IPVanish torna OpenVPN quase três vezes mais rápido no Windows

A IPVanish lançou uma nova versão de seu aplicativo para Windows, incorporando o recurso OpenVPN Data Channel Offload (DCO), que promete aumentar a velocidade de download do OpenVPN em até 196%. Essa melhoria é especialmente significativa, pois o OpenVPN, apesar de ser um dos protocolos mais confiáveis e amplamente utilizados, sempre enfrentou desafios de velocidade. O DCO transfere a carga de criptografia para o núcleo do sistema operacional, reduzindo a latência e a carga da CPU, sem comprometer a segurança do protocolo. Além disso, a IPVanish trocou o cifrador OpenVPN de AES-256-CBC para AES-256-GCM, o que diminui em 32% o tempo de conexão com os servidores. No entanto, há uma limitação: o modo de alta velocidade não pode ser usado simultaneamente com o recurso OpenVPN Scramble, que oculta o tráfego VPN, o que pode ser uma consideração importante para usuários em redes restritas. O DCO atualmente é exclusivo para usuários do Windows, não estando disponível em macOS, iOS ou Android devido a restrições nos núcleos desses sistemas operacionais.

Não é verificação de idade privacidade é a principal razão para uso de VPNs por crianças no Reino...

Um recente relatório do governo britânico revela que a principal motivação para o uso de VPNs entre crianças no Reino Unido é a proteção da privacidade online, e não a evasão de verificações de idade, como se pensava anteriormente. A pesquisa, realizada com mais de 2.000 jovens de 11 a 17 anos, mostrou que 30% dos usuários ativos de VPNs utilizam essas ferramentas para garantir sua privacidade digital. Apenas 20% dos usuários de VPNs afirmaram usar o serviço para contornar verificações de idade, o que representa apenas 7% de todas as crianças britânicas. Além disso, a maioria dos jovens que contornam essas verificações o faz através de métodos mais simples, como mudar para plataformas que não exigem verificação de idade ou fornecendo informações falsas, como datas de nascimento. O relatório sugere que a narrativa de que a restrição ao uso de VPNs é essencial para a aplicação das leis de verificação de idade pode não ser justificada, especialmente à medida que as plataformas implementam métodos mais rigorosos de verificação. A discussão sobre a regulamentação do uso de VPNs no Reino Unido está em andamento, com apelos de grupos de defesa da privacidade para que essas ferramentas permaneçam acessíveis às crianças.

Novos kits de phishing ameaçam contas do Microsoft 365

Pesquisadores da ReliaQuest identificaram dois novos kits de phishing, Jalisco e OmegaLord, que visam contas do Microsoft 365, utilizando técnicas que burlam a autenticação multifator (MFA). O kit Jalisco emprega um método de phishing baseado em código de dispositivo, enquanto o OmegaLord se disfarça como um leitor de PDF para coletar credenciais de login e números de telefone, facilitando a interceptação de solicitações ou códigos MFA.

O método de phishing por código de dispositivo explora o fluxo de autorização do OAuth 2.0, enganando as vítimas para que autorizem um dispositivo controlado pelo atacante a acessar suas contas. O Jalisco gera códigos de dispositivo em tempo real, contornando a validade de 15 minutos imposta pela Microsoft. Após a invasão, os atacantes podem acessar dados sensíveis armazenados em serviços como SharePoint e realizar exfiltração em questão de minutos.

Microsoft adotará chaves de acesso como método padrão de autenticação

A Microsoft anunciou que, a partir de setembro de 2026, as chaves de acesso se tornarão o método padrão de autenticação para o serviço de identidade empresarial Entra ID. Os usuários que atualmente utilizam autenticação via SMS e voz serão migrados automaticamente para chaves de acesso, que são consideradas mais seguras e resistentes a phishing. A autenticação por SMS e voz será descontinuada em fevereiro de 2027, e as organizações são aconselhadas a garantir que todos os usuários adotem métodos de autenticação que não sejam suscetíveis a ataques de phishing antes dessa data. A Microsoft observou um aumento significativo nas campanhas de phishing habilitadas por IA, com taxas de cliques que chegam a 54%, em comparação com 12% para campanhas tradicionais. A mudança para chaves de acesso visa reduzir a dependência de métodos de autenticação vulneráveis e fortalecer a proteção contra o roubo de credenciais. As organizações que ainda precisarem de autenticação baseada em telefone deverão configurar provedores de telecomunicações de terceiros. A Microsoft disponibiliza orientações detalhadas para a implementação de autenticação sem senha e resistente a phishing.

A Gestão de Vulnerabilidades em Tempos de IA Um Desafio Crescente

A gestão de vulnerabilidades enfrenta um cenário alarmante, com a frequência de novas falhas aumentando drasticamente. Em 2026, a cada 7,4 minutos, uma nova CVE (Common Vulnerabilities and Exposures) é registrada, superando os números de anos anteriores. Além disso, a velocidade com que essas falhas são exploradas diminuiu para menos de um dia, devido ao uso de inteligência artificial, tornando a defesa das empresas ainda mais desafiadora. As equipes de segurança se veem incapazes de acompanhar o ritmo das atualizações e correções, enquanto a maioria das CVEs nunca se torna um ataque ativo. A solução proposta envolve a validação das defesas em vez de apenas focar na velocidade de correção, utilizando plataformas que provam a exploração de vulnerabilidades sem a necessidade de um ataque real. Um exemplo prático é o caso do Nightmare-Eclipse, onde um único pesquisador divulgou uma série de exploits que rapidamente foram adotados por criminosos. A abordagem sugerida enfatiza a importância de testar a cadeia de exploração, permitindo que as empresas priorizem quais vulnerabilidades realmente precisam ser corrigidas, sem expor seus sistemas a riscos desnecessários.

LastPass alerta sobre campanha de phishing com e-mails falsos

A LastPass emitiu um alerta sobre uma campanha de phishing em andamento que utiliza e-mails falsos para enganar usuários. Os e-mails, que se assemelham a comunicações corporativas legítimas, informam sobre supostas atualizações nas políticas de segurança e direcionam os destinatários a uma página que imita o serviço DocuSign, onde é alegado que um documento está disponível para revisão. A empresa esclarece que seus sistemas não foram comprometidos e que os e-mails não foram enviados de sua infraestrutura, apesar de os atacantes utilizarem domínios que aparentam ser legítimos. Os e-mails, enviados de ‘hello@lastpassnewsletter.com’, mencionam mudanças nas políticas de serviço da LastPass, como melhorias na monitorização de SaaS e opções de redefinição de senha. Ao clicar no botão ‘Revisar e Acessar Termos’, os usuários são levados a um site malicioso, identificado como lastpasscompliance[.]com, que foi sinalizado como perigoso por Microsoft Defender e Cloudflare. Embora a LastPass não tenha confirmado o objetivo da campanha, o site falso solicita que os usuários baixem um arquivo que supostamente é compatível com Windows e macOS. A empresa recomenda que os usuários que inseriram suas credenciais em sites de phishing mudem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas.

Vulnerabilidade crítica leva Progress a desligar ShareFile Storage Zone Controllers

A Progress Software confirmou que uma vulnerabilidade zero-day de alta severidade foi a causa do desligamento emergencial dos ShareFile Storage Zone Controllers na semana passada. A empresa alertou seus clientes para que desligassem imediatamente seus servidores Windows após receberem informações sobre uma “ameaça externa credível”. Durante a investigação, a Progress desativou temporariamente o acesso a todas as contas ShareFile que utilizavam os Storage Zone Controllers. A análise revelou uma vulnerabilidade de ‘path traversal’ que afeta todas as versões 5.x e 6.x do ShareFile Storage Zone Controller. Essa falha permite que um usuário administrativo autenticado leia arquivos arbitrários, escreva conteúdo controlado por atacantes em diretórios aleatórios e enumere a estrutura do sistema de arquivos do servidor. A empresa já reservou um identificador CVE para a vulnerabilidade, que será publicado em duas semanas. As versões 5.12.5 e 6.0.2 do ShareFile Storage Zone Controller foram lançadas para corrigir a falha, e a Progress recomenda que todos os clientes instalem as atualizações de segurança o mais rápido possível. Até o momento, não há indícios de que os dados dos clientes tenham sido comprometidos.

Técnica de Evasão em Campanhas na Nuvem Spoofing de OAuth Client ID

Pesquisadores da Proofpoint identificaram uma nova técnica de evasão chamada spoofing de OAuth client ID, utilizada por grupos de ameaças para comprometer ambientes do Microsoft Entra ID. Essa técnica permite que atacantes enumerem contas de usuários e validem credenciais roubadas sem gerar eventos de login bem-sucedidos, o que dificultaria a detecção por parte das equipes de segurança. Ao explorar a forma como o Entra ID responde a IDs de cliente inválidos, os atacantes conseguem inferir a validade de nomes de usuários e senhas em larga escala. Dois grupos distintos, UNK_pyreq2323 e UNK_OutFlareAZ, foram observados utilizando essa técnica, atacando milhões de contas em milhares de locatários. A primeira campanha usou mais de 700 mil IDs de cliente falsificados, enquanto a segunda empregou 3,7 milhões de IDs aleatórios. A falta de registros de nomes de aplicativos nos logs de sign-in do Entra torna a detecção dessas atividades ainda mais desafiadora. As organizações devem revisar suas políticas de acesso condicional, pois os IDs de cliente falsificados não acionam essas políticas, permitindo que os atacantes operem com maior discrição.

Agentes de Segurança com IA A Nova Fronteira na Cibersegurança

Os agentes de segurança baseados em inteligência artificial (IA) estão começando a influenciar decisões reais de segurança, resumindo descobertas, priorizando remediações e recomendando próximos passos. No entanto, muitos ainda dependem de sinais de risco fragmentados, como saídas de scanners e dados de exposição, o que limita sua eficácia. Os atacantes não operam em silos, e a falta de uma visão integrada pode impedir a identificação de caminhos de ataque reais. A validação de segurança se torna crucial, pois permite que as equipes de segurança confirmem se as vulnerabilidades podem ser exploradas em seus ambientes. A plataforma de validação de segurança da Pentera, por exemplo, emula técnicas de ataque do mundo real para validar exposições e gerar caminhos de ataque comprovados. Isso transforma o fluxo de trabalho de segurança, passando de uma abordagem reativa para uma proativa, onde as equipes podem priorizar e remediar vulnerabilidades com base em evidências concretas. A integração de dados de validação com assistentes de IA pode melhorar ainda mais a eficiência, permitindo que as equipes respondam rapidamente a ameaças reais. Essa mudança de paradigma é essencial para enfrentar a crescente sofisticação dos ataques cibernéticos.

Pesquisadores revelam falhas em carteiras de criptomoedas

Um estudo realizado por pesquisadores da KU Leuven analisou 85 das carteiras de criptomoedas mais populares que funcionam como extensões de navegador e descobriu que essas carteiras vazam informações suficientes para vincular e rastrear os usuários. As interações entre as carteiras e os sites podem conectar endereços separados de um mesmo usuário, permitindo que terceiros os sigam de site para site. Além disso, em sites que já possuem um nome ou e-mail, essas falhas podem associar uma identidade real a um perfil de criptomoeda supostamente anônimo. Os pesquisadores identificaram cinco fraquezas de privacidade, sendo a mais crítica a capacidade de vincular endereços separados. A pesquisa também revelou que 36 das 85 carteiras informam quais estão instaladas, mesmo sem conexão ativa. Embora algumas carteiras tenham corrigido problemas após a notificação, a maioria dos fabricantes não reconheceu as falhas como bugs. O estudo destaca a necessidade de melhorias significativas na segurança das carteiras, que atualmente funcionam como projetadas, mas expõem os usuários a riscos de privacidade.

Vulnerabilidades em UEFI podem comprometer a segurança de sistemas

Pesquisadores de cibersegurança descobriram 11 aplicações antigas, assinadas pela Microsoft, que podem ser exploradas para contornar o Secure Boot em sistemas que utilizam a interface UEFI. Um atacante pode executar código não confiável durante a inicialização do sistema, possibilitando a instalação de bootkits maliciosos, mesmo com as proteções do Secure Boot ativadas. O certificado ‘Microsoft Corporation UEFI CA 2011’, que expirou em 27 de junho de 2026, permitia que essas aplicações vulneráveis fossem confiáveis, pois não foram revogadas adequadamente. O uso de bootloaders UEFI antigos, como o shim, que atua como intermediário entre o firmware da placa-mãe e o sistema operacional Linux, é uma das principais preocupações. A exploração dessas vulnerabilidades pode permitir que atacantes contornem mecanismos de segurança, como a lista de negação de chaves de proprietário da máquina (MOK denylist), e executem código arbitrário antes mesmo do carregamento do sistema operacional. As falhas estão registradas sob os identificadores CVE-2026-8863 e CVE-2026-10797, e a ESET alerta que a expiração do certificado não afeta o processo de verificação do Secure Boot, desde que os bootloaders não sejam explicitamente revogados. Essa situação representa um risco significativo para a segurança de sistemas que dependem do Secure Boot.

Vulnerabilidades críticas no RabbitMQ expõem segredos de OAuth

Pesquisadores de cibersegurança revelaram duas falhas relacionadas ao controle de acesso no serviço de mensageria RabbitMQ, que podem permitir que atacantes vazem segredos de clientes OAuth e comprometam a infraestrutura de mensageria empresarial. A equipe de segurança da Miggo, que descobriu as falhas, informou que a primeira vulnerabilidade (CVE-2026-57219) expõe o segredo confidencial do broker a um atacante não autenticado em uma única solicitação, possibilitando a troca desse segredo por um token de administrador e o controle total sobre mensagens, filas e configurações do broker. A segunda falha (CVE-2026-57221) permite que qualquer usuário autenticado leia dados de outros inquilinos sem autorização adequada. Ambas as falhas estão presentes desde 2024 e afetam versões do RabbitMQ a partir da 3.13.0. As vulnerabilidades foram corrigidas nas versões mais recentes, e recomenda-se que as organizações atualizem seus sistemas e implementem medidas de segurança adicionais, como a rotação de segredos e a limitação de acesso à interface de gerenciamento. Embora não haja evidências de exploração ativa antes da divulgação pública, a situação é preocupante, especialmente em ambientes multi-inquilinos ou expostos à internet.

Departamento do Tesouro dos EUA sanciona provedores de ransomware

O Departamento do Tesouro dos EUA, por meio do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções a dois indivíduos e uma entidade envolvidos em ataques de ransomware contra organizações americanas. As sanções foram direcionadas ao First VPN Service (1VPNS), um provedor de rede privada virtual que oferecia serviços a grupos de ransomware, e seu administrador, Dmytro Rashevskyi. Desde sua criação em 2014, o 1VPNS se destacou por não manter registros de atividades dos usuários e por não cooperar com as autoridades. A investigação, que começou em dezembro de 2021, culminou na desmantelação da infraestrutura do 1VPNS, com a apreensão de 33 servidores em 27 países e a prisão de Rashevskyi. Além disso, o cidadão bielorrusso Yegeniy Vladimirovich Silayev, que vende ferramentas para ocultar malware, também foi sancionado. As operações de ransomware associadas a esses indivíduos causaram perdas bilionárias a empresas e infraestruturas críticas nos EUA. As sanções visam desmantelar redes de cibercrime, com a colaboração de autoridades do Reino Unido e da União Europeia.

Microsoft testa nova versão do Windows Search mais limpa e rápida

A Microsoft está testando uma nova versão do Windows Search que promete ser mais rápida e eficiente, priorizando resultados relevantes em detrimento de anúncios e conteúdos promocionais. Essa iniciativa, anunciada pelo presidente da Windows, Pavan Davuluri, visa melhorar a experiência de busca no Windows 11, abrangendo o menu Iniciar, a barra de tarefas, o File Explorer e as Configurações. As atualizações estão disponíveis para os usuários do programa Windows Insiders no canal Experimental, através de uma implementação controlada, o que significa que nem todos os usuários terão acesso imediato. As melhorias incluem a indicação clara da origem dos resultados, suporte a buscas de arquivos com duas letras e maior tolerância a erros de digitação. Além disso, a Microsoft promete melhorias na confiabilidade do sistema, reduzindo falhas e problemas de carregamento. Os usuários também podem escolher se desejam ver sugestões da Microsoft Store e da web junto aos resultados locais. A empresa encoraja feedback dos Insiders para aprimorar ainda mais a funcionalidade.

Grupo ShinyHunters invade Salesforce sem explorar falhas

Um novo relatório da Microsoft revela que atacantes associados ao grupo de extorsão de dados ShinyHunters conseguiram acessar ambientes corporativos do Salesforce sem explorar falhas na plataforma. Em vez disso, eles se aproveitaram da confiança que as organizações já haviam concedido, principalmente através de conexões OAuth com aplicativos e fornecedores de terceiros. A pesquisa identificou três técnicas principais utilizadas: chamadas de vishing que induzem funcionários a aprovar aplicativos maliciosos, tokens OAuth roubados de fornecedores de software comprometidos e acesso de convidados mal configurado em sites do Salesforce. As chamadas de vishing foram a porta de entrada inicial, onde os atacantes se passaram por suporte de TI e convenceram os funcionários a autorizar aplicativos controlados por eles. Já os tokens roubados permitiram acesso a dados de múltiplas organizações ao mesmo tempo, enquanto o acesso de convidados mal configurado possibilitou que os atacantes extraíssem dados sem necessidade de credenciais. A Microsoft, em colaboração com o Salesforce, lançou novas ferramentas de detecção e governança para mitigar essas atividades, enfatizando a importância de monitorar logs de autenticação e revisar permissões de aplicativos conectados.

Campanha de pacotes npm transforma navegadores em botnets DDoS

Uma nova pesquisa da JFrog revelou uma campanha maliciosa envolvendo 148 pacotes npm que se disfarçaram como proxies web para estudantes. Durante cerca de duas semanas em maio, esses pacotes transformaram os navegadores dos visitantes em uma botnet de negação de serviço distribuída (DDoS). Os pacotes, com nomes como ‘charlie-kirk’ e ‘ilovefemboys’, permitiam que os estudantes contornassem filtros de conteúdo, mas carregavam um gerador de tráfego de ataque escondido. Ao abrir uma página, os usuários se tornavam involuntariamente parte do ataque, que não exigia instalação de scripts maliciosos. A pesquisa identificou dois módulos principais: um carregador de scripts remoto e um gerador de inundações WebSocket, ambos projetados para sobrecarregar servidores de proxy. A infraestrutura da campanha era facilmente rastreável, e os operadores, aparentemente jovens, deixaram pistas em seus códigos. Embora muitos pacotes tenham sido removidos do npm, a capacidade de rearmar o ataque permanece. Administradores de redes escolares e corporativas devem bloquear os domínios associados a essa campanha e limpar caches de navegador para mitigar riscos.

EUA sancionam indivíduos e VPN por facilitar ataques de ransomware

O Departamento do Tesouro dos EUA sancionou dois indivíduos e um provedor de VPN, o First VPN Service (1VPNS), por facilitar atividades criminosas, incluindo ataques de ransomware. O administrador ucraniano Dmytro Rashevskyi e o belarusiano Yegeniy Vladimirovich Silayev foram acusados de ajudar grupos de ransomware a ocultar suas atividades. O First VPN foi desmantelado em maio de 2026 após uma operação conjunta de autoridades europeias e norte-americanas, que identificaram que o serviço era utilizado para esconder a origem de ataques cibernéticos contra empresas e instituições dos EUA. O uso dessa VPN resultou em perdas bilionárias para negócios americanos, afetando setores críticos como saúde e serviços financeiros. Além disso, o artigo menciona sanções impostas pelo Reino Unido e pela União Europeia a redes cibernéticas russas, que têm realizado operações de espionagem e sabotagem. O FBI alertou sobre a exploração de dispositivos de rede mal configurados por atores do FSB da Rússia, destacando a vulnerabilidade de infraestruturas críticas em todo o mundo.

Grok Build da xAI vaza repositórios inteiros para o Google Cloud

Um incidente de segurança envolvendo o Grok Build da xAI revelou que o sistema estava enviando repositórios Git inteiros, incluindo todo o histórico de commits, para um bucket do Google Cloud, em vez de apenas os arquivos necessários para as tarefas de codificação. O pesquisador conhecido como cereblab, ao testar a versão 0.2.93, interceptou um desses uploads e conseguiu recuperar um arquivo que o agente deveria ter ignorado. A análise mostrou que, enquanto o tráfego necessário para o modelo era de apenas 192 KB, o upload para o armazenamento alcançou 5,10 GiB, evidenciando uma discrepância significativa. Embora a xAI tenha desativado os uploads de armazenamento em uma atualização subsequente, a questão central permanece: a falta de controle do usuário sobre o que é enviado para a nuvem. Isso levanta preocupações sobre a segurança de dados sensíveis, como códigos proprietários e credenciais, que podem estar expostos. A xAI afirmou que todos os dados enviados antes da correção seriam completamente deletados, mas a falta de clareza sobre o que foi armazenado e por quanto tempo ainda gera incertezas. Para desenvolvedores que utilizaram a ferramenta, é recomendado que rotacionem quaisquer credenciais que possam ter sido expostas durante o uso do Grok Build.

Novo malware para macOS finge ser ferramenta da Apple para roubar dados

Um novo malware para macOS, chamado CrashStealer, tem se destacado por se disfarçar como a ferramenta de relatórios de falhas da Apple, visando roubar credenciais, dados do chaveiro e carteiras de criptomoedas. Pesquisadores começaram a monitorar essa ameaça em maio, quando ainda estava em desenvolvimento, mas notaram seu uso em ataques a partir de julho. O malware utiliza um binário que imita o componente do sistema da Apple, chamado ‘CrashReporter.app’, e cria um LaunchAgent com o nome ‘com.apple.crashreporter.helper’, além de usar o ícone e metadados da ferramenta legítima para evitar a detecção. O instalador, denominado ‘Werkbit Setup’, é assinado e notarizado pela Apple, permitindo que o malware contorne o Gatekeeper, a proteção anti-malware do macOS. Ao ser executado, o CrashStealer apresenta um falso prompt de senha do macOS, enganando o usuário para que forneça sua senha do chaveiro, que armazena dados sensíveis como senhas de aplicativos e chaves criptográficas. O malware também coleta credenciais de navegadores e gerenciadores de senhas, além de arquivos de diretórios do usuário. Os dados roubados são criptografados e enviados para um servidor de comando e controle. A operação é cuidadosamente planejada para ser discreta, utilizando um dropper assinado e notarizado, e um processo de re-assinatura para garantir persistência.

Pacote npm malicioso da Jscrambler compromete dados de desenvolvedores

A empresa Jscrambler, especializada em segurança web, revelou que um ator de ameaça publicou uma versão maliciosa de seu pacote npm, que foi baixada quase 1.500 vezes em um curto período de duas horas. As versões afetadas foram 8.14, 8.16, 8.17 e 8.20, e o malware incluído tinha a capacidade de roubar informações sensíveis durante o processo de instalação. O pacote malicioso foi rapidamente descontinuado e substituído pela versão segura 8.22. O malware visava dados críticos, como credenciais de desenvolvedores, segredos de nuvem, dados de carteiras de criptomoedas e informações de aplicativos de colaboração. A Jscrambler atribuiu a violação a credenciais de publicação npm comprometidas, que já foram revogadas. Após o incidente, a empresa implementou controles de segurança adicionais em seu pipeline de publicação. Os desenvolvedores que utilizaram as versões maliciosas devem considerar seus ambientes como comprometidos e rotacionar todas as credenciais. A Jscrambler recomenda que seus clientes utilizem a versão mais recente de seu produto para garantir a segurança.

Ciberataque compromete sistemas da maior operadora de táxis do Japão

A Nihon Kotsu, maior operadora de táxis do Japão, sofreu um ciberataque que comprometeu seus sistemas, levando à paralisação de parte de sua infraestrutura. O incidente ocorreu na manhã de sábado e afetou operações críticas, incluindo o sistema de despacho de táxis, que permanece fora do ar. A empresa, que gera cerca de US$ 1 bilhão em receita anual e emprega mais de 18 mil pessoas, confirmou a infecção por malware e tomou medidas de emergência para evitar danos adicionais, como desconectar sistemas afetados. Serviços de reserva e contratação de veículos, incluindo o serviço de ’táxi para parturientes’, estão suspensos em várias áreas, incluindo Tóquio e Yokohama. A Nihon Kotsu está colaborando com especialistas em cibersegurança para investigar o incidente e avaliar a possibilidade de vazamento de dados, embora até o momento nenhum vazamento tenha sido confirmado. A empresa recomenda que os clientes evitem abrir anexos de comunicações suspeitas e utilizem o aplicativo ‘GO’ ou táxis disponíveis nas ruas. O ataque ainda não foi reivindicado por grupos de ransomware ou gangues de extorsão.

Google e Microsoft removem extensão ModHeader por coleta de dados oculta

O ModHeader, uma extensão popular para edição de cabeçalhos, foi removido das lojas do Chrome e Edge após a descoberta de um coletor de histórico de navegação embutido em sua versão oficial. A análise da empresa de segurança Stripe OLT revelou que, embora o coletor estivesse inativo devido a uma lista de permissões vazia, ele continha código que poderia coletar e enviar dados de navegação. A extensão, que conta com cerca de 1,6 milhão de instalações, ainda edita cabeçalhos HTTP como prometido, mas o código minificado inclui um sistema que, se ativado, poderia coletar até 1000 domínios distintos. A coleta de dados ocorreria uma vez por dia, enviando informações criptografadas para um servidor associado a um domínio sem relação com a Stanford. A extensão já havia sido alvo de reclamações por injetar anúncios em resultados de busca. A situação levanta preocupações sobre a segurança de extensões populares e a necessidade de vigilância constante sobre o que é instalado nos navegadores. Usuários são aconselhados a desinstalar a extensão e a rotacionar credenciais que possam ter sido armazenadas.

Novo malware CrashStealer rouba dados de usuários do macOS

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado CrashStealer, que tem a capacidade de roubar informações sensíveis de sistemas comprometidos. Diferente de outros ladrões de informações, CrashStealer é desenvolvido em C++ e não utiliza AppleScript ou Objective-C. O malware valida a senha de login do usuário localmente antes de coletar dados de navegadores, carteiras de criptomoedas, gerenciadores de senhas e do chaveiro do macOS. Os dados coletados são criptografados com AES-GCM e enviados para um servidor controlado pelos atacantes. O malware é distribuído através de um dropper assinado e notarizado, chamado ‘Werkbit.app’, que passa pelas verificações de segurança do Gatekeeper da Apple. O processo de instalação é oculto por um PIN de reunião, limitando o acesso ao instalador. Após a instalação, o malware estabelece persistência como um LaunchAgent e coleta dados de várias fontes, incluindo credenciais de navegadores e gerenciadores de senhas. A exfiltração de dados é feita em um arquivo ZIP enviado para um servidor específico. A complexidade e a sofisticação do CrashStealer destacam a necessidade de vigilância constante em relação a ameaças emergentes no ecossistema macOS.

Negociador de ransomware é condenado a 70 meses de prisão por ajudar atacantes

Angelo Martino, um negociador de ransomware, foi condenado a 70 meses de prisão por colaborar secretamente com o grupo criminoso BlackCat (ALPHV). Em vez de ajudar as vítimas a minimizar os danos, Martino e seus co-conspiradores, Ryan Clifford Goldberg e Kevin Tyler Martin, não apenas falharam em proteger os interesses de seus clientes, mas também infectaram algumas das vítimas com malware. O grupo visava empresas de diversos setores, incluindo dispositivos médicos e farmacêuticos, e exigiu resgates que totalizavam milhões de dólares. Martino, de 41 anos, terá que devolver todos os ganhos em criptomoeda que recebeu, além de perder bens como casas e carros adquiridos com esse dinheiro. Ele também deverá pagar 10% de seu salário futuro após a liberação. A condenação de Martino se segue a sentenças anteriores de seus co-conspiradores, que receberam penas de quatro anos. O caso destaca a crescente preocupação com a confiança em negociadores de ransomware e a necessidade de vigilância em transações de segurança cibernética.

Autoridades do Reino Unido processam cinco por fraudes com chamadas

As autoridades britânicas acusaram cinco indivíduos após uma investigação da National Crime Agency (NCA) sobre a plataforma de falsificação de identificação de chamadas chamada Russian Coms. Essa plataforma, que operava desde 2020, permitia que criminosos realizassem mais de 1,8 milhão de chamadas fraudulentas, utilizando números de instituições financeiras e agências de segurança para enganar as vítimas. Os acusados, todos de Londres, enfrentam várias acusações, incluindo conspiração para fornecer artigos relacionados a fraudes e conversão de propriedade criminosa. A NCA revelou que a Russian Coms foi responsável por perdas financeiras que somam dezenas de milhões de libras, afetando cerca de 170 mil vítimas em mais de 107 países. A plataforma foi promovida em redes sociais como Telegram e Instagram e oferecia serviços como chamadas criptografadas e alteração de voz. A operação que resultou na desativação da Russian Coms, chamada ‘Operação Henhouse’, levou a 290 prisões em todo o Reino Unido e destacou a crescente preocupação com fraudes telefônicas que utilizam tecnologia avançada para enganar os consumidores.

Breach at the Beach Aprenda sobre cibersegurança com Entra ID

O Varonis Threat Labs lançou o ‘Breach at the Beach’, uma experiência de treinamento interativa focada em Entra ID, que simula a exfiltração de dados em ambientes de nuvem. A iniciativa, criada pelos pesquisadores Doron Kapah e Mark Vaitsman, visa proporcionar uma compreensão prática das ameaças modernas que as organizações enfrentam, especialmente com o aumento de identidades não-humanas, como agentes de IA e fluxos de trabalho automatizados. Os jogadores, guiados pelo gato detetive Pixel, devem investigar um ataque e identificar quais dados sensíveis estão em risco. O CTF (Capture the Flag) é gratuito e pode ser acessado online, permitindo que profissionais de segurança aprimorem suas habilidades enquanto ganham créditos de educação continuada (CPE). O jogo enfatiza a importância de reconhecer abusos de funcionalidades legítimas e a necessidade de uma abordagem prática para a detecção de ameaças, especialmente em um cenário onde a IA está cada vez mais presente. Além disso, o evento será apresentado em conferências como Black Hat USA e DEF CON 34, onde os participantes poderão interagir diretamente com os criadores e aprofundar seus conhecimentos sobre cibersegurança.

Lidl sofre vazamento de dados de clientes na Europa

A rede de supermercados Lidl, pertencente ao grupo Schwarz, notificou clientes na Alemanha, Bélgica e Países Baixos sobre um vazamento de dados pessoais ocorrido em um provedor de serviços. O incidente, que foi descoberto na semana passada, resultou no roubo de informações de clientes que utilizam a loja online da Lidl. Segundo a empresa, apesar de manter altos padrões de segurança da informação, atacantes conseguiram acessar brevemente um arquivo armazenado separadamente, levando ao roubo de dados como nome, telefone, e-mail e data de nascimento. Embora os sistemas da loja online não tenham sido comprometidos, a Lidl não descarta a possibilidade de que senhas e informações de pagamento também possam ter sido afetadas. A empresa já registrou um boletim de ocorrência e contratou especialistas em forense digital para investigar o incidente. Além disso, a Lidl alertou os clientes sobre possíveis tentativas de phishing que possam utilizar as informações roubadas, recomendando cautela ao receber mensagens inesperadas. A Autoridade de Proteção de Dados da Holanda também foi notificada sobre o incidente.

CISA alerta sobre vulnerabilidades críticas em extensões Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de vulnerabilidades nas extensões iCagenda e Balbooa Forms para Joomla, que permitem a execução remota de código através de uploads de arquivos arbitrários. As falhas foram classificadas como de máxima prioridade, exigindo que agências federais aplicassem atualizações de segurança em até três dias. A primeira vulnerabilidade, CVE-2026-48939, afeta o iCagenda, que é utilizado para registro e agendamento de eventos. Um atacante pode explorar essa falha para fazer upload de arquivos maliciosos, como scripts PHP, comprometendo completamente o servidor web. A segunda vulnerabilidade, CVE-2026-56291, está relacionada ao Balbooa Forms, um construtor de formulários que também permite uploads de arquivos. Ambas as falhas foram alvo de ataques automatizados antes da liberação de patches, com a CVE-2026-56291 sendo explorada como um zero-day desde 8 de julho. Administradores de sites Joomla devem verificar a presença dessas extensões e aplicar as correções disponíveis para proteger seus ativos. As versões corrigidas estão disponíveis desde junho e julho de 2023.

Operação de phishing como serviço ataca contas do Microsoft 365

Um novo serviço de phishing, chamado Forg365, está utilizando uma combinação de técnicas avançadas para comprometer contas do Microsoft 365. Este serviço, que custa $400 por mês e é distribuído via Telegram, emprega phishing com código de dispositivo, táticas de adversário no meio (AitM), evasão de antibots e criação de iscas assistida por inteligência artificial (IA). As campanhas de ataque utilizam infraestrutura de entrega de e-mails legítimos, como Amazon SES e Twilio SendGrid, para disfarçar links maliciosos. O Forg365 oferece um painel de controle acessível na clearnet, onde os operadores podem gerar iscas e gerenciar tokens capturados. A plataforma também inclui uma extensão para navegadores que facilita o acesso contínuo a contas comprometidas. Além disso, o Forg365 permite ações pós-compromisso, como monitoramento de e-mails e respostas automáticas a mensagens. A operação reflete a industrialização do modelo de negócios de phishing, permitindo que até mesmo indivíduos com pouca experiência técnica realizem campanhas em larga escala. Diante desse cenário, recomenda-se que as empresas bloqueiem a autenticação por código de dispositivo, revisem regras de fluxo de e-mails e auditem atividades suspeitas em caixas de entrada.

Injeção de Memória Oculta em Assistentes de IA Risco Emergente

Um novo tipo de ataque, denominado ‘injeção de memória oculta’, foi identificado por pesquisadores, permitindo que atacantes manipulem assistentes de IA ao enviar e-mails com informações falsas. Esses assistentes, como o OpenClaw, mantêm registros sobre preferências e interações dos usuários, o que os torna vulneráveis a esse tipo de ataque. O processo é simples: um e-mail é enviado para um usuário, e se o assistente processar a mensagem, ele pode gravar uma informação falsa em sua memória sem que o usuário perceba. O estudo, publicado em julho de 2026, demonstrou que a ferramenta MemGhost conseguiu realizar esse ataque com uma taxa de sucesso de 87,5% em testes de modo de fundo. A pesquisa destaca a necessidade de controles de segurança mais rigorosos, como a verificação de origem das informações e a solicitação de confirmação antes de gravar dados na memória do assistente. A OpenClaw, alvo do estudo, já está considerando implementar medidas de segurança adicionais, mas o problema persiste, especialmente em ambientes onde assistentes de IA interagem com e-mails não confiáveis.

Ferramentas de segurança em cibersegurança um alerta urgente

O cenário atual da cibersegurança apresenta uma crescente preocupação com a velocidade e a eficácia dos ataques cibernéticos. Ferramentas de segurança estão encontrando vulnerabilidades mais rapidamente do que os humanos conseguem corrigi-las, mas os atacantes têm acesso a essas mesmas ferramentas. Isso resulta em uma situação alarmante onde falhas antigas ainda são exploradas devido a atrasos na aplicação de correções. Recentemente, a Progress alertou seus clientes sobre uma ameaça externa credível que afetou os Controladores de Zona de Armazenamento do ShareFile, levando à desativação temporária de contas. Além disso, a Zimbra divulgou uma atualização crítica para corrigir uma vulnerabilidade de execução de código remoto em seu cliente web. O pacote npm Jscrambler foi comprometido, permitindo a instalação de um ladrão de informações em várias plataformas. A Microsoft revelou um novo backdoor chamado GigaWiper, que pode tornar um sistema inoperável de várias maneiras. Outro ataque, denominado SHELLSTORM, comprometeu mais de 1,4 milhão de domínios através de plugins do WordPress. A pesquisa também destacou uma nova técnica chamada HalluSquatting, que engana assistentes de codificação baseados em IA para executar códigos maliciosos. O aumento da complexidade e da velocidade dos ataques exige uma resposta rápida e eficaz das equipes de segurança.

Agências de Cibersegurança alertam sobre hackers russos atacando roteadores

Agências de cibersegurança dos Estados Unidos e de oito outros países emitiram um alerta conjunto sobre hackers estatais russos que estão atacando roteadores vulneráveis e mal configurados para infiltrar redes de infraestrutura crítica. O aviso, coautorado pela NSA, FBI e CISA, entre outras agências, atribui os ataques ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB). Este grupo de hackers, conhecido por vários nomes como Berserk Bear e Energetic Bear, utiliza varreduras de SNMP para localizar roteadores que aceitam senhas padrão e, em seguida, executa comandos para copiar arquivos de configuração e exfiltrá-los. Além disso, o FBI já havia alertado sobre a exploração de uma vulnerabilidade crítica no recurso Smart Install de dispositivos Cisco. Os setores mais vulneráveis incluem energia, comunicações, saúde e serviços governamentais. As agências recomendam a atualização para SNMPv3, a desativação do Smart Install e a aplicação de senhas fortes. Este alerta segue uma operação internacional que desmantelou uma campanha de hackers que infectou 18.000 roteadores em 120 países, alterando configurações de DNS para roubar credenciais do Microsoft 365.

União Europeia e Reino Unido sancionam hackers russos

A União Europeia e o Reino Unido impuseram sanções a diversos indivíduos e entidades russas, acusando o país de coordenar uma rede de grupos de hackers responsáveis por ataques cibernéticos na Europa. As sanções incluem nove indivíduos e quatro entidades, entre eles oficiais da inteligência militar russa (GRU) e cibercriminosos. O Reino Unido sancionou 24 indivíduos, incluindo figuras seniores do GRU, que supostamente dirigiram operações cibernéticas. Além disso, membros da empresa IMPULS, acusada de recrutar hackers, e indivíduos ligados à operação de malware Lumma Stealer, que afetou mais de 2.100 vítimas, também foram sancionados. O Conselho da UE identificou o 16º Centro do Serviço Federal de Segurança da Rússia (FSB) como responsável por controlar grupos de ameaças cibernéticas, incluindo o notório grupo de hackers Turla, que tem atacado redes governamentais e infraestrutura crítica em vários países europeus desde 2010. Recentemente, um ataque cibernético em dezembro atingiu a infraestrutura elétrica da Polônia, embora não tenha conseguido interromper o fornecimento de energia. As sanções são uma resposta a atividades maliciosas que visam desestabilizar a UE e seus parceiros internacionais.

CISA alerta sobre falhas críticas em extensões Joomla com exploração ativa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança de severidade máxima no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando as extensões iCagenda e Balbooa para Joomla. Ambas as vulnerabilidades, avaliadas com 10.0 no sistema de pontuação CVSS, permitem a execução remota de código através do upload de arquivos arbitrários. A CVE-2026-48939, relacionada ao iCagenda, foi explorada como um zero-day desde 15 de junho de 2026, permitindo que atacantes enviassem arquivos PHP maliciosos. Já a CVE-2026-56291, que afeta o Balbooa Forms, foi identificada em ataques que permitiram o upload de arquivos sem autenticação, resultando em execução remota de código. Ambas as extensões têm versões corrigidas disponíveis, e os proprietários de sites são aconselhados a verificar e remover arquivos PHP suspeitos. Além disso, o Centro de Segurança Cibernética da Austrália (ACSC) emitiu um alerta sobre uma campanha global de exploração de vulnerabilidades em sistemas de gerenciamento de conteúdo (CMS), destacando a gravidade da situação e a necessidade de vigilância constante.

Operação de phishing no Microsoft 365 expõe vulnerabilidades graves

Um ataque de phishing ativo direcionado a usuários do Microsoft 365 foi descoberto, revelando falhas significativas na segurança. Um operador egípcio, identificado como codemado, deixou um servidor Python exposto na internet, permitindo que a empresa de segurança Lexfo acessasse sua ferramenta de ataque. O operador utilizou uma versão modificada do proxy Evilginx, que permitiu contornar a autenticação multifator (MFA) de duas maneiras distintas. A primeira técnica envolveu a intermediação do login ao vivo, enquanto a segunda abusou de um fluxo de login legítimo da Microsoft.

Ameaça de cibersegurança invasão com script PowerShell e IA

Pesquisadores de cibersegurança identificaram uma intrusão em que um ator desconhecido utilizou um script PowerShell codificado para enumeração do Active Directory (AD). O ataque, ocorrido em junho de 2026, envolveu o uso de credenciais pré-comprometidas para acessar um servidor Windows e mapear usuários, computadores e domínios. O script, descrito como ‘altamente agressivo’, empregou uma abordagem de cinco etapas para coletar informações do AD, culminando na criação de um relatório HTML sobre a tentativa de enumeração. Além disso, o atacante utilizou ferramentas legítimas como s5cmd e SharpShares para buscar repositórios de dados acessíveis. A pesquisa sugere que a utilização de inteligência artificial (IA) por parte dos atacantes está facilitando a execução de ataques complexos, permitindo que indivíduos menos experientes realizem ações de cibercrime com maior eficácia. A velocidade e a escala dos ataques estão aumentando, tornando mais difícil para as defesas se manterem atualizadas. Este incidente destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e implementem medidas proativas para proteger seus ambientes de TI.

A Importância da Inteligência Artificial na Segurança Cibernética

Recentemente, um CISO de uma empresa Fortune 50 discutiu a integração de agentes de IA em sua equipe de segurança cibernética. Embora a equipe tenha obtido resultados positivos ao conectar ferramentas de detecção a um modelo de IA, a arquitetura proposta não abordava adequadamente a maioria dos alertas, que exigem processamento automático. O psicólogo Daniel Kahneman, em seu livro ‘Thinking, Fast and Slow’, argumenta que o cérebro humano opera em dois sistemas: o Sistema 1, que é rápido e automático, e o Sistema 2, que é lento e deliberativo. Estudos mostram que 98% dos alertas de segurança podem ser resolvidos autonomamente, enquanto apenas 2% realmente necessitam de análise humana. A proposta é que as equipes de segurança cibernética utilizem IA para lidar com a maioria dos alertas, permitindo que os analistas humanos se concentrem em casos que realmente exigem julgamento crítico. Essa abordagem não só melhora a eficiência, mas também reduz a exaustão dos analistas, aumentando a capacidade de identificar ameaças reais que podem estar escondidas entre alertas de baixa severidade.

Meta registra patente de IA para análise emocional e coaching

A Meta, empresa controladora do Facebook, apresentou uma solicitação de patente para uma tecnologia de inteligência artificial (IA) que escuta a voz do usuário ao longo do dia, analisando seu estado emocional com base no tom e na forma de falar. A patente, registrada em dezembro de 2025 e publicada em julho de 2026, descreve um dispositivo que pode ser um smartphone, óculos inteligentes ou um assistente de voz, que registra e transcreve a fala do usuário, associando-a a dados contextuais como localização e atividades. A IA não apenas identifica emoções, mas também fornece um resumo das emoções ao longo do tempo, incluindo dados biométricos como tamanho da pupila e taxa de piscar. Além disso, a patente inclui um sistema de coaching de exercícios que ajusta o feedback com base no estado emocional do usuário. Embora a Meta ainda não tenha lançado um produto baseado nessa tecnologia, a proposta levanta preocupações sobre privacidade e regulamentação, especialmente em relação à coleta de dados sensíveis. A União Europeia já impôs restrições ao uso de IA que inferem emoções em ambientes de trabalho e escolares, destacando a necessidade de regulamentação rigorosa nesse campo.

OpenAI remove limite de uso do GPT-5.6 Sol temporariamente

A OpenAI anunciou a remoção temporária do limite de uso de cinco horas para os planos Plus, Pro e Business do modelo GPT-5.6 Sol, após um aumento significativo na demanda. Essa mudança, que foi confirmada no último domingo, também inclui um reset de uso para todos os usuários. O líder de produto da OpenAI, Tibo, destacou que as últimas 48 horas foram intensas para os serviços Codex e ChatGPT, levando à decisão de eliminar a restrição de tempo. Normalmente, o ChatGPT opera com uma janela de cinco horas, mas agora os usuários não precisarão interromper suas atividades ao atingir esse limite. Além disso, a OpenAI está implementando melhorias para tornar o GPT-5.6 Sol mais eficiente, reduzindo o consumo de tokens e permitindo que os usuários realizem mais tarefas antes de atingir o limite de uso. Embora a OpenAI não tenha detalhado como exatamente a eficiência foi aumentada, a expectativa é que isso proporcione uma experiência mais fluida e produtiva para os usuários. Essa atualização é particularmente relevante para desenvolvedores e empresas que utilizam o modelo para tarefas de programação e automação.

Você não tem privacidade nenhuma. Aceite isso

O artigo destaca uma declaração polêmica de Scott McNealy, CEO da Sun Microsystems, que afirmou: ‘Você não tem zero privacidade de qualquer forma. Aceite isso’. Essa afirmação, feita durante uma sessão de perguntas e respostas, reflete uma visão que se tornou cada vez mais relevante na era digital atual, onde a coleta de dados dos usuários é uma prática comum. A Sun Microsystems lançou a plataforma Jini, que permitia a comunicação entre dispositivos sem a necessidade de configuração, mas que também gerava um grande volume de dados. As preocupações sobre privacidade levantadas por McNealy foram criticadas por defensores da privacidade, que consideraram suas palavras irresponsáveis. No entanto, a realidade é que a indústria de tecnologia tem avançado em direção à coleta massiva de dados, muitas vezes sem o consentimento adequado dos usuários. O escândalo da Cambridge Analytica é um exemplo notório de como os dados dos usuários podem ser usados para fins políticos. Atualmente, a tecnologia é dominada por sistemas de coleta de dados e inteligência artificial, levantando questões sobre o capitalismo de vigilância e a expectativa de que os consumidores simplesmente aceitem essa realidade.

Anthropic estende acesso ao Claude Fable 5 até 19 de julho

A Anthropic anunciou a extensão do acesso ao modelo Claude Fable 5 para assinantes pagos até 19 de julho de 2026. Inicialmente, o acesso estava limitado até 7 de julho, mas foi prorrogado em várias ocasiões, permitindo que usuários das assinaturas Pro, Max, Team e Enterprise continuem utilizando o modelo sem custo adicional até a nova data. O Fable 5 permite que os usuários utilizem até 50% de seus limites semanais de uso sem cobranças extras, embora a empresa tenha alertado que o uso do Fable 5 consome esses limites mais rapidamente do que outros modelos. O acesso ao Fable 5 está disponível em várias plataformas, incluindo web, mobile e desktop, e requer versões específicas de aplicativos para funcionar corretamente. Após atingir o limite de uso, os usuários podem optar por continuar utilizando o modelo com créditos de uso ou mudar para outro modelo Claude. A promoção não se aplica a usuários gratuitos ou a planos de uso baseado em Enterprise. A Anthropic também afirmou que o Fable 5 não será removido permanentemente das assinaturas, com planos de restaurá-lo quando houver capacidade computacional suficiente.

Novo malware RedHook explora ADB sem conexão USB no Android

Uma nova versão do malware RedHook para Android está utilizando de forma inovadora o mecanismo de Wireless Debugging (Wireless ADB) para obter privilégios de shell sem a necessidade de conexão com um computador. Pesquisadores da empresa de cibersegurança Group-IB analisaram essa variante, que expande significativamente suas capacidades em comparação com a versão anterior de 2025. O RedHook mantém suas características de trojan de acesso remoto (RAT), permitindo o streaming de tela, interceptação de teclas, automação de interações na interface do usuário e roubo de credenciais.

CEO da Suno afirma que fazer música não é mais prazeroso

Mikey Shulman, CEO da Suno, uma plataforma de geração de música por IA, gerou polêmica ao afirmar que a criação musical não é uma atividade prazerosa para a maioria das pessoas. Durante uma entrevista no podcast 20VC, ele destacou que a produção musical exige tempo, prática e habilidades que muitos não possuem, sugerindo que sua plataforma poderia facilitar esse processo e democratizar a criação musical. No entanto, suas declarações provocaram uma forte reação negativa de músicos e profissionais da indústria, que argumentaram que o esforço e a dedicação são partes essenciais da experiência artística. A preocupação com o impacto da IA na indústria musical é crescente, com previsões indicando que os trabalhadores do setor podem perder até 25% de sua renda nos próximos anos. Shulman posteriormente se desculpou por suas declarações, reconhecendo a importância do trabalho árduo na música. O artigo destaca a tensão entre a inovação tecnológica e a preservação da arte, refletindo um debate mais amplo sobre o papel da IA nas indústrias criativas.

Atividade de espionagem cibernética contra a polícia do Paquistão

Pesquisadores de cibersegurança revelaram uma série de atividades de espionagem cibernética direcionadas a várias organizações de aplicação da lei no Paquistão, supostamente realizadas por atores de ameaças alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026. O foco principal foi a Polícia de Balochistão, onde servidores que hospedam aplicações web gerenciando dados policiais e de cidadãos, como registros criminais e biométricos, foram comprometidos. Um dos aplicativos afetados, o Sistema de Gestão de Reclamações (CMS), foi utilizado para implantar um malware disfarçado de atualização do portal. Além da Polícia de Balochistão, outras organizações, como a Polícia de Khyber Pakhtunkhwa e a Polícia de Islamabad, também foram alvo. Quatro grupos de ameaças distintos foram identificados, utilizando famílias de malware como PlugX, ShadowPad, Cobalt Strike e Remcos RAT. A atividade é notável por envolver tanto aliados quanto adversários do Paquistão, indicando um alto valor estratégico das informações coletadas. A convergência de múltiplos atores de espionagem cibernética contra instituições de segurança de um único estado destaca a importância dessas organizações na segurança interna do país.

Pacote jscrambler npm comprometido infostealer em máquinas de desenvolvedores

O pacote jscrambler na versão 8.14.0 foi comprometido, e sua instalação ativa um infostealer em máquinas de desenvolvedores. Publicado em 11 de julho de 2026, essa versão maliciosa contém um hook de pré-instalação que baixa e executa um binário nativo para Windows, macOS e Linux. A análise da StepSecurity e SafeDep revelou que a versão 8.14.0 foi publicada diretamente no npm por uma conta de mantenedor legítima, o que sugere uma conta comprometida ou um pipeline de construção vulnerável. O infostealer, escrito em Rust, visa coletar credenciais de nuvem, senhas de navegadores, e até arquivos de configuração de ferramentas de codificação de IA. Além disso, ele possui capacidades de persistência e anti-debugging, o que o torna ainda mais perigoso. A versão 8.15.0 já foi lançada, mas a 8.14.0 ainda está disponível no npm, representando um risco contínuo para aqueles que não atualizarem. O alerta é claro: qualquer máquina que tenha executado a versão comprometida deve considerar todos os segredos acessíveis como comprometidos e tomar medidas imediatas de mitigação.

Campanha global explora sistemas de gerenciamento de conteúdo vulneráveis

O Centro Australiano de Cibersegurança (ACSC) emitiu um alerta sobre uma campanha de exploração global que visa sistemas de gerenciamento de conteúdo (CMS) e plugins vulneráveis. Muitas empresas australianas já foram afetadas, com a implantação de webshells em seus sites. Esses webshells permitem acesso persistente aos sites comprometidos, possibilitando que atores maliciosos interrompam serviços, roubem credenciais e instalem malware adicional. A ACSC destaca que a campanha está explorando falhas em várias plataformas CMS, incluindo WordPress, Joomla e Craft CMS, com uma lista de produtos específicos afetados. Além disso, a agência sugere que a atividade pode ser apoiada por inteligência artificial, acelerando os ataques. Para mitigar os riscos, os administradores de sites devem aplicar atualizações de segurança, remover componentes não utilizados e monitorar a criação não autorizada de arquivos. O alerta é um chamado à ação para que as empresas se protejam contra essas ameaças.

Ataque Ghostcommit rouba segredos de repositórios usando PNGs

Pesquisadores da Universidade de Missouri-Kansas City desenvolveram um ataque chamado ‘Ghostcommit’, que permite roubar segredos de repositórios de código ao ocultar instruções maliciosas dentro de imagens PNG. O ataque explora uma lacuna na revisão de pull requests, onde 73% dos PRs mesclados em repositórios públicos não recebem revisão humana ou de bots. A técnica consiste em inserir um código que, quando ativado por um agente de codificação, lê o arquivo .env do repositório e extrai chaves secretas, apresentando-as como uma lista de números inofensivos. O ataque foi testado com sucesso em várias ferramentas de codificação, destacando a importância de uma defesa em profundidade, que inclui a análise de imagens e a verificação de comportamentos em tempo de execução. Os pesquisadores também desenvolveram uma ferramenta de defesa que conseguiu detectar a maioria das tentativas de ataque em testes ao vivo. Este incidente revela a vulnerabilidade das práticas atuais de revisão de código e a necessidade urgente de melhorias nas ferramentas de segurança para evitar a exploração de tais falhas.

Zimbra alerta sobre vulnerabilidade crítica em cliente web

A Zimbra está alertando seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, a qual pode permitir a execução de código arbitrário. Essa falha é classificada como um caso de cross-site scripting (XSS) armazenado, onde e-mails especialmente elaborados podem executar scripts maliciosos na sessão do usuário ao serem abertos. A empresa recomenda que os usuários atualizem para a versão 10.1.19 do Zimbra Collaboration Suite para garantir a proteção adequada. Embora a Zimbra não tenha relatado exploração ativa dessa vulnerabilidade, falhas XSS em suas plataformas têm sido alvo de ataques nos últimos anos, com tentativas de exploração documentadas desde dezembro de 2021. A vulnerabilidade atual ainda não possui um identificador CVE, mas a gravidade do problema é acentuada pelo potencial de acesso a informações de caixa de entrada, dados de sessão e configurações de conta. A atualização é essencial para mitigar riscos, especialmente considerando que outras falhas XSS já foram exploradas em ataques direcionados, como os que afetaram o setor militar brasileiro no passado.

IA acelera ataques e obriga empresas a priorizar vulnerabilidades

Em 2026, as vulnerabilidades representam cerca de 40% das exposições críticas em ambientes corporativos, um aumento significativo em relação ao ano anterior. Um estudo da Check Point Software revela que, apesar do crescimento na proporção de vulnerabilidades, apenas 7,8% dos alertas foram classificados como críticos ou de alta prioridade. Isso indica que, embora o número de exposições tenha aumentado, a maioria não exige ação imediata. A pressão sobre as equipes de segurança é intensificada por ferramentas de ataque assistidas por inteligência artificial (IA), que conseguem explorar falhas conhecidas em uma escala e velocidade superiores à capacidade de análise manual das equipes. O conceito de ‘intervalo de exposição’ é crucial, pois refere-se ao tempo entre a identificação de uma vulnerabilidade e sua correção, período em que os atacantes podem agir. As organizações que se destacam são aquelas que conseguem rapidamente identificar e corrigir os riscos realmente exploráveis, priorizando as ações de segurança. O relatório analisou dados de 715 organizações em cinco regiões, incluindo a América Latina, entre janeiro de 2025 e maio de 2026.

Homem de origem armênia se declara culpado por ataque de ransomware nos EUA

Karen Serobovich Vardanyan, um homem armênio de 34 anos, se declarou culpado por invadir empresas nos Estados Unidos e implantar o ransomware Ryuk, que criptografou sistemas de diversas organizações. Ele foi extraditado para os EUA após ser preso em Kyiv em abril de 2025, onde forneceu acesso inicial a redes corporativas. Entre novembro de 2019 e abril de 2020, Vardanyan e seus cúmplices atacaram várias empresas, incluindo uma no Michigan que pagou 200 BTC, equivalente a mais de 1,1 milhão de dólares na época. O Departamento de Justiça dos EUA informou que o grupo recebeu cerca de 1.610 bitcoins em pagamentos de resgate, totalizando aproximadamente 15 milhões de dólares. A operação Ryuk, ativa de 2018 a 2020, era conhecida por atacar setores variados, incluindo prestadores de serviços de saúde durante a pandemia de COVID-19. Após o fechamento do grupo, muitos membros migraram para a operação Conti, que se tornou uma das mais ativas. Vardanyan foi indiciado em fevereiro de 2024 e enfrenta uma pena máxima de 15 anos de prisão, além de multas significativas. Como parte de seu acordo, ele concordou em pagar mais de 1,1 milhão de dólares em restituição.