Sasha-Jay Davies, uma jovem britânica de 19 anos, se tornou vítima de catfishing, uma prática onde indivíduos roubam a identidade de outra pessoa na internet para enganar outros usuários. O caso de Davies é alarmante, pois um perfil falso que usava suas fotos e informações pessoais acumulou mais de 81 mil seguidores no TikTok e 22 mil no Instagram. O impostor, que atuou por quase quatro anos, não apenas gerou constrangimento para Davies, mas também a colocou em situações perigosas, como ser confrontada por pessoas que acreditavam que ela era a responsável por encontros que nunca ocorreram. Apesar da gravidade da situação, a polícia afirmou que pouco poderia ser feito, já que o ato não envolvia extorsão ou ameaças diretas, o que levanta questões sobre a eficácia das leis atuais em lidar com crimes virtuais. Especialistas alertam que a prevenção é crucial, recomendando que os usuários limitem a exposição de informações pessoais e adotem práticas de segurança, como senhas fortes e autenticação em duas etapas. O caso destaca a necessidade urgente de uma legislação mais robusta para lidar com crimes de identidade na era digital.

O uso de ferramentas de inteligência artificial para clonar vozes está se tornando uma realidade preocupante, especialmente em golpes financeiros. Giovanni La Porta, CEO da vortice.ai, destacou em entrevista que criminosos estão utilizando ligações silenciosas para coletar amostras de voz de suas vítimas. Após alguns segundos de conversa, a voz clonada é utilizada para enviar mensagens de áudio pelo WhatsApp, imitando a voz de um familiar ou amigo e solicitando transferências de dinheiro. Essa nova abordagem elimina a desconfiança que normalmente acompanha mensagens de texto, tornando os golpes mais eficazes. A evolução dos deepfakes, que antes eram facilmente identificáveis, agora permite a clonagem de vozes com apenas alguns segundos de áudio. La Porta também mencionou casos em que deepfakes foram usados em reuniões corporativas, levando a decisões baseadas em instruções falsas. Embora a criação de deepfakes não seja, por si só, um crime, o uso malicioso desse tipo de tecnologia levanta preocupações legais e éticas, especialmente no contexto da LGPD no Brasil.

O fórum virtual 4chan foi multado em £ 520 mil (aproximadamente R$ 3,65 milhões) pela Ofcom, órgão regulador do Reino Unido, devido a falhas na proteção de menores de idade contra conteúdos pornográficos e ilegais. A multa é resultado de infrações à Lei de Segurança Online de 2023, que exige mecanismos eficazes de verificação de idade. Além da falta de controle etário, o 4chan também foi acusado de não impedir a veiculação de conteúdo ilegal. O site tem até 2 de abril para implementar medidas adequadas, sob pena de multas adicionais que podem chegar a £ 800 por dia. A Ofcom intensificou sua fiscalização sobre plataformas que operam sem moderação, e o 4chan, conhecido por permitir discursos de ódio e conteúdo questionável, enfrenta crescente pressão legal. O advogado do site, Preston Byrne, defendeu que a operação do 4chan nos Estados Unidos não infringe leis locais, citando a proteção da Primeira Emenda. No entanto, a falta de verificação de idade pode forçar mudanças significativas na política de anonimato do fórum, caso queiram evitar sanções mais severas.

Durante uma audiência no Senado dos Estados Unidos, o diretor do FBI, Kash Patel, confirmou que a agência federal compra dados de localização de cidadãos americanos para auxiliar em investigações. Essa é a primeira vez que o FBI admite publicamente essa prática desde que o ex-diretor Christopher Wray mencionou a aquisição de dados no passado. Patel defendeu a compra como uma forma de obter ‘informações valiosas’, alegando que a coleta é feita em conformidade com a Constituição e as leis de privacidade. No entanto, a declaração gerou controvérsia, especialmente porque a legislação exige um mandado judicial para a coleta de dados de localização fornecidos por operadoras de telefonia. O senador Ron Wyden criticou a prática, considerando-a uma violação da Quarta Emenda, especialmente com o uso de inteligência artificial para analisar grandes volumes de dados pessoais. A situação levanta preocupações sobre privacidade e os limites da vigilância governamental, especialmente em um contexto onde a proteção de dados é cada vez mais debatida.

As tensões geopolíticas estão se refletindo cada vez mais no ciberespaço, com ataques motivados pela desestabilização em vez de lucro financeiro. Grupos de atores estatais, como os iranianos, têm utilizado malware destrutivo, conhecido como wiper, para causar caos operacional em organizações e infraestruturas críticas. Um exemplo recente é o ataque do grupo Handala à Stryker, que resultou na destruição de milhares de dispositivos e na interrupção das operações em 79 países. Para os líderes de segurança, a questão não é apenas como prevenir intrusões, mas como sobreviver a elas. O artigo apresenta uma estratégia em cinco etapas para os CISOs, focando na contenção e no controle interno. As etapas incluem: impedir o roubo de credenciais, prevenir o movimento lateral através de portas administrativas, restringir contas privilegiadas, detectar caminhos de acesso não autorizados e conter atividades destrutivas rapidamente. A eficácia dessas medidas depende da capacidade de limitar o movimento dos atacantes dentro da rede, uma vez que a maioria dos ataques destrutivos não requer malware sofisticado, mas sim acesso irrestrito.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam uma vulnerabilidade de alta severidade, identificada como CVE-2026-20131, no Cisco Secure Firewall Management Center (FMC) até o dia 22 de março. A Cisco divulgou um boletim de segurança no dia 4 de março, alertando os administradores de sistemas sobre a necessidade de aplicar as atualizações de segurança imediatamente, uma vez que não existem soluções alternativas disponíveis. A falha permite que um atacante remoto não autenticado execute código Java arbitrário como root em dispositivos afetados, devido à deserialização insegura de um fluxo de bytes Java fornecido pelo usuário. A situação se agrava com a confirmação de que a vulnerabilidade está sendo ativamente explorada por grupos de ransomware, como o Interlock, que a utilizam desde o final de janeiro. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), destacando seu uso em campanhas de ransomware. Embora a ordem da CISA se aplique a agências federais, recomendações semelhantes são válidas para empresas privadas e governos estaduais e locais, dada a gravidade da situação.

A Sansec alertou sobre uma falha de segurança crítica na API REST do Magento, que pode permitir que atacantes não autenticados façam upload de executáveis arbitrários, resultando em execução de código e possível tomada de conta. Denominada PolyShell, a vulnerabilidade se aproveita do fato de que o Magento aceita uploads de arquivos como parte das opções personalizadas de itens no carrinho. A falha afeta todas as versões do Magento Open Source e Adobe Commerce até a versão 2.4.9-alpha2. Embora a Adobe tenha corrigido o problema na versão pré-lançamento 2.4.9, as versões em produção permanecem vulneráveis. Para mitigar riscos, recomenda-se restringir o acesso ao diretório de uploads e verificar as regras do servidor web. Além disso, a Sansec observou uma campanha em andamento que comprometeu e desfigurou milhares de sites de e-commerce Magento, afetando grandes marcas globais. A situação destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas e CISOs para proteger suas infraestruturas contra possíveis explorações dessa vulnerabilidade.

A Inteligência Artificial (IA) está transformando a forma como indivíduos e organizações enfrentam ameaças cibernéticas, especialmente no que diz respeito a ataques de phishing e malware. Os cibercriminosos estão utilizando IA para criar e-mails de phishing personalizados e deepfakes, além de desenvolver malware que consegue evitar a detecção tradicional, imitando comportamentos normais de usuários. Isso torna os modelos de segurança baseados em regras insuficientes para proteger identidades contra essas ameaças habilitadas por IA. Os ataques baseados em IA introduzem riscos distintos, como phishing automatizado e abuso de credenciais, que se adaptam para evitar detecções. Para enfrentar esses desafios, as análises comportamentais precisam evoluir, passando de um monitoramento simples para um modelo de risco dinâmico e baseado em identidade, capaz de identificar inconsistências em tempo real. A segurança deve se estender por toda a infraestrutura, adotando um modelo de segurança de confiança zero, onde nenhum usuário ou dispositivo é automaticamente confiável. Além disso, a proteção de identidades deve incluir análises comportamentais contínuas e controles de acesso granulares, especialmente em ambientes híbridos e multi-nuvem.

O Google anunciou uma nova funcionalidade para o sistema Android que introduz um fluxo avançado para a instalação de aplicativos de desenvolvedores não verificados, exigindo um período de espera obrigatório de 24 horas. Essa mudança visa equilibrar a abertura da plataforma com a segurança dos usuários, especialmente em um contexto onde a verificação de desenvolvedores se tornou obrigatória. O objetivo é identificar rapidamente atores maliciosos e impedir a distribuição de malware. A nova abordagem permite que usuários experientes instalem aplicativos não verificados após habilitar o modo desenvolvedor, confirmar que estão agindo por conta própria, reiniciar o dispositivo e passar por uma autenticação biométrica ou PIN. Essa medida busca dificultar ataques cibernéticos, como os que envolvem a manipulação de permissões para desativar o Play Protect, a ferramenta anti-malware do Google. Apesar das intenções de segurança, a nova política gerou críticas de mais de 50 desenvolvedores e organizações, que expressaram preocupações sobre privacidade e barreiras de entrada. O Google também planeja oferecer contas de distribuição limitada para desenvolvedores amadores, permitindo que compartilhem aplicativos sem a necessidade de identificação oficial. Essas mudanças estão programadas para serem implementadas em agosto de 2026.

Uma vulnerabilidade crítica no Langflow, identificada como CVE-2026-33017, foi explorada ativamente apenas 20 horas após sua divulgação pública. Com uma pontuação CVSS de 9.3, a falha resulta de uma combinação de falta de autenticação e injeção de código, permitindo a execução remota de código sem autenticação. O endpoint vulnerável, /api/v1/build_public_tmp/{flow_id}/flow, permite a construção de fluxos públicos sem exigir autenticação, o que possibilita que atacantes enviem dados controlados por eles, incluindo código Python arbitrário. A exploração bem-sucedida pode permitir que um invasor execute código com privilégios totais do servidor, acessando variáveis de ambiente e arquivos sensíveis.

O aumento da adoção de agentes de inteligência artificial (IA) nas empresas do Reino Unido está gerando preocupações significativas em relação à segurança cibernética. De acordo com o relatório Cyber Pulse da Microsoft, 62% das empresas britânicas já utilizam agentes de IA, um aumento de 22% em relação ao ano anterior. Apesar de 84% dos líderes empresariais reconhecerem que agentes de IA não autorizados representam um risco sério, a visibilidade sobre o uso desses agentes não está acompanhando o crescimento. A falta de gerenciamento adequado cria pontos cegos para as equipes de segurança, especialmente quando esses agentes operam de forma autônoma em diferentes redes e dispositivos. As prioridades das equipes de segurança incluem garantir visibilidade sobre onde os agentes estão operando, introduzir esses agentes de forma segura nos sistemas existentes e assegurar que atendam aos requisitos de conformidade e auditoria. A Microsoft sugere que as empresas tratem os agentes de IA como identidades gerenciadas, aplicando princípios de zero trust e acesso com privilégios mínimos para mitigar riscos enquanto continuam a inovar.

Um homem da Carolina do Norte foi condenado por extorquir a Brightly Software, uma empresa de tecnologia baseada em Washington, D.C., enquanto ainda trabalhava como analista de dados. Cameron Curry, de 27 anos, aproveitou seu acesso a informações sensíveis da empresa para roubar documentos e ameaçar vazar dados pessoais de funcionários, exigindo um resgate de 2,5 milhões de dólares. Após o término de seu contrato em dezembro de 2023, ele enviou mais de 60 e-mails de extorsão, incluindo informações pessoais identificáveis (PII) de funcionários, como nomes e endereços. A Brightly pagou 7.540 dólares em Bitcoin para evitar a divulgação dos dados. O FBI prendeu Curry em janeiro de 2024, e ele enfrenta até 12 anos de prisão. Este incidente destaca a vulnerabilidade das empresas a ataques internos e a importância de proteger informações sensíveis, especialmente em um cenário de crescente criminalidade cibernética. Além disso, a Brightly já havia notificado seus clientes sobre um vazamento de dados anterior, afetando quase 3 milhões de usuários, o que levanta preocupações sobre a segurança de dados na era digital.

A Microsoft confirmou que a atualização cumulativa KB5079473, lançada em março, está causando problemas de login em várias aplicações que utilizam contas Microsoft, como Teams, OneDrive, Edge, Excel e Word. Após a instalação dessa atualização, os usuários estão recebendo mensagens de erro que indicam que seus dispositivos não estão conectados à Internet, mesmo quando estão. A empresa esclareceu que o problema afeta apenas operações de login com contas Microsoft, não impactando empresas que utilizam Entra ID para autenticação. Para contornar a situação, a Microsoft sugere que os usuários reiniciem seus dispositivos enquanto permanecem conectados à Internet, o que pode resolver temporariamente o problema. Além disso, a Microsoft lançou atualizações de emergência para corrigir falhas de segurança e problemas de visibilidade de dispositivos Bluetooth em versões específicas do Windows 11. A situação destaca a importância de monitorar atualizações e suas consequências, especialmente em ambientes corporativos que dependem de ferramentas Microsoft.

Autoridades dos Estados Unidos, Alemanha e Canadá realizaram uma operação conjunta para desmantelar a infraestrutura de Comando e Controle (C2) utilizada pelas botnets Aisuru, KimWolf, JackSkid e Mossad, que infectavam dispositivos da Internet das Coisas (IoT). Essa ação visou servidores virtuais, domínios da internet e outras infraestruturas que possibilitaram a realização de centenas de milhares de ataques de negação de serviço distribuído (DDoS) em todo o mundo, incluindo endereços IP pertencentes à rede de informações do Departamento de Defesa dos EUA. A botnet Aisuru, por exemplo, estabeleceu um recorde em dezembro com um ataque DDoS que atingiu 31,4 Tbps e 200 milhões de requisições por segundo, afetando principalmente empresas do setor de telecomunicações. As investigações revelaram que essas botnets infectaram mais de três milhões de dispositivos IoT, como câmeras de segurança e roteadores WiFi, muitos localizados nos EUA. Os operadores das botnets vendiam acesso a outros cibercriminosos, permitindo ataques que resultaram em perdas financeiras significativas. A operação conjunta teve como objetivo interromper as comunicações associadas a essas botnets e prevenir novas infecções.

O músico Michael Smith, da Carolina do Norte, se declarou culpado por um esquema de fraude de royalties que arrecadou mais de R$ 10 milhões através de plataformas de streaming como Spotify, Apple Music, Amazon Music e YouTube Music. Smith, de 54 anos, adquiriu centenas de milhares de músicas geradas por inteligência artificial (IA) e as carregou nessas plataformas. Para inflacionar artificialmente as estatísticas de audição, ele utilizou bots de IA que reproduziram as faixas bilhões de vezes entre 2017 e 2024. Documentos judiciais revelaram que ele colaborou com um promotor musical não identificado e o CEO de uma empresa de música baseada em IA para evitar a detecção dos sistemas antifraude, utilizando redes privadas virtuais (VPNs). Em um e-mail de 2018, Smith destacou a necessidade de criar um grande volume de conteúdo com pequenas quantidades de streams para contornar as políticas antifraude. No auge da operação, ele operava mais de 1.000 contas de bots, estimando que cada bot poderia gerar cerca de 661.440 streams por dia. Smith concordou em pagar mais de R$ 8 milhões em confisco e enfrenta uma pena máxima de 5 anos de prisão por conspiração para cometer fraude eletrônica. O caso levanta preocupações sobre a integridade das plataformas de streaming e o impacto de fraudes semelhantes na indústria musical.

A Apple está alertando os usuários sobre a necessidade de atualizar seus dispositivos iOS para evitar ataques cibernéticos que utilizam kits de exploração como Coruna e DarkSword. Esses kits aproveitam vulnerabilidades em versões desatualizadas do sistema operacional para roubar dados sensíveis. A empresa recomenda que os usuários que ainda estão em versões antigas do iOS atualizem para iOS 15.8.7 ou iOS 16.7.15, dependendo da compatibilidade do dispositivo. Para aqueles que não podem atualizar, a Apple sugere ativar o Modo de Bloqueio para reduzir a superfície de ataque. A empresa enfatiza que manter o software atualizado é crucial para a segurança dos produtos Apple, já que dispositivos com software atualizado não estão em risco desses ataques. Recentemente, foram relatados dois exploits do iOS que estão sendo utilizados por diversos atores de ameaças para roubar dados, o que indica uma escalada na exploração de vulnerabilidades do iOS, antes focadas em ataques direcionados por estados-nação. A facilidade de uso desses exploits e sua disponibilidade no mercado secundário aumentam o risco de ataques em larga escala, tornando a segurança móvel uma preocupação crítica para empresas.

O Departamento de Justiça dos EUA anunciou a desarticulação de infraestruturas de comando e controle (C2) de várias botnets de Internet das Coisas (IoT), incluindo AISURU, Kimwolf, JackSkid e Mossad. Essa operação, que contou com a colaboração de autoridades do Canadá e da Alemanha, resultou na interrupção de ataques de negação de serviço distribuído (DDoS) que alcançaram picos de até 30 Terabits por segundo. As botnets, que infectaram mais de 3 milhões de dispositivos em todo o mundo, foram responsáveis por ataques massivos, como o de 31,4 Tbps em novembro de 2025. O Kimwolf, em particular, destacou-se por explorar redes proxy residenciais, permitindo acesso a dispositivos tradicionalmente protegidos. A operação envolveu empresas de tecnologia como Amazon Web Services e Cloudflare, que auxiliaram na investigação e mitigação dos ataques. Embora a desarticulação tenha sido um avanço significativo, especialistas alertam que a resiliência das botnets e a proliferação de novas variantes continuam a representar um risco elevado para a segurança cibernética global.

Um estudo da Jscrambler revelou que as plataformas Meta e TikTok estão coletando dados sensíveis dos usuários sem o devido consentimento, utilizando pixels de rastreamento de anúncios. Entre as informações coletadas estão dados sobre cartões de crédito, nomes completos, comportamentos online e geolocalização, mesmo quando os usuários optam por não compartilhar essas informações. A coleta ocorre no momento em que o usuário interage com anúncios ou visita sites de anunciantes, o que pode configurar uma violação das leis de privacidade de dados, como a LGPD no Brasil. Em resposta, representantes da Meta e do TikTok negaram as acusações, alegando que as práticas estão em conformidade com as políticas de privacidade e as leis locais. A utilização de pixels de rastreamento, que são pequenos trechos de código JavaScript, é uma prática comum entre empresas que buscam maximizar o retorno sobre investimento em publicidade, mas levanta sérias preocupações sobre a privacidade dos usuários. O estudo também aponta que 9% dos sites utilizam o pixel de rastreamento da Meta, enquanto 0,7% usam o do TikTok, evidenciando a amplitude do problema.

Um novo malware chamado Perseus está causando preocupação entre especialistas em cibersegurança, pois se concentra na coleta de informações sensíveis armazenadas em aplicativos de notas no Android. Ao invés de focar em credenciais bancárias, o Perseus realiza uma varredura em busca de senhas e frases de recuperação, utilizando táticas de engenharia social para obter controle total do dispositivo da vítima. O malware é distribuído por meio de aplicativos disfarçados de serviços de IPTV, que são frequentemente baixados fora das lojas oficiais, facilitando a infecção. Uma vez instalado, o Perseus utiliza serviços de acessibilidade do Android para acessar e ler o conteúdo dos aplicativos de notas sem gerar alertas de segurança. Além disso, ele captura telas e simula toques, permitindo que os hackers monitorem as atividades em tempo real. A ameaça é considerada silenciosa e pode afetar aplicativos populares como Google Keep e Evernote, tornando-se um risco significativo para a privacidade dos usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para empresas americanas após um ataque cibernético devastador ao grupo Stryker, onde hackers iranianos do coletivo Handala comprometeram uma conta administrativa do Microsoft Intune. Os atacantes roubaram 50 terabytes de dados e apagaram quase 80 mil dispositivos da empresa em poucas horas, forçando-a a operar manualmente. A CISA recomenda que as empresas adotem práticas de segurança mais rigorosas, como o princípio do menor privilégio para funções administrativas, autenticação multifator resistente a phishing e aprovações de múltiplos administradores para mudanças sensíveis. O ataque é visto como uma retaliação a ações dos EUA e Israel contra o Irã, destacando a importância de fortalecer a segurança cibernética em um cenário de ameaças emergentes. As recomendações da CISA são aplicáveis não apenas ao Intune, mas a outros softwares de gerenciamento de endpoints, visando prevenir incidentes semelhantes.

A Bitrefill, uma plataforma de e-commerce que permite a compra de cartões-presente com criptomoedas, sofreu um ataque cibernético no início do mês, supostamente perpetrado pelo grupo de hackers norte-coreano Bluenoroff. Durante a investigação, a empresa identificou semelhanças com ataques anteriores atribuídos a esse grupo, incluindo o uso de malware específico e endereços IP e e-mails reutilizados. O ataque foi originado a partir de um laptop comprometido de um funcionário, onde os atacantes conseguiram roubar credenciais e acessar informações sensíveis, incluindo partes da infraestrutura da Bitrefill e algumas carteiras de criptomoedas. Aproximadamente 18.500 registros de compras, que continham endereços de e-mail e IP de clientes, foram expostos, embora a empresa tenha assegurado que os saldos dos usuários não foram afetados. A Bitrefill, que opera em 150 países e suporta mais de 600 operadores móveis, está implementando medidas de segurança adicionais e revisando seus controles de acesso. Apesar da gravidade do ataque, a empresa conseguiu minimizar as perdas, que serão cobertas por seu capital. A Bitrefill acredita que os atacantes estavam mais interessados em criptomoedas e no estoque de cartões-presente do que nas informações dos clientes.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.

A Navia Benefit Solutions, Inc. (Navia) anunciou que cerca de 2,7 milhões de indivíduos foram impactados por uma violação de dados que expôs informações sensíveis a atacantes. A investigação revelou que os hackers tiveram acesso aos sistemas da empresa entre 22 de dezembro de 2025 e 15 de janeiro de 2026, com a atividade suspeita sendo detectada em 23 de janeiro. A empresa, que fornece serviços de administração de benefícios a mais de 10.000 empregadores nos EUA, confirmou que dados como data de nascimento, número de Seguro Social, telefone, e-mail e informações sobre contas de gastos flexíveis (FSA) e reembolso de saúde (HRA) foram acessados. Embora não tenham sido expostos dados financeiros ou de reivindicações, as informações vazadas são suficientes para que os criminosos realizem ataques de phishing e engenharia social. A Navia está revisando suas políticas de segurança e retenção de dados e notificou as autoridades federais. Os clientes afetados receberão um serviço gratuito de proteção de identidade e monitoramento de crédito por 12 meses. Até o momento, nenhum grupo de ransomware reivindicou a violação.

Uma nova análise sobre ferramentas de detecção e resposta em endpoints (EDR) revelou que 54 delas utilizam a técnica conhecida como ’traga seu próprio driver vulnerável’ (BYOVD), explorando um total de 34 drivers vulneráveis. Esses programas, comumente usados em intrusões de ransomware, permitem que os atacantes neutralizem softwares de segurança antes de implantar malware de criptografia de arquivos. A pesquisa da ESET destaca que grupos de ransomware frequentemente produzem novas versões de seus criptografadores, tornando a detecção um desafio, já que esses malwares são intrinsecamente barulhentos. Os EDR killers atuam como componentes externos que desativam controles de segurança, facilitando a execução do ransomware. A maioria dessas ferramentas se aproveita de drivers legítimos, mas vulneráveis, para obter privilégios elevados e desativar processos de segurança. A análise também identificou ferramentas baseadas em scripts e utilitários anti-rootkits que podem interferir no funcionamento normal dos produtos de segurança. Para mitigar esses riscos, é essencial que as organizações implementem defesas em camadas e estratégias de detecção para monitorar e responder proativamente a essas ameaças.

Pesquisadores de cibersegurança identificaram um novo malware chamado Speagle, que se infiltra em sistemas que utilizam o software legítimo Cobra DocGuard, uma plataforma de segurança e criptografia de documentos. O Speagle tem como objetivo coletar informações sensíveis dos computadores infectados e enviá-las para um servidor comprometido do Cobra DocGuard, disfarçando a exfiltração de dados como comunicações legítimas. Este malware é notável por seu direcionamento específico, visando apenas sistemas com o Cobra DocGuard instalado, o que sugere uma intenção deliberada de espionagem industrial ou coleta de inteligência. O Speagle é rastreado sob o nome Runningcrab e, até o momento, não foi atribuído a nenhum ator específico, embora as investigações indiquem que pode ser obra de um agente patrocinado por um estado ou de um contratado privado. A forma de entrega do malware ainda é desconhecida, mas suspeita-se que tenha ocorrido por meio de um ataque à cadeia de suprimentos. O malware utiliza a infraestrutura do Cobra DocGuard para ocultar suas atividades maliciosas e se autoexcluir após a execução. Além disso, uma variante do Speagle possui funcionalidades adicionais para ativar ou desativar a coleta de dados e busca por arquivos relacionados a mísseis balísticos chineses. Essa nova ameaça representa um risco significativo para organizações que utilizam o Cobra DocGuard, exigindo atenção especial dos profissionais de segurança da informação.

Deepfakes, vídeos e imagens manipuladas por inteligência artificial, estão se tornando cada vez mais difíceis de serem detectados, tanto pelo olho humano quanto por ferramentas tecnológicas. Uma análise recente do PC World revelou que muitas plataformas de segurança falham em identificar conteúdos gerados por IA, permitindo que deepfakes de alta qualidade passem despercebidos. Um exemplo notável é um vídeo no TikTok, onde uma mulher demonstra um produto, mas apresenta movimentos faciais estranhos, que levantaram suspeitas. Ferramentas como o deepfakedetector.ai forneceram estimativas de 5% a 24% de probabilidade de que o vídeo fosse um deepfake, enquanto o Hive Moderation conseguiu identificar corretamente o conteúdo como gerado por IA. Para evitar cair em golpes relacionados a deepfakes, é essencial manter um ceticismo saudável e prestar atenção a detalhes como sincronia labial e movimentos faciais. Além disso, recomenda-se o uso de buscas reversas de imagens para verificar a autenticidade de produtos e perfis. Com a evolução das deepfakes, a necessidade de ferramentas de detecção mais eficazes e a conscientização do público se tornam cada vez mais urgentes.

A Polícia Federal (PF) lançou a ‘Operação Guardião Digital’ para combater crimes cibernéticos relacionados ao abuso sexual de crianças e adolescentes. A operação abrangeu 17 estados brasileiros e resultou na emissão de 35 mandados de busca e apreensão. O foco é identificar e responsabilizar indivíduos que armazenam, compartilham, produzem ou comercializam materiais de abuso sexual infantojuvenil na internet. Além disso, a operação coincide com a implementação do Estatuto Digital da Criança e do Adolescente (ECA Digital), que estabelece novos mecanismos de proteção para menores no ambiente digital, como verificação de idade e controle parental. A PF também irá colaborar com autoridades governamentais para a criação do Centro Nacional de Proteção à Criança e ao Adolescente, que receberá comunicações sobre conteúdos virtuais que possam violar a integridade de crianças e adolescentes. Essa ação é um passo significativo na luta contra a exploração sexual infantil online e destaca a importância da segurança infantojuvenil na internet.

A NordVPN lançou uma nova ferramenta gratuita de verificação de fraudes online, que utiliza inteligência artificial para detectar mensagens e imagens falsas em tempo quase real. A ferramenta é acessível a todos, sem necessidade de assinatura, permitindo que até mesmo usuários menos experientes, como idosos, possam se proteger contra tentativas de phishing e fraudes. O funcionamento é simples: o usuário pode colar uma mensagem ou fazer upload de uma captura de tela para receber um veredicto em segundos. A ferramenta analisa textos e imagens em busca de links, números de telefone e endereços de e-mail suspeitos, identificando padrões comuns em fraudes. Com o aumento das fraudes online, que resultaram em perdas de US$ 442 bilhões no último ano, a NordVPN reafirma seu compromisso em proteger os usuários. Além dessa nova funcionalidade, a empresa já oferece outras ferramentas de segurança, como proteção contra chamadas fraudulentas e monitoramento da dark web. Essa iniciativa é um passo importante na luta contra o cibercrime e visa aumentar a conscientização sobre os riscos online.

O artigo da TechRadar destaca a Logitech Brio 100, uma webcam externa que está com preço promocional de $25, reduzido de $40, disponível na Best Buy. A Brio 100 é uma solução acessível para quem ainda utiliza a câmera embutida do laptop, que geralmente apresenta qualidade de imagem inferior, especialmente em condições de iluminação desfavoráveis. A webcam grava em Full HD 1080p a 30 quadros por segundo, oferecendo uma imagem mais nítida e clara. Além disso, possui um microfone embutido que melhora a qualidade do áudio durante chamadas, embora não substitua um microfone profissional. A instalação é simples, com suporte plug-and-play via USB-A, compatível com Windows, macOS e ChromeOS, e funciona com plataformas como Teams, Zoom e Google Meet. Um recurso importante é o obturador de privacidade físico, que permite cobrir a lente quando não está em uso. Com um design compacto, a Brio 100 é fácil de posicionar e não ocupa muito espaço. Essa webcam representa uma atualização prática e econômica para melhorar a qualidade das chamadas online.

A empresa de segurança digital Aura confirmou um vazamento de dados que expôs cerca de 900 mil registros de clientes após um ataque de phishing realizado por telefone. O incidente ocorreu quando um funcionário da empresa foi alvo de um golpe, permitindo que o invasor acessasse sua conta por aproximadamente uma hora. Durante esse período, foram extraídos dados de clientes ativos e antigos, incluindo nomes e endereços de e-mail, mas informações sensíveis como números de Seguro Social e dados financeiros não foram comprometidos. A Aura informou que os dados foram retirados de uma ferramenta de marketing adquirida em 2021 e que suas medidas de segurança, como criptografia e acesso restrito, funcionaram conforme o esperado. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque e adicionou a Aura ao seu site de extorsão, alegando ter obtido 12 GB de informações pessoais identificáveis. A empresa está notificando os clientes afetados e não espera que o ataque se agrave.

A NymVPN lançou uma atualização significativa em seu software, introduzindo melhorias na interface do usuário e ferramentas de anti-censura. A versão 2026.5, agora disponível para usuários de Android, Windows e Linux, oferece uma nova interface que permite visualizar o consumo de dados de forma clara, além de corrigir um erro que bloqueava o acesso ao serviço quando o limite de dados era atingido. A atualização também aprimora a infraestrutura de DNS, tornando o serviço mais resistente a bloqueios em regiões com forte censura. No entanto, usuários de dispositivos Apple terão que aguardar um pouco mais, pois a atualização para iOS e macOS está atrasada devido ao processo de revisão da App Store e à necessidade de testes adicionais, respectivamente. A NymVPN está em um caminho de evolução, com planos para aumentar a velocidade de mixnet e melhorar a resistência à censura nos próximos dois anos.

O grupo de cibercriminosos conhecido como Inc reivindicou a responsabilidade pelo ataque à Namibia Airports Company (NAC), ocorrido em 6 de março de 2026. A NAC confirmou um incidente de segurança que afetou seus sistemas de TI, resultando em acesso não autorizado à infraestrutura de rede e contas administrativas. Embora a NAC tenha declarado que os serviços foram restaurados e a interrupção operacional foi limitada, a Inc alegou ter roubado cerca de 500 GB de dados. Até o momento, não há confirmação sobre o pagamento de resgate ou detalhes sobre como o ataque foi realizado. O grupo Inc, que surgiu em julho de 2023, é conhecido por suas táticas de ransomware, incluindo phishing direcionado e exploração de vulnerabilidades conhecidas. Este ataque marca a quinta vez que a Inc ataca uma empresa do setor de aviação, com um histórico de 694 ataques de ransomware, dos quais 173 foram confirmados. O impacto de tais ataques pode ser significativo, causando atrasos no transporte, interrupções em serviços de reservas e pagamentos, além de aumentar o risco de fraudes para os viajantes. A NAC é responsável pela operação de oito grandes aeroportos na Namíbia, e a segurança cibernética nesse setor é crucial para a continuidade das operações.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta para organizações americanas sobre a necessidade de fortalecer as configurações do Microsoft Intune, após um ataque cibernético que comprometeu os sistemas da Stryker Corporation, uma gigante da tecnologia médica. O ataque, reivindicado pelo grupo hacktivista Handala, resultou no roubo de 50 terabytes de dados e na utilização do comando de limpeza do Intune para apagar quase 80 mil dispositivos. Os hackers conseguiram criar uma nova conta de Administrador Global após comprometer uma conta de administrador existente. A CISA recomenda que as organizações adotem uma abordagem de menor privilégio para funções administrativas, implementem autenticação multifator (MFA) e exijam aprovação de múltiplos administradores para ações sensíveis, como a limpeza de dispositivos. Essas práticas visam aumentar a resiliência das organizações contra ataques semelhantes. O grupo Handala, vinculado ao Irã, é conhecido por suas operações de hacktivismo e por vazar dados sensíveis de sistemas comprometidos. O alerta da CISA destaca a importância de medidas proativas para proteger ambientes de gerenciamento de endpoints.

A Ubiquiti lançou patches para duas vulnerabilidades na aplicação UniFi Network, incluindo uma falha de gravidade máxima que pode permitir que atacantes assumam contas de usuários. A aplicação UniFi Network, também conhecida como UniFi Controller, é um software de gerenciamento que configura e otimiza hardware de rede da Ubiquiti, como pontos de acesso e switches. A vulnerabilidade, identificada como CVE-2026-22557, afeta versões 10.1.85 e anteriores da aplicação, permitindo que atacantes não privilegiados explorem uma vulnerabilidade de ‘Path Traversal’ para acessar arquivos no sistema e potencialmente sequestrar contas de usuários sem interação do usuário. Além disso, uma segunda falha permite que atacantes autenticados escalem privilégios através de uma vulnerabilidade de injeção NoSQL. Nos últimos anos, produtos da Ubiquiti foram alvo de grupos de hackers, incluindo ataques que resultaram na formação de botnets. O FBI, por exemplo, desmantelou uma botnet de roteadores Ubiquiti que era utilizada por agências de inteligência russas para realizar ataques cibernéticos. As versões corrigidas da aplicação estão disponíveis a partir da versão 10.1.89.

Embora as equipes de TI invistam consideravelmente na segurança de logins, muitas vezes não aplicam o mesmo rigor na redefinição de senhas. Um processo de redefinição fraco se torna um alvo lógico para atacantes, que podem escalar privilégios e se infiltrar em redes, assumindo identidades legítimas. O artigo destaca como os atacantes exploram caminhos de redefinição de senhas, como contas comprometidas, engenharia social e interceptação de tokens de redefinição. Para mitigar esses riscos, são apresentadas sete práticas recomendadas: exigir autenticação multifatorial (MFA), fortalecer a segurança dos dispositivos, impor políticas de senhas robustas, educar usuários e equipes de suporte, realizar auditorias regulares, implementar o princípio do menor privilégio e evitar autenticação baseada em conhecimento. A adoção dessas medidas pode proteger as organizações contra a escalada de privilégios e garantir a segurança dos dados. A segurança das redefinições de senhas é essencial para a proteção do ciclo de vida das contas, e soluções como o Specops uReset podem ajudar a fortalecer esses processos.

Hackers do grupo APT28, vinculado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade crítica no Zimbra Collaboration Suite (ZCS) para atacar entidades governamentais da Ucrânia. A falha de segurança, identificada como CVE-2025-66376, foi corrigida em novembro e permite que atacantes não autenticados realizem execução remota de código (RCE) através de um ataque de cross-site scripting (XSS) armazenado. A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais protegessem seus servidores em um prazo de duas semanas. Os ataques, que utilizam e-mails de phishing, têm como alvo instituições críticas, como a Agência Estatal de Hidrologia da Ucrânia. Os hackers enviam mensagens que contêm um payload JavaScript ofuscado, que, ao ser aberto, coleta credenciais e dados sensíveis do usuário. A vulnerabilidade do Zimbra tem sido frequentemente alvo de grupos patrocinados pelo Estado russo, com um histórico de exploração em larga escala. A situação destaca a necessidade urgente de medidas de segurança para proteger sistemas vulneráveis, especialmente em um contexto de crescente atividade cibernética hostil.

O FBI confiscou dois domínios utilizados pelo grupo hacktivista Handala, após um ataque cibernético devastador à gigante de tecnologia médica Stryker, que resultou na exclusão de aproximadamente 80.000 dispositivos. Os sites handala-redwanted[.]to e handala-hack[.]to agora exibem um aviso de apreensão, indicando que a ação foi realizada com um mandado emitido pelo Tribunal Distrital de Maryland. O aviso menciona que os domínios foram usados para facilitar atividades cibernéticas maliciosas em coordenação com um ator estatal estrangeiro. O Handala, vinculado ao Irã, é conhecido por realizar ataques direcionados a organizações israelenses, utilizando malware destrutivo. Após o ataque à Stryker, que envolveu a criação de uma conta de administrador global e o envio de um comando de ‘wipe’ pelo Microsoft Intune, a empresa e a CISA emitiram orientações para reforçar a segurança dos domínios Windows e do Intune. O Handala reconheceu a apreensão e afirmou que está trabalhando na criação de novas plataformas digitais para continuar suas operações.

Pesquisadores de cibersegurança revelaram uma nova família de malware Android, chamada Perseus, que está sendo ativamente distribuída com o objetivo de realizar a tomada de controle de dispositivos (DTO) e fraudes financeiras. Baseado nas fundações de Cerberus e Phoenix, o Perseus se apresenta como uma plataforma mais flexível e capaz de comprometer dispositivos Android por meio de aplicativos dropper distribuídos em sites de phishing. O malware utiliza sessões remotas baseadas em acessibilidade, permitindo monitoramento em tempo real e interação precisa com dispositivos infectados, com foco em regiões como Turquia e Itália.

O boletim ThreatsDay desta semana destaca uma série de ameaças emergentes em cibersegurança, com foco em operações de Ransomware-as-a-Service (RaaS) e campanhas de phishing. O grupo ‘The Gentlemen’ utiliza uma vulnerabilidade crítica (CVE-2024-55591) em dispositivos FortiGate para realizar ataques, mantendo um banco de dados com 14.700 dispositivos comprometidos. Além disso, falhas no BMC FootPrints podem permitir execução remota de código, enquanto o malware SnappyClient, entregue pelo Hijack Loader, é projetado para roubo de dados e evasão de segurança. Outra técnica emergente, chamada CursorJack, explora links profundos para execução de comandos maliciosos. A campanha de phishing via Microsoft Teams tem aumentado, com atacantes se passando por equipes de TI para obter acesso remoto. A situação é preocupante, pois a exploração de falhas conhecidas em plataformas amplamente utilizadas, como Citrix, e o uso de engenharia social em ferramentas de comunicação, revelam a necessidade urgente de medidas de segurança mais robustas.

Um grupo de grandes empresas de tecnologia, incluindo Google, Microsoft, OpenAI, Meta, LinkedIn, Amazon, Adobe e Match Group, uniu forças para combater fraudes digitais através do Online Services Accord Against Scams (Acordo de Serviços Online contra Fraudes). Este pacto, que foi assinado de forma voluntária, visa criar uma frente unificada na indústria para enfrentar golpes no ambiente digital, especialmente aqueles orquestrados por redes criminosas. Entre as medidas acordadas estão a implementação de ferramentas para detectar fraudes, a introdução de recursos de segurança mais robustos para transações bancárias e a promoção do compartilhamento de informações entre empresas e autoridades policiais. Além disso, as empresas se comprometeram a pressionar os governos para que a prevenção contra fraudes digitais seja considerada uma prioridade nacional. Vale destacar que muitas das empresas envolvidas já possuem iniciativas internas para combater fraudes, como a Meta, que recentemente lançou recursos para alertar usuários sobre contas suspeitas em suas plataformas. Este movimento é um reflexo da crescente preocupação com a segurança digital e a necessidade de uma resposta coordenada para enfrentar a crise de fraudes online.

O recente caso do banqueiro Daniel Vorcaro, cujo celular foi apreendido pela Polícia Federal (PF), trouxe à tona as técnicas de perícia forense digital utilizadas para recuperar mensagens que os usuários acreditam ter apagado. O perito Wanderson Castilho explicou que a PF utiliza ferramentas avançadas, como o Cellebrite, que são também empregadas por agências como o FBI e a CIA. Essas ferramentas têm a capacidade de extrair dados que permanecem no dispositivo, mesmo após a exclusão. Um aspecto notável do caso foi a recuperação de mensagens de visualização única do WhatsApp, que normalmente desaparecem após serem abertas. Castilho esclareceu que, embora a mensagem em si possa ser apagada, os registros de envio e recebimento permanecem, permitindo a recuperação das informações. O especialista também abordou a possibilidade de o crime organizado ter acesso a essas ferramentas, além de oferecer dicas para usuários que desejam garantir sua privacidade ao vender ou trocar de celular, como realizar uma formatação de fábrica. O episódio destaca a importância da segurança digital e a necessidade de conscientização sobre a permanência de dados mesmo após a exclusão.

Pesquisadores da Cofense identificaram uma nova tática de phishing que utiliza o software de suporte LiveChat para imitar marcas reconhecidas como Amazon e PayPal. O golpe começa com e-mails fraudulentos que simulam comunicações legítimas, como notificações de reembolso ou pedidos pendentes. Esses e-mails contêm links que direcionam as vítimas a uma página falsa de atendimento ao cliente, onde os golpistas, muitas vezes se passando por chatbots, solicitam informações sensíveis, como dados de cartões de crédito e códigos de autenticação de dois fatores. A utilização de um software legítimo confere maior credibilidade ao golpe, embora erros gramaticais nas mensagens possam indicar que um humano está por trás da fraude. O relatório destaca que essa abordagem combina engenharia social e roubo de identidade, representando uma evolução nas técnicas de cibercrime. A análise humana e a desconfiança continuam sendo as melhores defesas contra esses ataques.

A empresa de cibersegurança Acronis TRU revelou que cibercriminosos estão utilizando cheats gratuitos como isca para disseminar malwares entre jogadores. Esses malwares, disfarçados de trapaças, são encontrados em centenas de repositórios no GitHub e empregam técnicas de esteganografia para ocultar vírus, dificultando sua detecção por antivírus. O infostealer Vidar Stealer 2.0, uma versão aprimorada de um malware anterior, é capaz de roubar credenciais de navegadores, cookies, dados de autenticação, carteiras de criptomoedas e senhas de plataformas como Telegram e Discord. O malware é disseminado em um ambiente propício, onde usuários, muitas vezes jovens e inexperientes, buscam trapaças em sites não oficiais. O Vidar 2.0 opera na modalidade malware-as-a-service (MaaS), com preços que variam de R$ 670 a R$ 3.900, e tem se mostrado mais difícil de detectar devido a suas múltiplas camadas de execução. Para se proteger, é essencial que os usuários mantenham seus sistemas atualizados e evitem baixar softwares de fontes não confiáveis.

Pesquisadores da empresa de cibersegurança Group-IB emitiram um alerta sobre o aumento de fraudes relacionadas a falsos rastreios de encomendas online, especialmente utilizando o nome dos Correios. No último ano, mais de 100 campanhas maliciosas foram identificadas, com um pico de atividades entre junho e dezembro de 2025. Os golpistas enviam mensagens de phishing via SMS, alegando problemas na entrega e solicitando que as vítimas cliquem em links que levam a páginas falsas. Essas páginas pedem informações pessoais e financeiras, permitindo que os criminosos roubem dados sensíveis. Os especialistas notaram que muitos dos sites de phishing utilizados possuem características semelhantes a uma plataforma de Phishing como Serviço (PhaaS) de origem chinesa chamada Darcula. O descarte inadequado de etiquetas de encomendas também é uma porta de entrada para esses golpes, ressaltando a necessidade de cuidados redobrados ao rastrear encomendas.

O governo do Reino Unido tem investido mais de £2 milhões em tecnologia de VPN para órgãos públicos, como Ofcom, Ofsted e NHS, enquanto discute a possibilidade de proibir o uso de VPNs por crianças. Embora as VPNs sejam reconhecidas como ferramentas legítimas para proteger dados e privacidade, a proposta de regulamentação visa implementar medidas de verificação de idade que poderiam restringir o acesso de jovens a esses serviços. A análise de contratos públicos revela que Ofsted, responsável pela inspeção de escolas, destinou £490.000 para um serviço de VPN gerenciado, enquanto outras entidades, como HM Revenue & Customs, também investiram em soluções de VPN. A situação levanta preocupações sobre a segurança cibernética e a privacidade, especialmente considerando que as mesmas tecnologias utilizadas por órgãos governamentais são acessíveis a consumidores. Especialistas alertam que a regulação excessiva pode prejudicar a reputação do Reino Unido como um ambiente seguro para negócios digitais. A consulta pública em andamento busca entender as implicações de restringir o uso de VPNs, tanto para a privacidade dos usuários quanto para a inovação no setor.

O grupo cibercriminoso Medusa reivindicou um ataque de malware ao Condado de Passaic, em Nova Jersey, ocorrido em março de 2026. Em um comunicado, as autoridades do condado informaram que o ataque afetou seus sistemas de TI e linhas telefônicas. Medusa exigiu um resgate de $800.000, com prazo até o final do mês, e publicou imagens de documentos que alegam ter sido roubados dos servidores do governo local. Embora o Condado de Passaic tenha reconhecido a ocorrência de um incidente de segurança, não confirmou a responsabilidade do grupo. A investigação está em andamento para determinar a natureza e a extensão do acesso não autorizado aos dados. Medusa, que opera um esquema de ransomware como serviço, já reivindicou outros ataques em 2026, incluindo instituições educacionais e governamentais. Os ataques de ransomware a entidades governamentais nos EUA têm se tornado mais frequentes, resultando em riscos significativos, como perda de dados e interrupção de serviços essenciais. O Condado de Passaic abriga cerca de 524.000 pessoas e está localizado na área metropolitana de Nova York.

A ConnectWise alertou os clientes do ScreenConnect sobre uma vulnerabilidade crítica de verificação de assinatura criptográfica, identificada como CVE-2026-3564, que pode resultar em acesso não autorizado e escalonamento de privilégios. Essa falha afeta versões do ScreenConnect anteriores à 26.1, uma plataforma de acesso remoto amplamente utilizada por provedores de serviços gerenciados (MSPs) e equipes de suporte. Um atacante pode explorar essa vulnerabilidade para extrair e utilizar chaves de máquina ASP.NET para autenticação de sessões não autorizadas. A ConnectWise implementou melhorias na proteção das chaves de máquina na versão 26.1, incluindo armazenamento criptografado e melhor gerenciamento. Os usuários da versão em nuvem foram atualizados automaticamente, enquanto os administradores de sistemas locais devem atualizar imediatamente. A empresa também observou tentativas de exploração da vulnerabilidade, embora não haja evidências de exploração ativa até o momento. A recomendação é que os administradores reforcem o acesso a arquivos de configuração e monitorem atividades de autenticação incomuns.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.

A empresa de proteção de identidade Aura revelou que um ataque de phishing por voz resultou no acesso não autorizado a quase 900 mil registros de clientes, incluindo nomes e endereços de e-mail. O incidente afetou 20 mil clientes atuais e 15 mil ex-clientes, com dados provenientes de uma ferramenta de marketing adquirida pela Aura em 2021. Embora informações sensíveis como números de Seguro Social e dados financeiros não tenham sido comprometidos, o ataque foi reivindicado pelo grupo ShinyHunters, que alegou ter roubado 12GB de arquivos contendo informações pessoais identificáveis (PII) e dados corporativos. A Aura está colaborando com especialistas em cibersegurança e autoridades legais para investigar o incidente e notificará os indivíduos afetados. A análise do serviço Have I Been Pwned (HIBP) indicou que 90% dos e-mails expostos já estavam em sua base de dados devido a incidentes anteriores. A discrepância entre o número de contas afetadas reportadas pela Aura e pelo HIBP foi explicada pela herança de dados da empresa adquirida, que continha apenas 35 mil clientes da Aura.

A Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-20963. Essa falha de segurança afeta versões do SharePoint Enterprise Server 2016, SharePoint Server 2019 e SharePoint Server Subscription Edition. A exploração bem-sucedida permite que atacantes não autenticados executem código remotamente em servidores que não foram atualizados, utilizando uma fraqueza na desserialização de dados não confiáveis. A CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Justiça, protegessem seus servidores até 21 de março. Embora a Microsoft tenha atualizado seu aviso sobre a CVE-2026-20963, ainda não confirmou sua exploração em ataques reais. A CISA também recomendou que todos os defensores de rede aplicassem as correções necessárias, uma vez que esse tipo de vulnerabilidade é um vetor de ataque comum para agentes maliciosos, representando riscos significativos para a segurança federal. Além disso, a CISA ordenou que agências federais corrigissem uma vulnerabilidade de cross-site scripting (XSS) no Zimbra Collaboration Suite, que também está sendo explorada.