A Copa do Mundo de 2026 trouxe um aumento significativo nos golpes relacionados a apostas e deepfakes no Brasil. Mais de 4,3 mil sites falsos foram identificados, com as casas de apostas sendo o principal vetor de fraude. Daniel Tupinambá, especialista em cibersegurança, destaca que a combinação do alto volume financeiro nas plataformas de apostas e o estado emocional dos torcedores cria um ambiente propício para os criminosos. Segundo dados do Banco Central, os brasileiros movimentam entre R$ 20 bilhões e R$ 30 bilhões mensalmente em apostas via Pix, o que atrai fraudes. Além disso, 34% dos brasileiros com acesso à internet relataram ter sido contatados por golpes relacionados a apostas nos últimos dois anos, um aumento considerável em relação a 2022. O cibercrime moderno é descrito como altamente organizado, utilizando inteligência artificial para otimizar ataques, como campanhas de phishing e deepfakes. Para se proteger, recomenda-se verificar a legitimidade das plataformas de apostas e desconfiar de promoções excessivas. O alerta também se estende a empresas, que devem estar atentas a ameaças internas que podem facilitar ataques.

O Departamento de Justiça dos EUA, através de sua Divisão Criminal, confiscou quase 400 domínios que estavam sendo utilizados para a transmissão ilegal de partidas da Copa do Mundo da FIFA 2026. Esses sites ofereciam transmissões em tempo real não autorizadas, infringindo a legislação de direitos autorais dos EUA. A operação, denominada ‘Operation Offsides’, foi realizada em colaboração com autoridades internacionais e visou servidores e domínios em países como Peru, Bulgária, Croácia, Romênia, Polônia e Colômbia. A ação foi apoiada por organizações como a FIFA e a beIN Media Group, que alertaram sobre os riscos associados a esses serviços, incluindo a exposição a malware e conexões inseguras que podem comprometer dados pessoais e financeiros dos usuários. Além disso, o FBI já havia emitido um alerta sobre sites falsos que se passavam pela FIFA, visando fraudes relacionadas a ingressos e pacotes de hospitalidade. A operação segue um esforço contínuo para combater a pirataria esportiva, que, segundo dados, gera milhões de acessos anualmente, especialmente na América Latina.

O comprometimento de e-mail corporativo (BEC) continua a ser uma das ameaças cibernéticas mais dispendiosas para as organizações. Em vez de depender de malware, os atacantes estão cada vez mais utilizando a impersonificação convincente para enganar os funcionários, levando-os a enviar dinheiro, compartilhar informações sensíveis ou conceder acesso a sistemas corporativos. O webinar ‘Stop chasing alerts: Automating email security with behavioral AI’, que ocorrerá em 8 de julho de 2026, abordará como ataques modernos de phishing, BEC e tomada de conta (ATO) conseguem contornar as defesas tradicionais de e-mail. A apresentação, conduzida por especialistas da Abnormal AI e Novant Health, destacará o papel da inteligência artificial comportamental na detecção e resposta a essas ameaças sofisticadas. Os ataques BEC, que frequentemente se disfarçam como comunicações legítimas de colegas ou executivos, estão se tornando mais difíceis de identificar, especialmente com o avanço da geração de conteúdo por IA. O uso de IA comportamental pode ajudar as equipes de segurança a identificar padrões de comunicação incomuns e automatizar investigações, melhorando assim os tempos de resposta e reduzindo a carga de trabalho manual. O webinar promete oferecer abordagens práticas para fortalecer a segurança do e-mail e defender as organizações contra esses ataques cada vez mais convincentes.

A empresa de inteligência em segurança Defused alertou sobre a exploração de uma vulnerabilidade crítica (CVE-2026-46817) no Oracle E-Business Suite (EBS), especificamente no componente de Transmissão de Arquivos do produto Oracle Payments. Essa falha permite que atacantes não autenticados, com acesso à rede HTTP, assumam o controle de sistemas vulneráveis através de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança em maio de 2026 para corrigir essa vulnerabilidade e recomenda que os clientes apliquem os patches imediatamente. Apesar de a Oracle não ter confirmado a exploração da CVE-2026-46817 em ambientes reais, a Defused observou tentativas de exploração em honeypots durante o último fim de semana. Atualmente, mais de 450 instâncias do Oracle EBS estão expostas online, com quase 200 localizadas nos Estados Unidos e na Europa. A situação é alarmante, especialmente considerando que a CISA já identificou 44 vulnerabilidades em produtos da Oracle como exploradas na natureza, 13 das quais foram utilizadas em ataques de ransomware. A recomendação é que as equipes de segurança realizem testes de simulação de ataques para garantir que as regras de detecção estejam funcionando adequadamente.

A Microsoft encerrou uma operação de extensão maliciosa no Edge Add-ons store, conhecida como StegoAd, que utilizava esteganografia para ocultar códigos maliciosos em arquivos de imagem e fonte. Essa operação, que se estende desde 2021, envolveu 119 extensões, incluindo bloqueadores de anúncios e tradutores, que foram instaladas por até 2,6 milhões de usuários. O código malicioso permanecia inativo até que a extensão superasse verificações de evasão, permitindo sua permanência na loja por anos. A técnica de esteganografia permitiu que o código fosse escondido em arquivos PNG e WOFF2, evitando a detecção por scanners. Além de fraudes publicitárias, a operação também visava o roubo de credenciais, incluindo logins do Google e do WordPress. A Microsoft removeu todas as extensões e suspendeu mais de 90 contas de desenvolvedores associadas. Os usuários devem verificar suas extensões instaladas e alterar senhas de contas sensíveis, além de ativar autenticação em dois fatores para maior segurança.

O grupo russo de ameaças persistentes avançadas (APT) Gamaredon tem ampliado seu arsenal de malware e intensificado suas campanhas de spear-phishing contra a Ucrânia ao longo de 2025. A empresa de cibersegurança ESET identificou 35 campanhas distintas, com foco em instituições governamentais e militares ucranianas. O objetivo principal do grupo é a exfiltração de informações sensíveis que possam ser utilizadas para apoiar os interesses russos na guerra em curso. As campanhas utilizam anexos maliciosos e técnicas de HTML smuggling para implantar downloaders HTA, que, por sua vez, instalam outros malwares, como o PteroSand. Além disso, o grupo explorou uma vulnerabilidade no WinRAR (CVE-2025-8088) para garantir a persistência do malware. Gamaredon também introduziu novas ferramentas PowerShell e aumentou sua dependência de serviços de terceiros para ocultar sua infraestrutura. Apesar de uma pausa operacional em janeiro, o grupo continuou a desenvolver e atualizar suas ferramentas, utilizando serviços legítimos para exfiltração de dados. A evolução das táticas do Gamaredon destaca a necessidade de vigilância contínua e atualização das defesas cibernéticas, especialmente em um cenário de conflito ativo.

O avanço da computação quântica representa uma ameaça significativa à segurança dos dados criptografados atualmente, especialmente no que diz respeito à criptografia de chave pública, como RSA e ECC. Com a previsão de que computadores quânticos capazes de quebrar essas proteções estarão disponíveis em até 15 anos, a captura de dados criptografados por atacantes, conhecida como ‘Harvest Now, Decrypt Later’, se torna uma preocupação real. O relatório do Global Risk Institute de 2025 destaca que a maioria dos especialistas em segurança acredita que a criptografia resistente a quânticos deve ser implementada rapidamente. A NSA e o NIST já estabeleceram prazos para a transição para algoritmos quânticos-resistentes, com a expectativa de que todos os sistemas de segurança nacional estejam adaptados até 2035. As credenciais, que podem ter uma vida útil muito mais longa do que outros dados criptografados, são alvos prioritários para os atacantes, tornando essencial que as organizações adotem uma abordagem focada na segurança dessas credenciais. A migração deve começar com um inventário das criptografias existentes, priorizando os riscos e adotando uma estratégia de criptografia híbrida para garantir a proteção contra ameaças atuais e futuras.

Um novo relatório da Infoblox revelou que mais de 236 mil sites fraudulentos estão utilizando templates de golpes de investimento criados com o framework DCloud Uni-App, uma ferramenta de desenvolvimento de aplicativos de código aberto da China. Esses sites enganam usuários com falsas exchanges de criptomoedas, operações de ‘pig-butchering’, redes de phishing via WhatsApp, plataformas de jogos fraudulentas e drenos de carteiras de criptomoedas. A análise indica que os operadores desses sites estão se tornando mais sofisticados, utilizando técnicas para evitar a detecção e centralizando suas operações. Entre os domínios identificados, destaca-se a plataforma RainbowEx, que foi associada a um esquema Ponzi que afetou milhares de pessoas na Argentina. A maioria dos sites fraudulentos está hospedada em provedores legítimos como Cloudflare e Amazon Web Services, o que complica a remoção. O relatório sugere que a utilização do DCloud não é, por si só, um indicativo de má intenção, mas muitos sites fraudulentos compartilham características comuns, como interfaces de corretoras falsas e prompts para drenar carteiras de criptomoedas. A situação representa um risco significativo para usuários e empresas, especialmente em um cenário onde a engenharia social é cada vez mais utilizada para enganar vítimas.

Pesquisadores de cibersegurança descobriram pacotes npm e Go sequestrados que implantam um infostealer baseado em Python em sistemas Windows, Linux e macOS. O ataque, identificado pela JFrog, utiliza uma tarefa oculta do Visual Studio Code (VS Code) chamada ’eslint-check’, que é ativada automaticamente ao abrir a pasta do projeto. O malware se conecta a uma infraestrutura controlada por atacantes, lançando um backdoor Socket.io e, em seguida, um infostealer Python. Os pacotes npm afetados, ‘html-to-gutenberg’ e ‘fetch-page-assets’, foram enviados ao registro npm em 25 de maio de 2026 e já foram removidos. Além disso, 16 pacotes Go também foram comprometidos, com a maioria sendo pacotes legítimos que incluíam o malware. O infostealer é capaz de roubar credenciais de navegadores, carteiras de criptomoedas e informações de desenvolvedores. Os usuários que instalaram esses pacotes devem removê-los imediatamente e revisar suas credenciais. O ataque é atribuído a uma campanha conhecida como ‘Fake Font’, que visa desenvolvedores por meio de processos de entrevistas fraudulentos.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-55200, foi descoberta na biblioteca libssh2, que é amplamente utilizada em diversas aplicações como curl, Git e PHP. Essa falha permite que um servidor SSH malicioso ou comprometido cause corrupção de memória em um cliente que se conecta a ele, potencialmente levando à execução de código sem a necessidade de credenciais ou interação do usuário. A vulnerabilidade afeta todas as versões até a 1.11.1 e possui um índice CVSS de 9.2, indicando um alto nível de severidade. O problema reside na função ssh2_transport_read(), que não impõe um limite superior ao campo packet_length, resultando em um estouro de buffer. Embora um patch tenha sido desenvolvido e esteja disponível no código-fonte principal, ainda não há uma versão oficial corrigida. Organizações afetadas são aconselhadas a atualizar suas implementações e restringir conexões SSH a servidores confiáveis até que a correção seja aplicada. A situação é preocupante, pois a libssh2 é incorporada em muitos produtos e serviços, e a falta de conscientização sobre sua presença pode deixar sistemas vulneráveis.

Uma nova campanha de phishing está utilizando notificações falsas de avaliação de impostos para disseminar malware perigoso na Índia. Pesquisadores da CYFIRMA identificaram que os atacantes criaram um site fraudulento que imita a comunicação oficial do Departamento de Impostos da Índia. O portal apresenta uma ordem de avaliação convincente, com referências legais e linguagem que pressiona os destinatários a agir rapidamente. Ao interagir com a notificação falsa, as vítimas são levadas a baixar um arquivo ZIP disfarçado como documentação oficial. Dentro desse arquivo, encontra-se um programa carregador que ativa um arquivo DLL malicioso, camuflado como um serviço legítimo do Windows. Esse malware permite acesso remoto persistente ao computador infectado, coletando detalhes do sistema e monitorando a atividade do usuário. A comunicação com o servidor do atacante ocorre por meio de um canal criptografado, apontando para uma operação motivada financeiramente. A campanha destaca a exploração da ansiedade relacionada à temporada de impostos, sugerindo que os atacantes podem variar suas táticas dependendo do alvo. Para se proteger, é recomendado que os usuários verifiquem qualquer correspondência fiscal diretamente com canais oficiais e que as organizações restrinjam a execução de arquivos desconhecidos.

A KDDI Corporation, uma das maiores operadoras de telecomunicações do Japão, anunciou uma violação de dados em um de seus sistemas de e-mail, que também é utilizado por cinco provedores de serviços de internet (ISPs) no país. A empresa detectou a invasão em 17 de junho e imediatamente bloqueou o acesso do atacante, além de implementar medidas de defesa. A investigação revelou que os hackers exploraram uma vulnerabilidade em um software de terceiros não nomeado. A KDDI alertou que, apesar das medidas técnicas já implementadas, existe a possibilidade de que endereços de e-mail e senhas de clientes tenham sido acessados por partes não autorizadas. A violação pode ter afetado até 14,22 milhões de contas, incluindo clientes ativos, antigos e contas inativas. Embora algumas senhas estivessem armazenadas de forma criptografada, a empresa não especificou o tipo de criptografia utilizada. A KDDI está em contato com os ISPs afetados e notificou as autoridades competentes do Japão. Os clientes são aconselhados a redefinir suas senhas e ativar a autenticação de dois fatores, se disponível.

O lançamento de Grand Theft Auto VI (GTA VI) está gerando uma onda de fraudes online, com criminosos criando sites falsos que prometem acesso antecipado ao jogo. Apesar de o jogo só ser lançado em 19 de novembro de 2026, sites fraudulentos já estão operando, oferecendo chaves beta e acesso VIP em troca de dinheiro ou informações pessoais. Especialistas da Malwarebytes e NordVPN alertam que esses sites utilizam inteligência artificial para imitar a marca da Rockstar, enganando até os jogadores mais cautelosos. Os golpistas exigem pagamentos em criptomoedas, dificultando reembolsos e a recuperação de valores. Além disso, alguns sites oferecem downloads de arquivos maliciosos que podem comprometer dispositivos e expor dados bancários. Os alvos principais são jogadores jovens e inexperientes, que estão ansiosos por novidades. A recomendação é que os jogadores verifiquem a autenticidade de qualquer site antes de fornecer informações pessoais ou financeiras. Aqueles que já foram vítimas devem alterar suas senhas e contatar seus bancos imediatamente.

O Serviço de Segurança da Ucrânia (SSU), em colaboração com o FBI, desvendou uma campanha de ciberespionagem de longa duração, atribuída a serviços de inteligência russos, que visava invadir contas de mensagens de oficiais do governo, militares, políticos e ativistas na Ucrânia, Europa e EUA. Os ataques cibernéticos sistemáticos tinham como objetivo roubar informações sensíveis, incluindo dados militares, políticos e econômicos. Os atacantes utilizavam mensagens SMS que se disfarçavam como suporte das plataformas de mensagens, induzindo os usuários a revelarem suas credenciais. O SSU alertou que as vítimas incluíam não apenas organizações e figuras públicas, mas também contas pessoais de cidadãos ucranianos. Embora a campanha não tenha sido atribuída a um grupo específico de hackers, ataques semelhantes direcionados a usuários do Signal e WhatsApp foram associados a grupos de ameaças russas. Para mitigar esses riscos, recomenda-se revisar periodicamente as sessões ativas dos aplicativos de mensagens, habilitar a autenticação de dois fatores e evitar interações com mensagens suspeitas. O FBI também identificou uma campanha de phishing em aplicativos de mensagens comerciais, visando alvos de alto valor para obter chaves de recuperação. Além disso, o CERT-UA atribuiu uma campanha de spear-phishing a um ator de ameaça alinhado à Bielorrússia, que utilizou contas comprometidas para disseminar um ladrão de informações chamado OYSTERBLUES.

Pesquisadores da Mozilla, através da plataforma 0DIN, revelaram uma nova técnica de ataque que pode comprometer desenvolvedores ao clonar repositórios aparentemente inofensivos no GitHub. O ataque ocorre sem a necessidade de código malicioso explícito, explorando um fluxo de execução que engana tanto ferramentas de segurança quanto usuários. A técnica envolve três componentes principais: um repositório limpo com instruções padrão, um pacote Python que gera um erro ao ser executado e um script que, quando chamado, busca uma configuração em um registro DNS controlado pelo atacante. Isso resulta na execução de um shell interativo com privilégios do desenvolvedor, permitindo acesso a variáveis de ambiente e chaves de API. Embora a técnica ainda seja conceitual, a 0DIN alerta que atores maliciosos podem disseminar esses repositórios por meio de postagens de emprego falsas e tutoriais. Para mitigar esses riscos, recomenda-se que agentes de IA revelem toda a cadeia de execução dos comandos de configuração, incluindo scripts dinâmicos.

A OpenAI lançou três versões do modelo GPT-5.6, denominadas Sol, Terra e Luna, em uma prévia limitada para algumas empresas e o governo dos EUA. O modelo Sol é destacado como o mais poderoso e seguro, com um robusto sistema de proteção contra atividades de alto risco e solicitações cibernéticas sensíveis. A empresa enfatiza que o GPT-5.6 Sol é o modelo mais capaz até agora para pesquisa de vulnerabilidades e exploração, permitindo acesso a atividades legítimas como revisão de código e desenvolvimento de patches, enquanto bloqueia ações ofensivas. Apesar de suas capacidades avançadas, a OpenAI alerta que o modelo não é projetado para realizar ataques autônomos contra alvos endurecidos. Avaliações indicam que o GPT-5.6 Sol pode automatizar partes significativas da pesquisa de vulnerabilidades, especialmente quando combinado com ferramentas e sistemas de verificação. O lançamento ocorre em um contexto onde o governo dos EUA busca regulamentar modelos de IA com capacidades cibernéticas avançadas, refletindo a crescente importância da cibersegurança no cenário atual.

O CEO da Nvidia, Jensen Huang, defendeu a ideia de que a inteligência artificial (IA) não resultará na redução de empregos, mas sim na criação de novas oportunidades de trabalho. Em sua fala durante a GTC 2026, Huang argumentou que a demanda por engenheiros de software está aumentando, pois as empresas que utilizam IA como ferramenta de produtividade tendem a crescer e, consequentemente, contratar mais profissionais. Ele destacou que, se uma empresa pode gerar trilhões de dólares em produtividade, é lógico que ela busque expandir sua equipe de engenheiros. Huang também mencionou que tecnologias emergentes, como a IA agente, exigirão grandes equipes para sua gestão e operação. Apesar do otimismo de Huang, o cenário atual do mercado de trabalho apresenta uma realidade mais complexa, com a IA sendo apontada como um fator de demissões e reestruturações, especialmente em cargos de nível inicial. A discussão sobre o impacto da IA no emprego remete à Revolução Industrial, quando os Luditas também temiam a perda de empregos devido à automação. Embora haja uma expectativa de que a IA possa criar mais empregos no futuro, a transição pode ser desafiadora para muitos trabalhadores.

O grupo cibercriminoso Nova reivindicou a responsabilidade por um incidente de cibersegurança que afetou o Serviço de Incêndio Rural de New South Wales (NSW RFS). O incidente, que ocorreu recentemente, não impactou as operações de resposta a emergências, mas levantou preocupações sobre um possível vazamento de dados. Segundo um e-mail do comissário do RFS, investigações preliminares indicam que muitos dos arquivos comprometidos são históricos e não há evidências de que informações pessoais sensíveis tenham sido acessadas. Nova afirma ter roubado 300 GB de dados do RFS e listou a organização em seu site de vazamento de dados. O grupo, que opera sob um modelo de ransomware como serviço, já foi responsável por 143 ataques, com 12 confirmados por suas vítimas. Este ataque é o primeiro incidente de ransomware confirmado em uma entidade governamental na Austrália em 2026. A crescente incidência de ataques de ransomware em serviços públicos destaca a vulnerabilidade desses sistemas e a necessidade de decisões rápidas sobre o pagamento de resgates, que podem resultar em perda de dados e riscos aumentados de fraude.

Recentemente, a Push Security identificou uma nova campanha de phishing chamada “Poisoned Tenant”, onde atacantes criam inquilinos do OpenAI que imitam empresas legítimas. Os criminosos enviam convites para funcionários se juntarem a essas organizações falsas, utilizando endereços de e-mail do Gmail. Embora os convites sejam enviados a partir de um endereço legítimo da OpenAI, eles são gerados por atacantes que pesquisaram previamente os funcionários-alvo. O convite contém um aviso de que o domínio do remetente não corresponde ao da empresa, mas essa informação é facilmente ignorada. Uma vez que um funcionário aceita o convite, ele é adicionado a uma organização falsa com privilégios administrativos, permitindo acesso a informações sensíveis. A campanha visa fazer com que os funcionários utilizem o espaço de trabalho do ChatGPT como se fosse uma plataforma corporativa legítima, possibilitando a coleta de dados confidenciais. A Push Security recomenda que as empresas treinem seus funcionários para verificar convites inesperados e monitorem as associações de organizações em plataformas SaaS.

A plataforma Polymarket, um dos maiores mercados de previsão baseado em criptomoedas, anunciou que reembolsará totalmente os clientes que perderam cerca de $3 milhões devido a um ataque cibernético. O incidente ocorreu após a injeção de um script malicioso na interface do usuário, resultado de um ataque à cadeia de suprimentos que afetou um fornecedor terceirizado. Durante o ataque, usuários desavisados foram enganados a aprovar transações fraudulentas no site oficial da Polymarket, embora os servidores e a infraestrutura de backend da empresa não tenham sido comprometidos. A empresa de segurança blockchain PeckShield identificou o ataque como uma campanha de phishing, onde os fundos roubados foram convertidos em Ether. O impacto foi limitado a menos de 15 contas, segundo análises de empresas de inteligência em blockchain. A Polymarket, fundada em 2020 e avaliada em $9 bilhões, oferece previsões sobre diversos eventos, incluindo esportes e resultados políticos, e é uma fonte influente de informações sobre expectativas de mercado.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

O FBI e a CISA emitiram um alerta sobre uma campanha de phishing que visa usuários do aplicativo Signal, associada a serviços de inteligência russos. A nova tática dos atacantes envolve a tentativa de roubo das Chaves de Recuperação de Backup do Signal, permitindo acesso às mensagens históricas dos usuários. Anteriormente, os ataques focavam em códigos de verificação e PINs, mas agora os criminosos se fazem passar por equipes de suporte do Signal, alegando a necessidade de uma verificação em duas etapas devido a ataques recentes. Os alvos incluem figuras de alto valor de inteligência, como oficiais governamentais e jornalistas, especialmente aqueles localizados na Ucrânia. O FBI alerta que, se um usuário fornecer sua Chave de Recuperação, os atacantes podem restaurar o backup em seus próprios dispositivos. Além disso, a criação de uma nova conta Signal com o mesmo número de telefone não invalida a chave roubada, o que representa um risco significativo. O alerta recomenda que os usuários nunca compartilhem suas chaves de recuperação e que verifiquem a autenticidade das comunicações recebidas. O FBI também sugere que qualquer vítima da campanha reporte o incidente ao IC3 ou a um escritório local do FBI.

Uma nova campanha de ciberataque, identificada pela Kaspersky como StrikeShark, está utilizando um malware inédito chamado SharkLoader, que serve como carregador para implantar o Cobalt Strike Beacon em sistemas comprometidos. Os alvos incluem uma organização diplomática na Indonésia, entidades governamentais em Taiwan e empresas de desenvolvimento de software em diversos países, como Hong Kong, Colômbia e Sérvia. A campanha se destaca pela sua abrangência geográfica e diversidade de alvos, sem vínculos diretos a grupos de ameaças conhecidos. Os atacantes exploram vulnerabilidades conhecidas, como falhas no Exchange Server e no Openfire, para obter acesso inicial. Após a invasão, eles estabelecem persistência através de shells web e técnicas de hijacking de DLLs. Embora não haja evidências claras de exfiltração de dados, a natureza dos alvos sugere um possível interesse em espionagem cibernética. A utilização de ferramentas de código aberto e a exploração de aplicações públicas indicam que os atacantes podem estar visando sistemas vulneráveis de forma oportunista.

O FBI e a CISA atualizaram um alerta sobre uma campanha de phishing direcionada a contas do Signal, associada a grupos de inteligência russa. Os atacantes agora estão persuadindo as vítimas a fornecerem sua Chave de Recuperação de Backup do Signal. Uma vez que a chave é entregue, o invasor pode restaurar o backup da conta, acessar o histórico de mensagens privadas e de grupo, e assumir o controle da conta. A chave permanece válida mesmo se a vítima criar uma nova conta com o mesmo número de telefone. Para mitigar o risco, os usuários devem gerar uma nova chave nas configurações do Signal, o que invalidará a antiga. O alerta também menciona que a campanha já comprometeu milhares de contas globalmente, visando indivíduos de alto valor, como oficiais do governo e jornalistas. As mensagens de phishing se disfarçam como suporte do Signal, solicitando códigos de verificação ou a chave de recuperação. O FBI também oferece recompensas por informações sobre os grupos envolvidos, identificados como UNC5792 e UNC4221. A situação destaca a importância da segurança em aplicativos de mensagens e a necessidade de vigilância contra engenharia social.

A plataforma de previsões Polymarket foi alvo de um ataque cibernético que resultou no roubo de aproximadamente US$ 3 milhões em criptomoedas de cerca de 11 usuários. O ataque ocorreu devido à exploração de uma vulnerabilidade em um fornecedor terceirizado, que permitiu a injeção de scripts maliciosos na interface da plataforma. A Polymarket confirmou o incidente em uma postagem na rede social X, informando que já tomou medidas para conter a situação e removeu a dependência afetada, embora não tenha revelado qual fornecedor foi comprometido. A empresa está reembolsando integralmente os usuários afetados, mas não divulgou o número total de vítimas ou o montante exato perdido por cada uma. A reação da comunidade foi crítica, com alguns usuários sugerindo que a Polymarket havia provocado os hackers anteriormente. O ataque destaca a importância da segurança em plataformas que lidam com transações financeiras e a necessidade de vigilância constante em relação a fornecedores terceirizados.

O artigo de Maril Vernon discute a transformação do Governança, Risco e Conformidade (GRC) por meio da inteligência artificial agentic. Tradicionalmente, o GRC tem sido tratado como um sistema estático, mas a introdução de agentes autônomos promete mudar essa abordagem. Esses agentes operam com autonomia, contexto e capacidade de executar múltiplas etapas, permitindo uma avaliação contínua e em tempo real das práticas de conformidade. A autora destaca que, enquanto a automação não é nova no GRC, a verdadeira inovação está na capacidade dos agentes de agir com base em condições específicas, em vez de depender de avaliações periódicas. Isso não apenas melhora a eficiência, mas também permite que os analistas se concentrem em tarefas que exigem julgamento humano. A confiança nos resultados gerados por esses agentes se torna um fator crítico, uma vez que a transparência das ações realizadas é essencial para a governança. O artigo conclui com um guia prático para a construção de um agente GRC, enfatizando a importância de começar com tarefas repetitivas e de baixo julgamento.

A nova vulnerabilidade DirtyClone, identificada como CVE-2026-43503 e com uma pontuação CVSS de 8.8, permite que usuários locais corrompam a memória de arquivos através de pacotes de rede clonados, possibilitando o acesso root ao sistema. A falha foi descoberta pela JFrog Security Research e um exploit funcional foi demonstrado publicamente em 25 de junho de 2026. O problema ocorre quando o kernel copia um pacote de rede, deixando de marcar a memória como compartilhada com um arquivo no disco, o que resulta em uma vulnerabilidade crítica. O ataque envolve a injeção de um binário privilegiado na memória, que é então modificado durante a clonagem do pacote, permitindo que o atacante altere verificações de login. O patch para a vulnerabilidade foi integrado ao kernel em 21 de maio de 2026, e é crucial que os administradores de sistemas atualizem seus kernels para evitar exploração. Sistemas vulneráveis incluem servidores multi-tenant, runners de CI e clusters Kubernetes, especialmente onde namespaces de usuários não privilegiados são permitidos. A vulnerabilidade é parte de uma série de falhas relacionadas, todas explorando a mesma falha de contrato na manipulação de fragmentos de pacotes, o que destaca a necessidade de uma auditoria rigorosa em todo o código que lida com a transferência de fragmentos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-12569) no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 9.3, afeta os softwares PTC Windchill PDMlink e PTC FlexPLM, permitindo que atacantes executem códigos arbitrários ao enviar requisições maliciosas. A PTC confirmou que, apesar da liberação de patches, a exploração da vulnerabilidade continua, com atacantes utilizando shells web JSP para comprometer sistemas vulneráveis. A empresa divulgou endereços IP associados a atividades maliciosas e recomendações de mitigação, como bloquear IPs suspeitos e verificar logs de acesso. Essa situação destaca a rapidez com que os cibercriminosos estão se aproveitando de vulnerabilidades recém-descobertas, tornando-se um alerta para empresas que utilizam essas soluções de gerenciamento de dados e ciclo de vida de produtos.

Uma falha de alta gravidade no Amazon Q Developer permitiu que repositórios maliciosos executassem comandos e roubassem credenciais de desenvolvedores na nuvem. A vulnerabilidade, identificada como CVE-2026-12957, foi descoberta pela Wiz Research e se relaciona à forma como o assistente de codificação da Amazon gerenciava servidores do Model Context Protocol (MCP). O ataque ocorre quando um desenvolvedor abre um repositório, confia no espaço de trabalho e o Amazon Q executa automaticamente os comandos definidos em um arquivo de configuração MCP. Isso resulta na execução de código arbitrário com a sessão ativa do desenvolvedor, sem necessidade de senha ou autenticação adicional. A Wiz demonstrou a exploração da falha ao executar um comando que capturava a identidade do chamador AWS e enviava os dados para um servidor do atacante. A Amazon lançou um patch para corrigir a vulnerabilidade, que agora exige que os desenvolvedores rejeitem comandos de servidores MCP não confiáveis antes de sua execução. A falha afeta os Language Servers para AWS, utilizados em várias IDEs populares, e a atualização é recomendada para evitar riscos adicionais.

Uma falha no subsistema de controle de tráfego do kernel Linux, identificada como CVE-2026-46331 e apelidada de “pedit COW”, permite que um usuário local não privilegiado obtenha acesso root em sistemas afetados. Essa vulnerabilidade, que se manifesta como uma escrita fora dos limites na ação de edição de pacotes (act_pedit), corrompe a memória compartilhada do cache de páginas. Um exploit público foi disponibilizado rapidamente após a atribuição da CVE em 16 de junho de 2026, e a Red Hat classificou a falha como importante. O ataque não altera arquivos no disco, mas contamina a cópia em cache de um binário setuid root na memória, permitindo que o invasor execute um shell root sem que verificações de integridade de arquivos detectem a alteração. Para que o exploit funcione, é necessário que o act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam abertos. Sistemas como RHEL 10 e Debian 13 foram testados e mostraram essas condições presentes. A correção já foi disponibilizada por alguns fornecedores, mas muitos sistemas ainda permanecem vulneráveis, exigindo atenção imediata dos administradores.

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como CL-STA-1062, está vinculado a uma nova backdoor personalizada chamada TinyRCT, que tem como alvo entidades governamentais e infraestrutura crítica no Sudeste Asiático. A Palo Alto Networks, através da sua unidade Unit 42, observou que esse grupo tem se concentrado em empresas estatais nos setores de energia e governo desde março de 2022. O TinyRCT permite a execução de comandos arbitrários, exfiltração de arquivos e captura de tela, além de se autodeletar do sistema comprometido. Durante uma campanha em setembro de 2025, o grupo infiltrou uma entidade governamental e utilizou um web shell para extrair dados de um servidor MS SQL. A análise técnica revelou que os atacantes utilizam uma combinação de ferramentas, incluindo o TinyRCT, que estabelece comunicação com um servidor remoto e utiliza criptografia AES-128 para proteger os dados trocados. A atividade do CL-STA-1062 representa uma ameaça significativa à infraestrutura crítica da região, com potencial para se expandir para outros alvos estratégicos.

No último dia 20 de junho de 2026, um alerta falso disparado pelo sistema da Defesa Civil Nacional causou pânico em milhões de brasileiros, com mensagens que incluíam termos como ‘misantropia’. O incidente resultou na retirada temporária da plataforma do ar e na investigação pela Polícia Federal, revelando falhas críticas de segurança em um sistema destinado a emergências. Mirella Kurata, especialista em cibersegurança, destacou que a invasão não foi resultado de um ataque sofisticado, mas sim de uma série de falhas, como o uso de credenciais fracas e a falta de autenticação em dois fatores. Durante o evento, foram enviados 10 alertas, sendo a maioria via Cell Broadcast, tecnologia que permite o envio de mensagens mesmo em celulares no modo silencioso. O Brasil, que registrou mais de 314 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, enfrenta um cenário preocupante, com a população ainda despreparada em relação à segurança digital. Kurata enfatizou a importância de tratar a cibersegurança como uma estratégia e não como um custo, especialmente em um contexto onde a LGPD impõe obrigações rigorosas sobre o tratamento de dados pessoais.

O artigo da TechRadar apresenta uma solução acessível para quem viaja durante a Copa do Mundo, permitindo evitar altas taxas de roaming e melhorar a experiência de streaming. A proposta é um plano avançado da ExpressVPN, que oferece uma combinação de ferramentas por apenas $3 por mês. Este plano inclui uma VPN, eSIM com dados ilimitados por três dias, gerenciamento de senhas, proteção de identidade e e-mails privados. Com isso, os usuários podem acessar serviços de streaming gratuitos, como BBC e ITV, sem custos adicionais, além de se protegerem contra roubo de identidade. O plano avançado normalmente custa cerca de $4,50 por mês, mas está em promoção por $83,72, incluindo quatro meses extras de proteção. A ExpressVPN é destacada como uma das VPNs mais seguras, com cobertura em 150 países. Além disso, a utilização da VPN pode melhorar a conexão em estádios, onde a Wi-Fi costuma ser lenta. Embora existam outras opções de VPN no mercado, a ExpressVPN se destaca por oferecer a chance de ganhar ingressos para jogos da Copa do Mundo.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.

Em junho de 2021, autoridades russas utilizaram ferramentas forenses da Cellebrite para acessar o iPhone do ativista opositor Andrey Pivovarov, mesmo após a empresa ter anunciado que interromperia a venda de seus produtos para a Rússia e Belarus. A análise, publicada pelo Citizen Lab, baseia-se em evidências encontradas no próprio dispositivo e em um relatório oficial do governo russo que menciona o uso do software UFED da Cellebrite. Pivovarov, que liderava o grupo Open Russia, foi detido em 31 de maio de 2021 e teve seus dispositivos confiscados sem consentimento. A investigação subsequente buscou dados de contatos políticos e figuras da oposição, utilizando o UFED para extrair informações de aplicativos como WhatsApp e Telegram. Apesar da proibição de vendas, a Cellebrite afirmou que qualquer uso de seu hardware na Rússia após março de 2021 é ’totalmente não autorizado’. O caso destaca a vulnerabilidade de dispositivos em custódia e a eficácia de ferramentas forenses mesmo sem suporte oficial. O Citizen Lab recomenda medidas de segurança para quem pode ser alvo de apreensões, como o uso de senhas fortes e a ativação de modos de segurança nos dispositivos.

Desde abril de 2026, uma campanha ativa de phishing tem como alvo organizações hoteleiras na Europa e na Ásia, utilizando arquivos ZIP com temas fotográficos para implantar um malware conhecido como TonRAT. Os e-mails de phishing, que se apresentam como notificações do ‘Booking Manager (via Calendly)’, abordam questões comuns em hotéis, como reclamações de hóspedes e inspeções de saúde, e são enviados em várias línguas, sendo o japonês o mais frequente. A técnica de entrega é sofisticada, utilizando o sistema de notificações do Calendly e serviços de redirecionamento do Google, o que permite que os e-mails passem por verificações de autenticação como SPF, DKIM e DMARC. Ao clicar no link, os usuários baixam um arquivo que, ao ser aberto, executa um script PowerShell que baixa e executa o Node.js, permitindo a instalação do malware. O TonRAT se comunica com servidores de comando e controle (C2) através de canais criptografados, dificultando a detecção. Embora não haja confirmação de roubo de dados até o momento, a natureza persistente do malware e a facilidade de remoção incorreta representam um risco significativo. A campanha não é nova, com registros anteriores de ataques semelhantes, mas a motivação final dos operadores ainda é desconhecida.

Pesquisadores em cibersegurança identificaram uma nova evolução dos ataques à cadeia de suprimentos, associada às famílias de malware Mini Shai-Hulud, Miasma e Hades, que comprometeram pacotes npm e se espalharam para o ecossistema Go. Os ataques recentes afetaram pacotes como LeoPlatform e RStreams, além de abusos em fluxos de trabalho do GitHub Actions e compromissos relacionados ao projeto Verana Blockchain. O objetivo principal é roubar credenciais de desenvolvedores e mantenedores, utilizando dados roubados para se infiltrar em repositórios e fluxos de trabalho confiáveis.

A Microsoft anunciou a extensão do programa de Atualizações de Segurança Estendidas (ESU) do Windows 10 para consumidores, permitindo que dispositivos inscritos recebam atualizações de segurança até 12 de outubro de 2027. Essa mudança foi feita sem um anúncio formal, sendo mencionada em atualizações da documentação do programa e em um post do Windows Experience Blog. O Windows 10 atingiu o fim do suporte em 14 de outubro de 2025, quando a Microsoft deixou de fornecer suporte técnico e atualizações para o sistema, exceto para versões LTSC. Inicialmente, a Microsoft havia oferecido um ano adicional de atualizações de segurança para consumidores que se inscrevessem no programa ESU, com término previsto para 12 de outubro de 2026. A extensão agora dá aos usuários mais tempo para migrar para o Windows 11, enquanto continuam protegidos. Para receber as atualizações, os consumidores podem pagar $30, fazer backup das configurações do Windows em uma conta Microsoft ou resgatar 1.000 pontos de recompensa. A licença ESU pode ser utilizada em até 10 dispositivos associados à mesma conta Microsoft. É importante ressaltar que o programa é exclusivo para dispositivos pessoais e não está disponível para sistemas gerenciados por Active Directory ou MDM, embora dispositivos registrados no Microsoft Entra sejam elegíveis.

O aplicativo Shop, da Shopify, está sendo alvo de fraudes, onde criminosos inserem recibos de compras falsos na história de pedidos dos usuários. Essa prática visa enganar os consumidores para que forneçam dados sensíveis ou instalem softwares de acesso remoto. O Shop é uma plataforma popular na América do Norte, com 50 milhões de downloads no Google Play e 7 milhões de avaliações na App Store da Apple. Os golpistas estão se passando por marcas conhecidas como Norton, McAfee, Apple e PayPal, e incluem números de telefone nos recibos falsos, onde tentam convencer as vítimas a revelar credenciais de conta e detalhes de pagamento. Apesar de muitos recibos falsos apresentarem erros gramaticais, os usuários podem não perceber esses sinais ao verem faturas de grandes valores. A forma como esses recibos são inseridos no aplicativo ainda não está clara, mas a Gen Digital, empresa de cibersegurança, afirma que não há evidências de que o Shop ou as empresas impersonadas tenham sido comprometidos. Os usuários são aconselhados a não ligar para os números listados nos recibos suspeitos e a verificar diretamente com seus bancos qualquer cobrança não reconhecida.

As autoridades polonesas prenderam quatro indivíduos ligados a um grupo de cibercrime organizado, acusados de realizar ataques de SIM-swapping. A operação foi conduzida pelo Escritório de Cibercrime da Polônia (CBZC), com apoio do FBI e do Departamento de Segurança Interna dos EUA. Os suspeitos teriam utilizado técnicas sofisticadas, incluindo engenharia social e software especializado, para obter dados de telecomunicações e acessar contas de e-mail de funcionários de empresas parceiras. Com isso, conseguiram sequestrar números de telefone, interceptar mensagens SMS e e-mails, e controlar contas em exchanges de criptomoedas. Estima-se que milhões de dólares tenham sido roubados e lavados através de uma rede financeira distribuída. Os quatro detidos enfrentam acusações de participação em organização criminosa, invasão de sistemas de TI para roubo e lavagem de dinheiro, com penas que podem chegar a 25 anos de prisão. Um dos indivíduos foi identificado como Wojtek Kulisz, conhecido como ‘Merry’.

A Anthropic está testando uma nova funcionalidade do Claude Cowork que permitirá gerenciar tarefas longas diretamente de dispositivos móveis. O Claude Cowork é uma versão do assistente Claude voltada para o trabalho de conhecimento, que se diferencia do Claude Code, que é otimizado para tarefas de programação. Enquanto o Claude Code é focado em desenvolvimento, o Cowork pode lidar com tarefas mais extensas, como criação de documentos, geração de planilhas e relatórios, além de continuar operando em segundo plano. Durante testes, o Cowork demonstrou ser útil na gestão de armazenamento, identificando arquivos que ocupavam espaço significativo. Embora até agora o Cowork estivesse restrito ao desktop, imagens divulgadas sugerem que a Anthropic está preparando uma experiência móvel adequada. A funcionalidade permitirá que os usuários iniciem e monitorem tarefas pelo celular, mas não transformará o aplicativo móvel em uma plataforma autônoma, já que o processamento pesado ainda ocorrerá no computador. A empresa ainda não anunciou oficialmente o suporte completo para dispositivos móveis, mas as evidências indicam que a funcionalidade está em desenvolvimento.

As passkeys, uma alternativa moderna às senhas tradicionais, ainda não foram implementadas em todas as plataformas online. Para incentivar a adoção dessa tecnologia, o pesquisador de segurança Scott Helme lançou o site ‘Why No Passkeys?’, que lista os sites mais populares que não oferecem suporte a esse recurso. A iniciativa segue o modelo do ‘Why No HTTPS?’, criado por Helme e Troy Hunt em 2017, que visava identificar portais que não utilizavam o protocolo HTTPS.

O distrito escolar de Grandview, em Washington, confirmou um vazamento de dados que afetou 9.414 pessoas, comprometendo informações pessoais sensíveis, como números de Seguro Social, dados financeiros e informações de saúde. O incidente ocorreu entre 28 de setembro e 8 de outubro de 2024, quando um ator desconhecido acessou os sistemas do distrito. A notificação aos afetados foi feita 21 meses após a descoberta do problema, um atraso significativo em comparação com a média de quatro meses para notificações de vazamentos. O grupo cibernético BlackSuit reivindicou a responsabilidade pelo ataque, que incluiu a exposição de arquivos pessoais de alunos e funcionários. O distrito está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. Este incidente destaca a crescente ameaça de ataques de ransomware a instituições educacionais, que têm visto um aumento significativo em ataques nos últimos anos, comprometendo milhões de registros e causando interrupções operacionais.

As organizações estão investindo cada vez mais em defesas contra phishing, proteção de identidade e autenticação multifatorial, mas os ataques de tomada de conta continuam a ser um dos incidentes de segurança mais disruptivos enfrentados pelas empresas. Em um webinar ao vivo, a BleepingComputer abordará como os atacantes obtêm acesso a contas legítimas e por que os controles de segurança tradicionais frequentemente falham em detectar rapidamente essas violações. Os ataques modernos de tomada de conta geralmente se aproveitam de identidades confiáveis e serviços em nuvem legítimos, dificultando a identificação de contas comprometidas. A IA comportamental pode ajudar as equipes de segurança a acelerar investigações e respostas, permitindo que identifiquem comportamentos anormais e automatizem fluxos de trabalho de investigação. O webinar discutirá como ataques de phishing e engenharia social levam a compromissos de contas, os desafios enfrentados pelas equipes de segurança e técnicas práticas para reduzir os tempos de resposta e limitar o impacto desses ataques. Os participantes aprenderão a detectar contas comprometidas mais rapidamente e a melhorar a capacidade de resposta antes que pequenos incidentes se tornem grandes eventos de segurança.

Os programas de prevenção à fraude devem monitorar todos os pontos de contato com o cliente, desde a criação da conta até o checkout e interações com o serviço ao cliente. Essa prática oferece insights valiosos sobre o engajamento do usuário em cada interação. A coleta adequada de diferentes conjuntos de dados é fundamental para identificar métodos avançados de fraude e detectar tendências emergentes. O artigo descreve um caso de fraude em quatro níveis: transação, conta, plataforma e rede. No nível de transação, as interações dos usuários são monitoradas isoladamente, enquanto no nível de conta, comportamentos como geolocalização e biometria comportamental ajudam a identificar fraudes como o roubo de contas. O nível de plataforma analisa o desempenho de contas agrupadas, permitindo a identificação rápida de fraudes em anéis e ataques de múltiplas contas. Por fim, o nível de rede envolve parcerias com provedores para enriquecer dados e decisões com base em insights coletivos. O artigo destaca a importância de uma defesa em múltiplas camadas contra fraudes, enfatizando que os fraudadores estão sempre evoluindo suas táticas.

A plataforma de phishing Bluekit está em constante evolução, com a identificação de quase 70 novos nomes de host na última semana e a adição de capacidades de browser-in-the-middle (BitM) para aprimorar o roubo de dados. Documentada pela primeira vez em abril por pesquisadores da Varonis, a Bluekit oferece um assistente de IA que suporta vários modelos de linguagem para a elaboração de e-mails de phishing. O kit de phishing disponibiliza 40 modelos distintos que visam serviços online populares como Gmail, Outlook e GitHub. Um novo relatório da Netcraft revela que a Bluekit mudou de um mecanismo adversário-in-the-middle para o BitM, utilizando a biblioteca JavaScript ‘rrweb’ para serializar o DOM da página e transmiti-lo via WebSocket para a vítima. Nesse tipo de ataque, a vítima interage com uma sessão de navegador controlada pelo atacante, que carrega a página de login legítima e retransmite as solicitações e respostas. Embora o rrweb seja um projeto legítimo, sua presença em um ambiente web deve ser analisada com cautela. O ataque permite que o invasor obtenha um token de sessão válido, garantindo acesso ilimitado à conta da vítima. A Bluekit também implementou sistemas anti-análise para dificultar a detecção, como filtros CSS aleatórios e verificação de impressão digital do navegador. Para organizações que buscam se proteger contra ataques de phishing, um webinar da BleepingComputer abordará como a IA comportamental pode ajudar na detecção e resposta a essas ameaças.

Uma grande operação contra a pirataria esportiva resultou no desmantelamento de 44 domínios associados à plataforma PirloTV, que é conhecida por agregar links para transmissões ao vivo de eventos esportivos, especialmente futebol. A ação foi realizada pela Alliance for Creativity and Entertainment (ACE), em colaboração com a UEFA, UC3 e autoridades mexicanas, e visou interromper um serviço que gerava mais de 950 milhões de visitas anuais, com destaque para 230 milhões apenas do México. A PirloTV tem sido particularmente popular na América Latina, atraindo audiência significativa em países como México e Colômbia, além de tráfego considerável de mercados como Espanha e Estados Unidos. A operação ocorreu antes da final da UEFA Champions League e em um momento em que a Copa do Mundo da FIFA está em andamento, o que pode impactar significativamente o ecossistema de pirataria na região. Apesar da ação, a PirloTV é conhecida por sua rápida migração para novos domínios, e ainda existem sites que oferecem streaming ilegal de eventos esportivos. A ACE também destacou que esta foi a primeira colaboração com o Instituto Mexicano de Propriedade Industrial (IMPI) para fortalecer a cooperação anti-pirataria.

Um novo malware para macOS, denominado ‘Gaslight’, foi descoberto e tem como objetivo confundir ferramentas de análise de malware assistidas por inteligência artificial (IA). Desenvolvido por um ator de ameaça vinculado à Coreia do Norte, o malware apresenta uma funcionalidade de backdoor e roubo de informações, características comuns em malwares semelhantes. O que diferencia o ‘Gaslight’ é seu payload de 3,5 KB, que contém 38 mensagens falsas de ‘sistema’ embutidas diretamente no binário. Essas mensagens simulam logs de desenvolvedor, relatórios de falhas e alertas de programa, utilizando formatação Markdown para parecerem dados de análise legítimos. Exemplos incluem mensagens sobre expiração de tokens, falhas de conexão e vulnerabilidades de injeção SQL. O objetivo dessas mensagens enganosas é induzir as ferramentas de análise a duvidar da validade de suas próprias sessões, levando-as a abortar ou truncar a análise. Embora não tenha sido demonstrado que essa técnica consiga contornar plataformas de análise de malware baseadas em IA, os pesquisadores sugerem que os atores de ameaça estão experimentando métodos de anti-análise específicos para essas ferramentas. A descoberta destaca a evolução das táticas de malware e a necessidade de vigilância contínua por parte das equipes de segurança.

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a colaboração da Cloudflare com navegadores para implementar um protocolo de controle de acesso privado (PACT), visando proteger a privacidade dos usuários ao evitar captchas e rastreamento invasivo. Além disso, foram descobertas seis vulnerabilidades críticas no curl, uma biblioteca amplamente utilizada, que afetam versões desde 2001, com a correção já disponível na versão 8.21.0.

Um bug severo no Hoppscotch permite que atacantes não autenticados comprometam completamente servidores, explorando falhas na validação de dados. A pesquisa também revelou que muitos aplicativos de smart TVs da LG e Samsung contêm proxyware, permitindo que tráfego de terceiros seja redirecionado pela conexão do usuário sem seu pleno conhecimento.

Uma análise de segurança revelou que a popular extensão Adblock for YouTube, com mais de 10 milhões de instalações, possui a capacidade de executar código JavaScript arbitrário. Embora a extensão cumpra sua função de bloquear anúncios no YouTube, ela também apresenta riscos significativos de privacidade e segurança. Pesquisadores alertaram que essa vulnerabilidade pode permitir a leitura de páginas, roubo de dados e acesso a contas pessoais e aplicativos de trabalho. A extensão, que está disponível desde 2014, passou por mudanças de propriedade e já teve um kit de desenvolvimento de software para injeção de anúncios, o que levanta preocupações adicionais. A ativação da execução de código malicioso pode ser feita por uma simples alteração na configuração do servidor, sem necessidade de atualização da extensão ou revisão pela loja. Apesar de não haver evidências de que essa capacidade tenha sido explorada até agora, a combinação de permissões extensivas e a possibilidade de injeção de scripts tornam a situação alarmante. A análise também destaca que a extensão opera em todos os sites visitados, não apenas no YouTube, o que aumenta o risco de exposição a ataques. O alerta é um chamado à ação para que usuários e profissionais de segurança revisem as permissões de suas extensões e considerem alternativas mais seguras.