Novo malware para macOS rouba credenciais e dados sensíveis

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado PamStealer, que utiliza técnicas sofisticadas para infectar sistemas e roubar dados sensíveis. Distribuído como um arquivo AppleScript disfarçado de Maccy, um gerenciador de área de transferência legítimo, o PamStealer valida a senha de login da vítima através dos Módulos de Autenticação Pluggable (PAM) do macOS antes de capturá-la. O malware é entregue em duas etapas: um AppleScript que baixa um segundo payload, um infostealer baseado em Rust, capaz de roubar credenciais, coletar dados de navegadores e persistir no sistema. O vetor de ataque inicial é um site falso que imita o Maccy, e o script executa um downloader que busca o payload malicioso. O malware também possui características que evitam a execução em ambientes de análise e sistemas fora do Apple Silicon. Após a captura da senha, o malware exibe um alerta falso, enganando a vítima para descartar o aplicativo malicioso. O desenvolvedor do Maccy já emitiu um alerta sobre sites fraudulentos que distribuem essa ameaça. Essa evolução dos stealers para macOS destaca a necessidade de vigilância constante e medidas de segurança robustas.

Ex-membro do Parlamento Europeu alvo de spyware Pegasus

Um novo relatório do Citizen Lab revelou que Stelios Kouloglou, ex-membro do Parlamento Europeu, teve seu dispositivo móvel repetidamente hackeado com o spyware Pegasus enquanto investigava o uso de ferramentas de vigilância comercial na União Europeia. A análise forense do seu iPhone indicou que os invasores poderiam acessar documentos confidenciais e deliberações do comitê. Embora não se tenha atribuído a responsabilidade a um governo específico, há indícios de que um cliente do Pegasus, autorizado a espionar em vários países europeus, pode estar por trás do ataque. Kouloglou foi membro do Comitê PEGA, criado para investigar o uso indevido de spyware comercial. O primeiro ataque ocorreu em outubro de 2022, seguido por outro em março de 2023, coincidindo com momentos críticos de discussões sobre o relatório do comitê. O uso do spyware Pegasus levanta preocupações sobre como governos podem abusar de tecnologias destinadas a combater crimes graves, como terrorismo, para espionar jornalistas e críticos. Além disso, o relatório também destacou campanhas de espionagem que exploram vulnerabilidades na infraestrutura de telecomunicações global, permitindo rastreamento de localização sem a necessidade de malware.

Claude Fable Lançamento decepcionante e restrições severas

O modelo Claude Fable, da Anthropic, foi recentemente disponibilizado para todos os usuários, mas as primeiras impressões são desanimadoras. Apesar de estar acessível a assinantes do plano Max, o uso do modelo é severamente limitado, permitindo apenas 50% do limite semanal de uso. A partir de 7 de julho, o acesso se tornará totalmente baseado em créditos de uso, o que pode restringir ainda mais a utilização. Além disso, usuários relatam que o desempenho do Fable 5 foi ’nerfado’, ou seja, parece mais fraco e frequentemente é redirecionado para versões anteriores, como o Opus 4.8, devido a novas medidas de segurança. Isso afeta negativamente a experiência, especialmente em tarefas de programação que envolvem linguagens como C, C++ e Rust, onde palavras-chave relacionadas à segurança podem acionar bloqueios. Embora a Anthropic não tenha admitido oficialmente a degradação do desempenho, é provável que esteja sendo excessivamente cautelosa com as novas salvaguardas, resultando em uma experiência abaixo do esperado para os usuários. A situação levanta preocupações sobre a eficácia das medidas de segurança implementadas e seu impacto na usabilidade do modelo.

Claude Fable 5 terá acesso restrito após 7 de julho

A Anthropic anunciou que o modelo Claude Fable 5 não estará mais acessível através das assinaturas do Claude após 7 de julho, mas essa mudança não é permanente. A empresa espera que o modelo retorne em breve fora do plano baseado em uso. O Fable 5 foi restaurado recentemente após a liberação de controles de exportação pelo governo dos EUA. Embora esteja disponível globalmente em várias plataformas da Anthropic, o uso do Fable 5 foi restringido devido à alta demanda. A partir da próxima semana, o modelo será cobrado com créditos de uso, o que gerou preocupações entre os usuários regulares do Claude sobre a possibilidade de um custo permanente para acessar o Fable 5. Um engenheiro da Anthropic esclareceu que o Fable deve retornar às assinaturas assim que a capacidade permitir. A empresa também mencionou que a demanda pelo Fable 5 é difícil de prever, levando a uma abordagem mais conservadora na liberação do acesso. Para os usuários que dependem do Fable 5, é importante se preparar para a cobrança por créditos de uso após o prazo estabelecido.

Grupo Anubis explora vulnerabilidade Citrix para ataques de ransomware

O grupo de ransomware Anubis tem utilizado a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) para obter acesso inicial a sistemas. De acordo com um relatório da Arctic Wolf, os afiliados do Anubis empregam ferramentas legítimas de gerenciamento remoto, como ScreenConnect e Zoho Assist, para se infiltrar nas redes das vítimas sem levantar suspeitas. Desde sua reemergência em 2024, o Anubis já reivindicou 91 vítimas, com 11 ataques ocorrendo apenas em junho de 2026, afetando setores como saúde, serviços financeiros e tecnologia. A operação oferece uma divisão de lucros atrativa para afiliados, que podem receber até 80% do valor do resgate. Além disso, o grupo implementa um módulo de destruição de dados que aumenta a pressão sobre as vítimas para que paguem o resgate. As intrusões observadas também envolveram o uso de credenciais VPN válidas e técnicas de movimento lateral, como RDP e PsExec, para garantir acesso persistente e exfiltração de dados. A situação é crítica, pois a exploração da vulnerabilidade CVE-2025-5777, com uma pontuação CVSS de 9.3, permite que atacantes contornem autenticações em servidores Citrix, representando um risco significativo para empresas que utilizam essa tecnologia.

Google desmantela rede NetNut, uma das maiores botnets de proxy residencial

O Google, em colaboração com o FBI e outras entidades, anunciou a degradação significativa da NetNut, uma das maiores redes que transforma dispositivos residenciais em proxies alugados para tráfego de terceiros. A NetNut, também conhecida como Popa, é uma rede global que abrange pelo menos 2 milhões de dispositivos, incluindo TVs inteligentes e caixas de streaming. Quando um dispositivo da NetNut está em uma residência, criminosos podem redirecionar seu tráfego pela conexão de internet do usuário, comprometendo sua privacidade e segurança. A rede opera através da venda de acesso a endereços IP residenciais, permitindo que atacantes ocultem sua localização real. A empresa por trás da NetNut, a Alarum Technologies, nega a classificação de botnet, alegando que seu software é para compartilhamento de largura de banda consentido. No entanto, pesquisas indicam que os aplicativos associados não informam os usuários sobre esse consentimento. O Google alerta que a degradação da NetNut não é um desmantelamento definitivo, pois a rede possui um programa de revenda que permite que outras empresas comercializem o mesmo pool de dispositivos, tornando a situação complexa e resiliente. Para os consumidores, recomenda-se cautela ao usar aplicativos que prometem pagamento por largura de banda não utilizada e a compra de dispositivos de marcas conhecidas.

Ataques a contas Microsoft 365 81 milhões de tentativas de login

Um ataque de password-spraying comprometeu contas do Microsoft 365, resultando em mais de 81 milhões de tentativas de login em um período de duas semanas. Os hackers utilizaram credenciais roubadas e exploraram políticas de acesso condicional mal configuradas para contornar a autenticação multifator (MFA). A campanha, observada pela empresa de cibersegurança Huntress, afetou 78 contas Microsoft em 64 organizações entre 12 e 26 de junho de 2026. Muitas das empresas visadas não tinham MFA implementada ou a aplicavam de forma inadequada, permitindo que os atacantes enviassem senhas diretamente ao endpoint de token sem um prompt de MFA interativo. Para mitigar esses riscos, recomenda-se que as organizações implementem MFA para todos os usuários e aplicativos em nuvem, restrinjam o uso do Azure CLI e respondam com base na validade das credenciais em vez do volume de tentativas de login.

Companhia de faturamento médico confirma violação de dados em 2025

A empresa de faturamento médico MCBS notificou mais de 309 mil pessoas sobre uma violação de dados ocorrida em setembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, histórico médico, condições de saúde e informações de seguro. A violação foi atribuída ao grupo de ransomware PEAR, que reivindicou ter roubado 3,3 TB de dados da MCBS. A empresa notificou 295.625 pessoas na Carolina do Sul, 13.302 no Texas e 382 em Massachusetts, mas o número total de vítimas pode aumentar à medida que mais estados divulgam dados. A MCBS não confirmou se pagou um resgate ou como a violação ocorreu. O grupo PEAR, ativo desde agosto de 2025, já reivindicou 98 ataques de ransomware, com foco principal em empresas de saúde. Este incidente é considerado o maior ataque ao setor de saúde realizado pelo grupo até agora, superando outras violações significativas ocorridas no mesmo mês. A MCBS não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas da violação.

Microsoft corrige falha no Copilot do Outlook para usuários do Windows

A Microsoft anunciou a correção de um problema que fazia com que os botões do Copilot Chat ou Copilot desaparecessem para usuários do Windows com a licença Copilot Chat (Básico) no Outlook Clássico. Segundo um documento de suporte da empresa, os usuários afetados podem não ver os botões do Copilot na navegação lateral e acima da faixa de opções. Além disso, podem enfrentar outros problemas, como a ausência do botão do Copilot na área superior direita e a impossibilidade de abrir o Copilot através da personalização da faixa de opções. A Microsoft recomenda que os usuários afetados reiniciem o cliente de e-mail para aplicar a correção e atualizem para a versão mais recente do Outlook. Para aqueles que não conseguem atualizar, é sugerido reverter para uma versão anterior ou utilizar o novo Outlook ou Outlook Web Access (OWA). A empresa também está investigando um problema que causa falhas inesperadas no Outlook em sistemas com o software Kaspersky Antivirus. Os usuários afetados devem verificar os logs de aplicativos para confirmar a origem do problema e contatar o suporte da Kaspersky se necessário.

Ataques de Cibersegurança A Nova Ameaça ao Microsoft 365

Os ataques cibernéticos modernos têm se tornado cada vez mais sofisticados, utilizando métodos que exploram a rotina dos usuários. Um exemplo recente é o ataque ConsentFix, que se aproveita dos fluxos de consentimento do OAuth do Microsoft 365. Neste tipo de ataque, os criminosos enviam iscas de phishing através de plataformas confiáveis, levando a vítima a acreditar que está realizando um procedimento de autenticação legítimo. Ao arrastar um link aparentemente inofensivo para o navegador, o usuário entrega tokens de acesso ao atacante, permitindo que ele acesse serviços do Microsoft 365 sem precisar de senha ou autenticação multifator (MFA).

Corte da UE rejeita apelação final do Google sobre multa antitruste

O Tribunal de Justiça da União Europeia (TJUE) confirmou a decisão da Comissão Europeia que impôs uma multa de €4,1 bilhões (cerca de $4,7 bilhões) ao Google por práticas anticompetitivas relacionadas ao sistema operacional Android. A Comissão havia determinado que o Google abusou de sua posição dominante ao exigir que fabricantes de dispositivos pré-instalassem o Google Search e o Chrome para licenciar a Play Store, além de proibir a venda de dispositivos com versões do Android não aprovadas. Embora o Tribunal Geral tenha reduzido a multa original, o TJUE sustentou que as práticas do Google restringem a concorrência e fortalecem sua posição no mercado. Em resposta, o Google argumentou que o Android promove a escolha do consumidor e que suas práticas foram adaptadas desde 2018 para atender às exigências da Comissão. A empresa também destacou a concorrência com o iOS da Apple e a intensa competição entre fabricantes de dispositivos Android. Este caso levanta questões importantes sobre a regulação de grandes plataformas tecnológicas e suas implicações para o mercado global de tecnologia.

Grupo ToddyCat utiliza malware Umbrij para acessar e-mails corporativos

O grupo de ameaças avançadas conhecido como ToddyCat desenvolveu um novo malware chamado Umbrij, que visa comprometer o acesso a e-mails corporativos hospedados no Gmail por meio da API do Google. Segundo um relatório da Kaspersky, o Umbrij utiliza o protocolo OAuth 2.0 para obter tokens de autorização, permitindo que os atacantes acessem recursos de e-mail de forma furtiva. O malware opera em navegadores baseados em Chromium, explorando sessões ativas do Gmail. Ao lançar o navegador em modo headless e se conectar a uma porta de depuração remota, o Umbrij consegue capturar o código de autorização OAuth e trocá-lo por um token de acesso, comprometendo assim as comunicações de e-mail corporativas. O ataque é facilitado por técnicas como DLL side-loading, onde executáveis legítimos são abusados para iniciar o malware. A Kaspersky recomenda que as organizações revisem os códigos de autorização concedidos a aplicações e revoguem acessos não utilizados para mitigar os riscos. A automação do Umbrij aumenta a escala e a frequência dos ataques, evidenciando as habilidades técnicas avançadas do grupo ToddyCat.

Vulnerabilidades em sistemas e novas ameaças de cibersegurança

Nesta semana, diversas vulnerabilidades e campanhas de phishing foram destacadas no cenário de cibersegurança. Uma campanha de phishing está atacando pequenas empresas em várias regiões, incluindo a Europa e os EUA, utilizando e-mails falsos que se passam por investigações da INTERPOL, levando à instalação de ransomware. Além disso, uma pesquisa revelou uma falha no serviço ‘Hide My Email’ da Apple, que permite que endereços de e-mail reais sejam expostos. Outra descoberta alarmante envolve um novo Trojan de Acesso Remoto (RAT) chamado BeepRAT, que se infiltra em sistemas através de um utilitário de gerenciamento de números de telefone, demonstrando um sofisticado encadeamento de infecção. Por fim, a avaliação do modelo GPT-5.6 da OpenAI mostrou que, apesar de suas capacidades ofensivas, ainda enfrenta limitações em alvos bem defendidos. Essas questões ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Ataques de ransomware atingem recorde global no primeiro semestre de 2026

No primeiro semestre de 2026, os ataques de ransomware alcançaram um novo recorde global, com uma média de 23 ataques por dia, totalizando 4.217 incidentes. Este número representa um aumento de 11% em relação ao segundo semestre de 2025. Dentre os ataques registrados, 484 foram confirmados por organizações-alvo, enquanto o restante foi reivindicado por grupos de ransomware em sites de vazamento de dados. O setor empresarial foi o mais afetado, com 319 ataques confirmados, seguido por entidades governamentais (83) e empresas de saúde (49). O setor de transporte teve um aumento significativo de 52% nos ataques, enquanto a educação viu uma queda de 13%. Apesar do aumento global, os ataques nos Estados Unidos diminuíram em 8%, possivelmente devido à atuação do grupo The Gentlemen, que diversificou seus alvos fora dos EUA. O grupo Qilin foi o mais ativo, com 641 vítimas, seguido por The Gentlemen e Akira. As demandas de resgate variaram, com uma média de $1,36 milhão, destacando o caso do Nippon Medical School, que recebeu uma exigência de $100 milhões. Esses dados ressaltam a necessidade urgente de medidas de segurança cibernética mais robustas em diversos setores.

Cidadão dual dos EUA e Estônia extraditado por cibercrime

Peter Stokes, um cidadão dual dos Estados Unidos e da Estônia, foi extraditado para os EUA após ser acusado de ser membro do coletivo de hackers Scattered Spider. O jovem de 19 anos foi preso na Finlândia enquanto tentava embarcar para o Japão e é acusado de extorquir milhões de dólares de várias empresas de renome mundial. Documentos judiciais revelam que Stokes esteve envolvido em pelo menos quatro invasões do Scattered Spider, incluindo um ataque em março de 2023 a uma plataforma de comunicação online, quando tinha apenas 16 anos. Durante um ataque em maio de 2025, os hackers se passaram por funcionários de uma empresa de itens de luxo, solicitando um resgate de 8 milhões de dólares, embora a empresa tenha se recusado a pagar, resultando em perdas de mais de 2 milhões de dólares devido a interrupções operacionais. O grupo Scattered Spider, que surgiu em 2022, é conhecido por usar engenharia social e ataques de phishing para roubar credenciais e documentos sensíveis. O FBI informou que o grupo já esteve envolvido em mais de 100 intrusões, resultando em pagamentos de resgate superiores a 100 milhões de dólares.

Opera lança funcionalidade de proteção contra comandos maliciosos

A Opera lançou uma nova funcionalidade chamada Paste Protect, que visa bloquear ataques do tipo ClickFix, onde usuários são enganados a copiar e executar comandos maliciosos. Essa técnica é frequentemente utilizada por cibercriminosos para induzir vítimas a executar códigos perigosos, geralmente disfarçados como processos de verificação ou instruções de resolução de problemas. O Paste Protect atua antes que comandos prejudiciais sejam copiados para a área de transferência do navegador, utilizando regras de detecção específicas para identificar padrões associados a scripts maliciosos. Quando um conteúdo suspeito é detectado, a operação de cópia é bloqueada e o usuário recebe um alerta visual na barra de endereços do navegador. A funcionalidade é habilitada por padrão e permite que usuários criem listas de permissões para sites confiáveis, facilitando o uso para desenvolvedores que frequentemente copiam scripts de fontes conhecidas. A Opera recomenda que os usuários evitem executar comandos desconhecidos e tratem solicitações suspeitas com cautela. Essa inovação é especialmente relevante em um cenário onde ataques cibernéticos estão em ascensão, destacando a importância de medidas proativas de segurança.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Cisco confirma exploração de vulnerabilidade no Unified CM

A Cisco confirmou que atacantes estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), identificada como CVE-2026-20230, que foi corrigida em junho de 2026. O Unified CM, que gerencia sistemas de telefonia IP da Cisco, permite que atacantes não privilegiados realizem ataques de Server-Side Request Forgery (SSRF) de forma remota, enviando requisições HTTP manipuladas. Apesar de a Cisco ter informado em 3 de junho que não havia evidências de exploração ativa, a situação mudou em 22 de junho, quando a empresa de inteligência Defused revelou que os atacantes começaram a explorar a falha. A Cisco aconselha os clientes a atualizarem para versões corrigidas do software e, enquanto isso, recomenda desativar o serviço WebDialer vulnerável. Atualmente, mais de 200 instâncias do Unified CM estão expostas online, principalmente na Ásia e América do Norte. A situação é crítica, pois a exploração ativa pode levar a compromissos sérios de segurança, especialmente considerando que a CISA identificou 93 vulnerabilidades da Cisco como ativamente exploradas desde novembro de 2021.

Malware ChocoPoC se disfarça em códigos falsos para roubar dados

Pesquisadores de segurança alertaram sobre um novo malware chamado ChocoPoC, que se disfarça em repositórios de código falso no GitHub, direcionado a caçadores de bugs. O malware é um trojan que rouba dados sensíveis, como senhas salvas e cookies de navegadores, e oferece acesso remoto ao computador da vítima. O ataque ocorre quando os pesquisadores clonam repositórios e instalam dependências, levando à instalação de um pacote malicioso chamado ‘skytext’. Este pacote, ao detectar a execução de um código de prova de conceito (PoC), ativa o malware, que permanece oculto durante uma análise superficial. O ChocoPoC já foi encontrado em pelo menos sete repositórios falsos relacionados a vulnerabilidades conhecidas, como CVEs de produtos populares. A campanha é uma evolução de táticas anteriores, onde grupos maliciosos tentam explorar a pressa dos pesquisadores em testar novas falhas. A recomendação é que os pesquisadores tratem qualquer PoC como potencialmente hostil e verifiquem cuidadosamente as dependências antes de executá-las.

Campanha FortiBleed Ransomware e Roubo de Credenciais em Escala Global

A campanha FortiBleed, recentemente descoberta, está ligada a operações de ransomware como INC e Lynx, com credenciais roubadas sendo utilizadas para intrusões subsequentes. A SOCRadar revelou que a operação de roubo de credenciais afetou aproximadamente 11.250 portais FortiGate em mais de 150 países, resultando em acesso administrativo confirmado em 409 alvos e a conclusão bem-sucedida da cadeia de ataque em 354 deles. Pelo menos 12 implantações de ransomware foram registradas, criptografando centenas de endpoints nas organizações afetadas. Os atacantes realizaram varreduras sistemáticas na internet em busca de dispositivos Fortinet expostos, utilizando combinações de credenciais conhecidas e implantando sniffer de pacotes para coletar dados de autenticação. Estima-se que 430.000 firewalls FortiGate tenham sido alvo da operação, com mais de 110 milhões de credenciais coletadas. A atividade foi exposta devido a um erro de segurança operacional dos atacantes, que deixou um servidor com credenciais roubadas acessível na internet. A SOCRadar também identificou que os operadores da FortiBleed estão em posse de pelo menos uma vulnerabilidade zero-day no Nextcloud, e a empresa está coordenando com o fornecedor afetado.

Primeiro ataque de ransomware conduzido por agente de IA é identificado

A empresa de segurança Sysdig revelou um ataque de ransomware que, segundo eles, foi totalmente conduzido por um agente de inteligência artificial, nomeado JADEPUFFER. O ataque explorou uma vulnerabilidade já corrigida (CVE-2025-3248) em Langflow, uma ferramenta de código aberto, permitindo que o agente acessasse servidores expostos na internet. Após invadir a rede, o agente mapeou a máquina, coletou credenciais e, em seguida, criptografou e eliminou dados de um banco de dados de produção. O ataque se destacou pela ausência de um chave de descriptografia, impossibilitando a recuperação dos dados, mesmo que o resgate fosse pago. A Sysdig observou que o código do ataque continha anotações em inglês que explicavam cada passo, uma característica típica de modelos de IA, e que o agente corrigiu seus próprios erros rapidamente. Este incidente marca um novo patamar na automação de ataques cibernéticos, levantando preocupações sobre a segurança de sistemas que utilizam ferramentas de IA expostas à internet. Os especialistas recomendam que as empresas atualizem suas ferramentas e adotem práticas de segurança rigorosas para proteger suas redes.

Medtronic sofre violação de dados que expõe informações pessoais

A Medtronic, empresa de dispositivos médicos, notificou seus clientes sobre uma violação de dados que expôs informações pessoais a um terceiro não autorizado. O incidente foi atribuído ao grupo de extorsão de dados ShinyHunters, que afirmou ter acesso a 9 milhões de registros contendo informações identificáveis e dados corporativos internos. A Medtronic identificou atividade incomum em seus sistemas de TI em 15 de abril de 2026, e uma investigação revelou que o acesso não autorizado ocorreu entre 13 e 19 de abril de 2026. Os dados expostos incluem informações de contato, data de nascimento, número de Seguro Social e dados relacionados à saúde. Embora a Medtronic tenha garantido que os dados não foram expostos online, a empresa aconselha os clientes a se inscreverem em serviços de monitoramento de crédito e proteção contra roubo de identidade. A Medtronic, que opera em 150 países e possui uma receita anual de 33,5 bilhões de dólares, assegurou que todos os seus dispositivos permanecem seguros e não foram afetados pelo incidente. Os clientes devem estar atentos a comunicações suspeitas que possam explorar os dados expostos para fraudes e tentativas de phishing.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

Vulnerabilidade no recurso de e-mail da Apple expõe dados de usuários

O recurso ‘Ocultar Meu E-mail’ da Apple, disponível para assinantes do iCloud+, apresenta uma vulnerabilidade que pode expor endereços de e-mail que deveriam ser protegidos. Identificado pela plataforma EasyOptOuts em junho de 2025, o problema persiste sem solução, mesmo após a Apple ter sido notificada. O recurso, que permite a criação de endereços de e-mail aleatórios para evitar a exposição do e-mail original, falhou em sua função principal, permitindo que, em testes realizados, o endereço original fosse acessado rapidamente. A Apple afirmou que está investigando a situação, mas até o momento não divulgou uma correção. Além disso, há planos para alterar o domínio dos endereços gerados de ‘@icloud.com’ para ‘@private.icloud.com’, o que pode impactar a eficácia do recurso. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a conformidade com a LGPD, especialmente considerando a popularidade dos serviços da Apple no Brasil.

Malware ChocoPoC ataca pesquisadores de cibersegurança via GitHub

Pesquisadores de segurança identificaram uma nova campanha de malware que utiliza exploits de prova de conceito (PoC) no GitHub para disseminar um trojan de acesso remoto (RAT) chamado ChocoPoC. Este malware se destaca por não estar embutido diretamente nos arquivos de exploit, mas sim por meio de pacotes Python maliciosos adicionados à lista de dependências do PoC. Os pacotes, hospedados no Python Package Index (PyPI), são instalados automaticamente quando a vítima clona um repositório malicioso. O ChocoPoC é capaz de executar comandos arbitrários, coletar dados sensíveis como senhas de navegadores e histórico de navegação, e até mesmo exfiltrar dados através de conjuntos de dados do Mapbox. A campanha já foi associada a pelo menos sete repositórios no GitHub, explorando vulnerabilidades conhecidas. A instalação do pacote malicioso ‘frint’ puxa uma dependência adicional chamada ‘skytext’, que contém um código Python embutido que baixa o payload final. Com mais de 2.400 downloads, a maioria em sistemas Linux, a campanha se aproveita da curiosidade de pesquisadores e testadores de segurança. Especialistas recomendam que esses profissionais nunca confiem cegamente em repositórios do GitHub e executem códigos não verificados em ambientes isolados.

Kubota revela acesso de hackers a dados de funcionários por um mês

A Kubota North America Corporation, fabricante japonesa de equipamentos agrícolas e de construção, revelou que hackers tiveram acesso a seus sistemas de rede por mais de um mês, entre 16 de março e 20 de abril deste ano. Durante esse período, informações pessoais de funcionários e seus dependentes foram comprometidas, incluindo nomes completos, números de Seguro Social, datas de nascimento, IDs de contribuinte, informações bancárias de depósito direto e dados de cartões corporativos. A empresa começou a notificar os afetados por e-mail a partir de 30 de junho, oferecendo orientações sobre como se inscrever em serviços de proteção de identidade. A Kubota também aconselhou os funcionários a monitorar declarações de saúde e contas bancárias, além de relatar atividades suspeitas às autoridades. Embora a empresa tenha implementado medidas de segurança adicionais para evitar futuros incidentes, até o momento, nenhum grupo de extorsão de dados ou gangue de ransomware assumiu a responsabilidade pelo ataque. A Kubota não relatou interrupções operacionais ou comerciais devido ao incidente.

Campanha FortiBleed expõe credenciais de 73 mil dispositivos Fortinet

A campanha de roubo de credenciais FortiBleed, que comprometeu mais de 73 mil dispositivos Fortinet, está ligada a operações de ransomware dos grupos INC e Lynx. Um servidor exposto na internet continha arquivos de configuração do FortiGate e credenciais coletadas de dispositivos comprometidos. A SOCRadar, responsável pela investigação, revelou que os atacantes utilizaram uma ferramenta personalizada chamada ‘FortiGate Sniffer’ para interceptar dados de autenticação, como credenciais de VPN, diretamente do tráfego de rede. A análise de um servidor Windows associado à infraestrutura do FortiBleed revelou acesso a painéis de negociação de ransomware, indicando que os atores de ameaça estavam diretamente envolvidos com as operações de extorsão. A campanha, que inicialmente afetou mais de 430 mil firewalls FortiGate, agora tem cerca de 11 mil dispositivos comprometidos. Além disso, os pesquisadores acreditam que uma vulnerabilidade zero-day do Nextcloud foi explorada para expandir o acesso após a invasão inicial. A SOCRadar planeja lançar um documento técnico adicional com mais detalhes sobre as evidências e indicadores de comprometimento.

Nova cadeia de ataque de malware usa engenharia social e Blogger

Pesquisadores de cibersegurança identificaram uma nova cadeia de ataque de malware em múltiplas etapas, chamada VEIL#DROP, que utiliza engenharia social e páginas do Blogger para disseminar um ladrão de informações conhecido como PureLogs. O ataque começa com um arquivo JavaScript disfarçado, que executa comandos PowerShell para baixar um payload adicional hospedado em um blog. Esse método permite que os atacantes contornem defesas baseadas em reputação, aproveitando a infraestrutura confiável do Google. O payload baixado cria a ilusão de que um documento PDF está sendo aberto, enquanto a infecção ocorre em segundo plano. O malware é projetado para ser altamente evasivo, utilizando técnicas como mutação em tempo de execução e geração dinâmica de estágios, dificultando a detecção por soluções antivírus tradicionais. Além disso, o uso de binários assinados pela Microsoft permite que os atacantes realizem suas atividades sem levantar suspeitas. A infecção pode ter consequências graves, permitindo que dados sensíveis sejam extraídos e utilizados para comprometer ainda mais o ambiente alvo. Essa combinação de técnicas demonstra um esforço deliberado para evitar a detecção e manter a furtividade durante todo o ciclo de infecção.

Ameaça de Malware Utiliza ScreenConnect para Distribuir AsyncRAT

Um novo ataque cibernético está utilizando a ferramenta de acesso remoto ScreenConnect para implantar o malware AsyncRAT. A Kaspersky identificou uma campanha massiva que distribui arquivos de instalação maliciosos disfarçados de softwares populares, como OBS Studio e Bandicam, em mais de 90 domínios falsificados em 10 idiomas, incluindo português. Esses arquivos maliciosos contêm um executável legítimo da Microsoft e uma biblioteca DLL maliciosa, que, ao serem carregados, ativam o serviço ScreenConnect. Isso permite que os atacantes mantenham controle sobre os dispositivos comprometidos, que podem incluir tanto usuários individuais quanto organizações. O malware realiza diversas ações, como desativar o Controle de Conta de Usuário e criar scripts que extraem e executam o módulo AsyncRAT. A conexão com um servidor remoto permite que os invasores monitorem atividades e roubem dados sensíveis. A persistência do malware é garantida por uma tarefa agendada que executa scripts a cada dois minutos, mesmo após reinicializações do sistema. A Kaspersky alerta que os atacantes utilizam técnicas de SEO para posicionar seus sites fraudulentos nos resultados de busca, aumentando a probabilidade de infecção.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Falha crítica no Argo CD permite execução de código não autenticado

Um grave problema de segurança foi identificado no Argo CD, uma ferramenta amplamente utilizada para implantações em Kubernetes. A falha, localizada no componente repo-server, permite que um atacante não autenticado execute código, desde que consiga acessar a porta interna do componente. A empresa Synacktiv, que descobriu a vulnerabilidade, alertou os mantenedores do Argo CD em janeiro de 2025, mas, após dezoito meses, a falha continua sem correção e não possui um CVE atribuído.

Cibersegurança 8 das organizações estão sem proteção contra phishing

Um estudo recente revela que cerca de 3,4 bilhões de e-mails de phishing são enviados diariamente, com 90% dos ataques cibernéticos bem-sucedidos originando-se desses e-mails. A análise de 5.849 domínios em 13 setores mostrou que mais de 8% das organizações não possuem nenhuma medida de proteção, como SPF, DMARC, DKIM ou MTA-STS. O setor público, especialmente agências governamentais, apresentou o pior desempenho, com uma média de 2,73 pontos e 27% dos domínios desprotegidos. Em contraste, empresas de tecnologia se destacaram com uma média de 4,83 pontos e apenas 2% de domínios sem proteção. Entre os países, a China teve a pior média (2,3), enquanto os Países Baixos lideraram com 5,51. A pesquisa destaca a necessidade urgente de melhorias na segurança de e-mails, especialmente em setores críticos como governo e saúde, onde a falta de proteção pode resultar em consequências graves.

Rede de Saúde do Colorado confirma vazamento de dados de 68 mil pessoas

O Colorado Health Network (CHN) notificou 68.212 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de cartões de crédito e débito, informações financeiras e médicas, como prescrições e dados de seguro saúde. O ataque foi reivindicado pelo grupo cibercriminoso Cephalus, que alegou ter roubado 900 GB de dados da organização. O CHN descobriu a violação em 29 de julho de 2025, mas só começou a notificar as vítimas quase 11 meses depois, em 18 de junho de 2026. O grupo Cephalus, ativo por um curto período, também foi responsável por outros ataques de ransomware, afetando diversas organizações de saúde nos EUA. Os ataques de ransomware têm se tornado uma preocupação crescente, com 148 incidentes confirmados em 2025, resultando em mais de 14,1 milhões de registros pessoais comprometidos. O CHN, que atende mais de 5.000 clientes afetados pelo HIV, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas do vazamento.

Mais de 900 instâncias do Oracle E-Business Suite expostas online

Mais de 900 instâncias do Oracle E-Business Suite (EBS) foram encontradas expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica identificada como CVE-2026-46817. Essa falha, localizada no componente de Transmissão de Arquivos do produto Oracle Payments, permite que atacantes sem privilégios e com acesso à rede HTTP assumam o controle de sistemas vulneráveis por meio de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança para corrigir essa vulnerabilidade em seu patch de segurança crítico de maio de 2026 e pediu aos clientes que atualizem seus sistemas imediatamente. Embora a empresa ainda não tenha confirmado a exploração ativa dessa falha, a empresa de inteligência de ameaças Defused alertou que os atacantes estão, de fato, explorando essa vulnerabilidade, com os primeiros relatos de tentativas ocorrendo no último fim de semana. Além disso, a Shadowserver, um observatório de segurança na internet, identificou cerca de 950 instâncias do Oracle EBS expostas online, mas não há informações sobre quantas delas foram protegidas contra os ataques relacionados ao CVE-2026-46817. A situação é preocupante, especialmente considerando que a CISA já havia alertado sobre outras vulnerabilidades críticas da Oracle que estão sendo ativamente exploradas.

Inteligência de Ameaças Cibernéticas Enriquecimento com Criminal IP

A inteligência de ameaças cibernéticas ganha valor quando os indicadores são enriquecidos com contexto que apoia investigações e decisões. A integração entre Criminal IP e OpenCTI permite que equipes de segurança transformem endereços IP, domínios e URLs em inteligência estruturada dentro do gráfico de conhecimento do OpenCTI. Essa integração enriquece automaticamente os indicadores com dados como pontuação de reputação, inteligência de infraestrutura e análise de phishing.

Um dos destaques é a pontuação de risco contextual, que oferece uma visão mais detalhada do comportamento de um IP, permitindo que analistas priorizem indicadores de alto risco. Além disso, a inteligência de infraestrutura é estruturada em entidades e relacionamentos, facilitando a investigação de componentes compartilhados e a identificação de superfícies de ataque potenciais.

Campanha de ataque a senhas atinge 81 milhões de tentativas em Microsoft 365

Uma intensa campanha de ataque de password-spraying direcionada a ambientes Microsoft 365 resultou em mais de 81 milhões de tentativas de login em um período de duas semanas. Os atacantes tentaram autenticar-se utilizando combinações de nomes de usuário e senhas que foram expostas em brechas anteriores. O ataque foi realizado através da interface de linha de comando do Azure da Microsoft, que permite a administração de recursos em nuvem. Ao encontrar uma combinação válida, os hackers conseguiram autenticar-se usando o mecanismo OAuth ROPC (Resource Owner Password Credentials), contornando a autenticação multifator (MFA) em muitos casos devido a políticas de Acesso Condicional inseguras. A empresa de cibersegurança Huntress monitorou a campanha entre 12 e 26 de junho, confirmando que 78 contas Microsoft foram comprometidas em 64 organizações. Apesar de muitas dessas empresas terem implementado MFA, a configuração não cobria o fluxo específico utilizado pelos atacantes. A Huntress observou um aumento de mais de 155 vezes nos ataques de password-spraying, com uma média de 1.964 tentativas de login falhadas por inquilino a cada mês. O ataque teve seu pico em 22 de junho e, embora a origem do ataque seja desconhecida, foi identificado um intervalo IPv6 pertencente à LSHIY LLC.

Automatizando a segurança de e-mails com IA comportamental

Nos últimos anos, as organizações têm utilizado gateways de e-mail seguros e detecções baseadas em assinaturas para combater ataques de phishing. Contudo, as ameaças atuais exploram identidades confiáveis e fluxos de trabalho legítimos, tornando-se mais difíceis de detectar. Um webinar programado para 8 de julho de 2026, apresentado por Dan Nickolaisen da Abnormal AI e Eric Danneker da Novant Health, abordará como a IA comportamental pode ajudar as equipes de segurança a automatizar a detecção, investigação e remediação de ataques modernos, como phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO).

DHS investiga ataque cibernético à rede de informações de segurança

O Departamento de Segurança Interna dos EUA (DHS) está investigando um ataque cibernético que comprometeu a Homeland Security Information Network (HSIN), uma plataforma sensível de compartilhamento de informações utilizada por parceiros do governo e do setor privado. O ataque, realizado por um ator de ameaça desconhecido, ocorreu entre o final de maio e início de junho de 2023. A investigação ainda não atribuiu a responsabilidade a nenhum ator específico ou governo estrangeiro, e não está claro se documentos foram roubados do sistema. Os invasores miraram servidores do HSIN e um sistema SharePoint usado para colaboração. O HSIN é crucial para a comunicação em tempo real e a gestão de incidentes, especialmente em um momento em que os EUA estão supervisionando a segurança de eventos como a Copa do Mundo. O DHS confirmou que sistemas classificados não foram afetados e que ações imediatas foram tomadas para isolar os sistemas comprometidos e mitigar a vulnerabilidade. Este incidente segue um problema anterior em 2023, onde uma configuração inadequada expôs dados restritos dentro do HSIN-Intel, a seção de inteligência da plataforma.

Novo ransomware utiliza IA para atacar navegadores em Windows e Android

Pesquisadores de cibersegurança identificaram um novo artefato de malware que utiliza a tecnologia DeepSeek para criar um caminho de ataque inovador, combinando conceitos teóricos de ransomware em navegadores com capacidades reais. Este ataque, documentado pela primeira vez, ocorre inteiramente dentro do navegador, afetando dispositivos Windows e Android. O malware, denominado InfernoGrabber v9.0, é uma aplicação Python Flask que opera como um servidor web malicioso, atraindo vítimas com um falso aprimorador de avatar do Discord. Ele realiza uma série de ações prejudiciais, como roubo de tokens do Discord, números de cartões de crédito e frases-semente de criptomoedas, além de capturar feeds de webcam e microfone. O ataque utiliza uma técnica de ransomware que não requer a instalação de um payload nativo, explorando vulnerabilidades do navegador. A pesquisa destaca que a IA está redefinindo o cenário de ameaças cibernéticas, permitindo que atores maliciosos desenvolvam malware com menos expertise técnica. A abordagem é limitada a navegadores que expõem a API de Acesso ao Sistema de Arquivos, como o Google Chrome. Embora não haja evidências de que essa técnica tenha sido utilizada em campanhas reais, a descoberta representa uma mudança significativa na forma como ataques cibernéticos podem ser concebidos e executados.

Vulnerabilidade crítica no Progress Kemp LoadMaster em exploração ativa

Uma falha de segurança crítica no Progress Kemp LoadMaster, identificada como CVE-2026-8037, está sendo ativamente explorada, conforme um alerta da unidade de resposta a ameaças da eSentire. Com uma pontuação CVSS de 9.6, essa vulnerabilidade de injeção de comando do sistema operacional permite que atacantes não autenticados executem comandos arbitrários em dispositivos vulneráveis. A exploração começou em 29 de junho de 2026, e a falha está relacionada a um problema na função ’escape_quotes()’, que não trata adequadamente a entrada do usuário, resultando em leitura fora dos limites da memória. Embora as tentativas de exploração observadas até agora tenham falhado, a disponibilidade de um exploit de prova de conceito (PoC) pode aumentar a atividade maliciosa em breve. A Progress alertou que a falha permite que atacantes manipulem a memória do heap ao enviar solicitações especialmente elaboradas para o endpoint ‘/accessv2’. Essa é a segunda vulnerabilidade crítica do LoadMaster a ser explorada ativamente, após a CVE-2024-1212, que tinha uma pontuação CVSS de 10.0.

Vulnerabilidades no Editor de Código AI Cursor Podem Comprometer Sistemas

Duas vulnerabilidades críticas, conhecidas como DuneSlide, foram descobertas no editor de código AI Cursor, permitindo que comandos maliciosos sejam executados fora do ambiente seguro do software. Identificadas como CVE-2026-50548 e CVE-2026-50549, ambas têm uma pontuação de 9.8 em 10 no sistema de avaliação de vulnerabilidades. O ataque ocorre através de injeção de comandos em prompts aparentemente inofensivos, que podem ser incorporados em serviços conectados. Uma vez que o ambiente seguro é comprometido, o invasor pode executar comandos diretamente no computador do desenvolvedor, potencialmente acessando dados em nuvens ou serviços SaaS. A atualização para a versão 3.0 do Cursor, lançada em 2 de abril, já corrige essas falhas, e é recomendada para todos os usuários, especialmente considerando que mais da metade das empresas da Fortune 500 utiliza essa ferramenta. Embora a Cato AI Labs, responsável pela descoberta, não tenha encontrado evidências de exploração ativa, a situação destaca a necessidade de vigilância contínua em relação a vulnerabilidades em ferramentas de desenvolvimento amplamente utilizadas.

Adobe lança patches para falhas críticas em ColdFusion e Campaign Classic

A Adobe divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas em seus produtos ColdFusion e Adobe Campaign Classic. As falhas, que possuem pontuação máxima no CVSS, incluem a possibilidade de execução de código arbitrário, escalonamento de privilégios e leitura não autorizada do sistema de arquivos. Entre as vulnerabilidades destacadas estão CVE-2026-48276 e CVE-2026-48283, que permitem o upload de arquivos perigosos, e CVE-2026-48282, que envolve uma vulnerabilidade de traversal de caminho. As atualizações estão disponíveis nas versões ColdFusion 2023 Update 21 e ColdFusion 2025 Update 10. Além disso, uma falha crítica no Adobe Campaign Classic, identificada como CVE-2026-48286, também foi corrigida, afetando versões anteriores ao build 9397. A Adobe informou que não encontrou exploração ativa dessas vulnerabilidades até o momento, mas ressaltou a importância de aplicar as atualizações rapidamente, especialmente com a crescente utilização de inteligência artificial para descobrir vulnerabilidades. A empresa também anunciou que passará a publicar boletins de segurança quinzenalmente a partir de julho de 2026.

Trojan bancário brasileiro Ousaban ataca usuários na Espanha e Portugal

O trojan bancário brasileiro Ousaban está direcionando ataques a usuários do Windows que realizam transações bancárias na Espanha e em Portugal. Identificado pelo Fortinet’s FortiGuard Labs em maio de 2026, o ataque começa com um PDF de phishing disfarçado como um arquivo corrompido. Ao abrir o PDF, a vítima é induzida a clicar em um botão de ‘Atualizar’, que a redireciona para uma página maliciosa. Ousaban utiliza técnicas de geofencing para garantir que apenas usuários localizados em Espanha ou Portugal sejam afetados, bloqueando acessos de VPNs e ferramentas de segurança automatizadas. Uma vez instalado, o malware monitora mais de duas dezenas de bancos, incluindo Banco Santander e BBVA, capturando capturas de tela, teclas digitadas e manipulando a área de transferência para roubar credenciais bancárias. Ousaban é parte de um grupo de trojans brasileiros conhecidos como ‘Tetrade’, que têm um histórico de resiliência e adaptação. A detecção é dificultada por técnicas como esteganografia e a mudança diária de endereços de comando. O artigo alerta para a necessidade de cautela ao abrir PDFs ou e-mails suspeitos, especialmente aqueles que solicitam atualizações ou comandos para corrigir erros.

Nova ferramenta permite verificar se ofertas online são golpes

A Norton lançou uma nova funcionalidade chamada Genie, que permite aos usuários do assistente de IA Claude e do ChatGPT verificar a legitimidade de ofertas online e mensagens suspeitas. Essa ferramenta é uma extensão das capacidades de detecção de fraudes da Norton, que já estavam disponíveis para o ChatGPT desde março de 2023. O Genie utiliza uma inteligência de detecção em múltiplas camadas para analisar e-mails, mensagens de texto, links e imagens, identificando padrões de linguagem, táticas de engenharia social e tentativas de impostura. A ferramenta é acessível em todos os níveis de assinatura do Claude e visa ajudar os usuários a tomar decisões mais informadas e seguras ao interagir online. A Norton destaca que, em 2025, 90% das ameaças enfrentadas pelos consumidores eram provenientes de fraudes, phishing e anúncios falsos, o que torna a integração de ferramentas de segurança em assistentes de IA cada vez mais relevante. Com a crescente utilização de assistentes virtuais, a Norton busca oferecer inteligência de segurança cibernética confiável em tempo real, ajudando os usuários a evitar armadilhas online.

Amazon pagará US 2,25 milhões por bloqueio a vítimas de roubo de identidade

A Comissão Federal de Comércio dos EUA (FTC) anunciou que a Amazon pagará uma multa civil de US$ 2,25 milhões para resolver acusações de que bloqueou o acesso de vítimas de roubo de identidade a registros de transações fraudulentas. Segundo a denúncia apresentada ao Departamento de Justiça, a Amazon não forneceu a muitos consumidores afetados os registros de transações fraudulentas realizadas em seus nomes, conforme exigido pela Seção 609(e) da Lei de Relato Justo de Crédito (FCRA). Além disso, agentes de atendimento ao cliente da Amazon negaram pedidos de registros com base em razões de ‘privacidade’ ou ‘segurança’. Mesmo quando os registros foram compartilhados, isso ocorreu após o prazo de 30 dias estipulado pela FCRA. A FTC também destacou que a Amazon se recusou a fornecer registros a agências de aplicação da lei que haviam sido autorizadas a fazer tais solicitações. Como parte do acordo, a Amazon terá que garantir o acesso a registros solicitados legalmente dentro do prazo de 30 dias e notificar consumidores que solicitaram registros desde abril de 2024. Este caso se junta a outras multas que a Amazon enfrentou, incluindo uma de US$ 25 milhões por violar leis de privacidade infantil e outra de US$ 2,5 bilhões por práticas enganosas relacionadas ao seu programa de assinatura Prime.

Microsoft corrige funcionalidade de GIF no Windows 11 após falha

A Microsoft anunciou a correção da funcionalidade de GIF no Painel de Emojis do Windows 11, que deixou de funcionar em 30 de junho de 2026, devido ao encerramento do serviço da Tenor, motor de busca de GIFs do Google. A empresa informou que, após essa data, alguns usuários passaram a ver uma mensagem indicando que o ‘serviço de GIF não está disponível’. Para restaurar a funcionalidade, a Microsoft fez uma atualização cumulativa (KB5095093) em 23 de junho, que substituiu a Tenor pelo GIPHY como novo provedor de GIFs. Os usuários do Windows 11 nas versões 24H2, 25H2 e 26H1 podem instalar essa atualização através do Catálogo de Atualizações da Microsoft ou nas Configurações do Windows. A atualização também traz melhorias e correções de bugs, incluindo a funcionalidade de Restauração em Ponto no Tempo. No entanto, a Microsoft ainda está trabalhando para resolver o problema para usuários nas versões 23H2 e Windows Server 2025, sem uma previsão de quando a solução estará disponível. A empresa também abordou outras falhas em atualizações de segurança do Windows Server 2016 e problemas relacionados ao BitLocker. Essa situação destaca a importância de manter o sistema atualizado para garantir a funcionalidade e a segurança.

Cibercriminosos exploram domínios inventados por IA para phishing

Um novo estudo da Palo Alto Networks revela uma técnica emergente chamada ‘phantom squatting’, onde cibercriminosos registram domínios fictícios gerados por modelos de linguagem de inteligência artificial (IA) antes que possam ser identificados como maliciosos. Esses domínios, que não têm reputação, são utilizados para criar páginas de phishing que enganam usuários que confiam em links gerados por IA. A pesquisa analisou 685.339 perguntas feitas a dois modelos de IA, resultando em 2,1 milhões de links, dos quais 13.229 foram identificados como maliciosos. O estudo destaca que, devido à falta de histórico de reputação, esses domínios recém-registrados não são bloqueados por sistemas de segurança até que seja tarde demais. Dois casos específicos mostraram como atacantes registraram domínios gerados por IA e criaram kits de phishing que imitam serviços legítimos, resultando em roubo de dados sensíveis. Essa nova abordagem de ataque representa um risco significativo, pois a confiança em links gerados por IA pode levar a consequências graves para usuários e organizações.

Microsoft acelera plano de segurança quântica diante de novas ameaças

A Microsoft anunciou que está acelerando seu cronograma de segurança quântica, devido aos avanços na computação quântica que tornam urgente a substituição dos padrões de criptografia atuais. Mark Russinovich, CTO da Microsoft Azure, destacou que a chegada de computadores quânticos relevantes para a criptografia pode ocorrer antes do esperado, exigindo que as organizações comecem a se preparar imediatamente. O objetivo é migrar produtos e serviços críticos para a criptografia pós-quântica (PQC) até 2029, integrando esses requisitos em sua Iniciativa de Futuro Seguro. As áreas de foco incluem a atualização da criptografia de rede com TLS 1.3, a construção de agilidade criptográfica e a transição para algoritmos PQC para proteger cadeias de confiança. A empresa enfatiza a importância da agilidade criptográfica, que permite a troca de algoritmos sem a necessidade de redesenhar sistemas subjacentes. Além disso, a ameaça de adversários que coletam dados criptografados para decifrá-los no futuro, uma técnica conhecida como ‘harvest now, decrypt later’, é uma preocupação crescente. A urgência é reforçada por ações de outras empresas, como Google e Cloudflare, que também estão se preparando para um futuro seguro contra a computação quântica.

Anthropic lança Sonnet 5, modelo mais acessível e eficiente

A Anthropic anunciou o lançamento do Sonnet 5, um modelo de IA que promete ser quase tão eficaz quanto o modelo Opus 4.8, mas a um custo mais acessível. Em um post no blog, a empresa destacou que o Claude Sonnet 5 é ‘o modelo Sonnet mais agentic até agora’, com recursos avançados que incluem a capacidade de planejar e utilizar ferramentas como navegadores e terminais. Essas funcionalidades, anteriormente restritas ao Opus 4.8, agora estão disponíveis no Sonnet 5, que é considerado uma grande atualização para usuários que dependem do Claude para tarefas de codificação, pesquisa e automação. O modelo foi descrito por testadores como ‘muito mais agentic’ que seus antecessores, sendo capaz de verificar sua própria saída sem necessidade de instruções explícitas. O preço inicial do Sonnet 5 será de $2 por milhão de tokens de entrada e $10 por milhão de tokens de saída até 2026, o que representa uma opção mais econômica em comparação ao Opus 4.8. Essa mudança pode impactar significativamente o mercado de IA, especialmente para desenvolvedores que buscam soluções mais acessíveis sem comprometer a qualidade.

Anthropic libera modelos Fable 5 e Mythos 5 após controle de exportação

A Anthropic anunciou que o Departamento de Comércio dos EUA retirou os controles de exportação sobre seus modelos de inteligência artificial mais avançados, Fable 5 e Mythos 5. A partir de quarta-feira, o acesso ao Fable 5 será restaurado, enquanto o Mythos permanecerá restrito a empresas selecionadas. A empresa expressou gratidão aos usuários pela paciência e informou que está implementando um sistema de verificação de identidade (KYC) para alguns casos de uso, o que pode limitar o acesso a usuários que não completarem essa verificação. A Anthropic firmou parceria com a Persona Identities para esse processo, que exigirá a apresentação de um documento de identidade emitido pelo governo e uma selfie ao vivo. A empresa garante que os dados de verificação não serão utilizados para treinar seus modelos, mas apenas para confirmar a identidade dos usuários e atender a obrigações legais. Essa mudança levanta preocupações sobre a acessibilidade e a privacidade dos usuários, especialmente em regiões fora dos EUA.