Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.

Nos últimos 18 meses, a adoção de inteligência artificial (IA) nas operações de segurança cibernética (SOC) cresceu exponencialmente, com bilhões de dólares investidos em plataformas de segurança impulsionadas por IA. No entanto, um relatório recente revelou que apenas 10% dos SOCs consideram que a IA trouxe valor excelente, enquanto 71% relataram valor limitado ou nenhum. O estudo identificou que a maioria dos SOCs adota um modelo de ’taker’, utilizando IA padrão sem personalização, o que resulta em baixa eficácia. Além disso, os desafios de maturidade operacional e a falta de melhores práticas aumentaram, indicando que muitos SOCs não sabem como utilizar a IA adquirida de forma eficaz. A primeira onda de ferramentas de IA foi integrada como recursos em produtos de segurança existentes, mas não conseguiu conectar os diferentes estágios do fluxo de trabalho, resultando em um aumento da fragmentação. Os SOCs que obtiveram sucesso na implementação da IA têm arquiteturas que permitem uma operação integrada e contínua, onde a IA é governável e adaptável ao ambiente dinâmico em que opera. Para que a indústria avance, é crucial que as operações de segurança conectem suas etapas e adotem uma abordagem mais holística em relação à IA.

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

O grupo de cibercriminosos conhecido como PCPJack comprometeu servidores em nuvem da Amazon Web Services (AWS), Google Cloud e Microsoft Azure, estabelecendo uma rede clandestina de retransmissão de e-mails SMTP. A Hunt.io, empresa de inteligência em cibersegurança, revelou que servidores de empresas nos EUA, Europa e Ásia foram convertidos em proxies SMTP, sincronizados a cada cinco minutos com um consumidor downstream. Durante a investigação, foram encontrados códigos-fonte, binários compilados e ferramentas de exploração em diretórios abertos de um servidor de comando e controle (C2). O PCPJack foi identificado pela primeira vez em abril de 2026, quando um framework de roubo de credenciais foi detectado. Os proxies SMTP verificados são enriquecidos com informações de IP, país e ASN, e a lista é sincronizada a cada cinco minutos para um servidor separado. O objetivo final da operação ainda é incerto, mas a infraestrutura para entrega em larga escala está claramente em funcionamento, levantando preocupações sobre possíveis usos para spam ou phishing.

Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA que já está afetando os fãs da Copa do Mundo 2026, dias antes do início do torneio. Com mais de seis milhões de torcedores esperados e uma demanda de ingressos que supera em 30 vezes a oferta, os golpistas estão aproveitando a ansiedade dos fãs. O grupo GHOST STADIUM, por exemplo, registrou mais de 4.300 domínios fraudulentos, com páginas de login quase idênticas ao site oficial da FIFA, que coletam informações pessoais e podem revender ingressos. Além disso, aplicativos de streaming pirata estão sendo utilizados para disseminar malware bancário, comprometendo dispositivos móveis. As fraudes incluem também sites falsos de produtos, apostas e até e-mails de loteria prometendo prêmios. O FBI e outras entidades estão monitorando a situação, mas a quantidade de domínios fraudulentos ainda ativos é alarmante, com estimativas de perdas que podem chegar a bilhões de dólares. Os fãs devem ser cautelosos e comprar apenas através de canais oficiais.

Um incidente de segurança na DentaQuest, administradora de benefícios dentários nos EUA, resultou na exposição de dados sensíveis de 2,6 milhões de contas. O grupo de extorsão ShinyHunters anunciou o vazamento em seu site, alegando ter roubado mais de 234 GB de informações. A DentaQuest, que atende 35 milhões de clientes e possui uma rede de 140 mil dentistas, confirmou a violação em 2 de junho, informando que tomou medidas imediatas para conter o ataque e que os sistemas permanecem operacionais. A análise do serviço Have I Been Pwned (HIBP) revelou que os dados vazados incluem endereços de e-mail, números de telefone, identificações emitidas pelo governo, informações de seguro de saúde e datas de nascimento. Embora a DentaQuest não tenha confirmado que os dados afetaram seus clientes, a HIBP validou os registros vazados. O incidente aumenta o risco de ataques de engenharia social e phishing, exigindo cautela dos usuários cujas informações podem ter sido comprometidas.

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

O navegador Hola para Windows foi comprometido em um ataque à cadeia de suprimentos, resultando na instalação de um minerador de criptomoedas não declarado, identificado como Monero. A vulnerabilidade foi descoberta durante verificações de certificação periódicas realizadas pela AppEsteem, que anteriormente havia aprovado o software. A Hola, uma empresa israelense conhecida por seu serviço de VPN, confirmou a violação e alegou que apenas 0,1% de seus usuários foram afetados, sem evidências de acesso ou roubo de dados pessoais. O arquivo malicioso, denominado ‘me.exe’, foi encontrado em alguns sistemas e apresentava características suspeitas, como código ofuscado e a capacidade de se auto-replicar. A empresa já tomou medidas para reconstruir sua infraestrutura de distribuição e implementar controles de acesso mais rigorosos. Apesar da confirmação do ataque, a Hola assegura que não houve comprometimento significativo de dados dos usuários. A situação destaca a importância de monitoramento contínuo e verificação de integridade em softwares amplamente utilizados, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

A Brave Software anunciou o lançamento público do Brave Origin, uma versão paga e minimalista de seu navegador, que elimina recursos voltados para monetização, como criptomoedas, inteligência artificial e recompensas. O objetivo do Brave Origin é atender usuários que buscam uma experiência de navegação mais limpa e focada em privacidade, sem as funcionalidades adicionais que a versão padrão oferece. A empresa afirma que o novo navegador desativa recursos como Brave Rewards, Brave Wallet e promoções de VPN, mantendo, no entanto, as proteções de privacidade e bloqueio de anúncios do Brave Shields. O preço da licença é de US$ 59,99, permitindo a ativação em até 10 dispositivos, enquanto usuários do Linux podem obter a versão gratuitamente. O lançamento gerou críticas, com alguns usuários argumentando que a Brave se tornou uma camada de monetização, cobrando por uma versão que deveria ser a norma. Defensores do projeto afirmam que a nova versão facilita o acesso a um navegador mais focado em privacidade, especialmente para aqueles que não têm conhecimento técnico para desativar manualmente as configurações na versão gratuita.

O grupo de cibercriminosos Anubis reivindicou a responsabilidade por um vazamento de dados no Singing River Health System, localizado no Condado de Jackson, Mississippi. O incidente, que ocorreu entre 19 e 21 de dezembro de 2025, afetou 53.888 pessoas, comprometendo informações sensíveis, como números de Seguro Social, dados bancários, informações médicas e de seguro saúde. Anubis afirma ter roubado 293 GB de dados, incluindo imagens íntimas de cirurgias, e publicou amostras em seu site de vazamento. Embora o Singing River Health System tenha notificado os afetados e oferecido monitoramento de crédito gratuito, não confirmou a reivindicação do grupo. Este não é o primeiro ataque de ransomware enfrentado pela instituição, que já havia sido alvo de um incidente em agosto de 2023, afetando mais de 895 mil pessoas. O grupo Anubis, ativo desde 2024, opera sob um modelo de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. O aumento de ataques de ransomware no setor de saúde nos EUA, com 143 incidentes confirmados em 2025, levanta preocupações sobre a segurança de dados e a continuidade dos serviços de saúde.

Na quarta-feira, a Microsoft anunciou a correção de um problema que permitiu que alguns dispositivos Windows instalassem atualizações de drivers sem aviso, apesar de políticas configuradas para impedir atualizações automáticas. De acordo com um relatório de incidente do centro de administração (MO1332784), a empresa atribuiu a falha a uma má configuração no serviço de cache do Windows Update, que temporariamente descartou informações de registro de dispositivos. Isso fez com que alguns dispositivos fossem tratados como não registrados, impedindo a aplicação correta dos controles de aprovação de drivers. A equipe de suporte do Intune também reconheceu o problema nas redes sociais, afirmando que estava trabalhando ativamente para mitigá-lo. A Microsoft garantiu que os drivers instalados eram aprovados e não representavam uma ameaça à segurança. Após a atualização do cache do serviço afetado e a confirmação de que o problema foi resolvido, a empresa continua a investigar a causa da falha para evitar recorrências. Embora a Microsoft não tenha divulgado quantas regiões ou clientes foram afetados, administradores de Windows relataram que dezenas de milhares de dispositivos receberam atualizações inesperadas, causando problemas em dispositivos de áudio e vídeo.

Um tópico em um fórum intitulado “Hacking for Profit. Working method” revela como comunidades underground compartilham informações sobre exploração de vulnerabilidades e técnicas de hacking. O autor, conhecido como “Hercules”, apresenta um guia prático que descompõe o processo de identificação e monetização de vulnerabilidades em etapas claras. O tutorial aborda desde a busca por vulnerabilidades recém-divulgadas, como execução remota de código e vazamento de dados, até a validação de sistemas expostos e a decisão sobre a exploração ou divulgação das falhas.

Um novo ataque à cadeia de suprimentos afetou 36 pacotes no Node Package Manager (npm), introduzindo um malware infostealer chamado IronWorm. Este malware, escrito em Rust, visa 86 variáveis de ambiente e 20 arquivos de credenciais, que podem conter informações sensíveis como credenciais da OpenAI, AWS, Anthropic e npm, além de chaves SSH e arquivos de carteiras de criptomoedas. A pesquisa da JFrog revelou que o IronWorm se propaga utilizando credenciais roubadas para publicar pacotes no npm, comprometendo ambientes de desenvolvedores e sistemas de integração contínua (CI). O ataque começou a partir de uma conta comprometida chamada ‘asteroiddao’, que publicou versões maliciosas de pacotes. O malware utiliza um rootkit e se comunica com o operador via rede Tor, além de empregar um mecanismo que utiliza GitHub Actions para entregar segredos roubados. Embora o ataque tenha sido detectado rapidamente, a situação destaca a necessidade de os desenvolvedores atualizarem suas versões de pacotes e implementarem autenticação de dois fatores (2FA). O incidente é um lembrete da vulnerabilidade das cadeias de suprimentos e da importância de medidas de segurança robustas.

O Programa Mundial de Alimentos (PMA), a maior organização humanitária do mundo, anunciou no último fim de semana que sua aplicação de auto-registro para a Palestina foi comprometida. O incidente, ocorrido em 14 de maio, resultou no acesso não autorizado a dados pessoais de beneficiários em Gaza, incluindo nomes, números de identificação, telefones e informações de localização. O PMA assegurou que os beneficiários não precisam atualizar ou excluir suas informações, e que a assistência continuará normalmente. A plataforma de registro foi temporariamente suspensa para implementar melhorias de segurança. Embora o número exato de pessoas afetadas não tenha sido divulgado, estima-se que cerca de 600.000 lares palestinos tenham seus dados expostos. O PMA alertou os beneficiários a terem cuidado com tentativas de phishing e a não clicarem em links suspeitos. Este não é o primeiro incidente de segurança envolvendo agências da ONU, que já enfrentaram outros ataques cibernéticos nos últimos anos, levantando preocupações sobre a proteção de dados em organizações humanitárias.

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Recentemente, a comunidade de cibersegurança foi alertada sobre os riscos associados à inteligência artificial (IA) em redes de defesa, após um incidente em que um modelo de IA da Anthropic, o Claude Mythos, foi supostamente acessado por um grupo não autorizado em poucas horas. Este evento destaca a vulnerabilidade das redes de defesa e inteligência dos EUA, especialmente com a crescente adoção de IA em ambientes classificados. Para garantir que a IA ofereça vantagens decisórias, é crucial considerar três áreas principais: a qualidade dos dados que alimentam os modelos, o controle de acesso às IAs e a integridade das comunicações entre a IA e os sistemas de missão. A infraestrutura de rede segura é fundamental para mitigar riscos, já que a IA pode introduzir vulnerabilidades em múltiplas camadas. A empresa Everfox está desenvolvendo soluções para permitir que agências de defesa e inteligência integrem IA de forma segura, sem comprometer a velocidade e a segurança das operações. A implementação responsável da IA deve ser feita com segurança incorporada desde o início, evitando que a tecnologia se torne uma responsabilidade em vez de uma vantagem.

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Autoridades da França e da Espanha desmantelaram um mercado online que vendia documentos de identidade falsificados, utilizados por redes de tráfico de migrantes na União Europeia. A operação culminou na prisão de um suspeito em Alicante, na Espanha, onde foram apreendidos equipamentos de produção de documentos e cerca de 800 identidades europeias falsas. A investigação começou após a identificação de um site que anunciava esses documentos fraudulentos, levando à localização do suspeito, que residia em Alicante desde 2024. Segundo a Europol, o marketplace facilitava operações de tráfico de migrantes, fornecendo documentos falsos que permitiam a evasão de controles de fronteira e a obtenção fraudulenta de direitos de residência. A Europol destacou que a fraude documental é um dos principais facilitadores da legalização fraudulenta de residências e do tráfico de migrantes na UE. Em março de 2026, a Europol ampliou suas capacidades de combate ao tráfico de migrantes com a criação do Centro Europeu de Combate ao Tráfico de Migrantes (ECAMS), que visa fortalecer a troca de informações e a coordenação entre agências de segurança. A operação em Alicante evidencia a importância da infraestrutura de fraude documental para a manutenção das redes de tráfico de migrantes na Europa.

Um ataque cibernético sofisticado comprometeu a caixa de entrada de um executivo sênior de uma importante bolsa de valores global, permitindo que invasores acessassem informações sensíveis por pelo menos cinco meses. De acordo com um relatório da equipe de ameaças da Symantec e Carbon Black, os atacantes utilizaram técnicas de exfiltração disfarçadas, enviando dados por meio de serviços de nuvem como Dropbox e OneDrive, o que dificultou a detecção. A operação começou em outubro de 2025, quando os invasores instalaram dois binários maliciosos que imitavam atualizações do Adobe e do OneDrive. A partir de novembro, eles começaram a extrair dados da caixa de entrada, utilizando uma ferramenta construída com a biblioteca legítima Aspose para converter arquivos OST e PST do Outlook. O ataque foi caracterizado por acessos discretos e programados, evitando chamar a atenção de softwares de segurança. A falta de um CVE específico e a utilização de ferramentas públicas dificultam a atribuição do ataque a um grupo conhecido, mas a natureza da intrusão sugere um foco em espionagem, não em roubo financeiro. O relatório alerta que instituições financeiras e reguladoras devem monitorar atividades incomuns em caixas de entrada e uploads para contas pessoais de nuvem.

Pesquisadores de cibersegurança identificaram uma operação em larga escala que se disfarça de projetos de código aberto e freeware para redirecionar usuários desavisados a um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware, como Remus Stealer, AnimateClipper e o framework SessionGate. Os sites envolvidos são bem projetados e imitam portais legítimos, utilizando uma camada de JavaScript hospedada no CloudFront que transforma cliques em downloads em redirecionamentos para o TDS. Essa operação visa aquisição e monetização de tráfego, levando usuários a uma infraestrutura de entrega de malware. Os ataques visam especificamente usuários que buscam ferramentas de segurança em motores de busca, como o Google, fazendo com que esses sites falsos apareçam no topo dos resultados. A análise de telemetria do VirusTotal revelou entre 2.000 a 3.500 submissões de amostras associadas à família SessionGate, com a maioria das submissões originárias de países como Turquia, Polônia, Brasil e Alemanha. O objetivo final da infecção é entregar um payload único por cliente, dificultando a análise e a recuperação do payload. Essa situação representa um risco significativo para usuários que buscam ferramentas de segurança, especialmente no Brasil, onde a popularidade de tais ferramentas pode ser explorada por cibercriminosos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malvertising para macOS, chamada Operação FlutterBridge, que dissemina um backdoor conhecido como FlutterShell. De acordo com a Palo Alto Networks, essa campanha é uma evolução de atividades anteriores do grupo criminoso CL-CRI-1089, ativo desde 2023. O FlutterShell, desenvolvido com o framework Flutter, infecta dispositivos com adware por meio de aplicativos de desktop maliciosos, permitindo execução de comandos e manipulação do sistema de arquivos. Os ataques utilizam anúncios fraudulentos no Google e YouTube, atraindo usuários de macOS nos EUA, Canadá, Austrália, França e Alemanha. Os anúncios são veiculados por empresas de fachada, ligadas a indivíduos ucranianos. O FlutterShell se destaca por sua arquitetura baseada em WebView, que permite alterações dinâmicas no comportamento do malware sem necessidade de recompilação. Variantes do FlutterShell, como PodcastsLounge e PDF-Brain, foram identificadas, e a campanha continua em desenvolvimento ativo, representando uma ameaça significativa para usuários de macOS.

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

O Pentágono confirmou que adversários estrangeiros dos Estados Unidos conseguiram rastrear tropas americanas em zonas de guerra, como o Oriente Médio, utilizando dados de localização de smartphones disponíveis comercialmente. Essa situação é alarmante, pois o Departamento de Defesa (DoD) não exige que os usuários desativem a geolocalização em áreas de conflito, e os identificadores de publicidade continuam a ser transmitidos mesmo quando os anúncios personalizados estão desativados. O senador Ron Wyden e o representante Pat Harrigan criticaram o DoD por não impor protocolos de segurança mais rigorosos para smartphones, destacando que tanto dispositivos pessoais quanto os fornecidos pelo governo ainda transmitem informações que podem ser usadas para localizar militares. Apesar de estar ciente dessa vulnerabilidade há pelo menos uma década, o DoD não desenvolveu soluções concretas para mitigar o problema, mesmo diante de múltiplos relatórios de ameaças. A política de ’traga seu próprio dispositivo’ (BYOD) adotada pelo exército, que permite o uso de dispositivos pessoais, contrasta com as necessidades de segurança operacional, aumentando o risco para os soldados em campo.

Os ataques de ransomware registraram um aumento de 3% de abril para maio de 2026, totalizando 661 incidentes em maio, com destaque para o setor educacional, que viu um crescimento de 54% nos ataques. O setor de alimentos e bebidas também teve um aumento significativo de 80%. Em contraste, os provedores de saúde e empresas de utilidades experimentaram quedas de 21% e 29%, respectivamente. Entre os ataques confirmados, 35 foram direcionados a empresas, 7 a entidades governamentais e 5 a instituições educacionais. Os grupos de ransomware mais ativos foram Qilin, The Gentlemen e DragonForce, com Qilin liderando em ataques confirmados. Nos Estados Unidos, foram registrados 272 ataques, o maior número entre os países analisados. O ataque mais notável no setor de saúde foi contra a Central Medical Services of Westrock, que teve dados comprometidos e foi reivindicado pelo grupo INC. O cenário atual indica uma necessidade crescente de vigilância e proteção, especialmente em setores vulneráveis como educação e alimentos.

O Departamento de Justiça dos EUA (DoJ) anunciou os resultados de uma operação abrangente contra fraudes cibernéticas e de criptomoedas, que teve início em 18 de maio de 2026. A operação, chamada ‘Disruption Week’, resultou na desativação de milhões de contas em redes sociais e e-mails utilizadas por grupos de cibercrime transnacionais na Ásia. Além disso, mais de $3,8 milhões em criptomoedas foram congelados, relacionados à lavagem de dinheiro proveniente de fraudes. A U.S. Attorney Jeanine Ferris Pirro destacou que essas fraudes têm devastado as economias de muitos cidadãos americanos, especialmente os mais vulneráveis. A operação é parte da iniciativa Scam Center Strike Force, que visa desmantelar organizações criminosas envolvidas em fraudes online e tráfico humano. Os esquemas frequentemente envolvem a construção de relacionamentos com as vítimas antes de convencê-las a investir em plataformas fraudulentas, resultando em perdas financeiras significativas. A operação contou com a colaboração de empresas como Apple, Google e Coinbase, além de agências de polícia de vários países. O DoJ alertou que as fraudes com criptomoedas estão crescendo rapidamente, com perdas estimadas em mais de $7,2 bilhões em 2025, um aumento de 24% em relação ao ano anterior.

Agências de segurança dos EUA, incluindo a CISA e o FBI, alertaram sobre ataques direcionados a sistemas automáticos de medição de tanques (ATG) expostos à internet, utilizados em setores críticos como Energia, Química, Alimentos e Transporte. Os hackers estão explorando vulnerabilidades como bypass de autenticação e credenciais hardcoded para modificar configurações do sistema, o que pode comprometer a segurança operacional. Os ataques podem permitir que invasores alterem volumes de tanques, controles de bombas e desativem alertas, aumentando o risco de vazamentos e falhas de equipamentos. Embora não tenha sido atribuído a um grupo específico, houve relatos anteriores de hackers iranianos envolvidos em atividades semelhantes. As agências recomendam que as organizações restrinjam o acesso remoto e implementem práticas de segurança robustas, como autenticação multifatorial e atualizações de segurança. A situação destaca a necessidade urgente de revisão das medidas de segurança em sistemas ATG, especialmente considerando a crescente interconexão e a vulnerabilidade desses sistemas críticos.

O Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA anunciou sanções contra a Nobitex, a maior exchange de criptomoedas do Irã, por facilitar pagamentos relacionados a atividades terroristas. A Nobitex é acusada de ajudar a evadir sanções econômicas e facilitar transações ligadas ao Corpo da Guarda Revolucionária Islâmica (IRGC). Em 2025, a exchange processou mais de 50% de todos os influxos de ativos digitais iranianos, além de permitir que o Banco Central do Irã acessasse centenas de milhões de dólares em stablecoins para estabilizar o valor do rial iraniano. O OFAC também designou executivos da Nobitex, como o presidente Amir Hossein Rad e o CEO Seyed Ali Khoee, e impôs sanções a outras exchanges iranianas. Dados da Chainalysis indicam que o ecossistema de criptomoedas do Irã recebeu quase $7,8 bilhões em 2025, com endereços associados ao IRGC representando mais de 50% do valor recebido no quarto trimestre. As sanções congelam ativos sob jurisdição dos EUA e proíbem negócios com as partes designadas, criando pressão internacional sobre aliados e empresas estrangeiras. Além disso, um grupo de hackers pro-Israel afirmou ter invadido a Nobitex, roubando ativos digitais avaliados em cerca de $90 milhões.

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

O Redis, popular banco de dados em memória, corrigiu uma vulnerabilidade crítica, identificada como CVE-2026-23479, que permitia a usuários autenticados executar comandos arbitrários no sistema operacional do servidor. A falha, descoberta por uma ferramenta de IA, estava presente desde a versão 7.2.0 e afetou todas as versões estáveis até a correção em 5 de maio de 2026. A NVD avaliou a gravidade da vulnerabilidade em 8.8 no CVSS 3.1, enquanto o Redis a classificou como 7.7 no CVSS 4.0. A exploração da falha requer uma sessão autenticada, mas muitos ambientes de nuvem executam o Redis sem senha, aumentando o risco. O ataque envolve manipulação de memória, onde um ponteiro de função é sobrescrito, permitindo que comandos do sistema sejam executados. O Redis recomenda que os usuários atualizem para as versões corrigidas e adotem medidas de segurança, como restringir acessos e manter o Redis fora da internet pública. Apesar da gravidade, não há evidências de exploração ativa até o momento.

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.

A Microsoft anunciou a descontinuação do recurso de senha mestre no navegador Edge, substituindo-o por métodos de autenticação mais seguros, como o Windows Hello, que utiliza biometria e chaves de acesso. A mudança, que entra em vigor a partir de 4 de junho, visa aumentar a segurança dos usuários, uma vez que senhas têm sido frequentemente consideradas um ponto fraco na cibersegurança. Especialistas, como Ignas Valancius da NordPass, destacam que a utilização de biometria e chaves de acesso é mais conveniente e segura do que senhas tradicionais, que muitas vezes são reutilizadas ou simplificadas, aumentando o risco de comprometimento de contas. Apesar dos benefícios, a transição pode enfrentar resistência de usuários acostumados com senhas, que podem optar por gerenciadores de senhas de terceiros que ainda permitem o uso de senhas mestres. A mudança reflete uma tendência crescente na indústria de tecnologia em direção a métodos de autenticação sem senha, que prometem melhorar a segurança e a experiência do usuário.

O Clarinda Regional Health Center, localizado em Iowa, confirmou que notificou 24.341 pessoas sobre um vazamento de dados ocorrido em outubro de 2025. As informações comprometidas incluem números de Seguro Social, dados médicos, informações de seguros de saúde, números de contas financeiras, números de identificação de contribuinte, datas de nascimento e números de carteira de motorista. O grupo de ransomware LockBit reivindicou a responsabilidade pelo ataque em 11 de dezembro de 2025, e o hospital detectou a violação em 15 de dezembro de 2025. Embora o LockBit tenha listado o hospital em seu site de vazamento de dados, o Clarinda Regional Health Center não confirmou a reivindicação. A instituição está oferecendo um ano de monitoramento de crédito gratuito para as vítimas do vazamento. O LockBit, um grupo criminoso cibernético baseado na Rússia, tem se tornado cada vez mais ativo, com 156 ataques registrados em 2026 até o momento, incluindo ataques a prestadores de serviços de saúde. Os ataques de ransomware representam uma ameaça significativa para o setor de saúde, pois podem comprometer dados sensíveis e interromper serviços críticos, colocando em risco a saúde e a segurança dos pacientes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

O Google está implementando uma nova funcionalidade de segurança no Android chamada ‘detecção de chamadas falsas’, que visa identificar e sinalizar chamadas em que golpistas utilizam inteligência artificial para se passar por contatos pessoais do usuário. A funcionalidade, que será ativada por padrão, está sendo lançada globalmente para dispositivos com Android 12 e versões posteriores, começando pelos dispositivos Pixel.

Quando um contato faz uma chamada, o dispositivo envia um sinal de confirmação silencioso e criptografado em tempo real para o dispositivo do destinatário. Se esse sinal não for enviado, indicando que a chamada pode ser falsificada, o dispositivo do destinatário verifica com o telefone real do contato. Se a confirmação indicar que o contato não está fazendo uma chamada, o destinatário recebe um alerta na tela para desligar imediatamente.

Agências de segurança da Europa e internacionais realizaram uma operação significativa, denominada “Operação KRATOS 2”, que resultou no desmantelamento de nove grupos de crime organizado e na prisão de 29 suspeitos envolvidos em operações de streaming ilegal. Coordenada pela Bulgária com o apoio da Europol, a operação envolveu autoridades de 13 países, incluindo Estados Unidos e Reino Unido. Durante os sete meses de investigação, foram identificados mais de 18.000 endereços IP e 4.370 domínios associados a serviços ilegais, além de quase 400.000 URLs adicionais que foram sinalizadas para suspensão ou remoção. A ação conjunta levou à remoção de mais de 27.000 URLs de streaming ilegal que distribuíam conteúdo protegido por direitos autorais, como esportes, filmes e programas de televisão. A Europol destacou que os grupos criminosos separam intencionalmente os sites voltados para o cliente dos servidores que hospedam o conteúdo ilegal, dificultando a detecção e a acusação. Além disso, esses serviços representam riscos significativos de cibersegurança para os usuários, incluindo infecções por malware e roubo de dados.

A Acer confirmou a existência de duas vulnerabilidades de alta severidade, conhecidas como zero-day, que afetam seus roteadores mesh Wave 7. As falhas foram reportadas pelo pesquisador de segurança Gergo Pap e impactam roteadores que utilizam a versão de firmware T7c_GBL_1.01.000055 ou anterior. A primeira vulnerabilidade, identificada como CVE-2026-49200, permite que atacantes não autenticados acessem remotamente credenciais em texto claro armazenadas em arquivos de log, como o acer_cgi.log, que contém informações sensíveis de login. A segunda falha, CVE-2026-49201, resulta de uma chave criptográfica embutida que possibilita o acesso persistente de invasores ao sistema, permitindo que eles modifiquem backups do dispositivo. Embora a Acer esteja trabalhando em correções, ainda não há patches disponíveis. A empresa recomenda que os usuários desativem a gestão remota e restrinjam o acesso à Internet até que as atualizações sejam lançadas, previstas para o final de junho de 2026.

Em abril, uma vulnerabilidade em uma VPN resultou em vazamentos de dados em mais de setenta instituições financeiras que utilizam a infraestrutura do software Marquis. Apesar de existir um patch e as instituições terem realizado testes de penetração recentes, a exposição de dados não foi evitada. O relatório Mandiant M-Trends 2026 aponta que o tempo médio de permanência de ameaças em 2025 foi de quatorze dias, com atores de espionagem permanecendo em média 122 dias. A CrowdStrike também destacou que os serviços financeiros estão entre os setores mais visados por intrusões. As regulamentações, como PCI DSS e NYDFS, enfatizam a necessidade de testes de penetração contínuos, não apenas anuais, para lidar com as mudanças frequentes na infraestrutura digital. Um exemplo alarmante foi a descoberta de uma falha em um portal de originação de hipotecas, onde dados de várias instituições eram acessíveis sem autenticação. Essa situação ilustra a necessidade urgente de um modelo de testes contínuos, que responda rapidamente às mudanças na infraestrutura, em vez de esperar por avaliações anuais. A falta de validação durante a maior parte do ano expõe as instituições a riscos significativos, tornando essencial a adoção de práticas de segurança mais dinâmicas e responsivas.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

O gerenciamento de identidade e acesso (IAM) nas empresas está se aproximando de um ponto crítico, com a identidade se tornando cada vez mais fragmentada em milhares de aplicações e sistemas descentralizados. Um estudo da Orchid Security revela que 46% das atividades de identidade empresarial ocorrem fora da visibilidade do IAM centralizado, criando o que é chamado de ‘matéria escura da identidade’. Essa camada oculta inclui aplicações não gerenciadas, contas locais e identidades não humanas com permissões excessivas, ampliadas por ferramentas desconectadas e a ascensão da inteligência artificial autônoma.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.