Um novo incidente de segurança cibernética, denominado ‘FortiBleed’, foi descoberto pelo pesquisador Bob Diachenko, revelando um vazamento de credenciais de VPN da Fortinet que pode afetar cerca de 75 mil usuários. O arquivo encontrado contém nomes de usuários, endereços de e-mail e senhas em texto claro de grandes empresas, como Chevron, Samsung e Toyota. O ataque foi realizado por um ator de ameaças de língua russa, que utilizou técnicas de força bruta e exploração ativa, realizando mais de 1,1 bilhão de tentativas de credenciais contra mais de 320 mil instâncias do FortiGate. Apesar de a Fortinet afirmar que os dados vazados são uma reedição de incidentes anteriores e não de uma nova violação, recomenda-se que as organizações afetadas realizem a rotação de senhas e implementem autenticação multifator (MFA) para mitigar riscos. O incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de práticas de segurança robustas.

A Microsoft anunciou a correção de um problema que impedia a instalação das atualizações de segurança de junho de 2026 em sistemas Windows Server 2016 que não estavam atualizados. O erro, identificado como 0x80070002 ou FILE_NOT_FOUND, afetava principalmente os clientes que tentavam instalar a atualização KB5094122 sem ter previamente instalado a atualização de segurança KB5087537 do mês anterior. A empresa confirmou que a instalação da atualização de segurança agora foi resolvida e que os dispositivos afetados não devem mais enfrentar falhas ao implantar a atualização KB5094122. Além disso, a Microsoft também abordou problemas semelhantes em outras atualizações, como a de maio de 2026 para Windows 11, que resultou em erros devido à falta de espaço no EFI System Partition. A empresa continua a investigar outros problemas relacionados a atualizações que podem impactar a funcionalidade de aplicativos do Office após a instalação das atualizações de junho de 2026.

A empresa de cibersegurança F5 divulgou atualizações de segurança para corrigir várias vulnerabilidades no servidor web NGINX, incluindo duas falhas de gravidade crítica. As vulnerabilidades, identificadas como CVE-2026-42530 e CVE-2026-42055, podem ser exploradas por atacantes remotos não autenticados, permitindo a execução de código ou ataques de negação de serviço (DoS) em sistemas NGINX com configurações não padrão. A exploração bem-sucedida resulta em problemas como uso após liberação e estouro de buffer, levando à reinicialização do processo do NGINX. A F5 também lançou correções para outros produtos NGINX afetados, como NGINX Plus e NGINX Open Source. Para administradores que não podem aplicar as atualizações imediatamente, foram sugeridas medidas de mitigação, como desabilitar o HTTP/3 e ajustar configurações específicas. Embora a F5 não tenha indicado que essas vulnerabilidades estejam sendo ativamente exploradas, a empresa tem um histórico de ser alvo de grupos de cibercrime e ameaças de estado. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) já sinalizou várias vulnerabilidades da F5 como exploradas ativamente, com implicações significativas para a segurança das redes corporativas.

O governo indiano informou ao Tribunal Superior de Delhi que o Telegram foi alertado cerca de duas semanas antes de ser bloqueado, devido à sua incapacidade de detectar proativamente canais que vendiam provas vazadas do exame NEET-UG 2026, um importante teste de admissão médica no país. O bloqueio, que ocorreu antes do exame nacional, afetou usuários do Telegram não apenas na Índia, mas também em outros países, como os Emirados Árabes Unidos, devido a um vazamento de rota BGP. O Telegram contestou a legalidade do bloqueio, afirmando que cooperou com as autoridades. O governo, por sua vez, alegou que não bloqueou o aplicativo de forma total, mas tomou medidas restritivas após receber várias reclamações sobre o uso da plataforma para fraudes relacionadas ao exame. A situação se agravou com a declaração do CEO do Telegram, Pavel Durov, que culpou a operadora de telecomunicações Reliance por um suposto sabotagem, o que foi negado pela empresa. O bloqueio deve ser revisto pelo tribunal, enquanto os usuários ainda podem acessar o Telegram através de um proxy MTProto.

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade de alta severidade nos fones de ouvido Beats Studio Buds, que poderia permitir que atacantes dentro do alcance do Bluetooth espionassem conversas dos usuários. Segundo a empresa, um invasor próximo poderia acessar o microfone de um dispositivo que ainda não está pareado e que está buscando solicitações de pareamento. Essa falha, identificada como CVE-2025-20701, foi descoberta por pesquisadores da ERNW GmbH e está relacionada a uma fraqueza de autenticação no sistema Bluetooth BR/EDR. A Apple lançou o patch na atualização de firmware 1B211, que será instalada automaticamente quando os fones vulneráveis estiverem pareados e dentro do alcance de um iPhone, iPad ou Mac. Além disso, os pesquisadores demonstraram que, ao combinar essa vulnerabilidade com outras duas, os atacantes poderiam assumir o controle total dos fones via Bluetooth, sem necessidade de autenticação. Embora os ataques reais sejam complexos e exijam proximidade física, a possibilidade de espionagem levanta preocupações significativas sobre a privacidade dos usuários.

Um avaliador independente de PCI testou a plataforma Reflectiz em relação às novas regras do PCI DSS, revelando que a ferramenta pode apoiar efetivamente a conformidade. O artigo destaca a vulnerabilidade das páginas de checkout, que frequentemente carregam scripts de terceiros que podem ser comprometidos por atacantes, como demonstrado pelo grupo Magecart. O PCI DSS v4.0.1 introduziu requisitos que exigem um inventário de scripts de pagamento e a detecção de adulterações em tempo real. A Reflectiz se destaca por monitorar o comportamento dos scripts, não apenas suas assinaturas, e por ser implementada sem a necessidade de alterações de código. Além disso, fornece evidências prontas para auditoria. O artigo também menciona que, desde janeiro de 2025, comerciantes que utilizam redirecionamento completo para processadores podem não precisar cumprir certos requisitos, mas aqueles que incorporam iframes de pagamento devem demonstrar que não são suscetíveis a ataques de script. A análise completa está disponível em um white paper da Integrity360 Europe.

O artigo da Hacker News destaca os riscos de segurança associados ao uso de ferramentas de inteligência artificial (IA) nas empresas, especialmente em relação a agentes autônomos que interagem com a propriedade intelectual. Muitas organizações enfrentam um problema de ‘dívida administrativa’, onde ferramentas de IA permanecem ativas mesmo após a saída de seus criadores, mantendo acesso irrestrito a dados sensíveis. Isso ocorre porque as ferramentas de segurança tradicionais tratam a IA como software comum, sem considerar que essas ferramentas podem operar de forma autônoma e continuar acessando informações após a revogação das credenciais do usuário original. O artigo enfatiza a necessidade de um controle mais rigoroso sobre as identidades humanas e de máquina, propondo um webinar que abordará como identificar e gerenciar essas ferramentas não documentadas, além de discutir a importância de revogar acessos antes que possam ser explorados por atacantes. O evento promete fornecer uma visão prática sobre como as empresas podem melhorar sua segurança em um cenário cada vez mais dominado pela IA.

Uma campanha de phishing em larga escala, orquestrada por hackers romenos, afetou quase 9 milhões de endereços de e-mail no Reino Unido, oferecendo amostras de beleza falsas da Boots. Os atacantes utilizaram um site governamental boliviano comprometido para hospedar uma página de checkout fraudulenta, coletando informações pessoais e de pagamento dos usuários. Os e-mails, que pareciam legítimos, incentivavam os destinatários a preencher uma pesquisa em troca de um pacote de amostras de beleza. A operação foi facilitada por um servidor de uma empresa britânica que havia sido comprometido, permitindo que os hackers enviassem mensagens diretamente da conexão de internet da organização, ocultando sua infraestrutura. A Huntress, empresa de segurança cibernética, identificou que a campanha não apenas visava a Boots, mas também incluía temas relacionados a impostos e criptomoedas, sugerindo uma operação mais ampla. O uso de um aplicativo legítimo de envio em massa, o Gammadyne Mailer, e a configuração para maximizar a velocidade de envio, foram aspectos críticos dessa operação de phishing.

A OpenAI está testando uma nova assinatura chamada ‘ChatGPT para Ciência’, voltada para casos de uso científico. Embora ainda não esteja claro se essa funcionalidade será acessível a todos, é provável que tenha restrições semelhantes às já existentes para outras versões do ChatGPT, como a versão Teams e a versão Business, que exigem que os usuários pertençam a entidades verificadas, como universidades ou instituições de pesquisa.

Além disso, a OpenAI já havia introduzido o GPT-Rosalind, um modelo especializado para pesquisa em ciências da vida, que está disponível apenas para organizações elegíveis, como grandes empresas farmacêuticas e instituições de pesquisa. O ‘ChatGPT para Ciência’ pode trazer capacidades semelhantes a um público mais amplo, permitindo um foco maior em descobertas e pesquisas científicas.

O Google notificou anunciantes sobre uma mudança significativa que ocorrerá em 3 de agosto de 2026, quando começará a utilizar endereços IP para medição e personalização de anúncios na Área Econômica Europeia (EEE), no Reino Unido e na Suíça. Essa prática, que já é comum em outras partes do mundo, é nova na EEE e no Reino Unido, onde o endereço IP é considerado dado pessoal sob o Regulamento Geral sobre a Proteção de Dados (GDPR). A mudança implica que os endereços IP, que já são coletados para roteamento de tráfego e entrega de anúncios, passarão a ser utilizados para identificar dispositivos, o que exige consentimento do usuário. O Google também se registrará no IAB Europe Transparency and Consent Framework para a identificação de dispositivos. Embora a empresa afirme que a mudança está alinhada com tecnologias que melhoram a privacidade, a utilização de endereços IP para personalização levanta preocupações sobre a privacidade e o rastreamento de usuários. O Escritório do Comissário de Informação do Reino Unido (ICO) já expressou preocupações sobre essa reversão de política do Google, que anteriormente se opunha ao uso de técnicas de rastreamento como a impressão digital. A mudança pode impactar a conformidade com a LGPD no Brasil, uma vez que práticas semelhantes podem ser adotadas por outras plataformas.

A Microsoft anunciou que está desenvolvendo um patch para corrigir uma vulnerabilidade zero-day em seu software de segurança, o Microsoft Defender, identificada como RoguePlanet (CVE-2026-50656), com uma pontuação CVSS de 7.8. Essa falha é classificada como uma vulnerabilidade de elevação de privilégios, permitindo que atacantes obtenham acesso ao nível de sistema. O pesquisador de segurança Chaotic Eclipse revelou a vulnerabilidade, descrevendo-a como uma condição de corrida que pode ser explorada em algumas máquinas com uma taxa de sucesso de 100%, enquanto em outras pode falhar. Ele também observou que o exploit funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft confirmou que está ciente da vulnerabilidade e está investigando a situação. RoguePlanet é a quarta vulnerabilidade do Defender divulgada por Chaotic Eclipse, que já havia reportado outras falhas que foram corrigidas pela empresa. A situação destaca a importância de manter os sistemas atualizados e a necessidade de vigilância contínua em relação a novas ameaças.

Um novo relatório da Check Point Research revela que um ator de ameaça desconhecido está utilizando postagens pagas em sites de notícias legítimos para promover malware. O foco principal da campanha é um ‘clipboard hijacker’ de criptomoedas, disfarçado como bots de sniper e preditores de jogos. O malware, desenvolvido em Rust, ataca sistemas Windows e macOS, monitorando a área de transferência para substituir endereços de carteiras de criptomoedas por endereços controlados pelo atacante. Para criar uma falsa reputação, o ator utiliza uma página de phishing no WordPress, contas falsas no GitHub e SourceForge, além de um canal no YouTube com mais de 91 mil assinantes. A manipulação de plataformas como VirusTotal e SourceForge, onde contagens de downloads foram artificialmente inflacionadas, visa aumentar a confiança dos usuários em arquivos maliciosos. A campanha destaca uma nova abordagem de engenharia social, onde a construção de uma reputação falsa se torna uma estratégia central para enganar as vítimas, especialmente aqueles envolvidos com criptomoedas e jogos online.

O CrankGPT é um chatbot inovador que opera de forma totalmente offline, utilizando um Raspberry Pi com 8GB de RAM e modelos de IA locais desenvolvidos pela Meta e Google. Este dispositivo é alimentado manualmente por uma manivela, permitindo que usuários acessem informações e realizem traduções mesmo em cenários de falta de eletricidade e conectividade, como em um mundo pós-apocalíptico. Os criadores, da Squeez Labs, destacam que, desde que os componentes eletrônicos sejam mantidos secos e em temperaturas adequadas, o CrankGPT pode funcionar por muitos anos, necessitando apenas de um cartão SD novo ocasionalmente. Além disso, a Squeez Labs está empenhada em tornar a IA mais acessível e sustentável, reduzindo a dependência de grandes centros de dados, o que é benéfico tanto para a privacidade do usuário quanto para o meio ambiente. A ideia de um modelo de IA que não requer conexão com a nuvem representa uma mudança significativa no paradigma atual, onde a maioria das soluções de IA depende de servidores online e do compartilhamento de dados pessoais com grandes empresas de tecnologia.

Pesquisadores da Kaspersky alertaram que o Steam Workshop, uma plataforma popular entre gamers para compartilhar conteúdo personalizado, está sendo explorado para disseminar malware através do aplicativo Wallpaper Engine. Desde pelo menos o final de 2025, wallpapers maliciosos foram baixados dezenas de milhares de vezes, infectando usuários com backdoors, infostealers, miners e até ransomware. Os hackers utilizam wallpapers interativos que, ao serem instalados, executam automaticamente o malware, que pode estar embutido no pacote ou em arquivos compactados protegidos por senha. Embora a Valve tenha removido as aplicações infectadas, a possibilidade de novos uploads maliciosos persiste, exigindo cautela dos usuários. A maioria das vítimas está localizada na Rússia e na China, mas a ameaça pode se espalhar globalmente, afetando gamers em todo o mundo.

As organizações enfrentam um desafio crescente na gestão de identidades, tanto humanas quanto não-humanas, em ambientes de trabalho híbridos e com acesso de terceiros. Com a expansão do trabalho remoto e do uso de dispositivos pessoais, as equipes de segurança estão perdendo visibilidade sobre quem tem acesso a quais recursos e se esse acesso é confiável. Os atacantes estão explorando essa complexidade, utilizando técnicas como o ‘MFA fatigue’, onde enviam repetidamente solicitações de autenticação multifatorial até que o usuário aceite uma delas. Além disso, ataques de phishing evoluíram, utilizando domínios legítimos e conteúdo gerado por IA para criar páginas de login falsas que imitam portais reais. A proteção das credenciais é essencial, pois 44,7% das violações de dados envolvem credenciais roubadas. Para mitigar esses riscos, soluções como o Specops Device Trust são recomendadas, pois oferecem verificação contínua de dispositivos e autenticação baseada em confiança, permitindo que as organizações mantenham um controle mais rigoroso sobre o acesso sem comprometer a experiência do usuário.

Um novo vazamento de dados, denominado ‘FortiBleed’, revelou credenciais de VPN da Fortinet e FortiGate de 73.932 URLs de firewall em organizações ao redor do mundo. O pesquisador de segurança Bob Diachenko descobriu um servidor contendo credenciais válidas, incluindo nomes de usuário, endereços de e-mail e senhas em texto simples. Entre as empresas afetadas estão Chevron, Samsung, Foxconn e AT&T. A operação foi supostamente realizada por um grupo de ameaças de língua russa, que realizou mais de 1,16 bilhões de tentativas de credenciais contra alvos da FortiGate. Os atacantes interceptaram hashes de autenticação SSL VPN e os quebraram usando um cluster de 45 GPUs. O vazamento também inclui informações sobre a indústria, receita e número de funcionários de cada organização, possivelmente para planejar ataques. A empresa de inteligência de ameaças Hudson Rock analisou os dados e confirmou que o conjunto contém 73.932 URLs únicas de firewall em 194 países, afetando 21.632 domínios únicos. O vazamento é considerado um dos maiores conjuntos de credenciais comprometidas relacionadas à Fortinet já descobertos.

Um ataque cibernético a uma pequena empresa automotiva na França, realizado por um invasor de língua francesa, expôs vulnerabilidades significativas em segurança. O atacante, identificado como ‘Poisson’, implantou um keylogger para roubar credenciais bancárias e de e-mail. O que se destacou foi a instalação de OpenSSH e Tailscale na máquina da vítima, criando um acesso persistente que não dependia do servidor de comando e controle (C2). Após o C2 ficar offline, o acesso do invasor permaneceu ativo, permitindo que ele se reconectasse automaticamente dias depois. O ataque foi documentado em detalhes por pesquisadores da Cato Networks, que capturaram 339 comandos executados ao longo de 33 dias. O invasor utilizou ferramentas comuns e deixou rastros, como a exposição de seu diretório pessoal e a nomeação de buckets de armazenamento com seu próprio nome. O ataque destaca a importância de não apenas desativar o C2, mas também de identificar e eliminar portas de acesso alternativas que possam ter sido criadas. Para pequenas empresas, a exposição financeira decorrente do roubo de credenciais é uma preocupação crítica.

Pesquisadores de segurança da Symantec alertaram que hackers de ransomware, conhecidos como DragonForce, estão utilizando servidores de retransmissão do Microsoft Teams para ocultar tráfego malicioso. Essa técnica, chamada de ‘Ghost Calls’, permite que os atacantes disfarcem suas comunicações de comando e controle (C2) como se fossem tráfego legítimo do Teams, dificultando a detecção por parte das equipes de segurança. O ataque ocorreu em dezembro de 2025, quando os hackers exploraram uma vulnerabilidade desconhecida em servidores SQL para obter acesso à rede de uma grande empresa de serviços nos EUA. Eles implantaram um malware personalizado chamado ‘Backdoor.Turn’, que utiliza o protocolo TURN do Teams para mascarar suas atividades. Essa abordagem representa um avanço significativo nas táticas de cibercrime, mostrando um nível de sofisticação elevado. A DragonForce, que opera sob um modelo de cartel de drogas, permite que afiliados utilizem sua infraestrutura e malware, aumentando a complexidade do cenário de ameaças. A situação exige atenção redobrada das empresas que utilizam o Microsoft Teams, uma vez que a técnica pode ser replicada em outros ambientes corporativos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma falha de alta severidade no plugin Widget Factory Joomla Content Editor (JCE), que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2026-48907, permite que atacantes executem código malicioso sem privilégios, utilizando ataques de baixa complexidade em implementações do Joomla que utilizam o editor WYSIWYG JCE. A CISA alertou que a falha permite o upload e a execução de código PHP por meio da criação de novos perfis de editor para usuários não autenticados. O time de segurança do JCE lançou uma atualização em junho, recomendando que os usuários apliquem o patch imediatamente, pois a exploração da vulnerabilidade é automatizada e o código de exploração está disponível publicamente. Além de atualizar, os usuários devem realizar uma série de ações para limpar sites comprometidos, incluindo a exclusão de perfis maliciosos e a execução de uma varredura completa em busca de malware. A CISA incluiu a vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que as agências federais garantam a segurança de seus sistemas até sexta-feira, conforme a Diretriz Operacional Vinculativa (BOD) 26-04.

A Microsoft está investigando um problema que impede aplicativos de terceiros de abrir o Microsoft Office em sistemas Windows atualizados. Este problema afeta aplicações como Word, Excel e PowerPoint quando iniciadas a partir de softwares de terceiros que utilizam automação OLE. Usuários relataram que aplicativos como CCH Engagement, Zotero e softwares odontológicos, como Dentrix e Softdent, estão entre os afetados. A falha ocorre após a instalação de atualizações do Windows lançadas a partir de 9 de junho de 2026, e, em muitos casos, os aplicativos ou documentos do Office não abrem sem exibir mensagens de erro. A Microsoft ainda não possui uma solução definitiva, mas recomenda que os usuários abram os aplicativos do Office diretamente como uma alternativa temporária. Clientes empresariais podem contatar o suporte da Microsoft para obter uma solução que possa ser aplicada em toda a organização. A empresa informou que uma resolução está em andamento e será incluída em uma futura atualização do Windows. Este incidente se soma a uma série de problemas recentes enfrentados por usuários do Office, incluindo falhas em abrir arquivos na versão web e problemas com atualizações do Windows.

O governo indiano impôs uma proibição temporária ao aplicativo Telegram até 22 de junho, após o uso da plataforma para a venda de acesso a materiais de exames vazados, especificamente o NEET, um dos maiores exames de admissão médica do país. A decisão foi tomada pelo Ministério da Eletrônica e Tecnologia da Informação, com base na Seção 69A da Lei de TI, após recomendações da Agência Nacional de Testes (NTA). Além da proibição, o Telegram foi obrigado a desativar sua função de edição de mensagens até 30 de junho. O CEO do Telegram, Pavel Durov, acusou a operadora de telecomunicações Reliance de realizar um ‘sequestro de BGP’ para aplicar a proibição, afetando usuários fora da Índia, como nos Emirados Árabes Unidos. Especialistas em tecnologia contestaram a alegação de Durov, sugerindo que a interrupção foi resultado de uma configuração incorreta, e não de sabotagem intencional. A proibição gerou críticas de grupos de direitos digitais, que a consideram desproporcional e prejudicial a milhões de usuários legítimos que dependem do Telegram para estudos e materiais de preparação. A situação destaca a complexidade da regulação de plataformas digitais e os desafios de lidar com fraudes sem impactar usuários inocentes.

Pesquisadores de cibersegurança identificaram uma campanha coordenada de malware no JetBrains Marketplace, onde 15 plugins maliciosos foram publicados, capazes de exfiltrar chaves de API de provedores de inteligência artificial (IA). Os plugins, que se apresentam como assistentes de codificação baseados em modelos de linguagem, funcionam conforme anunciado, mas capturam a chave de API inserida pelo usuário e a enviam para um servidor controlado pelos atacantes. A atividade, que começou em outubro de 2025, continua com novos plugins sendo lançados até junho de 2026. Entre os plugins mais populares estão o CodeGPT AI Assistant e o DeepSeek AI Assist, ambos com mais de 25.000 downloads, embora a autenticidade desses números seja questionável. Os plugins compartilham um código-base semelhante e exigem que os usuários insiram suas chaves de API para funcionar. Além disso, após o pagamento de uma taxa, o plugin fornece uma chave de API ao usuário, que é utilizada em vez da chave original, levantando suspeitas de que os operadores estão monetizando as chaves roubadas. Essa campanha evidencia a crescente vulnerabilidade dos ambientes de desenvolvimento, que se tornaram alvos lucrativos para cibercriminosos.

Um estudo recente da equipe da Intruder revelou que 60% das organizações possuem pelo menos um painel HTTP exposto, como consoles administrativos e páginas de login, que não deveriam ser acessíveis publicamente. Além disso, 49% das empresas têm serviços ou portas arriscadas expostas, e 42% têm bancos de dados acessíveis diretamente pela internet. As exposições mais comuns incluem bancos de dados MySQL e Postgres, além de documentação de APIs. A análise destaca que, com o tempo de exploração de vulnerabilidades reduzido a um dia, a prioridade não deve ser apenas a correção, mas também a razão pela qual esses serviços estão expostos. A pesquisa sugere que a redução da superfície de ataque deve receber mais atenção do que a gestão de vulnerabilidades, uma vez que muitos serviços listados nunca deveriam estar acessíveis pela internet. O relatório completo está disponível no Índice de Gestão da Superfície de Ataque de 2026.

A Kodak confirmou que está colaborando com especialistas externos em cibersegurança para investigar uma violação de segurança que resultou no acesso não autorizado a uma quantidade limitada de dados da empresa. A companhia, fundada em 1880 e com sede em Rochester, Nova York, possui 79.000 patentes e oferece produtos de impressão comercial, materiais avançados e químicos. Um porta-voz da Kodak informou que os atacantes acessaram apenas uma ‘quantidade limitada’ de dados, mas não esclareceu se houve comprometimento da rede interna da empresa. O grupo de extorsão ShinyHunters reivindicou a responsabilidade pelo ataque, alegando ter roubado mais de 2,2 milhões de registros contendo informações pessoais identificáveis (PII) de clientes e dados corporativos internos. O grupo ameaçou vazar os dados exfiltrados, dando um prazo até 18 de junho de 2026 para que a Kodak entre em contato. Embora a Kodak não tenha divulgado como os atacantes conseguiram acesso, o ShinyHunters já foi associado a ataques a centenas de clientes da Salesforce e a outras empresas. A Kodak está trabalhando com as autoridades e acredita que não há ameaça contínua aos seus sistemas ou operações.

A Microsoft confirmou que está desenvolvendo um patch para uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada recentemente. O pesquisador de segurança que revelou a falha, identificado como Nightmare Eclipse, afirmou que a vulnerabilidade afeta dispositivos com Windows 10 e Windows 11 totalmente atualizados, permitindo que atacantes executem comandos com privilégios de SYSTEM por meio de uma condição de corrida. O exploit, que pode ser encontrado em um repositório Git auto-hospedado, funciona independentemente da proteção em tempo real estar ativada ou não. A Microsoft designou a falha com o ID CVE-2026-50656 e está investigando a situação. A empresa já havia enfrentado um conflito com Nightmare Eclipse sobre suas práticas de divulgação de vulnerabilidades e recompensas por bugs. Recentemente, a Microsoft também corrigiu outras falhas críticas em seu sistema. A situação destaca a importância de monitorar e atualizar constantemente as soluções de segurança para proteger os usuários contra ameaças emergentes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Joomla Content Editor (JCE) em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-48907, possui uma pontuação CVSS de 10.0 e permite a execução arbitrária de código devido a um controle de acesso inadequado. Essa vulnerabilidade afeta as versões do JCE de 1.0.0 a 2.9.99.4 e foi corrigida na versão 2.9.99.5, lançada em 3 de junho de 2026. A CISA alertou que a falha pode permitir que usuários não autenticados criem perfis de editor e façam upload de código PHP malicioso.

Um ataque à cadeia de suprimentos de software, denominado easy-day-js, comprometeu 144 pacotes npm associados ao namespace Mastra, um framework popular de JavaScript e TypeScript para aplicações de inteligência artificial. O ataque foi identificado por empresas de segurança como JFrog, SafeDep, Socket e StepSecurity. Um único usuário npm, identificado como ’ehindero’, publicou mais de 140 pacotes maliciosos em um curto espaço de tempo. Embora os pacotes infectados não contenham código malicioso, eles dependem de uma biblioteca de terceiros chamada ’easy-day-js’, que foi alterada para incluir um payload ofuscado. Esse payload é ativado durante um hook de pós-instalação e se conecta a um servidor controlado pelos atacantes para baixar um trojan que rouba informações, incluindo dados de carteiras de criptomoedas. O ataque afetou pacotes amplamente utilizados, como o @mastra/core, que possui mais de 918 mil downloads semanais. A Npm já removeu as versões maliciosas, mas qualquer ambiente que tenha instalado essas versões deve ser considerado potencialmente comprometido.

Um novo trojan bancário para Android, denominado Rokarolla, está atacando 217 aplicativos de bancos e criptomoedas, utilizando um conjunto extenso de 137 comandos. O malware é distribuído por meio de sites maliciosos que se passam por provedores do Google Chrome ou TikTok, permitindo que os invasores assumam o controle administrativo total de dispositivos comprometidos. Entre suas capacidades, estão o roubo de credenciais de tela de bloqueio, listas de contatos e dados de SMS, além de registrar continuamente as entradas do usuário através de keyloggers.

Uma campanha de malware foi descoberta no JetBrains Marketplace, onde pelo menos 15 plugins maliciosos foram projetados para roubar chaves de API de IA de desenvolvedores. Os plugins, que atuam como assistentes de codificação e ferramentas de revisão de código, foram baixados cerca de 70.000 vezes. Aikido Security, a empresa que identificou a ameaça, revelou que os plugins exfiltram as chaves de API assim que o usuário clica em ‘Aplicar’ após inseri-las nas configurações. Os dados são enviados para um servidor específico, comprometendo a segurança dos desenvolvedores. Embora os plugins funcionem como prometido, eles secretamente transmitem as credenciais para os atacantes. Além disso, a pesquisa sugere que os operadores dos plugins podem estar coletando credenciais de usuários gratuitos para fornecer chaves a usuários pagos. A análise de um dos plugins, o DeepSeek AI Assist, confirmou a presença do código de roubo de credenciais. Até o momento, o plugin ainda está disponível para download no Marketplace, o que levanta preocupações sobre a segurança da plataforma.

As equipes de segurança enfrentam um desafio crescente na análise de dados de IP, especialmente com o aumento do uso de infraestrutura de anonimização, como VPNs e proxies residenciais. Um estudo recente da Spur Intelligence revelou que quase metade dos profissionais de segurança entrevistados relatou impactos operacionais significativos devido a tentativas de roubo de contas e abuso de credenciais através dessas tecnologias. Embora as organizações reconheçam a importância da inteligência de IP, muitas ainda a utilizam de forma reativa, principalmente após a geração de alertas. A falta de contexto em dados de IP, como classificação de infraestrutura e padrões comportamentais, dificulta a tomada de decisões eficazes. Além disso, a preocupação com riscos internos, como o uso de dispositivos pessoais e aplicativos de consumo, é frequentemente subestimada. Para enfrentar esses desafios, as equipes de segurança devem integrar a inteligência de IP em seus fluxos de trabalho de forma proativa, buscando não apenas identificar endereços IP suspeitos, mas também entender a infraestrutura e o comportamento por trás deles. O futuro da inteligência de IP está em fornecer contexto rico, automação e uma base sólida para controles de segurança baseados em risco.

Uma vulnerabilidade no SDK do Google Cloud Vertex AI para Python permitiu que um atacante, sem acesso ao projeto da vítima, sequestrasse modelos de aprendizado de máquina e executasse código na infraestrutura de serviços do Google. A técnica, chamada de “Pickle in the Middle” pela Palo Alto Networks Unit 42, foi descoberta e relatada através do programa de recompensas por vulnerabilidades do Google. O problema estava na forma como o SDK gerava nomes de buckets temporários para uploads de modelos. Se o usuário não especificasse um bucket, o SDK criava um nome previsível a partir do ID do projeto e da região, permitindo que um atacante criasse o bucket esperado em seu próprio projeto. Assim, o modelo da vítima era enviado para o bucket do atacante, que poderia substituí-lo por um modelo malicioso. Esse modelo, ao ser carregado pelo Vertex AI, executava código malicioso, permitindo o roubo de tokens OAuth e acesso a outros artefatos do projeto. A falha foi corrigida nas versões 1.148.0 e posteriores do SDK, e recomenda-se que os usuários atualizem e especifiquem um bucket de armazenamento controlado ao fazer uploads de modelos.

Mais de um milhão de sites WordPress estão em risco de serem comprometidos devido a uma vulnerabilidade no plugin UpdraftPlus, que foi explorada em um ataque de cadeia de suprimentos. O ataque, identificado pela empresa de segurança Sansec, afetou o servidor de marketing da Awesome Motive, responsável por produtos populares como OptinMonster. Os hackers conseguiram acessar credenciais do servidor e injetar scripts JavaScript maliciosos que só eram ativados quando administradores logados visitavam os sites afetados. Isso permitiu que os atacantes coletassem tokens de autenticação e criassem contas de administrador falsas, possibilitando o controle total dos sites. Os proprietários de sites são aconselhados a verificar a presença de contas de administrador não autorizadas e a realizar varreduras de malware. Além disso, é recomendado que senhas e chaves de API sejam rotacionadas para mitigar o risco de comprometimento contínuo.

O estado do Maine, nos EUA, desativou temporariamente seu portal de notificação de vazamentos de dados após receber uma série de alegações fraudulentas. O portal, que permite que organizações relatem incidentes de segurança que afetam residentes do Maine, foi alvo de notificações falsas que se passavam por empresas conhecidas como Discord e VRChat. Após a confirmação de que essas alegações eram hoaxes, a Procuradoria Geral do Maine decidiu suspender o acesso público ao portal para investigar o caso. Embora as empresas ainda possam enviar notificações, o público não terá mais acesso às informações até que a situação seja resolvida. A Procuradoria Geral ressaltou que não há conhecimento de vazamentos legítimos por parte das empresas mencionadas, e que as notificações falsas foram removidas do sistema. A investigação visa prevenir abusos futuros do sistema de notificação, que é uma ferramenta importante para a transparência em questões de segurança de dados.

O artigo explora como junctions e links simbólicos do sistema de arquivos NTFS podem ser utilizados por atacantes para criar estruturas de diretórios recursivas, conhecidas como GhostTree e GhostBranch. Essas técnicas permitem que um usuário, sem privilégios administrativos, crie loops que geram caminhos de arquivos praticamente infinitos. Isso pode dificultar a detecção de arquivos maliciosos, pois ferramentas de segurança, como produtos EDR, podem ficar presas nesses loops, deixando os arquivos maliciosos sem exame. O GhostBranch é uma técnica mais simples que cria um loop lógico ao apontar um diretório filho de volta para o diretório pai, enquanto o GhostTree expande essa ideia, permitindo múltiplos diretórios filhos que também se conectam ao pai, aumentando exponencialmente o número de caminhos válidos. O artigo destaca a importância de monitorar a atividade do sistema de arquivos para detectar essas anomalias e sugere que a visibilidade e o controle de acesso são cruciais para a proteção de dados sensíveis. A técnica foi testada contra o Windows Defender, confirmando sua eficácia em evitar a detecção de malware. A Varonis, autora do artigo, oferece soluções para monitoramento e proteção de dados em ambientes corporativos.

Pesquisadores da Kaspersky alertam sobre uma nova onda de ataques cibernéticos que exploram o Steam Workshop, plataforma da Valve para compartilhamento de conteúdo de jogos. Os atacantes estão utilizando pacotes de papéis de parede infectados para disseminar malware, que pode resultar no sequestro de contas Steam, instalação de backdoors e execução de processos de criptomineria. O Wallpaper Engine, um aplicativo popular para personalização de papéis de parede, é o vetor principal dessa ameaça. Os wallpapers maliciosos podem conter arquivos executáveis que, ao serem instalados, ativam automaticamente o malware. Os pesquisadores identificaram diversas variantes de malware, incluindo infostealers e mineradores de criptomoedas, que já foram baixados milhares de vezes. Embora a Valve tenha removido os wallpapers maliciosos identificados, a Kaspersky alerta que novos arquivos prejudiciais podem ser enviados a qualquer momento. Para se proteger, os usuários devem baixar conteúdos apenas de fontes confiáveis e utilizar antivírus atualizados para escanear os downloads do Steam Workshop.

Pesquisadores de cibersegurança identificaram várias campanhas de malware conhecidas como ClickFix, que distribuem três carregadores de malware: BabaDeda Loader, Lorem Ipsum Loader e Potemkin. O BabaDeda Loader, observado em abril de 2026, tem como alvo organizações educacionais e financeiras, utilizando técnicas de engenharia social para induzir usuários a executar comandos PowerShell maliciosos. Este carregador é projetado para evitar sistemas na Rússia e Belarus e realiza verificações de segurança antes de injetar cargas úteis em processos confiáveis do Windows. Entre as cargas úteis estão backdoors .NET que coletam dados sensíveis e estabelecem canais criptografados com servidores de comando e controle (C2).

O conceito de zero-trust, que se tornou fundamental nas estratégias de cibersegurança, enfrenta novos desafios com o aumento das ameaças baseadas em inteligência artificial (IA). Embora 50% das organizações planejem adotar a governança de dados zero-trust até 2028, a evolução das ameaças exige uma abordagem mais abrangente. Especialistas alertam que a arquitetura de zero-trust (ZTA) não é uma solução única e que suas limitações precisam ser reconhecidas. Com o aumento de fraudes como deepfakes e ataques autônomos, a ZTA deve evoluir para monitorar continuamente interações entre agentes autônomos e não apenas focar em controles de identidade e acesso. Além disso, a linguagem natural se torna uma nova superfície de ataque, exigindo controles humanos para evitar manipulações. A velocidade e a escala dos ataques aumentaram, tornando essencial que as equipes de cibersegurança adotem uma abordagem baseada em dados e avaliação contínua para garantir a eficácia das medidas de segurança. A ZTA deve, portanto, se adaptar para governar ecossistemas de máquina a máquina, respondendo dinamicamente a atividades anômalas em tempo real.

O ransomware DragonForce, ativo desde 2023, utiliza um malware personalizado chamado ‘Backdoor.Turn’ para esconder o tráfego de comando e controle dentro da infraestrutura de relé do Microsoft Teams. Esse backdoor explora o protocolo TURN (Traversal Using Relays around NAT) do Teams, que é usado para distribuir mensagens quando uma conexão direta não está disponível. Pesquisadores da Symantec relataram que os hackers usaram esse malware baseado em Go em um ataque contra uma grande empresa de serviços nos EUA. O ataque começou com a exploração de uma falha desconhecida em um servidor SQL, seguido pelo download de um arquivo ZIP contendo um executável legítimo e um DLL malicioso. Os atacantes conseguiram obter privilégios de nível de kernel e desativar ferramentas de segurança, utilizando técnicas de BYOVD (Bring Your Own Vulnerable Driver). O Backdoor.Turn permite execução de comandos, criação de processos, e roubo de credenciais, culminando na exfiltração de dados e na implantação do ransomware DragonForce. A Sophos destaca que essa campanha demonstra um nível excepcionalmente sofisticado de técnicas cibernéticas. A publicação inclui uma lista de indicadores de comprometimento (IoCs) para auxiliar na detecção e bloqueio de tais ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente para que agências governamentais protejam seus servidores contra uma vulnerabilidade crítica (CVE-2026-48172) no plugin de cPanel da LiteSpeed. Essa falha, que permite a escalada de privilégios a root em servidores de hospedagem compartilhada, foi identificada como sendo ativamente explorada desde junho. A vulnerabilidade afeta todas as versões do plugin anteriores à 2.4.8 e é resultado de uma fraqueza no ‘seguimento de symlink do UNIX’. A CISA ordenou que as agências federais realizem a correção em um prazo de três dias, conforme a Diretriz Operacional Vinculativa (BOD) 26-04, que prioriza o patching baseado no risco de exploração. Os usuários são aconselhados a verificar se seus servidores estão vulneráveis utilizando um comando específico e, caso haja qualquer saída, investigar os logs do sistema para identificar possíveis danos. A CISA também destacou que essa vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos, representando riscos significativos para a segurança federal.

A Comissão Federal de Comércio dos EUA (FTC) alertou que os americanos perderam US$ 3,5 bilhões devido a fraudes por impostores em 2025, com as perdas quase triplicando desde 2020. Essas fraudes foram a categoria de fraude mais relatada, representando quase um em cada três relatos feitos à FTC. Os golpistas utilizam mensagens de texto, chamadas telefônicas, e-mails e redes sociais para atingir suas vítimas. Os esquemas mais onerosos geralmente envolvem alertas falsos de segurança bancária, levando as vítimas a transferir fundos para ‘proteger’ suas contas. Os dados da FTC indicam que quase US$ 1 bilhão foi perdido para impostores de negócios, enquanto aproximadamente US$ 920 milhões foram perdidos para impostores governamentais. As redes sociais se destacaram como o vetor de ataque mais eficaz, com perdas superiores a US$ 2,1 bilhões, um aumento de oito vezes desde 2020. A FTC implementou a Regra de Impersonação em abril de 2024, resultando em ações de aplicação da lei contra várias empresas por fraudes relacionadas. O FBI também relatou que as vítimas nos EUA perderam quase US$ 21 bilhões para crimes cibernéticos em 2025, destacando a gravidade da situação.

O governo do Reino Unido anunciou a proibição do uso de redes sociais para menores de 16 anos, com regulamentações previstas para serem implementadas até a primavera de 2027. Para garantir a aplicação da nova regra, as plataformas deverão realizar verificações de idade, o que significa que novos usuários precisarão comprovar sua idade por meio de documentos de identidade ou reconhecimento facial. Embora contas antigas estejam isentas, a criação de novas contas exigirá essa verificação, eliminando a possibilidade de perfis anônimos. Especialistas em segurança e privacidade alertam que esses métodos de verificação são facilmente contornáveis e podem expor dados pessoais a riscos de vazamentos. O primeiro-ministro Keir Starmer justificou a medida com base em uma consulta nacional que revelou que 90% dos pais apoiam a proibição. A nova legislação se inspira em um modelo australiano e incluirá restrições em recursos de alto risco, como transmissões ao vivo e contato com estranhos, que também se aplicarão a jovens de 16 e 17 anos. No entanto, a eficácia da verificação de idade é questionada, com especialistas afirmando que as medidas podem ser mais prejudiciais do que benéficas, aumentando o risco de roubo de identidade e vazamentos de dados. Além disso, a utilização de VPNs pode contornar essas restrições, permitindo que menores acessem as plataformas de forma não regulamentada.

Pesquisadores de cibersegurança identificaram duas variantes do malware SprySOCKS, anteriormente conhecido como um backdoor exclusivo para Linux, agora adaptadas para Windows. As variantes, denominadas WIN_DRV e WIN_PLUS, possuem configurações de comando e controle (C&C) embutidas e suportam comunicação via TCP, UDP e WebSocket. Ambas as versões permitem a execução de mais de 30 comandos, incluindo coleta de informações do sistema e gerenciamento de processos. A variante WIN_DRV utiliza drivers de kernel para ocultar conexões de rede e processos, enquanto a WIN_PLUS se aproveita do serviço de spooler de impressão do Windows para iniciar o backdoor. As evidências sugerem que essas variantes foram implantadas em ataques direcionados a organizações governamentais em países como Honduras, Taiwan e Paquistão entre 2023 e 2024. A descoberta dessas versões para Windows representa uma expansão significativa das capacidades do grupo de espionagem cibernética conhecido como FishMonger, que está associado a um ator de ameaças patrocinado pelo estado chinês. A análise revela que a arquitetura central do SprySOCKS foi preservada, mas com melhorias na furtividade e na adaptação a mecanismos nativos do Windows.

Recentemente, a empresa de inteligência em ameaças Defused Cyber alertou sobre a exploração ativa de múltiplas vulnerabilidades no Fortinet FortiSandbox. Nos últimos dias, três falhas críticas foram identificadas: CVE-2026-39813, CVE-2026-39808 e CVE-2026-25089, todas com uma pontuação CVSS de 9.1, indicando seu alto risco. A CVE-2026-39813 é uma vulnerabilidade de travessia de caminho na API JRPC do FortiSandbox, permitindo que atacantes não autenticados contornem a autenticação através de requisições HTTP manipuladas. A CVE-2026-39808, por sua vez, é uma injeção de comando do sistema operacional, que também pode ser explorada por atacantes não autenticados para executar comandos não autorizados. A CVE-2026-25089, corrigida recentemente, afeta o FortiSandbox e suas interfaces na nuvem, permitindo a execução de comandos não autorizados. Apesar de a Defused Cyber ter notado que o exploit para a CVE-2026-25089 parece ter sido desenvolvido com um modelo de inteligência artificial, ele apresenta falhas e ainda não foi divulgado publicamente. As vulnerabilidades em dispositivos Fortinet têm atraído a atenção de atacantes nos últimos anos, com a empresa já tendo lançado patches para outras falhas críticas em abril de 2026.

Pesquisadores de segurança da Zimperium documentaram um novo trojan bancário para Android, chamado Rokarolla, que ataca 217 aplicativos de bancos e criptomoedas. O malware, que possui 137 comandos remotos, permite que um operador tenha controle quase total do dispositivo infectado. Entre suas funcionalidades, estão a captura de PINs de bloqueio, leitura e envio de SMS, redirecionamento de pagamentos em criptomoedas e desativação do Google Play Protect. O Rokarolla se espalha por sites maliciosos que se disfarçam de aplicativos conhecidos, como TikTok e Chrome. Ao ser instalado, ele se apresenta como Google Play Protect para obter acesso de acessibilidade e, em seguida, desativa a proteção. O roubo de informações ocorre através de sobreposições, onde páginas de login falsas são exibidas sobre os aplicativos legítimos, capturando dados sensíveis dos usuários. Além disso, o malware pode ler mensagens SMS, interceptar códigos de autenticação e modificar a área de transferência para redirecionar pagamentos. A Zimperium alerta que não há um patch a ser aplicado, pois se trata de um malware, e recomenda que os usuários instalem aplicativos apenas da Google Play e mantenham o Play Protect ativado.

Nos últimos anos, o setor financeiro global enfrentou a ameaça da criptografia quântica, que poderia tornar vulneráveis as informações digitais, desde e-mails até dados bancários. Especialistas em cibersegurança se mobilizaram para desenvolver novas formas de criptografia, garantindo que, mesmo sem a tecnologia quântica plenamente desenvolvida, as defesas estivessem preparadas. Recentemente, o modelo Claude Mythos da Anthropic trouxe à tona novas preocupações, identificando milhares de falhas de software em sistemas operacionais e navegadores. Essa situação exige atenção especial de empresas que operam no ecossistema financeiro, pois a velocidade com que essas vulnerabilidades podem ser exploradas aumentou significativamente devido ao uso de inteligência artificial. A diretora do FMI, Kristalina Georgieva, alertou que o mundo ainda não possui ferramentas adequadas para proteger o sistema monetário internacional contra esses riscos cibernéticos em expansão. O artigo destaca a importância de uma preparação proativa, como demonstrado pelo Projeto Leap, que testou algoritmos de criptografia pós-quântica antes da ameaça se concretizar. Essa abordagem colaborativa entre bancos centrais e provedores de infraestrutura é um modelo a ser seguido para enfrentar novas ameaças emergentes.

A empresa de saúde digital iRhythm Holdings anunciou uma violação de dados após hackers terem roubado informações pessoais e de saúde de pacientes armazenadas em aplicações de negócios hospedadas por terceiros. A iRhythm, que fornece serviços de monitoramento cardíaco, analisou mais de 2 bilhões de horas de dados de batimentos cardíacos de mais de 12 milhões de pacientes. Em um comunicado à Comissão de Valores Mobiliários dos EUA (SEC), a empresa informou que descobriu o incidente em 8 de junho de 2026 e iniciou uma investigação com especialistas em cibersegurança. Os atacantes, que se comunicaram com a empresa em 9 de junho, exigiram um resgate para não divulgar as informações roubadas. A iRhythm confirmou que dados foram exfiltrados, mas não encontrou evidências de que a violação afetou seus produtos ou a segurança dos pacientes. A empresa também destacou que não armazena informações financeiras de pacientes e que o acesso foi realizado através de engenharia social. O incidente ressalta a vulnerabilidade de dados sensíveis em aplicações de terceiros e a necessidade de medidas de segurança robustas.

Pesquisadores da ESET identificaram variantes do malware SprySOCKS, originalmente desenvolvido para Linux, sendo utilizadas em ataques direcionados a organizações governamentais em Taiwan, Tailândia, Paquistão e Honduras entre 2023 e 2024. O malware está associado ao grupo de ameaças chinês conhecido como Earth Lusca, que também é rastreado como FishMonger. As novas variantes para Windows, denominadas WIN_DRV e WIN_PLUS, apresentam capacidades avançadas de furtividade em nível de kernel, permitindo que os operadores ocultem artefatos de malware e se comuniquem com o backdoor através de tráfego redirecionado de portas TCP arbitrárias. O WIN_DRV inclui drivers de kernel para funcionalidades semelhantes a rootkits, enquanto o WIN_PLUS é uma versão mais simples. Ambas as variantes podem executar uma ampla gama de comandos, coletar informações do sistema e gerenciar arquivos. Além disso, a ESET observou indícios de um componente de bootkit UEFI que pode explorar uma vulnerabilidade conhecida como CVE-2023-24932. A descoberta dessas variantes indica que o Earth Lusca está ampliando seu arsenal para atingir uma variedade mais diversificada de sistemas, representando uma ameaça significativa para a segurança cibernética global.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança no plugin LiteSpeed cPanel em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-54420, possui uma pontuação CVSS de 8.5 e permite que usuários com acesso FTP ou web shell escalem privilégios para root em servidores de hospedagem compartilhada que utilizam CloudLinux ou CageFS. A falha ocorre devido ao manuseio inadequado de symlinks por parte do plugin LiteSpeed cPanel antes da versão 2.4.8. Embora ainda não se saiba como a vulnerabilidade está sendo explorada ativamente, a LiteSpeed recomenda que os usuários executem um comando específico para verificar se seus servidores foram afetados. Caso o comando retorne resultados, a empresa sugere a atualização para a versão 5.3.2.1 do LiteSpeed WHM Plugin para corrigir a falha. A descoberta da vulnerabilidade foi creditada à Namecheap, que alertou sobre o problema em 31 de maio de 2026.

A Cisco divulgou atualizações de segurança para uma vulnerabilidade de média gravidade no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que está sendo ativamente explorada. Com uma pontuação CVSS de 6.5, a falha permite que um atacante remoto autenticado crie ou sobrescreva arquivos no sistema afetado devido à validação inadequada de entradas durante o processo de upload de arquivos. Para explorar essa vulnerabilidade, o invasor precisa ter credenciais válidas com acesso de gravação. A falha afeta diversas versões do Cisco Catalyst SD-WAN Manager, tanto em ambientes on-premises quanto na nuvem. A Cisco lançou patches para corrigir a vulnerabilidade em várias versões, e a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem as correções até 29 de junho de 2026. A empresa também forneceu indicadores de comprometimento para ajudar os clientes a auditar possíveis atividades maliciosas relacionadas a essa falha.

O grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como ScarCruft (ou APT37), foi identificado utilizando mensagens de spear-phishing que se disfarçam como notificações de segurança de contas da Microsoft para disseminar um malware chamado NarwhalRAT. Segundo o Genians Security Center (GSC), o e-mail malicioso simula um alerta de segurança, criando uma falsa preocupação sobre possíveis compromissos de conta e abuso de senhas de uso único (OTP), levando a vítima a abrir um anexo. Este anexo, na verdade, é um arquivo ZIP que contém um arquivo LNK malicioso. Ao ser executado, o arquivo LNK inicia uma cadeia de infecção em múltiplas etapas, baixando e instalando o NarwhalRAT, que é capaz de registrar teclas, capturar telas, gravar áudio ambiente e executar comandos de um servidor de comando e controle (C2). O malware se destaca por sua capacidade de se esconder em um diretório disfarçado, evitando a detecção. A infraestrutura de C2 utiliza sites coreanos e a API de armazenamento em nuvem pCloud, o que indica um nível avançado de sofisticação. Essa nova abordagem do ScarCruft representa uma evolução em suas táticas, marcando uma mudança significativa em relação ao RokRAT, um malware anteriormente associado ao grupo.