CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti lançou atualizações de segurança para corrigir sete vulnerabilidades críticas no UniFi OS, incluindo uma falha de gravidade máxima, identificada como CVE-2026-50746, que pode ser explorada em ataques de injeção de comando. Essa vulnerabilidade afeta a aplicação UniFi Connect (versões 3.4.16 e anteriores), utilizada para gerenciar operações em edifícios comerciais, como sistemas de iluminação LED inteligentes e carregadores de veículos elétricos. A empresa alertou que um ator malicioso com acesso à rede pode explorar uma vulnerabilidade de Controle de Acesso Inadequado para executar injeções de comando no dispositivo host. Os usuários devem atualizar a aplicação UniFi Connect para a versão 3.4.20 ou posterior. Além disso, a Ubiquiti corrigiu outras seis vulnerabilidades críticas em aplicações como UniFi Talk, UniFi Access e UniFi Protect, bem como em seu servidor UniFi OS e uma variedade de roteadores e sistemas de vigilância. A empresa não confirmou se essas vulnerabilidades foram exploradas antes da correção, mas destacou que seis delas podem ser exploradas em ataques de baixa complexidade sem interação do usuário. A empresa de inteligência de ameaças Censys rastreia mais de 100.000 instâncias do UniFi OS expostas online, com a maioria localizada nos Estados Unidos.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

KDDI revela vazamento de dados de milhões de clientes no Japão

A KDDI, uma das maiores operadoras de telecomunicações do Japão, anunciou que milhões de endereços de e-mail e senhas de clientes foram expostos após um ataque a uma plataforma de e-mail utilizada por cinco provedores de serviços de internet no país. O incidente, descoberto em 17 de junho, afetou até 14,2 milhões de clientes, incluindo contas ativas e inativas. A empresa informou que algumas senhas estavam armazenadas de forma criptografada, mas não especificou quantas estavam em texto simples. O ataque ocorreu em 16 de maio, explorando uma vulnerabilidade zero-day em um software de terceiros, que não havia sido reconhecida pelo fornecedor até então. A KDDI já implementou medidas de segurança, como a mudança obrigatória de senhas para os clientes afetados e a instalação de software de detecção de ameaças. A empresa também notificou as autoridades japonesas sobre o incidente e está colaborando com os provedores de internet para mitigar os riscos decorrentes do vazamento.

CISA adiciona vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), todas com evidências de exploração ativa. As falhas incluem CVE-2026-48282 e CVE-2026-56290, ambas com pontuação CVSS de 10.0, que permitem a execução remota de código em sistemas vulneráveis, como Adobe ColdFusion e Joomlack Page Builder. A CVE-2026-55255, com pontuação de 6.1, permite que atacantes autenticados contornem autorizações e executem fluxos de outros usuários. A CVE-2026-48908, também com pontuação 10.0, permite o upload irrestrito de arquivos perigosos, resultando na execução de código PHP. A exploração da CVE-2026-48282 foi observada rapidamente após a divulgação pública, com tentativas de ataque originadas da Índia. As organizações são aconselhadas a aplicar correções até 10 de julho de 2026 para proteger suas redes. O cenário destaca a urgência de ações corretivas, especialmente para plataformas amplamente utilizadas como Joomla e WordPress.

Falha GhostLock no Linux permite controle total por usuários logados

Pesquisadores da Nebula Security revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como GhostLock (CVE-2026-43499), que permite a qualquer usuário logado obter controle total de um sistema não atualizado. Essa falha, que existe há 15 anos, foi incluída por padrão em praticamente todas as distribuições Linux desde 2011 e não requer permissões especiais ou configurações incomuns para ser explorada. A vulnerabilidade foi descoberta por meio da ferramenta de busca de bugs VEGA, e a equipe da Nebula conseguiu criar um exploit funcional que é 97% confiável em testes. Embora não haja relatos de exploração ativa, o código do exploit foi publicado, tornando a correção uma prioridade. A falha é classificada como de alto risco, com uma pontuação de 7.8 em 10, já que um atacante precisa estar logado na máquina. As distribuições estão atualmente implementando patches, mas é essencial que os administradores verifiquem se estão usando a versão corrigida do kernel, pois versões anteriores podem ainda estar vulneráveis. Além disso, a Nebula também destacou que a GhostLock é parte de uma cadeia de exploração que pode ser combinada com outras falhas para comprometer sistemas remotamente.

Grupo de Ameaça Chinês Refinando Malware para Expandir Rede ORB

O grupo de ameaças avançadas persistentes (APT) conhecido como UAT-7810, vinculado à China, está aprimorando seu malware personalizado para expandir sua rede de Operational Relay Box (ORB). De acordo com a Cisco Talos, o UAT-7810 é responsável pela manutenção e proliferação do LapDogs, uma rede ORB identificada pela primeira vez em junho de 2025. O objetivo do grupo é estabelecer redes ORB que possam ser utilizadas por outros atores de ameaças para realizar ataques cibernéticos a alvos de alto valor. Recentemente, o UAT-7810 desenvolveu uma nova versão de seu malware, chamada LONGLEASH, além de outras ferramentas como DOGLEASH e LEASHTEST, que são utilizadas para explorar vulnerabilidades em dispositivos de rede, como roteadores Ruckus e ASUS. As campanhas do grupo têm se concentrado em explorar falhas conhecidas, como CVE-2020-22653 e CVE-2023-25717, para comprometer dispositivos e estabelecer acesso persistente. A evolução do malware indica um ciclo ativo de desenvolvimento, com novas funcionalidades sendo testadas em dispositivos MIPS. A situação representa um risco significativo para a segurança de redes, especialmente para infraestruturas críticas.

Porta-voz do Anonymous Wild Hornets critica enxames de drones

O porta-voz do grupo Anonymous Wild Hornets descreveu os enxames de drones como ‘uma lenda divertida e um mecanismo de fraude’ enquanto defende a importância das impressoras 3D na guerra moderna. A empresa, que fabrica drones na Ucrânia, está expandindo seu uso de impressão 3D para reduzir custos e aumentar a produção. Utilizando impressoras de mesa FDM, como as da Bambu Lab e Elegoo, a Wild Hornets consegue produzir componentes plásticos de drones em grande volume, o que permite uma rápida iteração de design em resposta às táticas do inimigo. Além disso, a fabricação interna abrange também baterias e controladores de voo, diminuindo a dependência de fornecedores externos. Apesar do crescente interesse em inteligência artificial para drones, a empresa alerta que a implementação dessa tecnologia pode aumentar significativamente os custos. O porta-voz também expressou ceticismo sobre a viabilidade dos enxames de drones, afirmando que, por enquanto, eles não representam uma ameaça real. A Wild Hornets, que começou como uma iniciativa voluntária, agora produz cerca de 100 drones por dia e planeja focar em pesquisa e desenvolvimento após o término do conflito.

Hackers chineses evoluem malware para comprometer roteadores Ruckus

Hackers chineses identificados como ‘UAT-7810’ estão aprimorando seu malware para expandir sua rede de infraestrutura de relé operacional (ORB), focando principalmente em dispositivos de rede expostos à internet, como roteadores Ruckus não atualizados. De acordo com pesquisadores da Cisco Talos, essa rede ORB serve como uma infraestrutura de relé segura para outras ameaças persistentes avançadas (APTs) alinhadas à China. O malware LONGLEASH, uma versão aprimorada do backdoor SHORTLEASH, foi identificado, oferecendo novas funcionalidades, como redirecionamento de tráfego e suporte a TLS. Além disso, foram descobertos outros malwares, como DOGLEASH, um backdoor leve para Linux, e JARLEASH, uma ferramenta administrativa em Java. Os pesquisadores destacam que UAT-7810 explora vulnerabilidades conhecidas em roteadores, como CVE-2020-22653 e CVE-2023-25717, para obter acesso inicial. A continuidade da expansão da infraestrutura ORB e a substituição do SHORTLEASH pelo LONGLEASH indicam um aumento na capacidade operacional dos atacantes. A lista completa de indicadores de comprometimento (IoCs) relacionados à atividade do UAT-7810 está disponível no relatório da Cisco Talos.

Accenture confirma violação de segurança e roubo de dados

A gigante de serviços de TI, Accenture, confirmou ter sofrido uma violação de segurança após um ator de ameaças afirmar ter roubado 35 GB de código-fonte e outros dados da empresa. Em uma declaração ao BleepingComputer, a Accenture afirmou que está ciente do incidente isolado e que já remediou a situação, garantindo que não houve impacto nas operações e na entrega de serviços. O ator de ameaças, conhecido como ‘888’, começou a oferecer os dados roubados para venda em um fórum de cibercrime, alegando que a violação ocorreu em julho de 2026 e que os dados incluem chaves RSA, chaves SSH, tokens de acesso pessoal do Azure e arquivos de configuração. Embora a Accenture tenha confirmado a violação, não forneceu detalhes sobre como os atacantes conseguiram acesso ou se dados de clientes foram afetados. Este incidente se soma a um histórico de violações da Accenture, incluindo um ataque do grupo de ransomware LockBit em 2021. A situação destaca a importância da segurança cibernética em um ambiente corporativo cada vez mais vulnerável a ataques.

Falha crítica no Google Dialogflow CX expõe dados de usuários

Uma falha crítica no Google Dialogflow CX, identificada pela empresa de segurança Varonis e nomeada de Rogue Agent, permitia que um atacante com permissões de edição em um agente habilitado para Code Block comprometesse outros agentes no mesmo projeto do Google Cloud. A vulnerabilidade possibilitava a leitura de conversas em tempo real, o roubo de dados compartilhados pelos usuários e o envio de mensagens escritas pelo atacante, como solicitações para reentrada de senhas. A falha afetou apenas organizações que utilizavam Playbooks e Code Blocks personalizados, que permitem a adição de código Python. Para explorar a vulnerabilidade, o atacante precisava da permissão dialogflow.playbooks.update, limitando o risco a insiders maliciosos ou contas de desenvolvedores comprometidas. O ambiente compartilhado onde o código é executado não apresentava isolamento adequado entre os agentes, permitindo que um único Code Block malicioso substituísse um arquivo crítico, comprometendo todos os agentes no projeto. Embora a Google tenha corrigido a falha e não haja indícios de exploração real, a situação destaca a necessidade de controles rigorosos de acesso e monitoramento em ambientes de desenvolvimento de IA.

Novo malware RedWing ameaça segurança bancária em dispositivos Android

Um novo malware para Android, denominado RedWing, está sendo comercializado no Telegram como um serviço de fraude bancária acessível até para criminosos de baixa habilidade. De acordo com a Zimperium, que identificou a operação, o RedWing é uma variante do malware Oblivion, e é oferecido em pacotes de assinatura que incluem descontos por indicação, guias e vídeos explicativos, permitindo que qualquer comprador crie um aplicativo personalizado sob demanda.

O processo de infecção começa com um link de phishing que direciona a vítima a uma página falsa de loja de aplicativos. O malware solicita permissões de forma gradual, utilizando técnicas enganosas para obter acesso total ao dispositivo. Uma vez instalado, o RedWing pode criar telas de login falsas, ler mensagens de texto para capturar códigos de autenticação e redirecionar chamadas, além de permitir o controle remoto do dispositivo.

Ransomware com IA acelera ataques, mas ainda depende de ação humana

Pesquisadores da Sysdig identificaram um ataque de ransomware inovador, atribuído ao operador JadePuffer, que utiliza inteligência artificial para automatizar etapas do sequestro de dados. Embora o ataque tenha sido facilitado pela IA, ele ainda requer a intervenção humana para configuração e direcionamento. O ataque começou com a exploração de uma vulnerabilidade no Langflow, uma ferramenta para criar aplicações com modelos de linguagem, e culminou em um ataque a um servidor de produção com banco de dados MySQL. Durante a operação, o agente de IA executou mais de 600 ações, adaptando-se a falhas e ajustando comandos em tempo real. O resultado foi a criptografia de aproximadamente 1.300 itens de configuração e a criação de um usuário administrador malicioso, seguido de uma mensagem de resgate. Notavelmente, a chave de criptografia gerada não foi preservada, o que pode inviabilizar a recuperação dos dados mesmo que o resgate seja pago. Este incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante por parte das empresas.

Grupo cibercriminoso CMD reivindica ataque a universidade canadense

O grupo cibercriminoso CMD Organization assumiu a responsabilidade por um ataque cibernético à Mount Royal University (MRU), em Calgary, Alberta, ocorrido em 17 de junho de 2026. A universidade confirmou a ocorrência de um incidente cibernético que afetou seus sistemas, incluindo folha de pagamento e registro de acomodações estudantis. CMD afirma ter roubado 10 TB de dados da MRU e está exigindo um resgate de 1,9 milhão de dólares em uma semana. Para corroborar sua reivindicação, o grupo publicou amostras de documentos que alegam ter sido roubados. A MRU ainda não confirmou a autenticidade da reivindicação e está em fase inicial de investigação, sem determinar se informações pessoais foram acessadas. CMD Organization, que opera um esquema de ransomware como serviço, já reivindicou 32 ataques desde sua fundação em maio de 2026, com um resgate médio de 580 mil dólares. O ataque à MRU é parte de uma tendência crescente de ataques de ransomware a instituições educacionais, que podem causar interrupções significativas nas operações diárias e riscos de fraude para alunos e funcionários.

Pipeline verde não é governado vulnerabilidades em CICD

Em junho de 2026, a Novee Security revelou uma nova classe de vulnerabilidades em pipelines de CI/CD, chamada Cordyceps, que afeta repositórios de alto impacto em ecossistemas como npm, PyPI, crates.io e Go. A pesquisa analisou cerca de 30.000 repositórios e identificou 654 vulnerabilidades, das quais mais de 300 eram totalmente exploráveis. O problema reside na forma como os workflows do GitHub Actions são configurados, permitindo que um atacante, com apenas uma conta gratuita do GitHub, execute código malicioso em contextos privilegiados. A vulnerabilidade se origina da interação entre workflows, onde um código aparentemente seguro pode ser manipulado para executar comandos não autorizados. Exemplos de exploração incluem o repositório Azure Sentinel da Microsoft, onde um simples comentário em um pull request permitiu o roubo de uma chave de aplicativo do GitHub, e o repositório do Google Cloud, onde um pull request poderia conceder acesso de proprietário a um projeto. A análise destaca a necessidade urgente de governança e revisão de segurança em pipelines, especialmente com o aumento da automação e do uso de ferramentas de IA, que podem replicar padrões inseguros em larga escala.

Polícia da Espanha prende suspeito de hacktivismo pró-Rússia

A Polícia Nacional da Espanha prendeu um homem suspeito de ser membro ativo do grupo hacktivista pró-Rússia conhecido como CyberArmy of Russia Reborn (CARR) e Z-Pentest. Esses grupos têm sido associados a vários ataques cibernéticos direcionados a infraestruturas críticas nos Estados Unidos e na Europa. Um dos ataques mais preocupantes, revelado em uma acusação recente, visou instalações de água e processamento de alimentos, colocando em risco a segurança pública. O governo dos EUA já impôs sanções a outros membros do CARR, que também foram implicados em ataques a sistemas SCADA de empresas de energia. O suspeito, residente em Palência, teria fornecido apoio logístico a um hacker ucraniano do CARR e tentado facilitar sua fuga para a Rússia. A investigação, que começou em agosto de 2025 com informações do FBI, resultou em uma operação policial em março de 2026, onde foram apreendidos dispositivos de armazenamento de criptomoedas e computadores. Embora ainda não haja acusações formais, o homem é investigado por associação a organização terrorista e danos computacionais.

Backdoor de autenticação oculta em roteadores Tenda expõe riscos

Uma vulnerabilidade crítica foi identificada em várias versões de firmware de roteadores Tenda, permitindo que atacantes obtenham acesso administrativo ao painel de gerenciamento web do dispositivo. O problema, rastreado como CVE-2026-11405, é causado por um mecanismo de autenticação não documentado na função ’login()’ do servidor web ‘/bin/httpd’. Quando um usuário tenta fazer login, o firmware do roteador realiza uma autenticação padrão baseada em MD5. Se essa falha, o sistema recupera uma senha alternativa da configuração ‘sys.rzadmin.password’ e a compara diretamente com a senha em texto claro fornecida pelo usuário remoto. Se as senhas coincidirem, o dispositivo concede acesso administrativo, independentemente do nome de usuário inserido. Isso significa que qualquer nome de usuário é aceito, desde que a senha da backdoor seja fornecida. O CERT/CC alerta que essa falha não está documentada em nenhum lugar, deixando os usuários inconscientes do risco. A exploração bem-sucedida pode permitir que um atacante reconfigure o dispositivo, altere configurações de rede e desative recursos de segurança, comprometendo ainda mais a rede local. Atualmente, não há correção disponível e recomenda-se que os usuários desativem o painel de gerenciamento remoto e mudem o endereço IP LAN padrão para mitigar riscos. A vulnerabilidade foi descoberta por um pesquisador anônimo e, embora não haja relatos de exploração ativa, a possibilidade de ataques por botnets é alta.

Vulnerabilidade crítica no Writer permite comprometimento entre inquilinos

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica de isolamento de sessão na plataforma de inteligência artificial generativa Writer, que já foi corrigida. Batizada de WriteOut pela equipe de Sand Security Research, a falha permite que um atacante, com apenas um link, consiga acessar e tomar controle de contas de usuários de diferentes organizações. Isso significa que um invasor pode acessar chats privados, documentos e dados sensíveis, dependendo do papel do usuário atacado. O ataque ocorre quando um usuário logado clica em um link de pré-visualização compartilhado por um agente malicioso, que então captura o cookie de sessão do usuário. A vulnerabilidade quebra as proteções de isolamento entre inquilinos, permitindo que o atacante atue como um usuário legítimo em diferentes contas. Após a divulgação responsável, a Writer implementou correções para evitar que cookies de sessão sejam enviados para pré-visualizações de sandbox. A falha destaca a importância de uma análise rigorosa de segurança em plataformas de IA, especialmente em ambientes corporativos.

Hacker ligado a roubo de dados de joalheria de luxo nos EUA é preso

Um hacker, identificado como Peter Stokes, de 19 anos, foi preso e acusado de envolvimento em um ataque cibernético a uma joalheria de luxo nos Estados Unidos. O ataque ocorreu entre 12 e 15 de maio de 2025, quando os invasores se passaram por funcionários da empresa e conseguiram redefinir senhas e acessar contas críticas. Utilizando ferramentas como ngrok e Teleport, os hackers transferiram pelo menos 77 gigabytes de dados para armazenamento em nuvem. Embora tenham tentado implantar ransomware, a equipe de segurança da joalheria conseguiu bloquear a ação. O ataque resultou em um custo de aproximadamente 2 milhões de dólares para a empresa. A investigação levou à identificação de Stokes através de um identificador de dispositivo da Microsoft, que estava ligado à conta usada para o ataque. Apesar da prisão, especialistas alertam que o grupo Scattered Spider, do qual Stokes faz parte, é uma rede descentralizada e que a captura de um único membro não é suficiente para mitigar a ameaça. O caso destaca a importância de processos rigorosos de verificação de identidade em help desks e a adoção de autenticação multifatorial resistente a phishing.

Vulnerabilidade no GitHub pode expor repositórios privados

Pesquisadores da Noma Security revelaram uma vulnerabilidade crítica no GitHub, que pode permitir que agentes de automação, conhecidos como GitHub Agentic Workflows, exponham conteúdos de repositórios privados. A técnica, chamada GitLost, permite que um atacante crie um problema aparentemente inofensivo em um repositório público, levando o agente a acessar e vazar informações privadas. Isso ocorre devido à ineficácia do agente em distinguir entre instruções legítimas e maliciosas, resultando em uma injeção de prompt indireta. A vulnerabilidade é particularmente preocupante porque não requer credenciais roubadas ou acesso direto à organização, apenas a criação de um problema público. Embora o GitHub tenha implementado medidas de segurança, como tokens de acesso somente leitura e detecção de ameaças, um simples ajuste na redação de um comando malicioso conseguiu contornar essas proteções. A Noma Security alerta que a combinação de acesso a dados privados, leitura de conteúdo não confiável e capacidade de postagem pública cria um caminho claro para vazamentos de dados. As organizações devem restringir o escopo dos tokens de acesso e revisar as saídas dos agentes antes da publicação para mitigar esses riscos.

Campanha de phishing com código de dispositivo do Microsoft 365 em alta

Uma nova campanha de phishing utilizando códigos de dispositivo do Microsoft 365 foi identificada entre o final de junho e início de julho de 2026. A técnica, conhecida como ‘device code phishing’, explora um fluxo legítimo de autenticação OAuth 2.0, permitindo que atacantes contornem a autenticação multifator (MFA) e acessem contas sem precisar roubar senhas. Ao invés de criar páginas falsas, os criminosos manipulam usuários a completarem um prompt de autenticação real, inserindo um código que, na verdade, autoriza o acesso do invasor. A campanha observada pela ZeroBEC utiliza iscas relacionadas a colaborações e pagamentos, levando as vítimas a um site legítimo, mas comprometido, que orquestra o desafio de código do dispositivo. Essa abordagem é similar a uma campanha anterior, Storm-2372, e utiliza uma infraestrutura reutilizável chamada DEBULL, que permite a personalização das iscas sem alterar a base de identidade. O aumento desses ataques representa um risco significativo, facilitando a tomada de controle de contas, roubo de informações e fraudes. A situação exige atenção especial dos profissionais de segurança, especialmente em um cenário onde a autenticação legítima é explorada para fins maliciosos.

Microsoft testa recurso de recuperação em nuvem no Windows 11

A Microsoft iniciou testes da funcionalidade Cloud Rebuild, que permite a reinstalação completa do sistema operacional Windows 11 a partir da nuvem, visando dispositivos que enfrentam problemas persistentes ou que se tornaram inoperáveis. Apresentada na conferência Ignite em novembro de 2025, essa ferramenta é uma alternativa ao recurso ‘Reset this PC’, pois baixa a imagem do Windows e os drivers diretamente do Windows Update, garantindo que o dispositivo retorne a um estado funcional sem a necessidade de mídia USB ou de uma imagem personalizada. Para testar o Cloud Rebuild, os usuários devem instalar a versão Insider Preview Build 26300.8772 e seguir um processo de recuperação no Ambiente de Recuperação do Windows (WinRE). Além disso, a Microsoft também anunciou o recurso Point-in-Time Restore (PITR), que permite reverter o sistema para um estado anterior saudável em minutos. Essas funcionalidades fazem parte da iniciativa de resiliência do Windows, que visa facilitar a recuperação de dispositivos que não conseguem iniciar corretamente. Outras ferramentas, como o Quick Machine Recovery (QMR), também estão sendo testadas para ajudar administradores a resolver falhas de inicialização sem acesso físico ao dispositivo.

BeyondTrust alerta sobre falhas críticas em software de acesso remoto

A BeyondTrust emitiu um alerta para que seus clientes apliquem patches em duas falhas de segurança críticas em seus softwares Remote Support (RS) e Privileged Remote Access (PRA). A primeira vulnerabilidade, identificada como CVE-2026-40138, afeta versões 25.3.2 ou anteriores do RS e do PRA, permitindo que atacantes contornem controles de acesso e acessem dispositivos alvo, incluindo contas com privilégios elevados. A segunda falha, CVE-2026-40139, permite que atacantes remotos não autenticados acessem instâncias vulneráveis devido a um processamento inadequado de solicitações de autenticação. Embora a BeyondTrust tenha destacado que a exploração dessas falhas requer uma configuração específica de autenticação, não foram fornecidos detalhes adicionais. Além disso, a empresa lançou atualizações de segurança para outras duas vulnerabilidades de alta severidade (CVE-2026-40140 e CVE-2026-40141), que podem causar negação de serviço ou acesso a recursos restritos. A BeyondTrust já aplicou patches para clientes em nuvem e recomenda que clientes auto-hospedados atualizem suas versões. O grupo de vigilância de segurança Shadowserver identificou quase 2.000 instâncias do RS e PRA expostas online, mas não há informações sobre quantas já foram corrigidas. Historicamente, falhas anteriores da BeyondTrust foram exploradas em ataques, incluindo um incidente que comprometeu agências do governo dos EUA, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Vulnerabilidade de 16 anos no Linux permite fuga de máquinas virtuais

Uma vulnerabilidade no kernel do Linux, identificada como Januscape, permite que atacantes escapem de máquinas virtuais e executem códigos arbitrários no host. Descoberta pelo pesquisador de segurança Hyunwoo Kim, essa falha de escape de convidado para host (CVE-2026-53359) é resultado de uma fraqueza de uso após a liberação na emulação MMU sombra do KVM/x86. Presente no kernel do Linux por cerca de 16 anos, a vulnerabilidade foi corrigida em junho de 2026 e foi utilizada como um exploit zero-day no programa de recompensas de vulnerabilidades do Google, kvmCTF. A exploração bem-sucedida permite que atacantes com acesso root em uma máquina virtual convidada executem códigos como root no host, comprometendo todos os convidados em execução ou até mesmo derrubando o kernel do host. Kim destacou que Januscape é o primeiro exploit desse tipo que pode ser acionado em arquiteturas de processadores Intel e AMD, representando um risco significativo para ambientes de nuvem pública multi-inquilinos. Administradores de hosts KVM/x86 devem garantir que o patch correspondente tenha sido aplicado para proteger seus sistemas contra essa vulnerabilidade.

Automatizando a segurança de e-mails com IA comportamental

As organizações continuam a investir em soluções de segurança como gateways de e-mail seguros e autenticação multifatorial, mas ataques de phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO) permanecem como ameaças persistentes. Um webinar promovido pela BleepingComputer, intitulado ‘Stop chasing alerts: Automating email security with behavioral AI’, abordará como a inteligência artificial comportamental pode ajudar as empresas a identificar padrões de comunicação anormais, automatizar investigações e acelerar respostas a ataques de e-mail. Os ataques modernos têm se tornado mais sofisticados, utilizando identidades confiáveis e comunicações empresariais normais, o que dificulta a detecção por controles tradicionais de segurança. O evento contará com especialistas que compartilharão insights práticos sobre como reduzir a fadiga de alertas e melhorar a eficiência das investigações. O webinar também discutirá as estratégias para detectar esses ataques de forma mais eficaz, aliviando a carga operacional das equipes de segurança. Os participantes aprenderão sobre as táticas que os atacantes usam e como a IA pode ser uma aliada na defesa contra essas ameaças.

Vulnerabilidade em firmware da Tenda permite acesso não autorizado

O CERT Coordination Center (CERT/CC) alertou sobre uma vulnerabilidade crítica em várias versões de firmware da fabricante chinesa Tenda, que permite a exploração de uma backdoor de autenticação não documentada. Essa falha, identificada como CVE-2026-11405, possibilita que atacantes contornem o processo de verificação de senha e obtenham controle administrativo total sobre os dispositivos, sem a necessidade de credenciais válidas. A vulnerabilidade afeta diversos modelos de firmware, incluindo US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD e US_AC10V1.0re_V15.03.06.46_multi_TDE01. O problema reside na função “login()” do binário do servidor web, onde uma comparação direta de senhas pode ser realizada, permitindo acesso administrativo ao fornecer um nome de usuário qualquer junto com a senha da backdoor. Até o momento, a Tenda não lançou um patch para corrigir essa falha. Os usuários são aconselhados a desativar a gestão remota e alterar o endereço IP padrão da LAN para mitigar riscos de exploração.

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.

Segurança da Cadeia de Suprimentos de Software O Impacto da IA

A segurança da cadeia de suprimentos de software enfrenta novos desafios com a integração da inteligência artificial (IA) no processo de desenvolvimento. Nos últimos anos, incidentes como SolarWinds e Log4Shell destacaram que os riscos estão mais associados ao que compõe o código do que ao código em si. Com a introdução de ferramentas autônomas e assistentes de codificação baseados em IA, a necessidade de entender a origem e a confiabilidade dos modelos e ferramentas se torna crucial. A validação do código gerado por IA antes de sua implementação é essencial, mas o verdadeiro desafio reside na governança das ferramentas e agentes que produzem esse código. Para lidar com essa nova realidade, as equipes de segurança precisam estender a rastreabilidade para incluir modelos e agentes, além de priorizar vulnerabilidades com base na real possibilidade de exploração. O recente reconhecimento do Gartner sobre a segurança da cadeia de suprimentos de software ressalta a importância de abordar esses riscos de forma sistemática. Um webinar programado para julho de 2026 discutirá como a integração da IA alterou a superfície de ataque e o que um programa de segurança deve incluir para ser eficaz nesta nova era.

Atualizações críticas da BeyondTrust para falhas de segurança em produtos

A BeyondTrust divulgou atualizações para corrigir duas falhas de segurança críticas em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). As vulnerabilidades, identificadas como CVE-2026-40138 e CVE-2026-40139, possuem uma pontuação CVSS de 9.2, permitindo que atacantes não autenticados contornem controles de acesso e obtenham acesso não autorizado a dispositivos vulneráveis, incluindo contas com privilégios elevados. Ambas as falhas estão relacionadas a problemas na validação de dados de autenticação. Além disso, outras vulnerabilidades, como CVE-2026-40140 e CVE-2026-40141, apresentam riscos adicionais, como negação de serviço e acesso não intencional a recursos. A BeyondTrust não relatou exploração ativa dessas falhas, mas enfatizou a importância de aplicar as correções rapidamente, especialmente considerando que falhas anteriores em seus produtos foram exploradas para implantar shells web e backdoors. As versões afetadas são RS 25.3.2 ou inferiores e PRA 25.3.2 ou inferiores, com correções disponíveis nas versões 25.3.3 e superiores.

Autoridades vietnamitas prendem operadores do HiAnime, serviço de pirataria

As autoridades do Vietnã prenderam sete suspeitos envolvidos na operação do HiAnime, a maior plataforma de streaming de anime pirata, que foi encerrada em junho de 2023. O HiAnime oferecia uma vasta biblioteca de animes legendados e dublados em inglês sem taxas de assinatura, atraindo centenas de milhões de visitantes mensais e superando temporariamente serviços legais como Disney+ e Crunchyroll em tráfego na web entre 2024 e 2025. A plataforma foi lançada no domínio Zoro.to, rebatizada como Aniwatch e, posteriormente, como HiAnime/H!Anime. Após sua popularidade, o HiAnime foi incluído na lista de Pirataria e Contrafação da Comissão Europeia e na lista de Mercados Notórios do Representante de Comércio dos EUA. Os sete réus enfrentam acusações de violação de direitos autorais e lavagem de dinheiro, com quatro deles detidos e três sob prisão domiciliar. Eles são acusados de criar mais de 100 sites para hospedar mais de 26.000 filmes de anime piratas, gerando cerca de 12,85 milhões de dólares em receita publicitária ilegal entre 2020 e abril de 2026. A Aliança para Criatividade e Entretenimento (ACE) confirmou a ação das autoridades e expressou gratidão ao apoio dos EUA durante a investigação que levou às prisões.

Atores de ameaças abusam de chamadas do Microsoft Teams para instalar malware

A Palo Alto Networks, através da sua unidade Unit 42, revelou uma nova campanha de ciberataques que explora chamadas de voz do Microsoft Teams. Os atacantes se passam por funcionários de suporte técnico para induzir colaboradores a instalar o malware EtherRAT, que concede acesso remoto a redes corporativas. O ataque começa com um e-mail de phishing disfarçado de ‘Pesquisa de Funcionários’, contendo um PDF malicioso. Após abrir o documento, a vítima recebe uma chamada de voz do Teams de uma conta externa que se faz passar por um ‘Administrador de Sistema’. Os pesquisadores notaram que a sessão do Teams exibia o rótulo ‘Externo desconhecido’, indicando que o chamador pertencia a um locatário diferente do Microsoft 365. Após convencer a vítima a conceder controle remoto, o atacante orienta a instalação de ferramentas legítimas de acesso remoto, como HopToDesk e AnyDesk, antes de baixar e executar um instalador MSI malicioso que carrega o EtherRAT. Este trojan de acesso remoto, escrito em Node.js, permite que os atacantes executem comandos, manipulem arquivos e roubem dados. A campanha destaca a crescente preocupação com a segurança do Microsoft Teams, levando a empresa a implementar novas proteções contra ataques de phishing e vishing.

Campanha de phishing finge ser marcas famosas para roubar credenciais

Uma nova campanha de phishing está se passando por mais de 30 marcas conhecidas, como Adobe, Netflix e Coca-Cola, visando profissionais de marketing para roubar credenciais de contas do Google. Os atacantes utilizam a plataforma legítima PeopleForce e um domínio associado ao Salesforce Marketing Cloud para redirecionar as vítimas a uma página de captura maliciosa. Para aumentar a credibilidade, os e-mails de phishing usam nomes e fotos de recrutadores reais das empresas impersonadas. A análise de Will Thomas, da Team Cymru, revelou que a campanha utiliza pelo menos 34 domínios, abrangendo setores como aviação, alimentos, vestuário e tecnologia. Os e-mails, que inicialmente usavam endereços do Outlook, solicitam que as vítimas agendem entrevistas, levando-as a uma página que imita o login do Google. Embora não esteja claro como os atacantes acessaram as plataformas legítimas, a possibilidade de criação de contas genuínas ou uso de logins comprometidos é considerada. A operação já está em andamento há pelo menos cinco meses, destacando a necessidade de vigilância constante contra esse tipo de ameaça.

Vulnerabilidade Januscape no KVM do Linux pode comprometer hosts

Uma nova vulnerabilidade, identificada como ‘Januscape’ e registrada como CVE-2026-53359, foi descoberta no hipervisor KVM do Linux. Essa falha, que se trata de um bug do tipo use-after-free, pode ser explorada a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel do host. O problema reside no código da MMU sombra que o KVM compartilha entre processadores Intel e AMD e, segundo o pesquisador Hyunwoo Kim, pode levar a uma execução de código completo no host. A vulnerabilidade ficou sem ser detectada por cerca de 16 anos e requer que o atacante tenha acesso root na VM, uma condição comum em instâncias de nuvem alugadas. A falha foi utilizada como uma submissão de zero-day no programa de recompensas kvmCTF do Google, que oferece até $250.000 por escapes completos de convidado para host. A correção foi implementada em junho de 2026, mas os administradores de sistemas devem agir rapidamente para aplicar o patch, especialmente em ambientes x86 que hospedam convidados não confiáveis com virtualização aninhada habilitada.

Grupo de hackers iranianos utiliza novo malware contra Israel

Um grupo de hackers iranianos, vinculado ao Ministério da Inteligência e Segurança do Irã, tem utilizado um novo framework modular de comando e controle (C2) chamado Cavern, visando principalmente organizações israelenses, especialmente no setor de TI e governo. A pesquisa da Check Point identificou que o Cavern Manticore, como é conhecido o grupo, apresenta semelhanças táticas com outros grupos como MuddyWater e Lyceum. O framework é construído sobre uma base .NET e utiliza múltiplos formatos de compilação, dificultando a análise por parte de especialistas em segurança.

A Revolução da Inteligência Artificial na Segurança de Software

O artigo de Morey J. Haber discute a evolução do desenvolvimento de software, destacando a transição do modelo Waterfall para metodologias mais ágeis, como Agile e DevOps, e, mais recentemente, para o que é chamado de Vibe Coding, impulsionado pela inteligência artificial generativa. Essa nova abordagem permite que qualquer pessoa, independentemente de experiência técnica, crie aplicações rapidamente, simplesmente descrevendo suas intenções em linguagem natural. No entanto, essa velocidade de desenvolvimento traz novos desafios de segurança, pois o código gerado pode conter vulnerabilidades e falhas que não eram previstas nas metodologias anteriores. O autor enfatiza que, apesar das vantagens do Vibe Coding, as práticas tradicionais de engenharia de software seguro, como modelagem de ameaças e testes de vulnerabilidade, continuam essenciais. A democratização da criação de software não garante a democratização do julgamento de engenharia necessário para garantir a segurança e a confiabilidade das aplicações. Portanto, as organizações devem estar atentas ao aumento da superfície de risco que essa nova era de desenvolvimento pode trazer.

Como Avaliar Plataformas de SOC com Inteligência Artificial

A avaliação de plataformas de Centro de Operações de Segurança (SOC) que utilizam Inteligência Artificial (IA) pode ser desafiadora, uma vez que diferentes fornecedores apresentam soluções com características semelhantes. Um SOC com IA é uma plataforma onde agentes de IA realizam tarefas essenciais, como detecção, triagem, investigação e resposta, sob supervisão humana. A eficácia de uma plataforma não está apenas em seu nome, mas em sua capacidade de melhorar resultados, como tempo de investigação e volume de falsos positivos. Para garantir a confiabilidade, é crucial que os agentes tenham acesso a um contexto abrangente, que inclui dados de identidade, configuração e comportamento normal. O artigo destaca seis capacidades essenciais a serem testadas durante uma prova de conceito, como a correlação de dados em tempo real e a cobertura de detecção além do SIEM. A plataforma Exaforce é mencionada como um exemplo que atende a essas capacidades, demonstrando resultados significativos, como a redução do tempo de investigação em 95%. A luta entre IA e IA continua, e a confiança nas decisões automatizadas depende da qualidade dos dados utilizados pelos agentes.

Ameaça crítica em imagens Docker do Gitea vulnerabilidade CVE-2026-20896

Pesquisadores de segurança alertaram sobre uma vulnerabilidade crítica (CVE-2026-20896) em imagens Docker do Gitea, uma plataforma de DevOps. Com uma pontuação CVSS de 9.8, a falha permite que um cliente da internet não autenticado obtenha acesso elevado ao confiar no cabeçalho ‘X-WEBAUTH-USER’ de qualquer endereço IP. A configuração padrão do arquivo ‘app.ini’ da imagem Docker define ‘REVERSE_PROXY_TRUSTED_PROXIES’ como ‘*’, permitindo que qualquer IP que consiga acessar a porta do Gitea se autentique como qualquer usuário, incluindo administradores. Essa vulnerabilidade afeta versões do Gitea até a 1.26.2, mas foi corrigida na versão 1.26.3, onde o wildcard foi removido e a autenticação por proxy reverso se tornou opcional. A Sysdig detectou tentativas de exploração 13 dias após a divulgação pública da falha, destacando a urgência de aplicar os patches disponíveis para proteger as instâncias do Gitea, que somam cerca de 6.200 expostas na internet.

Falha em app da Mottu expõe dados de usuários, incluindo CPF

Um incidente de segurança na plataforma de aluguel de motos Mottu resultou na exposição de dados pessoais de usuários, incluindo nomes, CPFs, endereços e informações de contato. O vazamento não comprometeu dados financeiros, como informações de pagamento ou senhas. A empresa identificou a falha em 29 de junho e tomou medidas corretivas, como revogação de acessos e reforço na autenticação. A Mottu notificou a Agência Nacional de Proteção de Dados (ANPD) sobre o incidente, conforme exigido pela Lei Geral de Proteção de Dados (LGPD). Apesar de não haver comprometimento de dados financeiros, a empresa alertou os usuários sobre possíveis tentativas de golpe e engenharia social, recomendando atenção redobrada. O número total de usuários afetados não foi divulgado, mas a situação destaca a importância da segurança de dados em plataformas digitais, especialmente em um cenário onde a proteção de informações pessoais é cada vez mais crítica.

Alibaba proíbe uso do Claude Code em meio à disputa de IA EUA-China

A Alibaba anunciou a proibição do uso do Claude Code por seus funcionários, a partir de 10 de julho de 2026, classificando a ferramenta como de alto risco para a segurança organizacional. Essa decisão segue uma tendência observada entre gigantes da tecnologia dos EUA, que também têm banido ferramentas chinesas em suas operações internas. A proibição foi motivada por preocupações de segurança levantadas pela Anthropic, desenvolvedora do Claude Code, que identificou que a ferramenta continha códigos para rastrear usuários na China. Esses códigos incluíam verificações de fusos horários, servidores proxy e características de rede, o que levantou questões sobre privacidade e segurança. A Alibaba, por sua vez, incentivou seus funcionários a utilizarem seu assistente de IA interno, o Qoder, como alternativa. A situação é um reflexo das crescentes tensões geopolíticas entre os EUA e a China, onde empresas chinesas estão promovendo ferramentas de IA locais em resposta a essas preocupações. Embora a Alibaba e a Anthropic ainda não tenham comentado publicamente sobre a situação, o incidente destaca a complexidade da segurança cibernética em um ambiente de crescente rivalidade tecnológica.

Análise do antivírus MacPaw Moonlock

O MacPaw Moonlock é um novo software antivírus que se destaca no mercado por sua interface amigável e um conjunto abrangente de funcionalidades. Lançado em outubro de 2025, o Moonlock não apenas oferece proteção contra malware, mas também inclui um VPN, um inspetor de rede e um conselheiro de segurança. O software foi testado e certificado pelo AV-Test, obtendo notas altas em proteção e usabilidade. Apesar de suas qualidades, o preço de $54 por ano para um único dispositivo pode ser um obstáculo para alguns usuários, especialmente quando comparado a concorrentes mais baratos. Além disso, a necessidade de um cartão de crédito para iniciar o teste gratuito e a falta de suporte ao vivo são pontos negativos. A pesquisa da MacPaw indica que 66% dos usuários de Mac enfrentaram pelo menos uma ameaça cibernética no último ano, reforçando a importância de soluções de segurança como o Moonlock. O software é ideal para quem busca uma proteção mais robusta e educativa, mas pode não ser a melhor escolha para todos devido ao custo e à concorrência.

Vulnerabilidade crítica do Adobe ColdFusion está sendo explorada

O Centro Canadense de Cibersegurança (CCCS) alertou sobre a exploração ativa de uma vulnerabilidade crítica no Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores do ColdFusion, permitindo que atacantes não privilegiados executem código remotamente em sistemas não corrigidos. A Adobe lançou atualizações de segurança para mitigar essa vulnerabilidade, classificando-a como de alto risco e recomendando que administradores apliquem os patches em até 72 horas. O CCCS confirmou que os atacantes já começaram a explorar essa falha, incentivando a revisão das atualizações necessárias. Embora a Shadowserver tenha identificado quase 800 instâncias do ColdFusion expostas online, não há dados sobre quantas delas estão vulneráveis ou já foram protegidas. Além disso, a Adobe também corrigiu outras falhas críticas em suas plataformas, mas não confirmou a exploração ativa dessas. A situação exige atenção imediata das equipes de segurança, especialmente considerando o histórico de vulnerabilidades em produtos da Adobe que têm sido alvo de ataques cibernéticos.

Novo trojan QuimaRAT ameaça sistemas Windows, Linux e macOS

Pesquisadores de cibersegurança identificaram um novo trojan de acesso remoto, denominado QuimaRAT, que opera em ambientes Windows, Linux e macOS. Este malware é oferecido sob um modelo de malware como serviço (MaaS), com preços que variam de $150 a $1.200, dependendo do período de assinatura. O QuimaRAT possui uma arquitetura modular, permitindo a expansão dinâmica de suas capacidades por meio de plugins criptografados. Os criadores do malware também disponibilizam um construtor que gera arquivos em diversos formatos, facilitando a personalização para diferentes ambientes. Embora o QuimaRAT prometa total furtividade em Windows e Linux, no macOS, algumas funcionalidades exigem permissões administrativas do usuário. O malware é projetado para executar uma variedade de ações maliciosas, incluindo execução remota de comandos, roubo de credenciais e vigilância por webcam. Além disso, ele utiliza técnicas avançadas para evitar detecções, como a execução de shellcode sem arquivos e um framework de comunicação resiliente. A análise sugere que o QuimaRAT é uma plataforma modular, o que representa um desafio significativo para a segurança cibernética, especialmente em um cenário onde a proteção de dados é crucial.

TrojPix Nova técnica de exfiltração de dados de computadores isolados

Pesquisadores da Universidade de Shandong desenvolveram uma nova técnica chamada TrojPix, que permite a extração de dados de computadores desconectados de redes. A técnica modifica pixels na tela de forma imperceptível, fazendo com que o cabo de vídeo emita um sinal de rádio que pode ser decodificado por um receptor próximo. Embora TrojPix exija que o malware já esteja presente na máquina alvo, sua capacidade de transferir dados a uma taxa de até 8,1 Mbps representa um avanço significativo em relação a métodos anteriores, que operavam em velocidades muito mais lentas. A técnica pode transmitir arquivos de 100 MB em menos de dois minutos, o que transforma a ameaça de vazamento de senhas em uma possibilidade de transferência de arquivos inteiros enquanto o monitor parece desligado. Os pesquisadores testaram a técnica em nove marcas de monitores e quinze tipos de cabos de vídeo, demonstrando sua versatilidade. Apesar de ser uma inovação promissora, a técnica ainda enfrenta desafios práticos, como a necessidade de superar barreiras físicas e interferências. As medidas de mitigação incluem o uso de cabos de fibra óptica e a proteção física de ambientes sensíveis, além da prevenção de infecções por malware.

Grupo de ameaças ligado à China ataca contribuintes indianos

Um novo grupo de ameaças cibernéticas, supostamente ligado à China, está atacando contribuintes, profissionais de contabilidade e equipes financeiras corporativas na Índia. A campanha, chamada de Operação DragonReturn, foi identificada pela Seqrite Labs e começou em 18 de maio de 2026, coincidindo com a temporada de declaração de impostos no país. Os ataques utilizam e-mails de phishing que se disfarçam como comunicações do Departamento de Impostos da Índia, induzindo os usuários a clicarem em links maliciosos. O objetivo final é implantar um trojan de acesso remoto para roubar dados sensíveis. A técnica envolve o uso de documentos falsos, citações legais reais e conteúdo bilíngue para aumentar a credibilidade. Após a infecção, o malware garante acesso persistente ao sistema, utilizando técnicas de ocultação e injeção de payloads. A análise da infraestrutura sugere que os atacantes estão utilizando endereços IP associados à China, levantando suspeitas sobre a origem da operação. Essa ameaça representa um risco significativo, especialmente considerando a possibilidade de roubo de dados financeiros e credenciais. A situação é um alerta para empresas e profissionais que lidam com informações fiscais e financeiras, destacando a necessidade de vigilância e proteção contra ataques cibernéticos.

Incidentes de Cibersegurança Ameaças e Respostas Recentes

O cenário de cibersegurança apresentou eventos significativos na última semana, destacando a vulnerabilidade de dispositivos comuns e a exploração de falhas em sistemas amplamente utilizados. A ação conjunta do Google e do FBI resultou na desativação da rede de proxies residenciais NetNut, que utilizava dispositivos domésticos, como TVs inteligentes, para mascarar atividades maliciosas. Estima-se que a rede envolva cerca de 2 milhões de dispositivos globalmente. Além disso, o WhatsApp introduziu um sistema de nomes de usuário, levantando preocupações sobre possíveis abusos para impersonificação. Outro incidente relevante foi a descoberta do trojan bancário Ousaban, que ataca usuários na Espanha e Portugal através de documentos PDF falsos. Por fim, um novo ransomware gerado por IA foi identificado, explorando a API de Acesso a Arquivos do Chromium, embora ainda não tenha sido observado em ataques reais. Esses eventos ressaltam a necessidade de uma abordagem proativa em cibersegurança, especialmente em um ambiente onde a confiança é frequentemente mal colocada.

Estudo revela falhas em scanners de habilidades maliciosas para IA

Um estudo da Universidade de Ciência e Tecnologia de Hong Kong revelou que scanners projetados para detectar habilidades maliciosas em agentes de codificação de IA falham em mais de 90% dos casos. Os pesquisadores desenvolveram uma ferramenta chamada SKILLCLOAK, que reescreve habilidades maliciosas para parecerem inofensivas, utilizando técnicas como a troca de caracteres e o empacotamento autoextraível. Essas habilidades podem roubar credenciais, copiar códigos-fonte ou instalar backdoors, operando com o mesmo acesso que o agente. A pesquisa também introduziu o SKILLDETONATE, um verificador de comportamento que analisa o que uma habilidade faz em um ambiente controlado, conseguindo detectar 97% dos ataques. Embora essa abordagem seja mais lenta que os scanners tradicionais, ela é mais eficaz na identificação de ameaças ocultas. O estudo destaca a crescente preocupação com a segurança em marketplaces públicos, onde habilidades maliciosas são frequentemente encontradas. A situação é crítica, pois a confiança nas habilidades deve ser transferida do marketplace para o ambiente de execução, onde o comportamento malicioso se revela. Os pesquisadores alertam que a instalação deve ser feita apenas de fontes confiáveis e que o acesso dos agentes deve ser minimizado.

Vulnerabilidade no Opera GX permite roubo de dados sem cliques

Pesquisadores descobriram uma falha crítica no Opera GX, a versão do navegador focada em jogos, que permitia que um site malicioso instalasse silenciosamente um complemento do navegador e extraísse dados específicos das páginas visitadas pela vítima. Em um teste de conceito, foi possível reconstruir o endereço completo do Gmail de um usuário logado a partir de uma única visita, sem necessidade de cliques. A Opera já corrigiu a vulnerabilidade na versão 130.0.5847.89 do navegador, afirmando que não encontrou evidências de que a falha foi explorada na prática. A vulnerabilidade foi classificada como P1 pela equipe de recompensas de bugs da Opera, que pagou o valor máximo de $5.000 pela descoberta. O problema reside na forma como os GX Mods são instalados automaticamente, sem qualquer solicitação de aprovação, permitindo que um site malicioso instale um mod silenciosamente. Embora a injeção de CSS em si não possa roubar dados, a técnica de ‘XS-Leak’ permite que informações sejam extraídas de forma gradual. A falha é preocupante, pois uma vez que o CSS de um mod é aplicado a todas as páginas visitadas, a possibilidade de roubo de dados se torna significativa. A Opera reconheceu a complexidade do ataque, mas os pesquisadores demonstraram que a exploração poderia ocorrer rapidamente, antes que a vítima pudesse reagir.

Como assistir Philo fora dos EUA transmita online com VPN

O artigo da TechRadar apresenta um guia sobre como assistir ao serviço de streaming Philo, que é restrito aos Estados Unidos, a partir de qualquer lugar do mundo utilizando uma VPN. Philo oferece uma vasta biblioteca de filmes, programas de TV e canais ao vivo, sendo uma das melhores plataformas freemium disponíveis nos EUA. Para acessar o conteúdo, os usuários fora dos EUA precisam de um endereço IP americano, o que pode ser conseguido através de serviços de VPN, como o NordVPN, que é recomendado no artigo. O serviço oferece uma versão gratuita e planos pagos que incluem mais de 70 canais de TV ao vivo e armazenamento ilimitado de DVR por até um ano. O artigo também destaca a variedade de conteúdos disponíveis, incluindo filmes clássicos, séries populares e programação de estilo de vida. Além disso, menciona que a plataforma é geograficamente restrita devido a acordos de licenciamento, o que torna o uso de VPN uma solução viável para desbloquear o acesso ao serviço. O guia é útil para quem deseja manter o acesso ao Philo enquanto viaja ou reside fora dos EUA.

Transmissões da Copa do Mundo congelam por causa de bloqueadores de anúncios

O uso de VPNs com bloqueadores de anúncios pode causar problemas durante transmissões ao vivo, como as da Copa do Mundo de 2026. Esses bloqueadores, ao detectarem anúncios, podem interromper a transmissão inteira, pois muitos serviços de streaming utilizam inserções de anúncios do lado do servidor (SSAI), que são entregues a partir do mesmo servidor que o conteúdo. Isso significa que o bloqueador não consegue diferenciar entre o anúncio e o conteúdo da transmissão, resultando em travamentos ou telas pretas. Para evitar esses problemas, os usuários devem desativar o bloqueador de anúncios em suas VPNs ao acessar serviços de streaming que dependem de anúncios, como o ITVX. Alternativamente, é possível usar ferramentas como o R.O.B.E.R.T da Windscribe, que permite criar regras de whitelist para manter o bloqueador ativo enquanto assiste. O artigo também recomenda o Norton VPN, que oferece uma garantia de devolução de 60 dias e é eficaz para streaming, permitindo desativar o bloqueador com facilidade.

Flipper Devices continua desenvolvimento do firmware Flipper Zero

A Flipper Devices anunciou que o desenvolvimento do firmware do Flipper Zero continuará, mas com uma equipe interna reduzida e maior dependência de contribuições da comunidade. A decisão surge enquanto a empresa foca na criação de novos dispositivos, como a plataforma aberta Flipper One, que também contará com a colaboração da comunidade para seu desenvolvimento. Além disso, foi lançado o Busy Bar, um dispositivo voltado para ajudar pessoas com Transtorno do Déficit de Atenção com Hiperatividade (TDAH) a reduzir distrações, com vendas programadas para julho de 2023 nos EUA, Reino Unido, Europa e Canadá. Embora o firmware do Flipper Zero ainda seja mantido, o desenvolvimento de novas funcionalidades em tempo integral foi encerrado. A versão 1.0 do firmware, lançada em setembro de 2024, foi considerada madura, com um SDK e APIs estáveis. Após críticas da comunidade sobre a aparente paralisação do desenvolvimento, a Flipper Devices implementou um novo modelo de interação, onde solicitações serão avaliadas semanalmente e a comunicação ocorrerá exclusivamente pelo GitHub Discussions. Essa mudança visa dar aos usuários mais poder sobre as futuras atualizações do Flipper Zero, que conta com mais de um milhão de usuários. A empresa também desativou mensagens diretas em redes sociais devido ao volume de comunicação que sua equipe reduzida não consegue gerenciar.