47 solicitações, zero respostas Como Proton VPN nega pedidos de dados

O Proton VPN, um dos principais serviços de VPN, divulgou seu relatório de transparência referente ao primeiro semestre de 2026, revelando que recebeu 47 solicitações legais de dados, todas negadas. A empresa, com sede na Suíça, mantém uma rigorosa política de não registro, o que significa que não armazena informações que poderiam ser entregues às autoridades. Desde 2019, Proton VPN recebeu um total de 458 pedidos, sem atender a nenhum deles. As solicitações, provenientes de autoridades suíças, buscavam identificar usuários conectados a servidores específicos em determinados horários. A política de não registro do Proton VPN garante que não há dados de navegação, consultas DNS ou metadados de conexão armazenados, impossibilitando a ligação entre um usuário e uma atividade. Além disso, o Proton VPN passou por sua quinta auditoria anual, confirmando a eficácia de sua política. No entanto, a legislação suíça pode mudar, exigindo que serviços com mais de 5.000 usuários mantenham dados por seis meses, o que pode impactar a operação da empresa no futuro.

Aumento de ataques de ransomware a entidades governamentais em 2026

Entre janeiro e junho de 2026, pesquisadores da Comparitech registraram uma média de um ataque de ransomware a entidades governamentais por dia, totalizando 187 ataques, um aumento de mais de 13% em relação ao segundo semestre de 2025. Desses, 89 ataques foram confirmados pelas entidades-alvo. O grupo de cibercriminosos conhecido como The Gentlemen se destacou, com 22 ataques confirmados, um aumento significativo em comparação ao semestre anterior. Apesar de uma queda geral de 23% nos ataques a agências governamentais dos EUA, o cenário global mostra que governos continuam sendo alvos lucrativos devido à quantidade de dados sensíveis que possuem. O valor médio do resgate caiu para $100.000, mas os ataques continuam a causar grandes interrupções e vazamentos de dados, como evidenciado pelo ataque à cidade de Suffolk, que afetou quase 158.000 pessoas. O relatório destaca a necessidade urgente de medidas de segurança robustas para proteger as informações governamentais e a infraestrutura crítica.

Microsoft interrompe atualizações para versões do Windows em 2026

A Microsoft anunciou que as edições Home e Pro do Windows 11 24H2 e o Windows 10 Enterprise LTSB 2016 deixarão de receber atualizações em 13 de outubro de 2026. Após essa data, dispositivos que utilizam essas versões não receberão mais atualizações mensais de segurança ou de pré-visualização, o que pode expor os usuários a riscos de segurança. A empresa recomenda que os usuários atualizem para o Windows 11 25H2, que já está disponível desde setembro de 2024. Para dispositivos não gerenciados por departamentos de TI, a atualização para o Windows 11 25H2 será automática, embora os usuários possam optar por adiar a instalação. A Microsoft também estendeu o programa de Atualizações de Segurança Estendidas (ESU) para o Windows 10 por mais um ano, permitindo que dispositivos inscritos continuem recebendo atualizações de segurança até 12 de outubro de 2027. A interrupção das atualizações pode impactar significativamente a segurança dos sistemas operacionais afetados, tornando essencial que os usuários e administradores de TI tomem medidas proativas para garantir a proteção de seus dispositivos.

Membros do coletivo Scattered Spider são condenados por ataque à TfL

Dois membros do coletivo de cibercrime Scattered Spider foram condenados a cinco anos e seis meses de prisão por invadir a Transport for London (TfL) em agosto de 2024. O ataque comprometeu a rede da TfL, que atende mais de 8,4 milhões de londrinos, causando interrupções em serviços essenciais como o Dial-a-Ride, cartões de viagem e pagamentos digitais. A TfL reportou perdas de £29 milhões, mas as autoridades estimaram que o impacto econômico poderia ter chegado a £56 bilhões se a rede de transporte tivesse sido totalmente paralisada. Além disso, dados de clientes, incluindo nomes e endereços, foram roubados. Os atacantes, Thalha Jubair e Owen Flowers, foram presos após investigações que revelaram que Flowers estava também hackeando empresas de saúde nos EUA. Ambos se declararam culpados sob a Lei de Uso Indevido de Computadores. O caso destaca a importância da colaboração entre organizações e autoridades para mitigar ataques cibernéticos, conforme enfatizado pelo diretor adjunto da NCA, Paul Foster.

23andMe paga US 18 milhões após violação de dados genéticos

A empresa de testes genéticos 23andMe, agora sob a Chrome Holding Co., concordou em pagar US$ 18 milhões para resolver alegações de que não protegeu adequadamente os dados genéticos de seus clientes. A violação de dados, revelada em outubro de 2023, ocorreu após ataques de ‘credential stuffing’ que passaram despercebidos por cinco meses, comprometendo informações de 6,9 milhões de clientes, incluindo dados de ancestralidade genética. A investigação liderada pela procuradora-geral de Nova York, Letitia James, revelou que a empresa carecia de medidas básicas de segurança, como autenticação multifatorial e monitoramento de intrusões. Inicialmente, a 23andMe negou a violação, atribuindo a culpa aos hábitos de senha dos clientes. O acordo inclui novas exigências de segurança, como um conselho consultivo de segurança de dados e protocolos de análise de risco. Além disso, a empresa enfrentou várias ações coletivas e, em 2025, declarou falência, levando a uma aquisição por US$ 305 milhões. O caso destaca a importância da proteção de dados sensíveis e as consequências legais de falhas de segurança.

A Nova Era da Cibersegurança Desafios com Agentes de IA

Nos últimos 20 anos, a segurança empresarial baseou-se na suposição de que o ambiente era previsível e controlável. No entanto, a introdução de agentes de inteligência artificial (IA) que operam de forma autônoma desafiou essa premissa. Esses agentes podem acessar sistemas, modificar comportamentos e até mesmo se ocultar, tornando a segurança mais complexa e dinâmica. A pesquisa da Token Security revela que mais de 20% dos agentes locais já têm acesso direto a fontes de dados de produção, o que levanta preocupações sobre a segurança.

Mais de 20 sites do governo brasileiro sequestrados para malware

Uma campanha ativa do grupo PhantomEnigma resultou no sequestro de mais de 20 sites do governo brasileiro, transformando-os em canais de entrega de malware. A investigação realizada pela ANY.RUN revelou um comportamento de backdoor não documentado anteriormente, além de conexões de infraestrutura ocultas e múltiplos vetores de ataque que colocam bancos e agências públicas em risco. Os ataques começaram com documentos falsos, como ‘Ofício Polícia Civil’ e ‘Procuração Digital’, que incluíam QR codes e links que pareciam legítimos. Os e-mails fraudulentos, enviados de caixas de correio comprometidas, passaram por verificações de segurança, como SPF, DKIM e DMARC, aumentando sua aparência de legitimidade. Os sistemas governamentais foram usados como infraestrutura confiável para a entrega do malware, sem serem os alvos finais. A evolução da campanha incluiu a transição de atividades focadas em bancos para o uso de sites .gov.br comprometidos, dificultando a detecção. O malware, um backdoor modular, pode coletar dados do sistema, estabelecer persistência e entregar diferentes cargas úteis, tornando a contenção mais desafiadora. Este incidente destaca a necessidade de vigilância contínua e de um protocolo seguro para relatar mensagens suspeitas, especialmente em setores críticos como o financeiro e o público.

ClickLock Stealer Novo malware para macOS força usuários a entregar senhas

O ClickLock Stealer é um novo infostealer direcionado a sistemas macOS, que utiliza táticas de coerção para forçar as vítimas a fornecer suas senhas de login. O malware é introduzido através de um comando colado no Terminal, que solicita a senha em um falso diálogo de sistema. Caso a vítima cancele a operação, o malware instala dois LaunchAgents que iniciam um ciclo de encerramento de aplicativos a cada 210 milissegundos, por até 83 horas, mantendo uma caixa de senha visível na tela. Ao digitar a senha, o invasor obtém acesso ao Keychain, credenciais de navegadores e carteiras de criptomoedas.

Malware TELEPUZ se espalha por ataques ClickFix desde abril de 2026

Pesquisadores de cibersegurança alertaram sobre um novo malware modular chamado TELEPUZ, que tem se disseminado através de sites infectados com iscas ClickFix desde o final de abril de 2026. O TELEPUZ é descrito como leve e repleto de funcionalidades, com um desenvolvimento ativo, evidenciado pelo volume diário de uploads no VirusTotal. Este malware utiliza uma técnica chamada ‘clipboard hijacking’, injetando comandos maliciosos no clipboard da vítima, que são executados quando o usuário os cola. O ataque envolve a execução de PowerShell para baixar um payload secundário, que é uma variante do Vidar Stealer, conhecido por roubar dados sensíveis. O TELEPUZ, escrito em C, incorpora diversas técnicas de ofuscação para dificultar a análise e realiza verificações para evitar ambientes de sandbox e virtualizados. Após passar por essas verificações, o malware tenta desativar a monitorização de segurança e se registrar como um serviço no Windows. Além disso, estabelece comunicação com servidores de comando e controle (C2) para receber instruções maliciosas, permitindo uma ampla gama de ações, como captura de teclas e injeção de código em navegadores. A identificação de servidores C2 comprometidos em países como Brasil e Índia destaca a gravidade da ameaça.

Falha de segurança no n8n permite login indevido em contas

O n8n, uma plataforma de automação de fluxos de trabalho, enfrentou uma vulnerabilidade crítica que permitia o login indevido em contas de usuários. A falha, identificada como CVE-2026-59208, ocorreu em instâncias Enterprise configuradas para confiar em mais de um emissor de tokens externos. O problema estava na forma como o sistema validava os tokens JWT, utilizando apenas a reivindicação ‘sub’ e ignorando a ‘iss’, o que permitia que um token válido de um emissor diferente logasse um usuário como se fosse outro. A correção foi lançada em 24 de junho de 2026, mas a vulnerabilidade só foi divulgada publicamente em 9 de julho. O impacto é limitado a configurações específicas de parceiros OEM que utilizam a troca de tokens, mas a falta de clareza sobre como um atacante poderia obter um token válido levanta preocupações. O CVSS 4.0 atribuiu uma pontuação de 7.6, indicando um risco alto, enquanto a NVD avaliou a falha como média, com uma pontuação de 6.8. O n8n recomenda que os usuários atualizem para as versões 2.27.4 ou 2.28.1 ou limitem a lista de emissores confiáveis para mitigar o risco.

Pacotes maliciosos e ransomware novos riscos em cibersegurança

Recentemente, pesquisadores de cibersegurança identificaram uma série de ameaças que destacam a vulnerabilidade de sistemas e usuários. Um grupo de 11 pacotes NuGet maliciosos, disfarçados como ferramentas de jogos, foi descoberto. Esses pacotes atuam como baixadores de um payload Python que coleta dados e envia informações para chats do Telegram. Além disso, um adversário russo, conhecido como UAT-11795, tem utilizado instaladores trojanizados para implantar o Starland RAT e um agente de comando e controle (C2) chamado WLDR, visando roubar credenciais e informações de carteiras de criptomoedas. Outro incidente alarmante envolve o ransomware Spirals, que criptografa redes em menos de 24 horas após a invasão, utilizando um servidor web IIS comprometido para obter acesso inicial. A CISA também adicionou novas vulnerabilidades ao seu catálogo de Exploits Conhecidos, exigindo que agências federais apliquem correções rapidamente. Por fim, autoridades na Europa desmantelaram redes de fraudes em criptomoedas, destacando a crescente complexidade e sofisticação das ameaças cibernéticas.

Grupo russo UAT-11795 utiliza software trojanizado para roubo de dados

Um ator de ameaça russo, identificado como UAT-11795, está utilizando um novo backdoor chamado Starland RAT para roubar credenciais e criptomoedas. As investigações indicam que os ataques começaram em junho de 2025, com foco principal em usuários nos Estados Unidos, embora também tenham sido registrados casos na Alemanha, Romênia e Venezuela. O método de ataque envolve a distribuição de instaladores trojanizados de softwares legítimos, como MobaXterm e Zoom, possivelmente utilizando o método ClickFix para empurrar os arquivos maliciosos.

CISA ordena proteção contra vulnerabilidade crítica no Oracle EBS

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas contra ataques que exploram uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha, identificada como CVE-2026-46817, foi descoberta no componente de Transmissão de Arquivos do produto Oracle Payments e permite que atacantes não autenticados assumam o controle de sistemas vulneráveis com ataques de baixa complexidade. A Oracle já lançou atualizações de segurança em maio de 2026 e recomenda que seus clientes apliquem os patches imediatamente. Embora a Oracle não tenha confirmado a exploração da vulnerabilidade em ambientes reais, a empresa de inteligência Defused relatou que ataques começaram a ocorrer. A CISA também confirmou que hackers estão explorando ativamente essa vulnerabilidade, que foi adicionada à lista de falhas de segurança conhecidas e exploradas. A agência enfatiza que esse tipo de vulnerabilidade representa vetores de ataque frequentes para atores maliciosos e apresenta riscos significativos para a segurança das agências governamentais. A situação é crítica, e a CISA ordenou que as agências federais realizem a correção até o dia 18 de julho.

Zoom lança atualizações de segurança para falha crítica no Windows

A Zoom Video Communications divulgou atualizações de segurança para uma falha crítica que afeta o Zoom Workplace para Windows, potencialmente permitindo a tomada de controle de contas. A vulnerabilidade, identificada como CVE-2026-53412, possui uma pontuação CVSS de 9.8, indicando seu alto risco. Ela impacta o Zoom Desktop Client, o Zoom VDI Client e o Zoom Meeting SDK para Windows, permitindo que um usuário não autenticado realize a tomada de controle de contas através do acesso à rede. Além disso, três outras falhas de alta gravidade foram corrigidas: CVE-2026-53411, CVE-2026-53410 e CVE-2026-53409, que envolvem validação inadequada de entrada e gerenciamento de privilégios. Embora não haja evidências de exploração ativa dessas vulnerabilidades, a Zoom recomenda que os usuários apliquem as atualizações para garantir a segurança de suas contas. As versões afetadas incluem várias do Zoom Workplace e Zoom Rooms, e a empresa enfatiza a importância de manter os softwares atualizados para evitar riscos de segurança.

OpenAI apresenta GPT-Red para combater vulnerabilidades em LLMs

A OpenAI revelou o GPT-Red, um modelo interno de red-teaming automatizado que visa identificar vulnerabilidades de injeção de prompt em modelos de linguagem antes de sua ampla implementação. O GPT-Red simula o trabalho de um red-teamer humano, enviando prompts e monitorando as respostas dos modelos GPT, com o objetivo de descobrir falhas que poderiam ser exploradas maliciosamente. A empresa destacou que seus modelos anteriores eram suscetíveis a ataques de injeção de prompt, e o GPT-Red foi desenvolvido para treinar adversarialmente o GPT-5.6, tornando-o mais robusto contra esses ataques. O modelo é capaz de executar uma variedade de ataques, como exfiltração de dados sensíveis e desativação de autenticação de dois fatores. A OpenAI também enfatizou que o GPT-Red é mantido separado de outros modelos para evitar que suas capacidades maliciosas sejam acessadas por agentes mal-intencionados. Em testes práticos, o GPT-Red demonstrou eficácia em comprometer sistemas, como uma máquina de vendas automatizada e um agente de linha de comando Codex, superando a taxa de sucesso de red-teamers humanos em vários cenários. Com a evolução contínua das defesas, o GPT-Red também se adapta, buscando novas formas de ataque para contornar as proteções implementadas.

Vulnerabilidade em aspiradores Shark permite controle remoto indevido

Um pesquisador identificado como tokay0 revelou uma vulnerabilidade crítica em aspiradores de pó robóticos Shark RV2320EDUS, que permite que atacantes executem comandos remotos em outros dispositivos da mesma região da AWS. A falha reside na política de certificados, que não está restrita ao dispositivo específico, permitindo que qualquer um que tenha acesso ao certificado possa controlar o aspirador, acessar câmeras, ler mapas da casa e obter senhas de Wi-Fi em texto simples. Apesar de ter notificado a SharkNinja sobre a vulnerabilidade em março, a empresa ainda não lançou um patch ou um aviso oficial sobre a falha. O pesquisador observou mais de 1,5 milhão de números de série únicos de aspiradores Shark, com cerca de 44% deles respondendo a comandos, indicando que são vulneráveis. A correção da falha não depende do usuário, mas sim de uma atualização na conta da AWS da SharkNinja. Até que isso ocorra, a única mitigação disponível para os proprietários é desconectar os dispositivos da rede Wi-Fi, revertendo-os ao modo manual.

A Inteligência Artificial e a Segurança Ofensiva Desafios e Oportunidades

A inteligência artificial (IA) está transformando a segurança ofensiva, mas a qualidade das descobertas continua sendo crucial. Ferramentas assistidas por IA podem acelerar a leitura de códigos, gerar payloads e realizar testes repetitivos rapidamente, oferecendo vantagens significativas para as equipes de segurança. No entanto, a produção de relatórios gerados por IA, muitas vezes superficiais e com evidências fracas, tem gerado um aumento na carga de triagem para programas de recompensas por bugs. A distinção entre um relatório que parece vulnerável e uma vulnerabilidade real é fundamental. A validação das descobertas ainda depende do conhecimento profundo dos sistemas e da capacidade de demonstrar a exploração e o impacto real de uma falha. A dependência excessiva de ferramentas de IA pode levar à perda de habilidades críticas entre os profissionais de segurança, uma vez que a prática e a experiência são essenciais para a eficácia na identificação de vulnerabilidades. Portanto, a segurança ofensiva do futuro pertencerá a aqueles que conseguem provar a existência e a gravidade das falhas, e não apenas a quem gera o maior número de relatórios.

Governo australiano orienta descarte de roteadores, gerando riscos de segurança

O governo australiano, através da Comissão Australiana de Concorrência e Consumidor (ACCC), ordenou o descarte de cerca de 4.000 roteadores SamKnows SK-WB8, utilizados para medir a velocidade da banda larga no país. Esses dispositivos, que foram desativados remotamente em 30 de junho de 2026, correm o risco de serem descartados sem a devida limpeza de dados, o que pode levar a violações de segurança digital. Especialistas alertam que, embora os roteadores estejam ‘bricked’ para acesso à internet, eles ainda podem ser reutilizados com firmware alternativo, como o OpenWRT, o que torna a destruição dos dispositivos questionável. A ACCC incentivou os usuários a descartar os roteadores de maneira ambientalmente responsável, mas não forneceu explicações claras sobre o motivo do descarte de equipamentos que ainda podem ser utilizados. A situação levanta preocupações sobre o aumento de resíduos eletrônicos e a segurança dos dados que podem permanecer nos dispositivos se não forem devidamente resetados antes do descarte.

Polícia Holandesa desmantela esquema internacional de fraude financeira

A Polícia Holandesa anunciou a prisão de vários indivíduos suspeitos de integrar um esquema internacional de fraude de investimento, que teria causado prejuízos a dezenas de milhares de vítimas. O grupo operava 20 call centers, com mais de 700 pessoas se passando por consultores financeiros, e chegou a arrecadar mais de 100 milhões de euros por mês. O principal suspeito, um israelense-polaco de 46 anos, foi preso na Polônia e extraditado para a Holanda, onde aguarda julgamento. As investigações revelaram que os fraudadores construíam confiança com as vítimas ao longo do tempo, apresentando plataformas de investimento que mostravam lucros fictícios. Os criminosos persuadiam as vítimas a aumentar seus investimentos, geralmente por meio de transferências de criptomoedas, enquanto mantinham um painel falso de lucros. As autoridades holandesas ligaram pelo menos 550 denúncias de fraude a essa organização criminosa, que operou desde 2021 e utilizou pseudônimos e técnicas para ocultar suas identidades. A polícia acredita que o número de vítimas pode ser muito maior, com perdas médias superiores a 10 mil euros por pessoa.

A Evolução da Segurança em Nuvem Desafios e Soluções Modernas

Nos últimos anos, a segurança de redes corporativas enfrentou desafios significativos devido à mudança dos fluxos de trabalho para aplicações SaaS e ferramentas de inteligência artificial (IA). O modelo tradicional de SASE (Secure Access Service Edge) não conseguiu acompanhar essa evolução, pois depende da inspeção de tráfego em proxies na nuvem, que se tornaram ineficazes com a adoção de protocolos modernos como TLS 1.3 e HTTP/3. Esses protocolos dificultam a interceptação de dados, levando as equipes de segurança a criar listas de exceções que comprometem a segurança geral da rede.

Ferramentas de IA podem ser sequestradas para criar botnets massivas

Pesquisadores da Intuit, Technion e da Universidade de Tel Aviv alertam que ferramentas de inteligência artificial, como GitHub Copilot e OpenClaw, podem ser exploradas para criar botnets massivas. O método, denominado HalluSquatting, se baseia na incapacidade dos modelos de linguagem (LLMs) de identificar recursos com precisão, permitindo que atacantes registrem recursos mal nomeados e insiram comandos maliciosos. Essa técnica combina ataques de ‘pull’, onde um prompt malicioso é inserido em um site, com ataques de ‘push’, que envolvem injeção de código. Os pesquisadores demonstraram que, ao registrar recursos que um LLM pode confundir, é possível executar código remotamente em larga escala. Embora existam algumas medidas de mitigação, como o bloqueio de operações de busca por parte dos desenvolvedores de LLMs, a implementação dessas soluções pode levar tempo e requer colaboração entre diferentes partes. O aumento do malware baseado em LLMs, como o ataque JADEPUFFER, que é um ransomware totalmente operado por um LLM, destaca a urgência da situação.

Ator de ameaça russo usa IA para operar botnet em clínica dental

Um ator de ameaça de língua russa, conhecido como ‘bandcampro’, utilizou a ferramenta de IA de código aberto Gemini CLI do Google como agente de hacking, operando uma botnet em pequena escala. Entre 19 de maio e 21 de abril, o ator interagiu com a IA em mais de 200 sessões, controlando oito sistemas em uma clínica dental e acessando o banco de dados OpenDental. O agente de IA atuou como um ’testador de penetração autorizado’, salvando credenciais automaticamente e gerenciando a infraestrutura de comando e controle (C2) com um playbook que incluía operações padrão e códigos de infecção. A migração da botnet para uma nova infraestrutura C2 foi realizada em apenas seis minutos, com a IA diagnosticando problemas de tráfego e gerenciando a reconexão dos bots. Apesar de sua configuração leve, a botnet não utilizou técnicas sofisticadas de evasão. Além disso, o ator usou a IA para adivinhação de senhas e análise de dumps do 1Password. A pesquisa da Trend Micro destaca a capacidade da IA em automatizar operações de ataque, levantando preocupações sobre o uso de tecnologias de IA em cibercrimes.

Zoom alerta sobre vulnerabilidade crítica em seu cliente para Windows

A Zoom Video Communications emitiu um alerta sobre uma vulnerabilidade crítica em seu cliente de desktop e no kit de desenvolvimento de software para Windows, que pode ser explorada por um invasor não autenticado para sequestrar contas. A falha, identificada internamente e classificada como CVE-2026-53412, recebeu uma pontuação de severidade de 9.8 em 10. O problema afeta versões anteriores a 7.0.0 do Zoom Workplace para Windows, além de versões específicas do Zoom VDI Client e do Meeting SDK. A empresa descreveu a vulnerabilidade como um problema de validação inadequada de entrada, permitindo que um usuário não autenticado realize um ataque de takeover de conta via acesso à rede. Para mitigar os riscos, a Zoom recomenda que os usuários atualizem para as versões mais recentes. Além disso, a atualização também corrige outras falhas de severidade alta, como problemas de gerenciamento de privilégios e condições de corrida. Até o momento, não há indícios de que essas vulnerabilidades estejam sendo ativamente exploradas em ataques.

Botnet TuxBot v3 Evolution Nova ameaça no cenário IoT

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova estrutura de botnet chamada TuxBot v3 Evolution, que parece ter sido desenvolvida com a ajuda de um modelo de linguagem grande (LLM). Apesar da assistência da IA, o código gerado apresenta falhas funcionais. O TuxBot é composto por um agente bot em C, um servidor de comando e controle (C2) em Go, e uma infraestrutura de testes baseada em Docker. O agente bot utiliza 1.496 pares de credenciais para realizar ataques de força bruta via Telnet e explora mais de 30 famílias de dispositivos IoT com vulnerabilidades conhecidas. A comunicação com o servidor C2 é feita através de um canal TCP criptografado, utilizando um algoritmo de geração de domínio (DGA) e protocolos P2P. O framework é modular e tem raízes em botnets conhecidas como Mirai e AISURU. Embora ainda em desenvolvimento, o TuxBot já apresenta funcionalidades que podem ser potencialmente perigosas, como a capacidade de realizar ataques DDoS e manter persistência em dispositivos comprometidos. A descoberta do TuxBot destaca a crescente integração de inteligência artificial em ferramentas de cibercrime, o que pode acelerar a evolução de ameaças no espaço IoT.

Pacotes maliciosos do AsyncAPI comprometem o npm em ataque supply-chain

Recentemente, cinco versões maliciosas de pacotes AsyncAPI foram publicadas no Node Package Manager (npm) em um ataque de supply-chain, resultando na distribuição de um trojan com capacidades de roubo de informações. O ataque ocorreu devido a uma configuração inadequada do fluxo de trabalho do GitHub Actions, permitindo que o invasor injetasse pacotes trojanizados na namespace @asyncapi, que acumulou mais de 2,25 milhões de downloads semanais. Em 14 de julho, o invasor comprometeu dois repositórios do GitHub do AsyncAPI e injetou malware nos arquivos do projeto. Os pacotes maliciosos incluíam versões do @asyncapi/generator e @asyncapi/specs, entre outros. O malware, uma estrutura de 92.000 linhas, estabelece persistência no sistema e se comunica com servidores de comando e controle por diversos canais. Embora algumas funções de coleta de dados não estejam operacionais, o malware pode ser executado manualmente. Todos os pacotes maliciosos foram removidos do npm, mas instalações existentes podem ainda conter as versões comprometidas. A janela de exposição durou cerca de quatro horas, e recomenda-se que os desenvolvedores regenerem arquivos de bloqueio e removam o payload oculto.

A Lacuna de Aprovação Riscos Ocultos em Tags de Marketing

Um único código de marketing aprovado pode carregar scripts de terceiros que nunca foram avaliados pela equipe de segurança, permitindo acesso total a dados sensíveis. Este fenômeno, chamado de Lacuna de Aprovação, ocorre quando um fornecedor aprovado carrega outro, que por sua vez pode carregar mais scripts, resultando em códigos de quarto nível que não foram verificados. A situação é preocupante, pois esses scripts têm acesso às mesmas informações que o código desenvolvido internamente. O webinar apresentado por Idan Cohen, da Reflectiz, e Omri Ariav, da Taboola, discute a importância de monitorar continuamente esses códigos, uma vez que a aprovação inicial não é suficiente. Eles sugerem cinco perguntas essenciais que as equipes de segurança devem fazer aos fornecedores de marketing para mitigar riscos. Além disso, a rápida evolução da tecnologia de anúncios impulsionada por inteligência artificial está ampliando a superfície de ataque, tornando a visibilidade contínua ainda mais crucial. O relatório da Reflectiz de 2026 indica que 53% das exposições de risco no varejo estão ligadas ao uso excessivo de ferramentas de rastreamento, destacando a necessidade de uma abordagem mais integrada entre as equipes de marketing e segurança.

Vulnerabilidade no Windows permite elevação de privilégios

O pesquisador de segurança Chaotic Eclipse, conhecido como Nightmare-Eclipse, divulgou um novo exploit chamado LegacyHive, que explora uma vulnerabilidade no Windows User Profile Service (ProfSvc). Essa falha permite a elevação de privilégios através do carregamento arbitrário de hives de perfil de usuário. O exploit, que requer credenciais de um usuário padrão e um terceiro nome de usuário (que pode ser um administrador), é funcional em todas as versões de desktop e servidor do Windows, incluindo as atualizações mais recentes de julho de 2026. O pesquisador destacou que a versão pública do exploit foi simplificada para evitar exploração generalizada, mas a vulnerabilidade original não exigia credenciais adicionais e poderia carregar qualquer hive. Além disso, a Microsoft está enfrentando uma série de vulnerabilidades ativas em seus produtos, incluindo falhas no SharePoint Server e no Microsoft Defender, que foram adicionadas ao catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV) da CISA. A situação é preocupante, pois as falhas podem permitir acesso não autorizado e execução remota de código, exigindo atenção imediata das equipes de segurança.

Mozilla e Google corrigem falhas críticas em navegadores

A Mozilla lançou atualizações para corrigir duas falhas críticas no Firefox, identificadas como CVE-2026-15718 e CVE-2026-15719, que envolvem um ponteiro inválido no componente JavaScript: WebAssembly e problemas de isolamento de sites no componente DOM: Navegação. Embora o código de exploração tenha sido publicado, a Mozilla não tem conhecimento de ataques ativos explorando essas vulnerabilidades. As correções estão disponíveis na versão 152.0.6 do Firefox.

Simultaneamente, o Google corrigiu 15 falhas de segurança no Chrome, incluindo duas vulnerabilidades críticas de uso após a liberação (CVE-2026-15764 e CVE-2026-15765) que poderiam permitir a um atacante remoto explorar a corrupção de heap através de uma página HTML manipulada. As atualizações estão disponíveis nas versões 150.0.7871.124 e 150.0.7871.125 para Windows, Mac e Linux.

Malware OkoBot visa usuários de carteiras de hardware no Brasil

O malware OkoBot, ativo desde abril de 2025, tem como alvo usuários de carteiras de hardware, como Trezor e Ledger, roubando suas frases de recuperação. O módulo SeedHunter, parte do OkoBot, injeta código malicioso no software legítimo das carteiras, criando uma página de phishing que solicita a frase de recuperação assim que o dispositivo é conectado. A Kaspersky identificou centenas de vítimas em mais de 25 países, com o Brasil sendo o mais afetado. O malware possui mais de 20 cargas úteis e continua ativo, explorando vulnerabilidades em sistemas Windows. Além disso, o OkoBot utiliza métodos sofisticados, como um downloader em PowerShell que se conecta a servidores controlados por atacantes, permitindo o roubo de credenciais e dados sensíveis. A situação é crítica, pois não há correções disponíveis para as vulnerabilidades exploradas, e a proteção depende da vigilância dos usuários e da segurança dos endpoints.

Acusações contra russos por serviços de hospedagem para ransomware

Promotores federais dos EUA apresentaram acusações contra três cidadãos russos, alegando que eles forneceram serviços de hospedagem à prova de balas (BPH) para gangues de ransomware, resultando em mais de 62 milhões de dólares em danos a vítimas em todo o mundo. Os provedores de BPH, como Media Land e ML.Cloud, alugam servidores que dificultam esforços de interrupção de suas atividades maliciosas, incluindo entrega de malware e ataques de phishing. Os acusados são Aleksandr Volosovik, proprietário da Media Land, Yulia Pankova, que gerenciava questões legais e financeiras da ML.Cloud, e Kirill Zatolokin, responsável por coletar pagamentos. O Departamento de Estado dos EUA também ofereceu uma recompensa de até 10 milhões de dólares por informações sobre esses indivíduos e suas atividades cibernéticas. Além disso, os três foram sancionados anteriormente pelos EUA, Reino Unido e Austrália por fornecer infraestrutura de ataque a operações de ransomware, como Lockbit e Play. As sanções visam combater a crescente ameaça de cibercrimes que afetam diversas instituições, incluindo bancos e hospitais, em todo o território americano.

Microsoft bloqueia atualizações de segurança do Windows 11 em dispositivos Dell

A Microsoft anunciou que está bloqueando as atualizações de segurança do Windows 11 deste mês para alguns dispositivos Dell, devido a problemas de desligamento inesperado e desempenho insatisfatório. O problema foi identificado após a instalação da atualização cumulativa KB5101650, lançada em 23 de junho de 2026, que causou um conflito entre a nova interface do Gerenciador de Conexão USB-C do Windows e o driver Intel Innovation Platform Framework (IPF) Processor Participant. Essa incompatibilidade resulta em um ícone de exclamação amarelo no Gerenciador de Dispositivos, indicando potenciais falhas de desempenho, aumento de temperatura e drenagem da bateria. A Microsoft está colaborando com a Dell para resolver a situação e planeja lançar uma correção em breve. Além disso, a empresa já havia abordado outros problemas recentes, como falhas no Copilot Chat e na funcionalidade de GIFs no painel de emojis. A situação destaca a importância de monitorar atualizações e a necessidade de testes rigorosos antes da implementação de novas versões do sistema operacional.

CISA alerta sobre vulnerabilidades ativas no SharePoint Server

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de três vulnerabilidades no SharePoint Server, que afetam todas as versões suportadas do software, incluindo a Subscription Edition. As falhas, identificadas como CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, permitem que atacantes contornem a autenticação e executem código remotamente, possibilitando atividades de pós-exploração, como o roubo de chaves de máquina do Internet Information Services (IIS) e a instalação de malware. Além disso, a CISA destacou outras duas vulnerabilidades (CVE-2026-55040 e CVE-2026-58644) que foram corrigidas pela Microsoft, mas que ainda não foram exploradas ativamente. A CISA recomenda que as equipes de segurança monitorem de perto os servidores afetados e apliquem os patches mais recentes da Microsoft, além de implementar medidas adicionais de segurança, como restringir o acesso externo e usar proxies reversos. Desde novembro de 2021, a CISA identificou 11 vulnerabilidades no SharePoint que foram exploradas em ataques, incluindo ataques de ransomware.

SonicWall alerta sobre exploração ativa de vulnerabilidades críticas

A SonicWall emitiu um alerta sobre a exploração ativa de duas vulnerabilidades zero-day que afetam os dispositivos da série Secure Mobile Access (SMA) 1000. A primeira, identificada como CVE-2026-15409, possui um CVSS de 10.0 e é uma vulnerabilidade de Server-side request forgery (SSRF), permitindo que um atacante remoto não autenticado faça com que o dispositivo realize requisições para locais não intencionais. A segunda, CVE-2026-15410, com um CVSS de 7.2, é uma vulnerabilidade de injeção de código pós-autenticação na Console de Gerenciamento do Aparelho (AMC), que pode ser explorada por um atacante remoto autenticado para executar comandos do sistema operacional como administrador. A SonicWall recomenda que os clientes apliquem as correções disponíveis nas versões 12.4.3-03453 e 12.5.0-02835 ou superiores. Além disso, a empresa sugere uma análise forense detalhada do sistema para identificar indicadores de comprometimento (IoCs). A CISA dos EUA adicionou essas falhas ao seu catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV), exigindo que agências federais apliquem as correções até 17 de julho de 2026.

Pacotes npm comprometidos distribuem loader de botnet multiestágio

Quatro pacotes npm na namespace @asyncapi foram comprometidos e estão distribuindo um loader de botnet multiestágio, conforme relatado por OX Security, SafeDep, Socket e StepSecurity. Os pacotes afetados incluem @asyncapi/generator-helpers@1.1.1, @asyncapi/generator-components@0.7.1, @asyncapi/generator@3.3.1 e @asyncapi/specs (v6.11.2, v6.11.2-alpha.1). O ataque utiliza um payload ofuscado que baixa um segundo payload criptografado, identificado como Miasma, a partir do IPFS. O código malicioso é executado quando o módulo infectado é carregado pelo Node.js, ativando um processo em segundo plano que baixa e executa o malware. O loader, chamado ‘sync.js’, contém um framework de tarefas e um grande blob criptografado. O Miasma permite roubo de credenciais, contaminação de ferramentas de IA e propagação em repositórios como npm e PyPI. Além disso, possui mecanismos de persistência e um ‘dead man’s switch’ que apaga diretórios se um token roubado for revogado. Os pacotes maliciosos foram removidos do registro npm, mas qualquer endpoint que os utilizou deve ser considerado potencialmente comprometido.

Vulnerabilidade no Cursor permite execução de código arbitrário

Um grave problema de segurança foi identificado no Cursor, uma ferramenta de desenvolvimento, que permite a execução de código arbitrário ao abrir um repositório no Windows. Se um arquivo chamado git.exe estiver presente na raiz do projeto, o Cursor o executa automaticamente, sem qualquer aviso ou solicitação de confirmação. Isso significa que um atacante pode inserir um binário malicioso em um repositório, e ao clonar e abrir esse repositório, o código será executado com as permissões do usuário. A empresa de segurança Mindgard reportou essa falha em dezembro de 2025, mas até agora não houve um patch ou aviso oficial da Cursor. A situação é preocupante, pois a vulnerabilidade persiste nas versões mais recentes do software. Para mitigar o risco, recomenda-se o uso de regras de bloqueio no AppLocker ou Windows App Control, além de abrir repositórios não confiáveis em ambientes virtuais descartáveis. A falta de resposta adequada da Cursor e a ausência de um CVE atribuído à falha levantam questões sobre a segurança e a responsabilidade na gestão de vulnerabilidades em ferramentas amplamente utilizadas por desenvolvedores.

Atualizações de Segurança da Microsoft em Julho de 2026

Em julho de 2026, a Microsoft lançou um Patch Tuesday histórico, abordando 570 vulnerabilidades, incluindo duas falhas zero-day ativamente exploradas e uma divulgada publicamente. Dentre as 59 vulnerabilidades classificadas como ‘Críticas’, destacam-se 48 relacionadas à execução remota de código e 9 de elevação de privilégios. As falhas zero-day corrigidas incluem uma vulnerabilidade no Active Directory Federation Services, que permite a elevação de privilégios, e uma no SharePoint Server, que possibilita que atacantes remotos ganhem privilégios elevados. A vulnerabilidade divulgada publicamente refere-se ao BitLocker, que pode permitir o acesso a dados criptografados. A Microsoft também anunciou um aumento nas atualizações de segurança, impulsionado por um sistema de descoberta de vulnerabilidades baseado em IA. É importante que as organizações atualizem seus sistemas imediatamente para mitigar os riscos associados a essas falhas, especialmente considerando o impacto potencial em conformidade com a LGPD.

Atualização de segurança do Windows 10 é estendida até 2027

A Microsoft lançou a atualização de segurança KB5099539 para o Windows 10, que inclui correções para 570 vulnerabilidades, sendo duas delas exploradas ativamente e uma divulgada publicamente como zero-day. Inicialmente, a empresa oferecia um ano de atualizações de segurança estendidas, mas recentemente ampliou esse prazo até 12 de outubro de 2027 para dispositivos inscritos no programa de Atualizações de Segurança Estendidas (ESU). A atualização não traz novas funcionalidades, mas foca em correções de segurança e bugs, como problemas de compatibilidade no OLE Automation e falhas no File Explorer. Além disso, a atualização melhora a segurança do Remote Desktop Protocol (RDP) ao adicionar suporte para impressões digitais de certificados SHA-2, enquanto mantém a compatibilidade com SHA-1. A Microsoft alerta que mudanças na segurança podem afetar aplicações legadas que dependem de transportes TDI não registrados. Os usuários são aconselhados a verificar os logs do sistema para identificar se suas aplicações são impactadas. A atualização é crucial para manter a segurança dos sistemas operacionais, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Campanha de malware se disfarça em repositórios falsos do GitHub

Um ator de ameaças publicou centenas de repositórios falsos no GitHub, imitando projetos legítimos de software e segurança, com o objetivo de distribuir malware do tipo infostealer. A campanha atraiu tráfego de resultados de busca relacionados a produtos de segurança, serviços de criptomoedas, ferramentas financeiras e utilitários para desenvolvedores. O malware é capaz de coletar dados de mais de 19 navegadores, roubar informações de 32 carteiras de criptomoedas e extrair detalhes sensíveis de aplicativos de mensagens e redes sociais. A empresa de cibersegurança ArcticWolf identificou a atividade após descobrir que um de seus produtos estava sendo imitado desde 26 de junho. No total, foram encontrados 292 repositórios falsos, cada um contendo um arquivo README com um link de download que direcionava os visitantes para uma página maliciosa. Essa página apresentava uma interface projetada para inspirar confiança, incluindo botões de download e selos de autenticidade falsificados. O malware, uma variante da família BoryptGrab, coleta uma ampla gama de dados, incluindo senhas, informações de pagamento e tokens de sessão de aplicativos populares. Embora o GitHub tenha removido muitos dos repositórios maliciosos, ainda existem redirecionadores ativos. A ArcticWolf alerta que a campanha depende da confiança dos usuários em downloads gratuitos de ferramentas premium e recomenda cautela ao interagir com páginas não oficiais do GitHub.

Polícia Espanhola desmantela organização de cibercrime e lavagem de dinheiro

A Polícia Espanhola desmantelou uma organização de cibercrime e lavagem de dinheiro que gerou €140 milhões (cerca de $160 milhões) por meio de fraudes de investimento e ataques de comprometimento de e-mail empresarial (BEC). A operação resultou na prisão de quatro indivíduos em Espanha, Portugal e Panamá. Os suspeitos gerenciaram uma rede de mais de 800 contas bancárias, recebendo grandes quantias de dinheiro ilícito de várias vítimas. Os fundos eram rapidamente dispersos e ocultados através de uma rede de contas, dificultando a rastreabilidade e permitindo a lavagem do dinheiro. A investigação revelou que €94 milhões foram canalizados através dessa rede, com outros €61 milhões relacionados a operações de BEC. A polícia identificou o uso de táticas de engenharia social, como a falsificação de executivos de alto escalão para desviar pagamentos. A operação incluiu buscas em seis locais e a apreensão de 15 computadores e mais de 170 smartphones, além do congelamento de €3 milhões em ativos. A polícia acredita que a rede de lavagem de dinheiro foi efetivamente desmantelada.

SonicWall alerta sobre vulnerabilidades críticas em SMA1000

A SonicWall emitiu um alerta sobre a exploração ativa de duas vulnerabilidades críticas em seus dispositivos SMA1000, identificadas como CVE-2026-15409 e CVE-2026-15410. A primeira é uma falha de solicitação forjada do lado do servidor (SSRF) com uma pontuação CVSS de 10.0, permitindo que atacantes remotos não autenticados forcem o dispositivo a fazer requisições para locais indesejados. A segunda, com uma pontuação CVSS de 7.2, é uma falha de injeção de código pós-autenticação que pode permitir que administradores autenticados executem comandos arbitrários no sistema operacional. Ambas as vulnerabilidades estão sendo ativamente exploradas, e a SonicWall recomenda que os clientes atualizem para as versões de correção disponíveis. As falhas afetam modelos SMA1000, incluindo 6210, 7210 e 8200v, e não impactam a linha de produtos SSL-VPN da empresa. A CISA dos EUA adicionou essas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV), reforçando a urgência da situação. A SonicWall também forneceu indicadores de comprometimento (IOCs) para ajudar os administradores a identificar possíveis invasões em seus sistemas.

Pesquisadores identificam novo trojan de acesso remoto baseado em Rust

Pesquisadores de cibersegurança alertaram sobre um novo trojan de acesso remoto (RAT) chamado LabubaRAT, que utiliza a linguagem de programação Rust e se disfarça como software da NVIDIA para se infiltrar em ambientes-alvo. O LabubaRAT permite que os atacantes mantenham um ponto de acesso reutilizável, realizando diversas atividades, como perfilamento do host, identificação de ferramentas de segurança, execução de comandos, movimentação de arquivos e captura de telas. O malware se comunica por meio de múltiplos métodos, incluindo HTTPS e DNS tunneling, o que dificulta sua detecção e remoção. O ataque começa com um executável chamado ’nvidia-sysruntime.exe’, que aceita configurações em tempo de execução, permitindo que os operadores definam parâmetros críticos para a comunicação com o servidor remoto. O LabubaRAT também realiza operações de descoberta para identificar navegadores e produtos de segurança instalados, preparando o ambiente para suas funções. Com uma ampla gama de capacidades, o malware oferece controle significativo ao operador, permitindo interações diretas com o sistema comprometido. A estrutura do LabubaRAT sugere que ele pode ser oferecido como um serviço de malware (MaaS), aumentando sua acessibilidade para cibercriminosos.

Vulnerabilidades no Claude para Chrome expõem dados de usuários

Um novo relatório de segurança revelou vulnerabilidades críticas na extensão Claude para Chrome, que podem permitir que extensões maliciosas acessem dados pessoais de usuários, como e-mails e documentos do Google. A falha, identificada como ‘forged click’, permite que um script malicioso simule cliques legítimos, contornando a necessidade de autorização do usuário. Embora a Anthropic tenha implementado algumas restrições após a descoberta da vulnerabilidade ClaudeBleed, a Manifold Security confirmou que a versão atual (v1.0.80) ainda apresenta riscos significativos. A extensão, que é amplamente utilizada por assinantes do Claude, pode ser manipulada para executar tarefas sem o consentimento do usuário, especialmente se a opção ‘Act without asking’ estiver ativada. A situação é agravada por uma segunda vulnerabilidade que pode ser explorada no futuro, caso uma falha permita que parâmetros de URL sejam manipulados. A Manifold classificou a gravidade da falha como CVSS 7.7 em modo padrão e 9.6 em modo automático. Até o momento, não há correções disponíveis, e a Anthropic não se manifestou publicamente sobre as descobertas.

SAP lança atualizações para corrigir vulnerabilidades críticas

A SAP divulgou atualizações em julho de 2026 para corrigir várias vulnerabilidades, incluindo uma falha crítica no SAP NetWeaver Application Server ABAP, identificada como CVE-2026-44747, com uma pontuação CVSS de 9.9. Essa vulnerabilidade permite que um atacante autenticado explore erros lógicos na gestão de memória, resultando em corrupção de memória que pode levar ao acesso não autorizado a dados, modificação ou indisponibilidade do sistema. Como solução temporária, a SAP recomenda desabilitar todos os nós ICF com uma propriedade específica, embora isso não seja viável para todos os clientes. Além disso, duas outras vulnerabilidades críticas foram abordadas: CVE-2026-27690, que permite ataques de desincronização de requisições HTTP em ambientes não-Cloud Foundry, e CVE-2026-44761, que envolve o uso de credenciais padrão no SAP Commerce Cloud, permitindo que atacantes não autenticados obtenham tokens de acesso válidos. A SAP aconselha os clientes a auditar seus ambientes de produção e remover quaisquer clientes OAuth 2.0 afetados. Embora não haja evidências de exploração ativa, a aplicação das atualizações é fortemente recomendada para garantir a proteção adequada.

Microsoft lança maior atualização de segurança da história

A Microsoft lançou sua maior atualização de segurança até hoje, abordando 622 vulnerabilidades, incluindo duas falhas críticas que estão sendo ativamente exploradas: CVE-2026-56164, no SharePoint Server, e CVE-2026-56155, nos Serviços de Federação do Active Directory. Ambas permitem a elevação de privilégios, com a primeira permitindo que atacantes não autenticados escalem privilégios remotamente, enquanto a segunda requer um atacante já autenticado. A atualização é especialmente urgente para usuários do SharePoint, que alcançou o fim do suporte estendido. Além disso, a Microsoft finalizou a desativação do RC4 no Kerberos, o que pode causar falhas de autenticação se não houver uma auditoria prévia. O volume de atualizações é incomum para julho, um mês tradicionalmente leve, e reflete um aumento na detecção de vulnerabilidades, impulsionado por novas tecnologias de IA. As empresas devem priorizar a aplicação dos patches, especialmente para as falhas em SharePoint e AD FS, que já estão sendo exploradas por atacantes.

IPVanish torna OpenVPN quase três vezes mais rápido no Windows

A IPVanish lançou uma nova versão de seu aplicativo para Windows, incorporando o recurso OpenVPN Data Channel Offload (DCO), que promete aumentar a velocidade de download do OpenVPN em até 196%. Essa melhoria é especialmente significativa, pois o OpenVPN, apesar de ser um dos protocolos mais confiáveis e amplamente utilizados, sempre enfrentou desafios de velocidade. O DCO transfere a carga de criptografia para o núcleo do sistema operacional, reduzindo a latência e a carga da CPU, sem comprometer a segurança do protocolo. Além disso, a IPVanish trocou o cifrador OpenVPN de AES-256-CBC para AES-256-GCM, o que diminui em 32% o tempo de conexão com os servidores. No entanto, há uma limitação: o modo de alta velocidade não pode ser usado simultaneamente com o recurso OpenVPN Scramble, que oculta o tráfego VPN, o que pode ser uma consideração importante para usuários em redes restritas. O DCO atualmente é exclusivo para usuários do Windows, não estando disponível em macOS, iOS ou Android devido a restrições nos núcleos desses sistemas operacionais.

Não é verificação de idade privacidade é a principal razão para uso de VPNs por crianças no Reino...

Um recente relatório do governo britânico revela que a principal motivação para o uso de VPNs entre crianças no Reino Unido é a proteção da privacidade online, e não a evasão de verificações de idade, como se pensava anteriormente. A pesquisa, realizada com mais de 2.000 jovens de 11 a 17 anos, mostrou que 30% dos usuários ativos de VPNs utilizam essas ferramentas para garantir sua privacidade digital. Apenas 20% dos usuários de VPNs afirmaram usar o serviço para contornar verificações de idade, o que representa apenas 7% de todas as crianças britânicas. Além disso, a maioria dos jovens que contornam essas verificações o faz através de métodos mais simples, como mudar para plataformas que não exigem verificação de idade ou fornecendo informações falsas, como datas de nascimento. O relatório sugere que a narrativa de que a restrição ao uso de VPNs é essencial para a aplicação das leis de verificação de idade pode não ser justificada, especialmente à medida que as plataformas implementam métodos mais rigorosos de verificação. A discussão sobre a regulamentação do uso de VPNs no Reino Unido está em andamento, com apelos de grupos de defesa da privacidade para que essas ferramentas permaneçam acessíveis às crianças.

Novos kits de phishing ameaçam contas do Microsoft 365

Pesquisadores da ReliaQuest identificaram dois novos kits de phishing, Jalisco e OmegaLord, que visam contas do Microsoft 365, utilizando técnicas que burlam a autenticação multifator (MFA). O kit Jalisco emprega um método de phishing baseado em código de dispositivo, enquanto o OmegaLord se disfarça como um leitor de PDF para coletar credenciais de login e números de telefone, facilitando a interceptação de solicitações ou códigos MFA.

O método de phishing por código de dispositivo explora o fluxo de autorização do OAuth 2.0, enganando as vítimas para que autorizem um dispositivo controlado pelo atacante a acessar suas contas. O Jalisco gera códigos de dispositivo em tempo real, contornando a validade de 15 minutos imposta pela Microsoft. Após a invasão, os atacantes podem acessar dados sensíveis armazenados em serviços como SharePoint e realizar exfiltração em questão de minutos.

Microsoft adotará chaves de acesso como método padrão de autenticação

A Microsoft anunciou que, a partir de setembro de 2026, as chaves de acesso se tornarão o método padrão de autenticação para o serviço de identidade empresarial Entra ID. Os usuários que atualmente utilizam autenticação via SMS e voz serão migrados automaticamente para chaves de acesso, que são consideradas mais seguras e resistentes a phishing. A autenticação por SMS e voz será descontinuada em fevereiro de 2027, e as organizações são aconselhadas a garantir que todos os usuários adotem métodos de autenticação que não sejam suscetíveis a ataques de phishing antes dessa data. A Microsoft observou um aumento significativo nas campanhas de phishing habilitadas por IA, com taxas de cliques que chegam a 54%, em comparação com 12% para campanhas tradicionais. A mudança para chaves de acesso visa reduzir a dependência de métodos de autenticação vulneráveis e fortalecer a proteção contra o roubo de credenciais. As organizações que ainda precisarem de autenticação baseada em telefone deverão configurar provedores de telecomunicações de terceiros. A Microsoft disponibiliza orientações detalhadas para a implementação de autenticação sem senha e resistente a phishing.

A Gestão de Vulnerabilidades em Tempos de IA Um Desafio Crescente

A gestão de vulnerabilidades enfrenta um cenário alarmante, com a frequência de novas falhas aumentando drasticamente. Em 2026, a cada 7,4 minutos, uma nova CVE (Common Vulnerabilities and Exposures) é registrada, superando os números de anos anteriores. Além disso, a velocidade com que essas falhas são exploradas diminuiu para menos de um dia, devido ao uso de inteligência artificial, tornando a defesa das empresas ainda mais desafiadora. As equipes de segurança se veem incapazes de acompanhar o ritmo das atualizações e correções, enquanto a maioria das CVEs nunca se torna um ataque ativo. A solução proposta envolve a validação das defesas em vez de apenas focar na velocidade de correção, utilizando plataformas que provam a exploração de vulnerabilidades sem a necessidade de um ataque real. Um exemplo prático é o caso do Nightmare-Eclipse, onde um único pesquisador divulgou uma série de exploits que rapidamente foram adotados por criminosos. A abordagem sugerida enfatiza a importância de testar a cadeia de exploração, permitindo que as empresas priorizem quais vulnerabilidades realmente precisam ser corrigidas, sem expor seus sistemas a riscos desnecessários.

LastPass alerta sobre campanha de phishing com e-mails falsos

A LastPass emitiu um alerta sobre uma campanha de phishing em andamento que utiliza e-mails falsos para enganar usuários. Os e-mails, que se assemelham a comunicações corporativas legítimas, informam sobre supostas atualizações nas políticas de segurança e direcionam os destinatários a uma página que imita o serviço DocuSign, onde é alegado que um documento está disponível para revisão. A empresa esclarece que seus sistemas não foram comprometidos e que os e-mails não foram enviados de sua infraestrutura, apesar de os atacantes utilizarem domínios que aparentam ser legítimos. Os e-mails, enviados de ‘hello@lastpassnewsletter.com’, mencionam mudanças nas políticas de serviço da LastPass, como melhorias na monitorização de SaaS e opções de redefinição de senha. Ao clicar no botão ‘Revisar e Acessar Termos’, os usuários são levados a um site malicioso, identificado como lastpasscompliance[.]com, que foi sinalizado como perigoso por Microsoft Defender e Cloudflare. Embora a LastPass não tenha confirmado o objetivo da campanha, o site falso solicita que os usuários baixem um arquivo que supostamente é compatível com Windows e macOS. A empresa recomenda que os usuários que inseriram suas credenciais em sites de phishing mudem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas.