As autoridades italianas desmantelaram uma rede de pirataria que operava através do aplicativo CINEMAGOAL, que oferecia acesso a plataformas de streaming como Netflix, Disney+ e Spotify. A operação, chamada ‘Tutto Chiaro’, resultou em 100 buscas e na apreensão de materiais que podem ajudar a identificar os envolvidos e os lucros obtidos ilegalmente. A Guardia di Finanza revelou que os operadores do CINEMAGOAL teriam gerado milhões de euros em lucros por meio de pirataria audiovisual e fraudes. O aplicativo se conectava diretamente a plataformas legítimas, utilizando códigos de decriptação válidos obtidos de servidores estrangeiros. O sistema capturava esses códigos a cada três minutos e os redistribuía aos usuários, que se beneficiavam de uma qualidade de streaming superior. Durante a operação, servidores do CINEMAGOAL foram apreendidos na França e na Alemanha, e mais de 70 revendedores foram identificados, vendendo assinaturas anuais entre €40 e €130. Estima-se que a operação tenha causado danos de cerca de €300 milhões em receitas não pagas. As autoridades estão analisando o material apreendido para identificar todos os envolvidos, incluindo usuários finais, e já aplicaram multas a alguns assinantes.

No último mês, a Anthropic anunciou que seu projeto de cibersegurança, denominado Glasswing, identificou mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares essenciais globalmente. Dentre essas, 6.202 foram classificadas como falhas impactantes em mais de 1.000 projetos de código aberto, com 1.726 sendo confirmadas como verdadeiros positivos. Um exemplo crítico é a vulnerabilidade no WolfSSL (CVE-2026-5194), que permite a falsificação de certificados. A iniciativa, que oferece acesso antecipado ao modelo Claude Mythos Preview para cerca de 50 parceiros, visa fortalecer a infraestrutura de software global. A Anthropic destaca a necessidade urgente de que desenvolvedores reduzam seus ciclos de correção e implementem medidas de segurança, como autenticação multifatorial. Além disso, a empresa lançou um Programa de Verificação Cibernética, permitindo que profissionais de segurança utilizem seus modelos para pesquisa de vulnerabilidades e testes de penetração. Com a crescente descoberta de vulnerabilidades assistida por IA, a pressão sobre os fornecedores de software para corrigir falhas está aumentando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

O Drupal, um popular sistema de gerenciamento de conteúdo, emitiu um alerta sobre uma vulnerabilidade de injeção SQL considerada ‘altamente crítica’, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi da Google/Mandiant, afeta a API de abstração de banco de dados do Drupal e permite que atacantes executem comandos SQL maliciosos em sites que utilizam PostgreSQL. A exploração dessa vulnerabilidade não requer autenticação, o que aumenta significativamente os riscos, podendo levar à execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis. Desde a publicação do alerta, tentativas de exploração já foram detectadas, levando o Drupal a atualizar a pontuação de risco para 23 em 25, embora o NIST a classifique como de severidade média, com uma pontuação CVSS de 6.5. O Drupal recomenda que todos os administradores atualizem imediatamente para as versões mais recentes de suas ramificações, uma vez que a falha impacta diversas versões do sistema. Além disso, mesmo aqueles que não utilizam PostgreSQL devem realizar a atualização, pois as correções incluem melhorias em dependências críticas como Symfony e Twig. O uso contínuo das versões 8 e 9 do Drupal, que estão no fim de sua vida útil, é considerado arriscado devido a outras vulnerabilidades conhecidas.

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

Dois ex-executivos de uma empresa de rastreamento e análise de chamadas, Adam Young e Harrison Gevirtz, se declararam culpados por ocultar um esquema de fraude em suporte técnico que afetou vítimas em todo o mundo. Entre 2017 e 2022, eles operaram a C.A. Cloud Attribution, Ltd., fornecendo serviços a clientes envolvidos em fraudes de telemarketing e suporte técnico. Os golpistas enganavam usuários com anúncios falsos, alegando que seus sistemas estavam infectados, e direcionavam as vítimas a centros de atendimento que cobravam altas quantias por serviços técnicos fictícios, muitas vezes se passando por empresas como Microsoft e Apple. Young e Gevirtz não apenas ignoraram as atividades fraudulentas de seus clientes, mas também aconselharam a utilização de números de telefone rotativos para evitar reclamações. Além disso, eles operaram um call center na Tunísia, onde alguns funcionários participaram de fraudes semelhantes. O FBI relatou que os americanos perderam pelo menos $2,1 bilhões para fraudes de suporte técnico em 2025, destacando a gravidade do problema. Os executivos enfrentam uma pena máxima de três anos de prisão e multas de até $250 mil, com a sentença marcada para 16 de junho.

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

A Ubiquiti divulgou atualizações de segurança para corrigir três vulnerabilidades de gravidade máxima no UniFi OS, que podem ser exploradas por atacantes remotos sem privilégios. O UniFi OS é um sistema operacional unificado que gerencia a infraestrutura de TI, incluindo redes e segurança. A primeira falha (CVE-2026-34908) permite alterações não autorizadas em sistemas, enquanto a segunda (CVE-2026-34909) possibilita o acesso a arquivos do sistema subjacente por meio de uma vulnerabilidade de Path Traversal. A terceira falha (CVE-2026-34910) permite ataques de injeção de comandos após o acesso à rede, explorando uma vulnerabilidade de validação inadequada de entrada. Além disso, a Ubiquiti corrigiu uma segunda falha crítica de injeção de comandos (CVE-2026-33000) e uma de divulgação de informações (CVE-2026-34911). Embora a empresa não tenha confirmado se as vulnerabilidades foram exploradas antes da divulgação, elas podem ser utilizadas em ataques de baixa complexidade. Atualmente, a empresa de inteligência de ameaças Censys rastreia cerca de 100.000 endpoints do UniFi OS expostos na Internet, a maioria localizada nos Estados Unidos. A Ubiquiti já enfrentou ataques de grupos de hackers apoiados por estados e cibercriminosos, o que destaca a importância de mitigar essas vulnerabilidades rapidamente.

O Departamento de Justiça dos EUA anunciou a prisão de Jacob Butler, um canadense de 23 anos, acusado de operar a botnet Kimwolf, uma variante do AISURU. Essa botnet foi projetada para infectar dispositivos normalmente protegidos por firewalls, como câmeras e molduras digitais, e utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a esses dispositivos a outros criminosos. Os dispositivos infectados eram forçados a participar de ataques DDoS, que visavam servidores em todo o mundo, incluindo endereços IP da rede de informações do Departamento de Defesa dos EUA. Butler foi identificado através de registros de IP e mensagens em plataformas como Discord. A operação de desmantelamento da Kimwolf ocorreu em colaboração com autoridades canadenses e alemãs, resultando na interrupção de sua infraestrutura de comando e controle. A botnet é responsável por mais de 25.000 comandos de ataque e por alguns dos maiores ataques DDoS já registrados, com picos de tráfego de 31,4 Terabits por segundo. Butler enfrenta até 10 anos de prisão se condenado por intrusão de computador.

A Cisco lançou atualizações para uma vulnerabilidade de alta severidade no Secure Workload, identificada como CVE-2026-20223, com uma pontuação CVSS de 10.0. Essa falha permite que um atacante remoto e não autenticado acesse dados sensíveis devido à validação e autenticação insuficientes ao acessar endpoints da API REST. Segundo a Cisco, um atacante pode explorar essa vulnerabilidade enviando uma solicitação de API manipulada para um endpoint afetado, o que pode resultar na leitura de informações confidenciais e na realização de alterações de configuração com privilégios de administrador do site. A vulnerabilidade afeta o Cisco Secure Workload Cluster Software em implementações SaaS e locais, independentemente da configuração do dispositivo, e não há soluções alternativas disponíveis. As versões afetadas incluem o Cisco Secure Workload Release 3.9 e anteriores, com correções disponíveis nas versões 3.10.8.3 e 4.0.3.17. A Cisco identificou a falha durante testes internos de segurança e não há evidências de exploração ativa até o momento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Um erro grave no Chromium, que permite que o JavaScript continue a ser executado em segundo plano mesmo após o fechamento do navegador, foi acidentalmente revelado pelo Google. A falha, identificada pela pesquisadora de segurança Lyra Rebane, foi reconhecida em dezembro de 2022 e afeta todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave. Um atacante pode explorar essa vulnerabilidade criando uma página maliciosa que utiliza um Service Worker, permitindo a execução contínua de código JavaScript nos dispositivos dos usuários. Isso pode resultar em ataques de negação de serviço distribuído (DDoS) e redirecionamento de tráfego malicioso. Apesar de a falha ter sido marcada como corrigida em fevereiro de 2023, a pesquisadora constatou que o problema persiste em versões recentes do Chrome e Edge. A exposição das informações sobre a vulnerabilidade pode facilitar a exploração, embora não permita acesso direto a dados pessoais dos usuários. Dada a gravidade da situação, espera-se que o Google trate o problema como urgente e lance correções rapidamente.

Pesquisadores de segurança cibernética descobriram uma grande campanha de fraude publicitária chamada Trapdoor, que afetou milhões de usuários de Android em todo o mundo. A operação utilizou 455 aplicativos disponíveis no Google Play Store, que pareciam inofensivos, como leitores de PDF, mas que, após a instalação, solicitavam uma atualização falsa. Essa atualização, na verdade, baixava um aplicativo oculto que gerava 659 milhões de solicitações de anúncios fraudulentos diariamente, resultando em perdas significativas para anunciantes e empresas que utilizam redes de anúncios. Os aplicativos maliciosos foram baixados mais de 24 milhões de vezes antes de serem removidos pelo Google após a notificação dos pesquisadores. A campanha destaca a interconexão entre malvertising e fraudes publicitárias, onde cada etapa do processo alimenta a próxima, criando um ciclo vicioso de exploração e lucro para os atacantes. Os usuários devem desinstalar qualquer aplicativo suspeito e manter vigilância sobre suas instalações para evitar serem vítimas dessa fraude.

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Secure Workload, anteriormente conhecido como Cisco Tetration. Essa falha, identificada como CVE-2026-20223, permite que atacantes não autenticados obtenham privilégios de Site Admin através de APIs REST internas do Secure Workload. A vulnerabilidade decorre de uma validação e autenticação insuficientes ao acessar os endpoints da API, possibilitando que um atacante envie uma solicitação API manipulada para um endpoint afetado. A exploração bem-sucedida dessa falha pode permitir que o invasor leia informações sensíveis e faça alterações de configuração em diferentes inquilinos com os privilégios de um usuário Site Admin. A Cisco não encontrou evidências de que essa vulnerabilidade tenha sido explorada antes da divulgação do aviso. Para mitigar o problema, a empresa lançou atualizações de software para clientes on-premises e já corrigiu a falha na versão SaaS do Cisco Secure Workload. A situação é alarmante, especialmente considerando que a Cisco já havia alertado sobre outra vulnerabilidade crítica em sua plataforma Catalyst SD-WAN, que estava sendo explorada ativamente. Com um histórico de 91 vulnerabilidades da Cisco sendo exploradas nos últimos cinco anos, a necessidade de atenção redobrada por parte das equipes de segurança é evidente.

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

A Apple anunciou que bloqueou mais de R$ 11 bilhões em transações fraudulentas na App Store nos últimos seis anos, com mais de R$ 2,2 bilhões apenas em 2025. Em um comunicado à imprensa, a empresa revelou que rejeitou mais de 2 milhões de submissões problemáticas de aplicativos no último ano e bloqueou mais de 1,1 bilhão de criações de contas fraudulentas. Além disso, a Apple encerrou 193 mil contas de desenvolvedores devido a preocupações com fraudes e desativou 40,4 milhões de contas de clientes suspeitas de abuso. Os números de 2025 mostram um aumento significativo em relação aos anos anteriores, com a empresa utilizando tecnologia avançada e revisão humana para detectar e impedir o uso de informações financeiras roubadas. A equipe de revisão de aplicativos da Apple avaliou mais de 9,1 milhões de submissões em 2025, rejeitando um número considerável por violações de privacidade e táticas enganosas. A Apple também processou mais de 1,3 bilhão de avaliações e bloqueou quase 195 milhões de avaliações fraudulentas. A empresa aconselha os usuários a reportarem atividades suspeitas em aplicativos baixados da App Store.

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo malware para Linux chamado Showboat, que tem sido utilizado em uma campanha direcionada a um provedor de telecomunicações no Oriente Médio desde pelo menos meados de 2022. O Showboat é um framework modular de pós-exploração, capaz de criar um shell remoto, transferir arquivos e atuar como um proxy SOCKS5. Acredita-se que o malware esteja associado a grupos de ameaças vinculados à China, com conexões identificadas entre servidores de comando e controle (C2) e endereços IP localizados em Chengdu, na China. Um dos grupos envolvidos é o Calypso, ativo desde 2016, que já atacou instituições estatais em diversos países, incluindo Brasil e Índia. O malware foi classificado como um backdoor sofisticado com capacidades semelhantes a rootkits, e sua entrega ainda não foi determinada. O Showboat é projetado para coletar informações do sistema e se esconder no dispositivo infectado, utilizando um código hospedado no Pastebin. Além disso, a análise da infraestrutura revelou vítimas em Afeganistão e Azerbaijão, além de possíveis compromissos nos EUA e na Ucrânia. A presença de tal malware é um sinal de alerta para problemas de segurança mais amplos nas redes afetadas.

Um aplicativo que imitava o oficial da Receita Federal acumulou mais de 16 mil downloads em lojas não oficiais antes de ser removido. Segundo a INGENI, divisão da Redbelt Security, durante a temporada de Imposto de Renda 2026, foram identificadas 80 páginas falsas, 26 perfis fraudulentos em redes sociais e cerca de 10 aplicativos maliciosos relacionados ao tema fiscal. Wagner Farias, engenheiro de ameaças da INGENI, destaca que o volume de downloads não reflete diretamente o número de vítimas, mas indica a amplitude da campanha. Os criminosos evitam lojas oficiais, como Google Play e App Store, que utilizam inteligência artificial para detectar comportamentos suspeitos. A engenharia social é o principal gatilho do golpe, aproveitando a urgência da entrega da declaração. A inteligência artificial também tem facilitado a criação de aplicativos falsos com alta fidelidade visual. O malware pode atuar como infostealer, roubando credenciais, ou como trojan de acesso remoto, permitindo controle do dispositivo. Para quem caiu no golpe, recomenda-se restaurar o dispositivo e trocar credenciais em outro aparelho. A prevenção envolve desconfiar de domínios que não terminam em gov.br.

A Cardinal Services, Inc. iniciou notificações de violação de dados para 142.323 pessoas após dois incidentes de cibersegurança em 2025, um em junho e outro em agosto. O grupo de ransomware Rhysida reivindicou o primeiro ataque, exigindo um resgate de $940.000, enquanto o segundo ataque foi atribuído ao grupo INC. A empresa tomou medidas imediatas ao descobrir acessos não autorizados em seus sistemas, envolvendo profissionais externos de cibersegurança para investigar e mitigar os danos. Embora os detalhes sobre os dados afetados não sejam claros, a oferta de acesso gratuito ao Epiq Privacy Solutions ID sugere que informações sensíveis, como números de Seguro Social, podem ter sido comprometidas. O grupo Rhysida também adicionou a Cardinal a seu site de vazamento de dados, apresentando provas que incluem capturas de tela de documentos sensíveis. Em setembro, o grupo INC também reivindicou a violação, alegando que 140 GB de dados foram roubados. Até agora, a Cardinal não confirmou as reivindicações de resgate ou se algum pagamento foi feito. Este incidente destaca a crescente ameaça de ataques de ransomware nos Estados Unidos, com 755 ataques confirmados em 2025, afetando mais de 44,6 milhões de registros.

Na quarta-feira, a Microsoft iniciou a distribuição de patches de segurança para duas vulnerabilidades do Microsoft Defender que estão sendo exploradas em ataques zero-day. A primeira, identificada como CVE-2026-41091, é uma falha de escalonamento de privilégios que afeta o Microsoft Malware Protection Engine 1.1.26030.3008 e versões anteriores. Essa vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM devido a uma resolução inadequada de links antes do acesso a arquivos. A segunda vulnerabilidade, CVE-2026-45498, impacta sistemas com a Microsoft Defender Antimalware Platform 4.18.26030.3011 e versões anteriores, permitindo que atores maliciosos provoquem estados de negação de serviço (DoS) em dispositivos Windows não corrigidos. A Microsoft lançou as versões 1.1.26040.8 e 4.18.26040.7 para corrigir essas falhas e recomenda que os usuários verifiquem se as atualizações estão configuradas para instalação automática. A CISA, agência de cibersegurança dos EUA, também emitiu um alerta para que agências governamentais protejam seus sistemas Windows contra essas vulnerabilidades, que estão ativamente sendo exploradas. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas exploradas e ordenou que as agências federais tomem medidas de segurança em até duas semanas.

A Flipper Devices, fabricante da ferramenta de pentesting Flipper Zero, está solicitando a colaboração da comunidade para o desenvolvimento do Flipper One, uma plataforma Linux aberta voltada para dispositivos conectados. Diferente do Flipper Zero, que se concentra em controle de acesso offline e tecnologias de rádio, o Flipper One é projetado como um computador portátil ARM Linux de alto desempenho, com capacidade para suportar análise de rádio definida por software (SDR) e modelos de linguagem local (LLMs).

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como CVE-2026-46333, que permaneceu oculta por nove anos. Com uma pontuação CVSS de 5.5, a falha se refere a uma gestão inadequada de privilégios, permitindo que usuários locais não privilegiados acessem arquivos sensíveis e executem comandos como root em distribuições populares como Debian, Fedora e Ubuntu. A vulnerabilidade, conhecida como ssh-keysign-pwn, foi descoberta pela Qualys e está relacionada à função __ptrace_may_access() do kernel, introduzida em novembro de 2016. A exploração bem-sucedida pode permitir a divulgação de arquivos críticos, como /etc/shadow e chaves privadas em /etc/ssh/*_key. A Qualys recomenda que as distribuições Linux apliquem atualizações de kernel imediatamente. Caso não seja possível, sugere-se aumentar o parâmetro “kernel.yama.ptrace_scope” para 2 como uma medida temporária. A situação é agravada pela recente divulgação de um exploit de prova de conceito (PoC) para essa vulnerabilidade, o que aumenta a urgência de ações corretivas. Além disso, um exploit chamado PinTheft, que permite a escalada de privilégios locais em sistemas Arch Linux, foi também mencionado, destacando a necessidade de vigilância contínua em relação a falhas de segurança no Linux.

Um estudo recente destaca como credenciais armazenadas em cache podem se tornar um vetor de ataque significativo em ambientes híbridos. Um exemplo prático revela que uma única chave de acesso em uma máquina Windows poderia permitir que um atacante acessasse até 98% dos recursos críticos de uma empresa na nuvem. A pesquisa enfatiza que a segurança de identidade não deve ser vista apenas como um controle de perímetro, mas como um elemento central na defesa contra invasões. A maioria das ferramentas de segurança atuais falha em mapear como as exposições de identidade se conectam, permitindo que atacantes explorem permissões excessivas e atribuições de funções esquecidas. Dados da Palo Alto mostram que 90% das investigações de incidentes em 2025 foram influenciadas por fraquezas de identidade. Além disso, a crescente utilização de agentes de IA em ambientes corporativos aumenta a vulnerabilidade, uma vez que credenciais não humanas estão se tornando um alvo crescente no crime cibernético. Para mitigar esses riscos, é essencial que as organizações integrem suas ferramentas de segurança para ter uma visão unificada das conexões de identidade e permissões, fechando assim os caminhos de ataque antes que sejam explorados.

A Microsoft revelou que duas vulnerabilidades no Microsoft Defender estão sendo ativamente exploradas. A primeira, classificada como CVE-2026-41091, possui uma pontuação de 7.8 no sistema CVSS e permite que atacantes autorizados elevem seus privilégios a nível de sistema. A segunda, CVE-2026-45498, é uma falha de negação de serviço com uma pontuação de 4.0. Ambas as vulnerabilidades foram corrigidas nas versões mais recentes da plataforma de antimalware da Microsoft. A empresa destacou que sistemas que desativaram o Defender não estão vulneráveis e que as atualizações são automáticas. A CISA dos EUA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais apliquem as correções até 3 de junho de 2026. Além disso, a Microsoft já havia relatado outras vulnerabilidades exploradas recentemente, aumentando a preocupação com a segurança de suas soluções. A situação exige atenção, especialmente para organizações que dependem do Defender para proteção contra ameaças cibernéticas.

O GitHub confirmou que hackers acessaram 3.800 repositórios internos por meio de uma versão maliciosa da extensão Nx Console para Visual Studio Code, comprometida durante um ataque à cadeia de suprimentos da TanStack. O grupo de cibercriminosos TeamPCP é o responsável pelo ataque, que começou com a violação de pacotes npm da TanStack e Mistral AI, e se espalhou para outros projetos utilizando credenciais de CI/CD roubadas. O ataque permitiu que os invasores executassem fluxos de trabalho nos repositórios do GitHub como contribuidores. A extensão maliciosa, disponível por um curto período, tinha como objetivo roubar credenciais de diversas plataformas, incluindo npm e AWS. Embora o GitHub tenha tomado medidas para mitigar o incidente, como a rotação de segredos críticos, a equipe de segurança ainda investiga o alcance do ataque. O TeamPCP reivindicou acesso ao código-fonte do GitHub e está pedindo um resgate de pelo menos $50.000 por dados roubados. Este incidente destaca a vulnerabilidade das ferramentas de desenvolvimento e a necessidade de vigilância constante na segurança de extensões de software.

O Drupal divulgou atualizações de segurança para uma vulnerabilidade considerada “altamente crítica” no Drupal Core, identificada como CVE-2026-9082. Essa falha pode ser explorada por atacantes para realizar execução remota de código, escalonamento de privilégios ou divulgação de informações. A vulnerabilidade está relacionada a uma API de abstração de banco de dados utilizada para validar consultas e proteger contra ataques de injeção SQL, afetando especificamente sites que utilizam bancos de dados PostgreSQL. A exploração pode ser realizada por usuários anônimos, o que aumenta o risco. As versões afetadas incluem Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 e 10.4.10, enquanto o Drupal 7 não é impactado. O Drupal também lançou patches manuais para versões 9 e 8, que já atingiram o fim de vida útil. A gravidade da falha justifica a atualização imediata para evitar possíveis ataques, uma vez que versões não suportadas ainda podem conter outras vulnerabilidades conhecidas.

O GitHub confirmou que a violação de seus repositórios internos foi causada pela invasão de um dispositivo de um funcionário, que utilizava uma versão comprometida da extensão Nx Console para o Microsoft Visual Studio Code (VS Code). O ataque, atribuído ao grupo cibercriminoso TeamPCP, resultou na exfiltração de aproximadamente 3.800 repositórios. Apesar da gravidade do incidente, o GitHub assegurou que não há evidências de que informações de clientes fora de seus repositórios internos tenham sido afetadas. A extensão comprometida esteve disponível no Visual Studio Marketplace por apenas 18 minutos, mas foi tempo suficiente para que os atacantes distribuíssem um ladrão de credenciais que poderia coletar dados sensíveis de várias fontes, incluindo 1Password e AWS. Especialistas alertam que a natureza interconectada do software moderno facilita a exploração de vulnerabilidades, permitindo que um ataque inicial leve a compromissos subsequentes. A situação destaca a necessidade urgente de mudanças na segurança das ferramentas de desenvolvimento e na distribuição de código aberto.

A PlayStation Network (PSN) enfrenta uma grave vulnerabilidade que tem impactado usuários, incluindo figuras públicas como Colin Moriarty, que relatou ter sido hackeado. Os ataques ocorrem sem que as vítimas precisem clicar em links suspeitos, bastando que os hackers tenham acesso à ID da conta e a alguns dados de transação. A Sony, por sua vez, tem sido criticada por sua falta de ação e comunicação, limitando-se a remover informações de cartões de crédito e prometer uma análise que pode levar até três semanas. A falha permite que qualquer pessoa solicite a troca de e-mail vinculado à conta e desabilite a autenticação de dois fatores, colocando em risco a segurança de milhares de usuários. Além disso, a PSN já enfrenta problemas recorrentes de quedas e instabilidades, dificultando o acesso à PlayStation Store e ao multiplayer online. A situação levanta preocupações sobre a segurança da plataforma e a proteção dos dados dos usuários, especialmente em um cenário onde o jogo online se torna cada vez mais complexo e caro.

O Japão enfrenta um aumento alarmante de ataques de ursos, com 13 fatalidades e mais de 50 mil avistamentos registrados em 2025. Para lidar com essa situação, a empresa Ohta Seiki, localizada em Hokkaido, lançou o ‘Monster Wolf’, um robô animatrônico projetado para repelir esses animais perigosos. O robô, que custa cerca de US$ 4.000, possui uma estrutura de tubo coberta com pelagem artificial, olhos LED vermelhos e emite mais de 50 tipos de sons, incluindo vozes humanas e rosnados, que podem ser ouvidos a até um quilômetro de distância. A demanda pelo Monster Wolf disparou, com a empresa recebendo cerca de 50 pedidos em um ano, superando sua capacidade de produção habitual. O robô é ativado por um sensor infravermelho que detecta a presença de animais selvagens, acionando seus sons e movimentos. A Ohta Seiki planeja aprimorar o dispositivo, tornando-o autônomo e desenvolvendo uma versão portátil para uso em áreas rurais. Apesar de sua aparência assustadora, o robô se tornou uma solução viável para comunidades que enfrentam ataques de ursos, que estão se tornando cada vez mais frequentes.

Recentemente, a empresa de cibersegurança ReliaQuest identificou um ataque direcionado a dispositivos SonicWall Gen6 SSL-VPN, onde atores de ameaças conseguiram contornar a autenticação multifator (MFA) e acessar redes internas. O ataque, que levou entre 30 a 60 minutos para ser executado, envolveu a força bruta de credenciais VPN e a exploração da vulnerabilidade CVE-2024-12802. Essa falha permite que um invasor com credenciais válidas autentique-se diretamente, ignorando a MFA. Embora muitos dispositivos estivessem com o firmware atualizado, a falta de reconfiguração manual do servidor LDAP deixou as redes vulneráveis. Em um dos incidentes analisados, o invasor conseguiu acessar um servidor de arquivos em menos de meia hora e tentou implantar ferramentas como o Cobalt Strike, mas foi bloqueado por soluções de detecção de endpoint. A SonicWall já emitiu um aviso de segurança, alertando que a simples atualização do firmware não é suficiente para mitigar a vulnerabilidade, sendo necessária uma reconfiguração adicional. Dada a gravidade da situação e a possibilidade de exploração em diversos setores, é crucial que as empresas que utilizam esses dispositivos tomem medidas imediatas para garantir a segurança de suas redes.

A polícia cibernética da Ucrânia, em colaboração com autoridades dos EUA, identificou um homem de 18 anos de Odesa como suspeito de operar um malware infostealer que visava usuários de uma loja online na Califórnia. Entre 2024 e 2025, o suspeito utilizou malware para infectar dispositivos e roubar sessões de navegador e credenciais de contas. Os infostealers são conhecidos por coletar dados sensíveis, como senhas e informações de pagamento, que são enviados a cibercriminosos para roubo de contas e fraudes. Os ataques afetaram 28 mil contas de clientes, resultando em 5.800 compras não autorizadas que totalizaram cerca de 721 mil dólares. A operação causou perdas diretas de 250 mil dólares. A polícia informou que o suspeito gerenciava a infraestrutura online usada para processar e vender os dados roubados, além de realizar transações em criptomoedas com cúmplices. Embora as buscas tenham sido realizadas e dispositivos confiscados, ainda não houve prisão, indicando que as investigações continuam. O caso destaca a crescente ameaça de malware e a importância de medidas de segurança robustas para proteger dados sensíveis.

Com a Copa do Mundo de 2026 se aproximando, golpistas estão explorando a empolgação dos torcedores para aplicar fraudes online. Pesquisadores de segurança digital da Malwarebytes identificaram diversas armadilhas, incluindo criptomoedas temáticas falsas, ingressos inexistentes e sites de apostas fraudulentos. O chefe de pesquisa da Malwarebytes, Shahak Shalev, destaca que os criminosos tratam grandes eventos como oportunidades comerciais, utilizando ferramentas de inteligência artificial para criar sites e materiais de phishing convincentes com maior rapidez e menor custo.

A Microsoft alertou que um grupo de hackers conhecido como Storm-2949 está explorando a funcionalidade de redefinição de senha em seus serviços, como Microsoft 365 e Azure, para sequestrar contas de usuários. O ataque ocorre quando os criminosos identificam suas vítimas, obtêm seus números de telefone e e-mails, e iniciam o processo de redefinição de senha. Em seguida, eles ligam para as vítimas, se passando por técnicos de TI, e convencem-nas a aprovar um prompt de autenticação multifatorial (MFA). Com isso, os hackers conseguem redefinir a senha e acessar informações sensíveis. A Microsoft descreveu essa campanha como metódica e sofisticada, destacando que os atacantes conseguiram baixar milhares de arquivos de contas comprometidas. Para se proteger, a empresa recomenda que os usuários limitem as permissões de controle de acesso baseado em função (RBAC) no Azure e monitorem operações de gerenciamento de alto risco. As medidas de segurança incluem a retenção de logs do Azure Key Vault e a restrição de acesso público a esses cofres, além de opções de proteção de dados no Azure Storage.

O Drupal, um sistema de gerenciamento de conteúdo amplamente utilizado por grandes organizações, incluindo setores governamentais, educacionais e de saúde, anunciou uma atualização de segurança crucial programada para hoje. A equipe de segurança do Drupal alertou que, após a divulgação da vulnerabilidade, é provável que atacantes desenvolvam exploits em questão de horas. Administradores de sites que utilizam as versões 8 ou 9 do Drupal são fortemente aconselhados a atualizar para pelo menos a versão 10.6. A vulnerabilidade afeta o núcleo do Drupal a partir da versão 8, embora nem todas as configurações sejam impactadas. Atualizações de segurança estarão disponíveis para várias versões, incluindo as 11.3.x, 10.6.x e outras, com correções também sendo fornecidas para versões não suportadas devido à gravidade do problema. É importante ressaltar que as versões 8 e 9 não receberão patches, mas arquivos de correção serão disponibilizados para versões específicas. Os administradores devem monitorar o portal de segurança oficial do Drupal para mais informações e aplicar as atualizações assim que estiverem disponíveis, mantendo cautela em relação a informações fraudulentas que possam circular online.

A identidade tem sido um pilar fundamental da cibersegurança, onde a verificação do usuário garante o acesso seguro. No entanto, com a evolução das ameaças, como o uso de inteligência artificial e kits de phishing sofisticados, essa abordagem está se mostrando insuficiente. A autenticação multifatorial (MFA) foi criada para mitigar esses riscos, mas ataques modernos conseguem contornar essa proteção, capturando tokens de sessão mesmo após a autenticação bem-sucedida. O NIST já alertava sobre a necessidade de não confiar implicitamente na segurança após a autenticação inicial, enfatizando a importância de verificar a postura de segurança do dispositivo ao longo de toda a sessão. A maioria das organizações ainda trata a autenticação como um evento único, ignorando que a segurança do dispositivo pode mudar durante a sessão. Para uma abordagem mais robusta, é necessário combinar a verificação contínua do dispositivo com a identidade, garantindo que o acesso permaneça condicionado à saúde do dispositivo, e não apenas à prova de identidade. Isso reduz a eficácia de credenciais roubadas e melhora a segurança geral.

O vazamento de dados da Grafana foi causado por um token de workflow do GitHub que não foi rotacionado após um ataque à cadeia de suprimentos do npm, atribuído ao grupo de hackers TeamPCP. Durante a campanha de malware Shai-Hulud, pacotes do TanStack infectados com código de roubo de credenciais foram publicados no npm, comprometendo ambientes de desenvolvimento, incluindo o da Grafana. Quando o pacote malicioso foi liberado, o workflow de CI/CD da Grafana o consumiu, permitindo que um módulo de roubo de informações executasse no ambiente do GitHub e exfiltrasse tokens de workflow para os atacantes. A Grafana detectou a atividade maliciosa em 1º de maio e implementou um plano de resposta a incidentes, mas um token foi esquecido no processo, permitindo acesso a repositórios privados da empresa. Embora o código-fonte tenha sido roubado, a Grafana assegurou que não houve impacto nos dados dos clientes e que o código baixado durante o incidente é considerado seguro. A investigação continua, e a empresa se comprometeu a notificar os clientes afetados caso novas evidências surjam.