Uma nova campanha de phishing está utilizando notificações falsas de avaliação de impostos para disseminar malware perigoso na Índia. Pesquisadores da CYFIRMA identificaram que os atacantes criaram um site fraudulento que imita a comunicação oficial do Departamento de Impostos da Índia. O portal apresenta uma ordem de avaliação convincente, com referências legais e linguagem que pressiona os destinatários a agir rapidamente. Ao interagir com a notificação falsa, as vítimas são levadas a baixar um arquivo ZIP disfarçado como documentação oficial. Dentro desse arquivo, encontra-se um programa carregador que ativa um arquivo DLL malicioso, camuflado como um serviço legítimo do Windows. Esse malware permite acesso remoto persistente ao computador infectado, coletando detalhes do sistema e monitorando a atividade do usuário. A comunicação com o servidor do atacante ocorre por meio de um canal criptografado, apontando para uma operação motivada financeiramente. A campanha destaca a exploração da ansiedade relacionada à temporada de impostos, sugerindo que os atacantes podem variar suas táticas dependendo do alvo. Para se proteger, é recomendado que os usuários verifiquem qualquer correspondência fiscal diretamente com canais oficiais e que as organizações restrinjam a execução de arquivos desconhecidos.

A KDDI Corporation, uma das maiores operadoras de telecomunicações do Japão, anunciou uma violação de dados em um de seus sistemas de e-mail, que também é utilizado por cinco provedores de serviços de internet (ISPs) no país. A empresa detectou a invasão em 17 de junho e imediatamente bloqueou o acesso do atacante, além de implementar medidas de defesa. A investigação revelou que os hackers exploraram uma vulnerabilidade em um software de terceiros não nomeado. A KDDI alertou que, apesar das medidas técnicas já implementadas, existe a possibilidade de que endereços de e-mail e senhas de clientes tenham sido acessados por partes não autorizadas. A violação pode ter afetado até 14,22 milhões de contas, incluindo clientes ativos, antigos e contas inativas. Embora algumas senhas estivessem armazenadas de forma criptografada, a empresa não especificou o tipo de criptografia utilizada. A KDDI está em contato com os ISPs afetados e notificou as autoridades competentes do Japão. Os clientes são aconselhados a redefinir suas senhas e ativar a autenticação de dois fatores, se disponível.

O lançamento de Grand Theft Auto VI (GTA VI) está gerando uma onda de fraudes online, com criminosos criando sites falsos que prometem acesso antecipado ao jogo. Apesar de o jogo só ser lançado em 19 de novembro de 2026, sites fraudulentos já estão operando, oferecendo chaves beta e acesso VIP em troca de dinheiro ou informações pessoais. Especialistas da Malwarebytes e NordVPN alertam que esses sites utilizam inteligência artificial para imitar a marca da Rockstar, enganando até os jogadores mais cautelosos. Os golpistas exigem pagamentos em criptomoedas, dificultando reembolsos e a recuperação de valores. Além disso, alguns sites oferecem downloads de arquivos maliciosos que podem comprometer dispositivos e expor dados bancários. Os alvos principais são jogadores jovens e inexperientes, que estão ansiosos por novidades. A recomendação é que os jogadores verifiquem a autenticidade de qualquer site antes de fornecer informações pessoais ou financeiras. Aqueles que já foram vítimas devem alterar suas senhas e contatar seus bancos imediatamente.

O Serviço de Segurança da Ucrânia (SSU), em colaboração com o FBI, desvendou uma campanha de ciberespionagem de longa duração, atribuída a serviços de inteligência russos, que visava invadir contas de mensagens de oficiais do governo, militares, políticos e ativistas na Ucrânia, Europa e EUA. Os ataques cibernéticos sistemáticos tinham como objetivo roubar informações sensíveis, incluindo dados militares, políticos e econômicos. Os atacantes utilizavam mensagens SMS que se disfarçavam como suporte das plataformas de mensagens, induzindo os usuários a revelarem suas credenciais. O SSU alertou que as vítimas incluíam não apenas organizações e figuras públicas, mas também contas pessoais de cidadãos ucranianos. Embora a campanha não tenha sido atribuída a um grupo específico de hackers, ataques semelhantes direcionados a usuários do Signal e WhatsApp foram associados a grupos de ameaças russas. Para mitigar esses riscos, recomenda-se revisar periodicamente as sessões ativas dos aplicativos de mensagens, habilitar a autenticação de dois fatores e evitar interações com mensagens suspeitas. O FBI também identificou uma campanha de phishing em aplicativos de mensagens comerciais, visando alvos de alto valor para obter chaves de recuperação. Além disso, o CERT-UA atribuiu uma campanha de spear-phishing a um ator de ameaça alinhado à Bielorrússia, que utilizou contas comprometidas para disseminar um ladrão de informações chamado OYSTERBLUES.

Pesquisadores da Mozilla, através da plataforma 0DIN, revelaram uma nova técnica de ataque que pode comprometer desenvolvedores ao clonar repositórios aparentemente inofensivos no GitHub. O ataque ocorre sem a necessidade de código malicioso explícito, explorando um fluxo de execução que engana tanto ferramentas de segurança quanto usuários. A técnica envolve três componentes principais: um repositório limpo com instruções padrão, um pacote Python que gera um erro ao ser executado e um script que, quando chamado, busca uma configuração em um registro DNS controlado pelo atacante. Isso resulta na execução de um shell interativo com privilégios do desenvolvedor, permitindo acesso a variáveis de ambiente e chaves de API. Embora a técnica ainda seja conceitual, a 0DIN alerta que atores maliciosos podem disseminar esses repositórios por meio de postagens de emprego falsas e tutoriais. Para mitigar esses riscos, recomenda-se que agentes de IA revelem toda a cadeia de execução dos comandos de configuração, incluindo scripts dinâmicos.

A OpenAI lançou três versões do modelo GPT-5.6, denominadas Sol, Terra e Luna, em uma prévia limitada para algumas empresas e o governo dos EUA. O modelo Sol é destacado como o mais poderoso e seguro, com um robusto sistema de proteção contra atividades de alto risco e solicitações cibernéticas sensíveis. A empresa enfatiza que o GPT-5.6 Sol é o modelo mais capaz até agora para pesquisa de vulnerabilidades e exploração, permitindo acesso a atividades legítimas como revisão de código e desenvolvimento de patches, enquanto bloqueia ações ofensivas. Apesar de suas capacidades avançadas, a OpenAI alerta que o modelo não é projetado para realizar ataques autônomos contra alvos endurecidos. Avaliações indicam que o GPT-5.6 Sol pode automatizar partes significativas da pesquisa de vulnerabilidades, especialmente quando combinado com ferramentas e sistemas de verificação. O lançamento ocorre em um contexto onde o governo dos EUA busca regulamentar modelos de IA com capacidades cibernéticas avançadas, refletindo a crescente importância da cibersegurança no cenário atual.

O CEO da Nvidia, Jensen Huang, defendeu a ideia de que a inteligência artificial (IA) não resultará na redução de empregos, mas sim na criação de novas oportunidades de trabalho. Em sua fala durante a GTC 2026, Huang argumentou que a demanda por engenheiros de software está aumentando, pois as empresas que utilizam IA como ferramenta de produtividade tendem a crescer e, consequentemente, contratar mais profissionais. Ele destacou que, se uma empresa pode gerar trilhões de dólares em produtividade, é lógico que ela busque expandir sua equipe de engenheiros. Huang também mencionou que tecnologias emergentes, como a IA agente, exigirão grandes equipes para sua gestão e operação. Apesar do otimismo de Huang, o cenário atual do mercado de trabalho apresenta uma realidade mais complexa, com a IA sendo apontada como um fator de demissões e reestruturações, especialmente em cargos de nível inicial. A discussão sobre o impacto da IA no emprego remete à Revolução Industrial, quando os Luditas também temiam a perda de empregos devido à automação. Embora haja uma expectativa de que a IA possa criar mais empregos no futuro, a transição pode ser desafiadora para muitos trabalhadores.

O grupo cibercriminoso Nova reivindicou a responsabilidade por um incidente de cibersegurança que afetou o Serviço de Incêndio Rural de New South Wales (NSW RFS). O incidente, que ocorreu recentemente, não impactou as operações de resposta a emergências, mas levantou preocupações sobre um possível vazamento de dados. Segundo um e-mail do comissário do RFS, investigações preliminares indicam que muitos dos arquivos comprometidos são históricos e não há evidências de que informações pessoais sensíveis tenham sido acessadas. Nova afirma ter roubado 300 GB de dados do RFS e listou a organização em seu site de vazamento de dados. O grupo, que opera sob um modelo de ransomware como serviço, já foi responsável por 143 ataques, com 12 confirmados por suas vítimas. Este ataque é o primeiro incidente de ransomware confirmado em uma entidade governamental na Austrália em 2026. A crescente incidência de ataques de ransomware em serviços públicos destaca a vulnerabilidade desses sistemas e a necessidade de decisões rápidas sobre o pagamento de resgates, que podem resultar em perda de dados e riscos aumentados de fraude.

Recentemente, a Push Security identificou uma nova campanha de phishing chamada “Poisoned Tenant”, onde atacantes criam inquilinos do OpenAI que imitam empresas legítimas. Os criminosos enviam convites para funcionários se juntarem a essas organizações falsas, utilizando endereços de e-mail do Gmail. Embora os convites sejam enviados a partir de um endereço legítimo da OpenAI, eles são gerados por atacantes que pesquisaram previamente os funcionários-alvo. O convite contém um aviso de que o domínio do remetente não corresponde ao da empresa, mas essa informação é facilmente ignorada. Uma vez que um funcionário aceita o convite, ele é adicionado a uma organização falsa com privilégios administrativos, permitindo acesso a informações sensíveis. A campanha visa fazer com que os funcionários utilizem o espaço de trabalho do ChatGPT como se fosse uma plataforma corporativa legítima, possibilitando a coleta de dados confidenciais. A Push Security recomenda que as empresas treinem seus funcionários para verificar convites inesperados e monitorem as associações de organizações em plataformas SaaS.

A plataforma Polymarket, um dos maiores mercados de previsão baseado em criptomoedas, anunciou que reembolsará totalmente os clientes que perderam cerca de $3 milhões devido a um ataque cibernético. O incidente ocorreu após a injeção de um script malicioso na interface do usuário, resultado de um ataque à cadeia de suprimentos que afetou um fornecedor terceirizado. Durante o ataque, usuários desavisados foram enganados a aprovar transações fraudulentas no site oficial da Polymarket, embora os servidores e a infraestrutura de backend da empresa não tenham sido comprometidos. A empresa de segurança blockchain PeckShield identificou o ataque como uma campanha de phishing, onde os fundos roubados foram convertidos em Ether. O impacto foi limitado a menos de 15 contas, segundo análises de empresas de inteligência em blockchain. A Polymarket, fundada em 2020 e avaliada em $9 bilhões, oferece previsões sobre diversos eventos, incluindo esportes e resultados políticos, e é uma fonte influente de informações sobre expectativas de mercado.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) estabeleceu um prazo até domingo, 28 de junho, para que agências federais corrijam uma vulnerabilidade crítica no Cisco Unified Communications Manager Server, identificada como CVE-2026-20230. Esta falha, que permite a exploração remota sem autenticação através de requisições HTTP manipuladas, foi classificada como uma falha de falsificação de requisições do lado do servidor (SSRF). A Cisco já disponibilizou um patch em 3 de junho, mas a exploração ativa foi confirmada recentemente por uma startup de detecção de ameaças.

O FBI e a CISA emitiram um alerta sobre uma campanha de phishing que visa usuários do aplicativo Signal, associada a serviços de inteligência russos. A nova tática dos atacantes envolve a tentativa de roubo das Chaves de Recuperação de Backup do Signal, permitindo acesso às mensagens históricas dos usuários. Anteriormente, os ataques focavam em códigos de verificação e PINs, mas agora os criminosos se fazem passar por equipes de suporte do Signal, alegando a necessidade de uma verificação em duas etapas devido a ataques recentes. Os alvos incluem figuras de alto valor de inteligência, como oficiais governamentais e jornalistas, especialmente aqueles localizados na Ucrânia. O FBI alerta que, se um usuário fornecer sua Chave de Recuperação, os atacantes podem restaurar o backup em seus próprios dispositivos. Além disso, a criação de uma nova conta Signal com o mesmo número de telefone não invalida a chave roubada, o que representa um risco significativo. O alerta recomenda que os usuários nunca compartilhem suas chaves de recuperação e que verifiquem a autenticidade das comunicações recebidas. O FBI também sugere que qualquer vítima da campanha reporte o incidente ao IC3 ou a um escritório local do FBI.

Uma nova campanha de ciberataque, identificada pela Kaspersky como StrikeShark, está utilizando um malware inédito chamado SharkLoader, que serve como carregador para implantar o Cobalt Strike Beacon em sistemas comprometidos. Os alvos incluem uma organização diplomática na Indonésia, entidades governamentais em Taiwan e empresas de desenvolvimento de software em diversos países, como Hong Kong, Colômbia e Sérvia. A campanha se destaca pela sua abrangência geográfica e diversidade de alvos, sem vínculos diretos a grupos de ameaças conhecidos. Os atacantes exploram vulnerabilidades conhecidas, como falhas no Exchange Server e no Openfire, para obter acesso inicial. Após a invasão, eles estabelecem persistência através de shells web e técnicas de hijacking de DLLs. Embora não haja evidências claras de exfiltração de dados, a natureza dos alvos sugere um possível interesse em espionagem cibernética. A utilização de ferramentas de código aberto e a exploração de aplicações públicas indicam que os atacantes podem estar visando sistemas vulneráveis de forma oportunista.

O FBI e a CISA atualizaram um alerta sobre uma campanha de phishing direcionada a contas do Signal, associada a grupos de inteligência russa. Os atacantes agora estão persuadindo as vítimas a fornecerem sua Chave de Recuperação de Backup do Signal. Uma vez que a chave é entregue, o invasor pode restaurar o backup da conta, acessar o histórico de mensagens privadas e de grupo, e assumir o controle da conta. A chave permanece válida mesmo se a vítima criar uma nova conta com o mesmo número de telefone. Para mitigar o risco, os usuários devem gerar uma nova chave nas configurações do Signal, o que invalidará a antiga. O alerta também menciona que a campanha já comprometeu milhares de contas globalmente, visando indivíduos de alto valor, como oficiais do governo e jornalistas. As mensagens de phishing se disfarçam como suporte do Signal, solicitando códigos de verificação ou a chave de recuperação. O FBI também oferece recompensas por informações sobre os grupos envolvidos, identificados como UNC5792 e UNC4221. A situação destaca a importância da segurança em aplicativos de mensagens e a necessidade de vigilância contra engenharia social.

A plataforma de previsões Polymarket foi alvo de um ataque cibernético que resultou no roubo de aproximadamente US$ 3 milhões em criptomoedas de cerca de 11 usuários. O ataque ocorreu devido à exploração de uma vulnerabilidade em um fornecedor terceirizado, que permitiu a injeção de scripts maliciosos na interface da plataforma. A Polymarket confirmou o incidente em uma postagem na rede social X, informando que já tomou medidas para conter a situação e removeu a dependência afetada, embora não tenha revelado qual fornecedor foi comprometido. A empresa está reembolsando integralmente os usuários afetados, mas não divulgou o número total de vítimas ou o montante exato perdido por cada uma. A reação da comunidade foi crítica, com alguns usuários sugerindo que a Polymarket havia provocado os hackers anteriormente. O ataque destaca a importância da segurança em plataformas que lidam com transações financeiras e a necessidade de vigilância constante em relação a fornecedores terceirizados.

O artigo de Maril Vernon discute a transformação do Governança, Risco e Conformidade (GRC) por meio da inteligência artificial agentic. Tradicionalmente, o GRC tem sido tratado como um sistema estático, mas a introdução de agentes autônomos promete mudar essa abordagem. Esses agentes operam com autonomia, contexto e capacidade de executar múltiplas etapas, permitindo uma avaliação contínua e em tempo real das práticas de conformidade. A autora destaca que, enquanto a automação não é nova no GRC, a verdadeira inovação está na capacidade dos agentes de agir com base em condições específicas, em vez de depender de avaliações periódicas. Isso não apenas melhora a eficiência, mas também permite que os analistas se concentrem em tarefas que exigem julgamento humano. A confiança nos resultados gerados por esses agentes se torna um fator crítico, uma vez que a transparência das ações realizadas é essencial para a governança. O artigo conclui com um guia prático para a construção de um agente GRC, enfatizando a importância de começar com tarefas repetitivas e de baixo julgamento.

A nova vulnerabilidade DirtyClone, identificada como CVE-2026-43503 e com uma pontuação CVSS de 8.8, permite que usuários locais corrompam a memória de arquivos através de pacotes de rede clonados, possibilitando o acesso root ao sistema. A falha foi descoberta pela JFrog Security Research e um exploit funcional foi demonstrado publicamente em 25 de junho de 2026. O problema ocorre quando o kernel copia um pacote de rede, deixando de marcar a memória como compartilhada com um arquivo no disco, o que resulta em uma vulnerabilidade crítica. O ataque envolve a injeção de um binário privilegiado na memória, que é então modificado durante a clonagem do pacote, permitindo que o atacante altere verificações de login. O patch para a vulnerabilidade foi integrado ao kernel em 21 de maio de 2026, e é crucial que os administradores de sistemas atualizem seus kernels para evitar exploração. Sistemas vulneráveis incluem servidores multi-tenant, runners de CI e clusters Kubernetes, especialmente onde namespaces de usuários não privilegiados são permitidos. A vulnerabilidade é parte de uma série de falhas relacionadas, todas explorando a mesma falha de contrato na manipulação de fragmentos de pacotes, o que destaca a necessidade de uma auditoria rigorosa em todo o código que lida com a transferência de fragmentos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica de execução remota de código (CVE-2026-12569) no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 9.3, afeta os softwares PTC Windchill PDMlink e PTC FlexPLM, permitindo que atacantes executem códigos arbitrários ao enviar requisições maliciosas. A PTC confirmou que, apesar da liberação de patches, a exploração da vulnerabilidade continua, com atacantes utilizando shells web JSP para comprometer sistemas vulneráveis. A empresa divulgou endereços IP associados a atividades maliciosas e recomendações de mitigação, como bloquear IPs suspeitos e verificar logs de acesso. Essa situação destaca a rapidez com que os cibercriminosos estão se aproveitando de vulnerabilidades recém-descobertas, tornando-se um alerta para empresas que utilizam essas soluções de gerenciamento de dados e ciclo de vida de produtos.

Uma falha de alta gravidade no Amazon Q Developer permitiu que repositórios maliciosos executassem comandos e roubassem credenciais de desenvolvedores na nuvem. A vulnerabilidade, identificada como CVE-2026-12957, foi descoberta pela Wiz Research e se relaciona à forma como o assistente de codificação da Amazon gerenciava servidores do Model Context Protocol (MCP). O ataque ocorre quando um desenvolvedor abre um repositório, confia no espaço de trabalho e o Amazon Q executa automaticamente os comandos definidos em um arquivo de configuração MCP. Isso resulta na execução de código arbitrário com a sessão ativa do desenvolvedor, sem necessidade de senha ou autenticação adicional. A Wiz demonstrou a exploração da falha ao executar um comando que capturava a identidade do chamador AWS e enviava os dados para um servidor do atacante. A Amazon lançou um patch para corrigir a vulnerabilidade, que agora exige que os desenvolvedores rejeitem comandos de servidores MCP não confiáveis antes de sua execução. A falha afeta os Language Servers para AWS, utilizados em várias IDEs populares, e a atualização é recomendada para evitar riscos adicionais.

Uma falha no subsistema de controle de tráfego do kernel Linux, identificada como CVE-2026-46331 e apelidada de “pedit COW”, permite que um usuário local não privilegiado obtenha acesso root em sistemas afetados. Essa vulnerabilidade, que se manifesta como uma escrita fora dos limites na ação de edição de pacotes (act_pedit), corrompe a memória compartilhada do cache de páginas. Um exploit público foi disponibilizado rapidamente após a atribuição da CVE em 16 de junho de 2026, e a Red Hat classificou a falha como importante. O ataque não altera arquivos no disco, mas contamina a cópia em cache de um binário setuid root na memória, permitindo que o invasor execute um shell root sem que verificações de integridade de arquivos detectem a alteração. Para que o exploit funcione, é necessário que o act_pedit esteja carregável e que namespaces de usuários não privilegiados estejam abertos. Sistemas como RHEL 10 e Debian 13 foram testados e mostraram essas condições presentes. A correção já foi disponibilizada por alguns fornecedores, mas muitos sistemas ainda permanecem vulneráveis, exigindo atenção imediata dos administradores.

Um ator de ameaça persistente avançada (APT) de língua chinesa, identificado como CL-STA-1062, está vinculado a uma nova backdoor personalizada chamada TinyRCT, que tem como alvo entidades governamentais e infraestrutura crítica no Sudeste Asiático. A Palo Alto Networks, através da sua unidade Unit 42, observou que esse grupo tem se concentrado em empresas estatais nos setores de energia e governo desde março de 2022. O TinyRCT permite a execução de comandos arbitrários, exfiltração de arquivos e captura de tela, além de se autodeletar do sistema comprometido. Durante uma campanha em setembro de 2025, o grupo infiltrou uma entidade governamental e utilizou um web shell para extrair dados de um servidor MS SQL. A análise técnica revelou que os atacantes utilizam uma combinação de ferramentas, incluindo o TinyRCT, que estabelece comunicação com um servidor remoto e utiliza criptografia AES-128 para proteger os dados trocados. A atividade do CL-STA-1062 representa uma ameaça significativa à infraestrutura crítica da região, com potencial para se expandir para outros alvos estratégicos.

No último dia 20 de junho de 2026, um alerta falso disparado pelo sistema da Defesa Civil Nacional causou pânico em milhões de brasileiros, com mensagens que incluíam termos como ‘misantropia’. O incidente resultou na retirada temporária da plataforma do ar e na investigação pela Polícia Federal, revelando falhas críticas de segurança em um sistema destinado a emergências. Mirella Kurata, especialista em cibersegurança, destacou que a invasão não foi resultado de um ataque sofisticado, mas sim de uma série de falhas, como o uso de credenciais fracas e a falta de autenticação em dois fatores. Durante o evento, foram enviados 10 alertas, sendo a maioria via Cell Broadcast, tecnologia que permite o envio de mensagens mesmo em celulares no modo silencioso. O Brasil, que registrou mais de 314 bilhões de tentativas de ataques cibernéticos no primeiro semestre de 2025, enfrenta um cenário preocupante, com a população ainda despreparada em relação à segurança digital. Kurata enfatizou a importância de tratar a cibersegurança como uma estratégia e não como um custo, especialmente em um contexto onde a LGPD impõe obrigações rigorosas sobre o tratamento de dados pessoais.

O artigo da TechRadar apresenta uma solução acessível para quem viaja durante a Copa do Mundo, permitindo evitar altas taxas de roaming e melhorar a experiência de streaming. A proposta é um plano avançado da ExpressVPN, que oferece uma combinação de ferramentas por apenas $3 por mês. Este plano inclui uma VPN, eSIM com dados ilimitados por três dias, gerenciamento de senhas, proteção de identidade e e-mails privados. Com isso, os usuários podem acessar serviços de streaming gratuitos, como BBC e ITV, sem custos adicionais, além de se protegerem contra roubo de identidade. O plano avançado normalmente custa cerca de $4,50 por mês, mas está em promoção por $83,72, incluindo quatro meses extras de proteção. A ExpressVPN é destacada como uma das VPNs mais seguras, com cobertura em 150 países. Além disso, a utilização da VPN pode melhorar a conexão em estádios, onde a Wi-Fi costuma ser lenta. Embora existam outras opções de VPN no mercado, a ExpressVPN se destaca por oferecer a chance de ganhar ingressos para jogos da Copa do Mundo.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como Turla, foi associado a um novo backdoor .NET chamado STOCKSTAY, que tem como alvo organizações governamentais e militares na Ucrânia, além de entidades ligadas à política externa italiana. O STOCKSTAY é um malware multifuncional que se comunica com seu servidor de comando e controle (C2) por meio de uma conexão WebSocket segura. O Google Threat Intelligence Group (GTIG) identificou que o STOCKSTAY compartilha semelhanças significativas com o Kazuar, um implante utilizado pelo grupo desde 2017. O malware é projetado para se disfarçar como ferramentas comuns, como visualizadores de PDF e utilitários de calculadora, e é composto por vários módulos que permitem a coleta de informações e a execução de comandos no sistema comprometido. As campanhas de distribuição do STOCKSTAY frequentemente utilizam iscas relacionadas a temas acadêmicos ou diplomáticos, visando organizações na Ucrânia e em outros países europeus. O GTIG observou que o STOCKSTAY foi utilizado em ataques que empregaram e-mails de phishing com arquivos maliciosos, explorando vulnerabilidades conhecidas, como a do WinRAR. A arquitetura do malware sugere que ele pode ter sido desenvolvido por uma equipe com experiência em operações cibernéticas, levantando preocupações sobre a segurança de sistemas críticos em várias nações.

Em junho de 2021, autoridades russas utilizaram ferramentas forenses da Cellebrite para acessar o iPhone do ativista opositor Andrey Pivovarov, mesmo após a empresa ter anunciado que interromperia a venda de seus produtos para a Rússia e Belarus. A análise, publicada pelo Citizen Lab, baseia-se em evidências encontradas no próprio dispositivo e em um relatório oficial do governo russo que menciona o uso do software UFED da Cellebrite. Pivovarov, que liderava o grupo Open Russia, foi detido em 31 de maio de 2021 e teve seus dispositivos confiscados sem consentimento. A investigação subsequente buscou dados de contatos políticos e figuras da oposição, utilizando o UFED para extrair informações de aplicativos como WhatsApp e Telegram. Apesar da proibição de vendas, a Cellebrite afirmou que qualquer uso de seu hardware na Rússia após março de 2021 é ’totalmente não autorizado’. O caso destaca a vulnerabilidade de dispositivos em custódia e a eficácia de ferramentas forenses mesmo sem suporte oficial. O Citizen Lab recomenda medidas de segurança para quem pode ser alvo de apreensões, como o uso de senhas fortes e a ativação de modos de segurança nos dispositivos.

Desde abril de 2026, uma campanha ativa de phishing tem como alvo organizações hoteleiras na Europa e na Ásia, utilizando arquivos ZIP com temas fotográficos para implantar um malware conhecido como TonRAT. Os e-mails de phishing, que se apresentam como notificações do ‘Booking Manager (via Calendly)’, abordam questões comuns em hotéis, como reclamações de hóspedes e inspeções de saúde, e são enviados em várias línguas, sendo o japonês o mais frequente. A técnica de entrega é sofisticada, utilizando o sistema de notificações do Calendly e serviços de redirecionamento do Google, o que permite que os e-mails passem por verificações de autenticação como SPF, DKIM e DMARC. Ao clicar no link, os usuários baixam um arquivo que, ao ser aberto, executa um script PowerShell que baixa e executa o Node.js, permitindo a instalação do malware. O TonRAT se comunica com servidores de comando e controle (C2) através de canais criptografados, dificultando a detecção. Embora não haja confirmação de roubo de dados até o momento, a natureza persistente do malware e a facilidade de remoção incorreta representam um risco significativo. A campanha não é nova, com registros anteriores de ataques semelhantes, mas a motivação final dos operadores ainda é desconhecida.

Pesquisadores em cibersegurança identificaram uma nova evolução dos ataques à cadeia de suprimentos, associada às famílias de malware Mini Shai-Hulud, Miasma e Hades, que comprometeram pacotes npm e se espalharam para o ecossistema Go. Os ataques recentes afetaram pacotes como LeoPlatform e RStreams, além de abusos em fluxos de trabalho do GitHub Actions e compromissos relacionados ao projeto Verana Blockchain. O objetivo principal é roubar credenciais de desenvolvedores e mantenedores, utilizando dados roubados para se infiltrar em repositórios e fluxos de trabalho confiáveis.

A Microsoft anunciou a extensão do programa de Atualizações de Segurança Estendidas (ESU) do Windows 10 para consumidores, permitindo que dispositivos inscritos recebam atualizações de segurança até 12 de outubro de 2027. Essa mudança foi feita sem um anúncio formal, sendo mencionada em atualizações da documentação do programa e em um post do Windows Experience Blog. O Windows 10 atingiu o fim do suporte em 14 de outubro de 2025, quando a Microsoft deixou de fornecer suporte técnico e atualizações para o sistema, exceto para versões LTSC. Inicialmente, a Microsoft havia oferecido um ano adicional de atualizações de segurança para consumidores que se inscrevessem no programa ESU, com término previsto para 12 de outubro de 2026. A extensão agora dá aos usuários mais tempo para migrar para o Windows 11, enquanto continuam protegidos. Para receber as atualizações, os consumidores podem pagar $30, fazer backup das configurações do Windows em uma conta Microsoft ou resgatar 1.000 pontos de recompensa. A licença ESU pode ser utilizada em até 10 dispositivos associados à mesma conta Microsoft. É importante ressaltar que o programa é exclusivo para dispositivos pessoais e não está disponível para sistemas gerenciados por Active Directory ou MDM, embora dispositivos registrados no Microsoft Entra sejam elegíveis.

O aplicativo Shop, da Shopify, está sendo alvo de fraudes, onde criminosos inserem recibos de compras falsos na história de pedidos dos usuários. Essa prática visa enganar os consumidores para que forneçam dados sensíveis ou instalem softwares de acesso remoto. O Shop é uma plataforma popular na América do Norte, com 50 milhões de downloads no Google Play e 7 milhões de avaliações na App Store da Apple. Os golpistas estão se passando por marcas conhecidas como Norton, McAfee, Apple e PayPal, e incluem números de telefone nos recibos falsos, onde tentam convencer as vítimas a revelar credenciais de conta e detalhes de pagamento. Apesar de muitos recibos falsos apresentarem erros gramaticais, os usuários podem não perceber esses sinais ao verem faturas de grandes valores. A forma como esses recibos são inseridos no aplicativo ainda não está clara, mas a Gen Digital, empresa de cibersegurança, afirma que não há evidências de que o Shop ou as empresas impersonadas tenham sido comprometidos. Os usuários são aconselhados a não ligar para os números listados nos recibos suspeitos e a verificar diretamente com seus bancos qualquer cobrança não reconhecida.

As autoridades polonesas prenderam quatro indivíduos ligados a um grupo de cibercrime organizado, acusados de realizar ataques de SIM-swapping. A operação foi conduzida pelo Escritório de Cibercrime da Polônia (CBZC), com apoio do FBI e do Departamento de Segurança Interna dos EUA. Os suspeitos teriam utilizado técnicas sofisticadas, incluindo engenharia social e software especializado, para obter dados de telecomunicações e acessar contas de e-mail de funcionários de empresas parceiras. Com isso, conseguiram sequestrar números de telefone, interceptar mensagens SMS e e-mails, e controlar contas em exchanges de criptomoedas. Estima-se que milhões de dólares tenham sido roubados e lavados através de uma rede financeira distribuída. Os quatro detidos enfrentam acusações de participação em organização criminosa, invasão de sistemas de TI para roubo e lavagem de dinheiro, com penas que podem chegar a 25 anos de prisão. Um dos indivíduos foi identificado como Wojtek Kulisz, conhecido como ‘Merry’.

A Anthropic está testando uma nova funcionalidade do Claude Cowork que permitirá gerenciar tarefas longas diretamente de dispositivos móveis. O Claude Cowork é uma versão do assistente Claude voltada para o trabalho de conhecimento, que se diferencia do Claude Code, que é otimizado para tarefas de programação. Enquanto o Claude Code é focado em desenvolvimento, o Cowork pode lidar com tarefas mais extensas, como criação de documentos, geração de planilhas e relatórios, além de continuar operando em segundo plano. Durante testes, o Cowork demonstrou ser útil na gestão de armazenamento, identificando arquivos que ocupavam espaço significativo. Embora até agora o Cowork estivesse restrito ao desktop, imagens divulgadas sugerem que a Anthropic está preparando uma experiência móvel adequada. A funcionalidade permitirá que os usuários iniciem e monitorem tarefas pelo celular, mas não transformará o aplicativo móvel em uma plataforma autônoma, já que o processamento pesado ainda ocorrerá no computador. A empresa ainda não anunciou oficialmente o suporte completo para dispositivos móveis, mas as evidências indicam que a funcionalidade está em desenvolvimento.

As passkeys, uma alternativa moderna às senhas tradicionais, ainda não foram implementadas em todas as plataformas online. Para incentivar a adoção dessa tecnologia, o pesquisador de segurança Scott Helme lançou o site ‘Why No Passkeys?’, que lista os sites mais populares que não oferecem suporte a esse recurso. A iniciativa segue o modelo do ‘Why No HTTPS?’, criado por Helme e Troy Hunt em 2017, que visava identificar portais que não utilizavam o protocolo HTTPS.

O distrito escolar de Grandview, em Washington, confirmou um vazamento de dados que afetou 9.414 pessoas, comprometendo informações pessoais sensíveis, como números de Seguro Social, dados financeiros e informações de saúde. O incidente ocorreu entre 28 de setembro e 8 de outubro de 2024, quando um ator desconhecido acessou os sistemas do distrito. A notificação aos afetados foi feita 21 meses após a descoberta do problema, um atraso significativo em comparação com a média de quatro meses para notificações de vazamentos. O grupo cibernético BlackSuit reivindicou a responsabilidade pelo ataque, que incluiu a exposição de arquivos pessoais de alunos e funcionários. O distrito está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. Este incidente destaca a crescente ameaça de ataques de ransomware a instituições educacionais, que têm visto um aumento significativo em ataques nos últimos anos, comprometendo milhões de registros e causando interrupções operacionais.

As organizações estão investindo cada vez mais em defesas contra phishing, proteção de identidade e autenticação multifatorial, mas os ataques de tomada de conta continuam a ser um dos incidentes de segurança mais disruptivos enfrentados pelas empresas. Em um webinar ao vivo, a BleepingComputer abordará como os atacantes obtêm acesso a contas legítimas e por que os controles de segurança tradicionais frequentemente falham em detectar rapidamente essas violações. Os ataques modernos de tomada de conta geralmente se aproveitam de identidades confiáveis e serviços em nuvem legítimos, dificultando a identificação de contas comprometidas. A IA comportamental pode ajudar as equipes de segurança a acelerar investigações e respostas, permitindo que identifiquem comportamentos anormais e automatizem fluxos de trabalho de investigação. O webinar discutirá como ataques de phishing e engenharia social levam a compromissos de contas, os desafios enfrentados pelas equipes de segurança e técnicas práticas para reduzir os tempos de resposta e limitar o impacto desses ataques. Os participantes aprenderão a detectar contas comprometidas mais rapidamente e a melhorar a capacidade de resposta antes que pequenos incidentes se tornem grandes eventos de segurança.

Os programas de prevenção à fraude devem monitorar todos os pontos de contato com o cliente, desde a criação da conta até o checkout e interações com o serviço ao cliente. Essa prática oferece insights valiosos sobre o engajamento do usuário em cada interação. A coleta adequada de diferentes conjuntos de dados é fundamental para identificar métodos avançados de fraude e detectar tendências emergentes. O artigo descreve um caso de fraude em quatro níveis: transação, conta, plataforma e rede. No nível de transação, as interações dos usuários são monitoradas isoladamente, enquanto no nível de conta, comportamentos como geolocalização e biometria comportamental ajudam a identificar fraudes como o roubo de contas. O nível de plataforma analisa o desempenho de contas agrupadas, permitindo a identificação rápida de fraudes em anéis e ataques de múltiplas contas. Por fim, o nível de rede envolve parcerias com provedores para enriquecer dados e decisões com base em insights coletivos. O artigo destaca a importância de uma defesa em múltiplas camadas contra fraudes, enfatizando que os fraudadores estão sempre evoluindo suas táticas.

A plataforma de phishing Bluekit está em constante evolução, com a identificação de quase 70 novos nomes de host na última semana e a adição de capacidades de browser-in-the-middle (BitM) para aprimorar o roubo de dados. Documentada pela primeira vez em abril por pesquisadores da Varonis, a Bluekit oferece um assistente de IA que suporta vários modelos de linguagem para a elaboração de e-mails de phishing. O kit de phishing disponibiliza 40 modelos distintos que visam serviços online populares como Gmail, Outlook e GitHub. Um novo relatório da Netcraft revela que a Bluekit mudou de um mecanismo adversário-in-the-middle para o BitM, utilizando a biblioteca JavaScript ‘rrweb’ para serializar o DOM da página e transmiti-lo via WebSocket para a vítima. Nesse tipo de ataque, a vítima interage com uma sessão de navegador controlada pelo atacante, que carrega a página de login legítima e retransmite as solicitações e respostas. Embora o rrweb seja um projeto legítimo, sua presença em um ambiente web deve ser analisada com cautela. O ataque permite que o invasor obtenha um token de sessão válido, garantindo acesso ilimitado à conta da vítima. A Bluekit também implementou sistemas anti-análise para dificultar a detecção, como filtros CSS aleatórios e verificação de impressão digital do navegador. Para organizações que buscam se proteger contra ataques de phishing, um webinar da BleepingComputer abordará como a IA comportamental pode ajudar na detecção e resposta a essas ameaças.

Uma grande operação contra a pirataria esportiva resultou no desmantelamento de 44 domínios associados à plataforma PirloTV, que é conhecida por agregar links para transmissões ao vivo de eventos esportivos, especialmente futebol. A ação foi realizada pela Alliance for Creativity and Entertainment (ACE), em colaboração com a UEFA, UC3 e autoridades mexicanas, e visou interromper um serviço que gerava mais de 950 milhões de visitas anuais, com destaque para 230 milhões apenas do México. A PirloTV tem sido particularmente popular na América Latina, atraindo audiência significativa em países como México e Colômbia, além de tráfego considerável de mercados como Espanha e Estados Unidos. A operação ocorreu antes da final da UEFA Champions League e em um momento em que a Copa do Mundo da FIFA está em andamento, o que pode impactar significativamente o ecossistema de pirataria na região. Apesar da ação, a PirloTV é conhecida por sua rápida migração para novos domínios, e ainda existem sites que oferecem streaming ilegal de eventos esportivos. A ACE também destacou que esta foi a primeira colaboração com o Instituto Mexicano de Propriedade Industrial (IMPI) para fortalecer a cooperação anti-pirataria.

Um novo malware para macOS, denominado ‘Gaslight’, foi descoberto e tem como objetivo confundir ferramentas de análise de malware assistidas por inteligência artificial (IA). Desenvolvido por um ator de ameaça vinculado à Coreia do Norte, o malware apresenta uma funcionalidade de backdoor e roubo de informações, características comuns em malwares semelhantes. O que diferencia o ‘Gaslight’ é seu payload de 3,5 KB, que contém 38 mensagens falsas de ‘sistema’ embutidas diretamente no binário. Essas mensagens simulam logs de desenvolvedor, relatórios de falhas e alertas de programa, utilizando formatação Markdown para parecerem dados de análise legítimos. Exemplos incluem mensagens sobre expiração de tokens, falhas de conexão e vulnerabilidades de injeção SQL. O objetivo dessas mensagens enganosas é induzir as ferramentas de análise a duvidar da validade de suas próprias sessões, levando-as a abortar ou truncar a análise. Embora não tenha sido demonstrado que essa técnica consiga contornar plataformas de análise de malware baseadas em IA, os pesquisadores sugerem que os atores de ameaça estão experimentando métodos de anti-análise específicos para essas ferramentas. A descoberta destaca a evolução das táticas de malware e a necessidade de vigilância contínua por parte das equipes de segurança.

O cenário de cibersegurança apresenta uma série de incidentes preocupantes, incluindo a colaboração da Cloudflare com navegadores para implementar um protocolo de controle de acesso privado (PACT), visando proteger a privacidade dos usuários ao evitar captchas e rastreamento invasivo. Além disso, foram descobertas seis vulnerabilidades críticas no curl, uma biblioteca amplamente utilizada, que afetam versões desde 2001, com a correção já disponível na versão 8.21.0.

Um bug severo no Hoppscotch permite que atacantes não autenticados comprometam completamente servidores, explorando falhas na validação de dados. A pesquisa também revelou que muitos aplicativos de smart TVs da LG e Samsung contêm proxyware, permitindo que tráfego de terceiros seja redirecionado pela conexão do usuário sem seu pleno conhecimento.

Uma análise de segurança revelou que a popular extensão Adblock for YouTube, com mais de 10 milhões de instalações, possui a capacidade de executar código JavaScript arbitrário. Embora a extensão cumpra sua função de bloquear anúncios no YouTube, ela também apresenta riscos significativos de privacidade e segurança. Pesquisadores alertaram que essa vulnerabilidade pode permitir a leitura de páginas, roubo de dados e acesso a contas pessoais e aplicativos de trabalho. A extensão, que está disponível desde 2014, passou por mudanças de propriedade e já teve um kit de desenvolvimento de software para injeção de anúncios, o que levanta preocupações adicionais. A ativação da execução de código malicioso pode ser feita por uma simples alteração na configuração do servidor, sem necessidade de atualização da extensão ou revisão pela loja. Apesar de não haver evidências de que essa capacidade tenha sido explorada até agora, a combinação de permissões extensivas e a possibilidade de injeção de scripts tornam a situação alarmante. A análise também destaca que a extensão opera em todos os sites visitados, não apenas no YouTube, o que aumenta o risco de exposição a ataques. O alerta é um chamado à ação para que usuários e profissionais de segurança revisem as permissões de suas extensões e considerem alternativas mais seguras.

Desde abril de 2026, um novo backdoor chamado Mistic tem sido utilizado em ataques cibernéticos direcionados a diversas organizações, incluindo setores de seguros, educação, TI e serviços profissionais. De acordo com a equipe de Threat Hunter da Symantec e Carbon Black, o Mistic, também conhecido como MLTBackdoor, está associado a um broker de acesso inicial (IAB) chamado KongTuke. Este backdoor é notável por operar em memória, sem deixar rastros no disco, e possui um mecanismo de autodestruição, características que permitem acesso furtivo e de longo prazo.

Um novo malware baseado em Rust, denominado Gaslight, foi descoberto como um implante e ladrão de informações para macOS. Este malware possui um recurso notável: um payload de injeção de prompt que engana ferramentas de inteligência artificial (IA) utilizadas por analistas de segurança, fazendo com que elas interrompam ou recusem a análise do artefato. Gaslight é atribuído a atores de ameaças alinhados à Coreia do Norte. O malware utiliza um canal de comando e controle (C2) baseado na API do Telegram, permitindo que o operador emita comandos e receba resultados. Entre os comandos disponíveis, destacam-se a execução de comandos de shell e a exfiltração de arquivos. Além disso, Gaslight incorpora um script Python codificado em Base64 que coleta dados sensíveis do sistema, como históricos de comandos do Terminal e informações do Keychain do macOS. O malware se destaca por não codificar informações sensíveis, como tokens do bot do Telegram, mas sim fornecê-las em tempo de execução, dificultando a captura de logs. A presença de mensagens de erro fabricadas visa confundir agentes de segurança, tornando a detecção mais difícil. Essa nova ameaça representa um risco significativo para usuários de macOS, especialmente em ambientes corporativos.

O Google anunciou a implementação de novos controles de privacidade para seus serviços de busca e Google Play, permitindo que os usuários tenham maior controle sobre o histórico salvo e as recomendações personalizadas. Em um e-mail enviado aos usuários, a empresa destacou que as novas configurações serão visíveis nas contas do Google nos próximos dias. As mudanças incluem a separação das configurações de histórico de serviços de busca e recomendações personalizadas, permitindo que os usuários decidam se desejam que suas atividades sejam salvas e se desejam personalização com base nesses dados. O histórico de serviços de busca abrangerá atividades em serviços como Pesquisa, Maps, Shopping, e Translate, e incluirá também interações visuais e de áudio. Embora o Google afirme que as novas configurações oferecem mais controle, é importante que os usuários revisem suas configurações, especialmente se a atividade da Web e do aplicativo estiver ativada. As novas opções também se estenderão ao Google Play, refletindo as escolhas anteriores dos usuários sobre a duração do armazenamento de histórico. Essa mudança pode ser vista como uma forma de aprimorar a experiência do usuário, mas também levanta questões sobre privacidade e uso de dados.

Um ator de ameaças desconhecido explorou uma vulnerabilidade crítica no Cisco Catalyst SD-WAN, identificada como CVE-2026-20245, antes de sua divulgação pública. Essa falha, com uma pontuação CVSS de 7.8, permite que um atacante autenticado execute comandos arbitrários com privilégios elevados ao fornecer um arquivo malicioso ao sistema afetado. A Cisco confirmou que a exploração requer privilégios de administrador de rede. Durante a intrusão, o atacante utilizou técnicas anti-forenses para ocultar suas atividades, como a exclusão e restauração seletiva de arquivos de configuração do sistema. O ataque visou um provedor de serviços de comunicação não especificado, permitindo que uma conta de administrador comprometida obtivesse acesso total ao sistema. Dois períodos distintos de atividade não autorizada foram identificados, um entre o final de 2025 e janeiro de 2026, e outro em março de 2026. O segundo ataque ocorreu em um dispositivo com uma versão de software mais recente, que já tinha sido corrigido para uma vulnerabilidade anterior. O invasor alterou credenciais padrão e utilizou um upload malicioso de arquivo CSV para escalar privilégios, criando uma conta oculta com controle total. A Mandiant destacou que a exploração de zero-days em dispositivos de borda, como o SD-WAN, é uma tendência crescente, dada a falta de telemetria para análises forenses profundas.

Uma extensão maliciosa do Microsoft Edge, chamada ‘Edgecution’, foi utilizada em um ataque de ransomware que consegue escapar da sandbox do navegador e implantar um backdoor baseado em Python. O acesso ao sistema local é obtido através do protocolo de Mensageria Nativa do Chrome, que permite que extensões do navegador interajam com aplicativos nativos do desktop. O ataque começa com o invasor se passando por um funcionário de suporte técnico no Microsoft Teams, direcionando os empregados a uma página fraudulenta sob a alegação de instalar uma atualização de filtro de spam. Pesquisadores da Zscaler acreditam que o Edgecution é implantado por um corretor de acesso inicial (IAB) ligado à operação de ransomware Payouts Kings. Os componentes maliciosos são baixados de um site falso da Microsoft, disfarçados como uma atualização, e incluem uma extensão maliciosa que se conecta ao servidor de comando e controle do invasor. A extensão opera em um navegador Edge sem interface, utilizando o protocolo de Mensageria Nativa para se comunicar com um aplicativo local. O backdoor em Python permite ao invasor executar comandos no sistema, coletar informações e manter a persistência na máquina comprometida. A Zscaler recomenda que as organizações reforcem a supervisão das extensões do navegador e implementem controles rigorosos sobre as configurações de mensageria nativa para mitigar riscos.

Recentemente, detalhes sobre a exploração de uma vulnerabilidade crítica da Cisco, identificada como CVE-2026-20245, foram revelados. Essa falha de injeção de comandos permite que atacantes autenticados executem comandos arbitrários como root em dispositivos Cisco Catalyst SD-WAN. A vulnerabilidade foi explorada em ataques de dia zero, onde os invasores conseguiram criar contas root não autorizadas. A Cisco informou que a falha se originou de uma validação insuficiente de entradas fornecidas pelo usuário e que a exploração requer acesso local aos dispositivos afetados.

Nathan Austad, um jovem de 21 anos do Minnesota, foi condenado a 18 meses de prisão por seu envolvimento em um ataque cibernético que comprometeu 60 mil contas de usuários da plataforma de apostas e esportes fantasy DraftKings em novembro de 2022. Durante o ataque, os hackers adicionaram métodos de pagamento sob seu controle a 1.600 contas e roubaram cerca de 600 mil dólares. O ataque foi realizado por meio de ‘credential stuffing’, uma técnica que explora senhas fracas ou reutilizadas. Embora a DraftKings tenha inicialmente relatado um roubo de menos de 300 mil dólares, um mês depois, o número de contas comprometidas foi revisado para quase 68 mil. Além de Austad, outros conspiradores foram acusados, incluindo Joseph Garrison e Kamerin Stokes, que também foram condenados. O Departamento de Justiça dos EUA revelou que Austad lucrou com a venda de acessos a contas hackeadas, recebendo aproximadamente 465 mil dólares em criptomoedas. Além da pena de prisão, Austad foi condenado a três anos de liberdade supervisionada e a pagar mais de 1,3 milhão de dólares em restituição e confisco.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma falha crítica de segurança nos dispositivos da série EDS5000 da Lantronix. A vulnerabilidade, identificada como CVE-2025-67038, possui uma pontuação CVSS de 9.8 e permite a injeção de código, possibilitando a execução de comandos arbitrários com privilégios elevados. O problema reside no módulo HTTP RPC, que executa comandos de shell sem a devida sanitização dos dados de entrada, permitindo que atacantes injetem comandos maliciosos. A CISA recomendou que as agências do governo federal dos EUA apliquem as correções até 26 de junho de 2026. Além disso, a CISA também confirmou a exploração ativa de três vulnerabilidades críticas no sistema Ubiquiti UniFi OS, que podem permitir mudanças não autorizadas no sistema e acesso a arquivos sensíveis. A combinação dessas falhas representa um risco significativo à segurança das redes, especialmente considerando que dispositivos UniFi OS são frequentemente integrados em redes centrais, facilitando movimentos laterais de atacantes. As organizações devem estar atentas e implementar as correções necessárias para mitigar esses riscos.

O LastPass, gerenciador de senhas amplamente utilizado, sofreu um novo incidente de segurança que resultou na exposição de dados de usuários. O vazamento ocorreu após um ataque à Klue, uma plataforma de inteligência de mercado que integra serviços como Salesforce e Gong, e não comprometeu as senhas armazenadas no gerenciador. A empresa notificou que um agente não autorizado teve acesso a tokens OAuth, que são credenciais temporárias para acessar dados de outros serviços. Esses tokens foram utilizados para coletar informações de contato comercial, como nomes, números de telefone, endereços de e-mail e dados de suporte. Apesar do incidente, a LastPass assegurou que os cofres dos clientes permanecem seguros e que não há evidências de acesso a senhas. A empresa alertou os usuários para ficarem atentos a potenciais ataques de phishing, uma vez que os dados expostos podem ser utilizados para enganar os usuários. Este não é o primeiro incidente de segurança envolvendo a LastPass, que já enfrentou ataques anteriores que comprometeram o código-fonte e senhas criptografadas de usuários. O alerta é um lembrete da importância de manter práticas de segurança rigorosas, especialmente em um cenário onde ataques a gerenciadores de senhas estão se tornando mais comuns.

Um novo relatório da plataforma de gerenciamento de exposição a ameaças, NordStellar, revela um aumento de 39% nas discussões sobre ‘deepfake as a service’ (DFaaS) na dark web, com 924 postagens entre janeiro e maio de 2026. Essa tendência é impulsionada pelos avanços em inteligência artificial generativa, que facilitam a criação de deepfakes hiper-realistas, tornando ataques como os de ‘fake boss’ mais acessíveis a criminosos. O ‘Business Email Compromise’ (BEC), uma forma de golpe que utiliza e-mails falsos, já causou perdas superiores a US$ 3 bilhões no último ano. Especialistas alertam que a educação dos funcionários e o monitoramento de dados vazados são essenciais para mitigar esses riscos. A capacidade de criar deepfakes convincentes pode levar a ataques mais sofisticados, exigindo uma resposta proativa das empresas para proteger suas informações e evitar fraudes.