bancárias. Os criminosos se aproveitam da reputação da Microsoft para enganar os usuários, ocultando suas intenções maliciosas por meio de endereços de e-mail que parecem autênticos. Para ajudar os usuários a se protegerem, o artigo apresenta um checklist com quatro dicas essenciais: verificar a etiqueta de ’externo’ ao lado do nome do remetente, observar o domínio do e-mail, desconfiar de solicitações de ligação e sempre usar canais oficiais para verificar notificações. A Microsoft está implementando medidas para combater esses golpes, mas a conscientização dos usuários é fundamental para evitar fraudes.

O Arkanix Stealer, uma operação de malware voltada para roubo de informações, foi promovido em fóruns da dark web no final de 2025 e parece ter sido desenvolvido com assistência de inteligência artificial. O projeto, que incluiu um painel de controle e um servidor no Discord para interação com os usuários, foi descontinuado pelo autor apenas dois meses após seu lançamento. O malware apresenta uma arquitetura modular e recursos anti-análise, permitindo a coleta de informações do sistema, dados de navegadores e carteiras de criptomoedas de 22 navegadores diferentes. Além disso, é capaz de extrair tokens 0Auth2 de navegadores baseados em Chromium e roubar credenciais de plataformas como Telegram e Discord. A versão premium, escrita em C++, oferece funcionalidades adicionais, como roubo de credenciais RDP e captura de tela. Os pesquisadores da Kaspersky sugerem que o Arkanix foi um experimento de desenvolvimento rápido, visando lucros financeiros imediatos, o que dificulta sua detecção e rastreamento. A operação levanta preocupações sobre a utilização de assistentes de linguagem para o desenvolvimento de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

A Meta anunciou uma parceria de vários anos com a Nvidia para desenvolver uma infraestrutura de inteligência artificial (IA) em larga escala, capaz de suportar bilhões de usuários globalmente. Esta colaboração envolve a implementação de milhões de GPUs e CPUs baseadas em Arm, visando otimizar a capacidade de processamento e eficiência operacional. A nova arquitetura unificada abrangerá centros de dados locais e implantações na nuvem da Nvidia, simplificando as operações e oferecendo recursos de computação de alto desempenho para treinamento e inferência de IA.

O spyware Predator, desenvolvido pela empresa de vigilância Intellexa, é capaz de ocultar os indicadores de gravação do iOS enquanto transmite secretamente feeds de câmera e microfone para seus operadores. Este malware não explora vulnerabilidades do iOS, mas utiliza acesso de nível kernel previamente obtido para sequestrar os indicadores do sistema que normalmente alertariam os usuários sobre a atividade de gravação. Desde a introdução dos indicadores de gravação no iOS 14, que mostram um ponto verde ou laranja quando a câmera ou o microfone estão em uso, a capacidade do Predator de suprimir esses sinais se tornou uma preocupação significativa. Pesquisadores da Jamf analisaram amostras do Predator e descobriram que ele utiliza uma função de hook para interceptar atualizações de atividade do sensor, evitando que os indicadores sejam exibidos na interface do usuário. Além disso, o acesso à câmera é habilitado por meio de um módulo separado que contorna as verificações de permissão. Embora a atividade do spyware permaneça oculta para o usuário comum, sinais técnicos de processos maliciosos podem ser detectados. A Apple foi contatada para comentar sobre as descobertas, mas não respondeu.

O RedVDS é um mercado clandestino de assinatura que opera no universo do cibercrime, permitindo que hackers adquiram ferramentas para realizar ataques digitais. Com uma taxa de assinatura de US$ 24 por mês, a plataforma oferece acesso a recursos como computadores descartáveis, softwares não licenciados e ferramentas de phishing automatizadas. Recentemente, a Microsoft desmantelou o RedVDS, que causou prejuízos estimados em US$ 40 milhões, afetando empresas de diversos setores, incluindo saúde, educação e imobiliário. Os ataques mais comuns incluem fraudes por desvio de pagamento e comprometimento de e-mails corporativos, com mais de 9 mil vítimas identificadas. A plataforma também utilizava inteligência artificial para otimizar suas operações criminosas, tornando os golpes mais sofisticados e difíceis de detectar. Para se proteger, é essencial que usuários e empresas adotem medidas como a autenticação multifator, verificação de mensagens suspeitas e atualização constante de softwares.

A Amazon alertou sobre uma campanha de hackers de língua russa que utilizou serviços de IA generativa para comprometer mais de 600 firewalls FortiGate em 55 países em um período de cinco semanas, entre 11 de janeiro e 18 de fevereiro de 2026. O relatório de CJ Moses, CISO da Amazon Integrated Security, revela que os invasores não exploraram falhas conhecidas, mas sim atacaram interfaces de gerenciamento expostas e utilizaram credenciais fracas sem proteção de autenticação multifator (MFA). Após a invasão, os hackers extraíram configurações críticas dos dispositivos, incluindo credenciais de usuários e políticas de firewall, utilizando ferramentas automatizadas que demonstraram características típicas de código gerado por IA. A campanha também visou servidores de backup da Veeam, utilizando scripts PowerShell personalizados para extrair credenciais. Apesar de os invasores terem um nível de habilidade considerado baixo a médio, o uso de IA potencializou suas capacidades, permitindo a execução de ataques que normalmente estariam além de suas habilidades. A Amazon recomenda que administradores de FortiGate não exponham interfaces de gerenciamento à internet e implementem MFA para proteger suas redes.

Um ator de ameaças de língua russa, motivado financeiramente, comprometeu mais de 600 dispositivos FortiGate em 55 países, utilizando serviços comerciais de inteligência artificial generativa. A campanha, observada entre 11 de janeiro e 18 de fevereiro de 2026, não explorou vulnerabilidades conhecidas, mas sim portas de gerenciamento expostas e credenciais fracas com autenticação de fator único. O uso de ferramentas de IA permitiu que um ator com capacidades técnicas limitadas escalasse suas operações de ataque. Os atacantes conseguiram acessar ambientes do Active Directory, extrair bancos de dados de credenciais e até mesmo atacar a infraestrutura de backup, possivelmente preparando o terreno para um ataque de ransomware. A atividade incluiu a varredura sistemática de interfaces de gerenciamento FortiGate expostas à internet e tentativas de autenticação com credenciais comumente reutilizadas. A Amazon recomenda que as organizações garantam que as interfaces de gerenciamento não estejam expostas, mudem credenciais padrão e implementem autenticação multifatorial para acesso administrativo. Com a expectativa de que essa tendência continue em 2026, é crucial que as empresas adotem medidas defensivas robustas.

O EC-Council, conhecido por suas credenciais em cibersegurança, lançou a Enterprise AI Credential Suite, que inclui quatro novas certificações focadas em Inteligência Artificial (IA) e uma atualização do programa Certified CISO v4. Essa iniciativa surge em um contexto de crescente adoção de IA, onde se estima que o risco global não gerenciado pode alcançar US$ 5,5 trilhões, e há uma necessidade de requalificação de 700 mil trabalhadores nos Estados Unidos. As novas certificações visam preencher a lacuna entre a rápida adoção de IA e a prontidão da força de trabalho, alinhando-se às prioridades do governo dos EUA em desenvolvimento de habilidades e educação em IA. As certificações incluem: Artificial Intelligence Essentials (AIE), Certified AI Program Manager (CAIPM), Certified Offensive AI Security Professional (COASP) e Certified Responsible AI Governance & Ethics (CRAGE). O Certified CISO v4 foi reformulado para preparar líderes em cibersegurança para gerenciar riscos associados a sistemas de IA. Com 87% das organizações relatando ataques impulsionados por IA, a urgência por profissionais qualificados é evidente, especialmente em um cenário onde a maioria do talento em IA está concentrada em apenas 15 cidades dos EUA.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.

A Anthropic, empresa de inteligência artificial, lançou uma nova funcionalidade chamada Claude Code Security, que permite a análise de códigos de software em busca de vulnerabilidades e sugere correções. Atualmente, essa ferramenta está disponível em uma prévia de pesquisa limitada para clientes das categorias Enterprise e Team. Segundo a empresa, a Claude Code Security utiliza inteligência artificial para identificar falhas que métodos tradicionais podem não detectar, oferecendo uma vantagem aos defensores contra ataques automatizados. A funcionalidade vai além da análise estática, raciocinando sobre o código como um pesquisador humano, compreendendo a interação entre componentes e rastreando fluxos de dados. Cada vulnerabilidade identificada passa por um processo de verificação em múltiplas etapas para minimizar falsos positivos e é classificada quanto à severidade, permitindo que as equipes priorizem as correções. Os resultados são apresentados em um painel, onde os analistas podem revisar e aprovar as sugestões. A Anthropic destaca que a decisão final sempre fica a cargo dos desenvolvedores, garantindo um controle humano sobre as ações recomendadas.

Recentemente, foi identificado que mais de um bilhão de smartphones Android, representando cerca de 42% dos dispositivos ativos, estão vulneráveis a malwares devido a falhas de segurança que não serão corrigidas. Essa situação afeta principalmente aparelhos que operam com Android 12 ou versões anteriores, que não receberão mais atualizações de segurança. A fragmentação do sistema operacional entre diferentes fabricantes dificulta a aplicação de correções em massa, tornando esses dispositivos alvos fáceis para hackers.

O Departamento de Segurança Interna dos Estados Unidos (DHS) solicitou que grandes empresas de tecnologia, como Google e Meta, revelassem informações pessoais de cidadãos norte-americanos que criticam o Serviço de Imigração e Alfândega (ICE). A ordem inclui nomes, endereços de e-mail e números de telefone de usuários que monitoram as atividades do ICE, especialmente em um contexto de crescente protestos contra a polícia migratória. A ação do DHS gerou controvérsia, pois especialistas afirmam que isso pode ameaçar a liberdade de expressão. Algumas empresas atenderam à solicitação, enquanto outras optaram por notificar os usuários e permitir que contestassem judicialmente o pedido. A ACLU (União Americana pelas Liberdades Civis) já entrou com um processo contra o DHS, argumentando que a intimação viola direitos constitucionais. O DHS defende que a medida visa proteger seus agentes de possíveis ameaças durante suas operações. Essa situação levanta questões sobre o equilíbrio entre segurança e direitos civis, especialmente em um cenário onde a privacidade e a liberdade de expressão estão em constante debate.

O hardcoding é uma prática de programação que envolve a inserção de informações sensíveis, como senhas e chaves de API, diretamente no código-fonte de um aplicativo. Essa abordagem é comparada a deixar uma chave embaixo do tapete ou escrever a senha na parede, tornando essas informações facilmente acessíveis a hackers. Com o crescimento da demanda por aplicativos, especialmente impulsionada pela inteligência artificial, desenvolvedores podem optar por soluções rápidas e inadequadas, resultando em vulnerabilidades. Um hacker pode descompactar um arquivo .apk e encontrar senhas em texto claro, permitindo acesso a servidores e dados sensíveis. Para os usuários, é crucial evitar aplicativos de desenvolvedores desconhecidos e estar atento às permissões solicitadas. A segurança deve ser uma prioridade, e a conscientização sobre práticas de programação seguras é fundamental para mitigar riscos.

A North East Medical Services (NEMS) notificou 91.513 pacientes sobre uma violação de dados ocorrida em outubro de 2025, resultante de um ataque cibernético ao seu provedor de software terceirizado, UnitedLayer. O ataque, reivindicado pelo grupo de ransomware RansomHouse, foi detectado em 19 de outubro de 2025, quando a NEMS identificou acesso não autorizado a dados sensíveis, incluindo números de Seguro Social e informações médicas. Até o momento, a UnitedLayer não emitiu notificações sobre a violação, mas foi listada no site de vazamento de dados do RansomHouse. Este incidente é um dos maiores ataques a provedores de tecnologia nos EUA em 2025, destacando a vulnerabilidade de empresas que lidam com grandes volumes de dados. Em resposta, a NEMS está oferecendo monitoramento de crédito gratuito aos afetados. O RansomHouse, que opera sob um modelo de Ransomware-as-a-Service, já foi responsável por 15 ataques confirmados em 2025, afetando milhões de registros. A crescente incidência de ataques a provedores de software ressalta a necessidade de vigilância e proteção robusta contra ameaças cibernéticas.