Negociador de ransomware é condenado a 70 meses de prisão por ajudar atacantes

Angelo Martino, um negociador de ransomware, foi condenado a 70 meses de prisão por colaborar secretamente com o grupo criminoso BlackCat (ALPHV). Em vez de ajudar as vítimas a minimizar os danos, Martino e seus co-conspiradores, Ryan Clifford Goldberg e Kevin Tyler Martin, não apenas falharam em proteger os interesses de seus clientes, mas também infectaram algumas das vítimas com malware. O grupo visava empresas de diversos setores, incluindo dispositivos médicos e farmacêuticos, e exigiu resgates que totalizavam milhões de dólares. Martino, de 41 anos, terá que devolver todos os ganhos em criptomoeda que recebeu, além de perder bens como casas e carros adquiridos com esse dinheiro. Ele também deverá pagar 10% de seu salário futuro após a liberação. A condenação de Martino se segue a sentenças anteriores de seus co-conspiradores, que receberam penas de quatro anos. O caso destaca a crescente preocupação com a confiança em negociadores de ransomware e a necessidade de vigilância em transações de segurança cibernética.

Autoridades do Reino Unido processam cinco por fraudes com chamadas

As autoridades britânicas acusaram cinco indivíduos após uma investigação da National Crime Agency (NCA) sobre a plataforma de falsificação de identificação de chamadas chamada Russian Coms. Essa plataforma, que operava desde 2020, permitia que criminosos realizassem mais de 1,8 milhão de chamadas fraudulentas, utilizando números de instituições financeiras e agências de segurança para enganar as vítimas. Os acusados, todos de Londres, enfrentam várias acusações, incluindo conspiração para fornecer artigos relacionados a fraudes e conversão de propriedade criminosa. A NCA revelou que a Russian Coms foi responsável por perdas financeiras que somam dezenas de milhões de libras, afetando cerca de 170 mil vítimas em mais de 107 países. A plataforma foi promovida em redes sociais como Telegram e Instagram e oferecia serviços como chamadas criptografadas e alteração de voz. A operação que resultou na desativação da Russian Coms, chamada ‘Operação Henhouse’, levou a 290 prisões em todo o Reino Unido e destacou a crescente preocupação com fraudes telefônicas que utilizam tecnologia avançada para enganar os consumidores.

Breach at the Beach Aprenda sobre cibersegurança com Entra ID

O Varonis Threat Labs lançou o ‘Breach at the Beach’, uma experiência de treinamento interativa focada em Entra ID, que simula a exfiltração de dados em ambientes de nuvem. A iniciativa, criada pelos pesquisadores Doron Kapah e Mark Vaitsman, visa proporcionar uma compreensão prática das ameaças modernas que as organizações enfrentam, especialmente com o aumento de identidades não-humanas, como agentes de IA e fluxos de trabalho automatizados. Os jogadores, guiados pelo gato detetive Pixel, devem investigar um ataque e identificar quais dados sensíveis estão em risco. O CTF (Capture the Flag) é gratuito e pode ser acessado online, permitindo que profissionais de segurança aprimorem suas habilidades enquanto ganham créditos de educação continuada (CPE). O jogo enfatiza a importância de reconhecer abusos de funcionalidades legítimas e a necessidade de uma abordagem prática para a detecção de ameaças, especialmente em um cenário onde a IA está cada vez mais presente. Além disso, o evento será apresentado em conferências como Black Hat USA e DEF CON 34, onde os participantes poderão interagir diretamente com os criadores e aprofundar seus conhecimentos sobre cibersegurança.

Lidl sofre vazamento de dados de clientes na Europa

A rede de supermercados Lidl, pertencente ao grupo Schwarz, notificou clientes na Alemanha, Bélgica e Países Baixos sobre um vazamento de dados pessoais ocorrido em um provedor de serviços. O incidente, que foi descoberto na semana passada, resultou no roubo de informações de clientes que utilizam a loja online da Lidl. Segundo a empresa, apesar de manter altos padrões de segurança da informação, atacantes conseguiram acessar brevemente um arquivo armazenado separadamente, levando ao roubo de dados como nome, telefone, e-mail e data de nascimento. Embora os sistemas da loja online não tenham sido comprometidos, a Lidl não descarta a possibilidade de que senhas e informações de pagamento também possam ter sido afetadas. A empresa já registrou um boletim de ocorrência e contratou especialistas em forense digital para investigar o incidente. Além disso, a Lidl alertou os clientes sobre possíveis tentativas de phishing que possam utilizar as informações roubadas, recomendando cautela ao receber mensagens inesperadas. A Autoridade de Proteção de Dados da Holanda também foi notificada sobre o incidente.

CISA alerta sobre vulnerabilidades críticas em extensões Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de vulnerabilidades nas extensões iCagenda e Balbooa Forms para Joomla, que permitem a execução remota de código através de uploads de arquivos arbitrários. As falhas foram classificadas como de máxima prioridade, exigindo que agências federais aplicassem atualizações de segurança em até três dias. A primeira vulnerabilidade, CVE-2026-48939, afeta o iCagenda, que é utilizado para registro e agendamento de eventos. Um atacante pode explorar essa falha para fazer upload de arquivos maliciosos, como scripts PHP, comprometendo completamente o servidor web. A segunda vulnerabilidade, CVE-2026-56291, está relacionada ao Balbooa Forms, um construtor de formulários que também permite uploads de arquivos. Ambas as falhas foram alvo de ataques automatizados antes da liberação de patches, com a CVE-2026-56291 sendo explorada como um zero-day desde 8 de julho. Administradores de sites Joomla devem verificar a presença dessas extensões e aplicar as correções disponíveis para proteger seus ativos. As versões corrigidas estão disponíveis desde junho e julho de 2023.

Operação de phishing como serviço ataca contas do Microsoft 365

Um novo serviço de phishing, chamado Forg365, está utilizando uma combinação de técnicas avançadas para comprometer contas do Microsoft 365. Este serviço, que custa $400 por mês e é distribuído via Telegram, emprega phishing com código de dispositivo, táticas de adversário no meio (AitM), evasão de antibots e criação de iscas assistida por inteligência artificial (IA). As campanhas de ataque utilizam infraestrutura de entrega de e-mails legítimos, como Amazon SES e Twilio SendGrid, para disfarçar links maliciosos. O Forg365 oferece um painel de controle acessível na clearnet, onde os operadores podem gerar iscas e gerenciar tokens capturados. A plataforma também inclui uma extensão para navegadores que facilita o acesso contínuo a contas comprometidas. Além disso, o Forg365 permite ações pós-compromisso, como monitoramento de e-mails e respostas automáticas a mensagens. A operação reflete a industrialização do modelo de negócios de phishing, permitindo que até mesmo indivíduos com pouca experiência técnica realizem campanhas em larga escala. Diante desse cenário, recomenda-se que as empresas bloqueiem a autenticação por código de dispositivo, revisem regras de fluxo de e-mails e auditem atividades suspeitas em caixas de entrada.

Injeção de Memória Oculta em Assistentes de IA Risco Emergente

Um novo tipo de ataque, denominado ‘injeção de memória oculta’, foi identificado por pesquisadores, permitindo que atacantes manipulem assistentes de IA ao enviar e-mails com informações falsas. Esses assistentes, como o OpenClaw, mantêm registros sobre preferências e interações dos usuários, o que os torna vulneráveis a esse tipo de ataque. O processo é simples: um e-mail é enviado para um usuário, e se o assistente processar a mensagem, ele pode gravar uma informação falsa em sua memória sem que o usuário perceba. O estudo, publicado em julho de 2026, demonstrou que a ferramenta MemGhost conseguiu realizar esse ataque com uma taxa de sucesso de 87,5% em testes de modo de fundo. A pesquisa destaca a necessidade de controles de segurança mais rigorosos, como a verificação de origem das informações e a solicitação de confirmação antes de gravar dados na memória do assistente. A OpenClaw, alvo do estudo, já está considerando implementar medidas de segurança adicionais, mas o problema persiste, especialmente em ambientes onde assistentes de IA interagem com e-mails não confiáveis.

Ferramentas de segurança em cibersegurança um alerta urgente

O cenário atual da cibersegurança apresenta uma crescente preocupação com a velocidade e a eficácia dos ataques cibernéticos. Ferramentas de segurança estão encontrando vulnerabilidades mais rapidamente do que os humanos conseguem corrigi-las, mas os atacantes têm acesso a essas mesmas ferramentas. Isso resulta em uma situação alarmante onde falhas antigas ainda são exploradas devido a atrasos na aplicação de correções. Recentemente, a Progress alertou seus clientes sobre uma ameaça externa credível que afetou os Controladores de Zona de Armazenamento do ShareFile, levando à desativação temporária de contas. Além disso, a Zimbra divulgou uma atualização crítica para corrigir uma vulnerabilidade de execução de código remoto em seu cliente web. O pacote npm Jscrambler foi comprometido, permitindo a instalação de um ladrão de informações em várias plataformas. A Microsoft revelou um novo backdoor chamado GigaWiper, que pode tornar um sistema inoperável de várias maneiras. Outro ataque, denominado SHELLSTORM, comprometeu mais de 1,4 milhão de domínios através de plugins do WordPress. A pesquisa também destacou uma nova técnica chamada HalluSquatting, que engana assistentes de codificação baseados em IA para executar códigos maliciosos. O aumento da complexidade e da velocidade dos ataques exige uma resposta rápida e eficaz das equipes de segurança.

Agências de Cibersegurança alertam sobre hackers russos atacando roteadores

Agências de cibersegurança dos Estados Unidos e de oito outros países emitiram um alerta conjunto sobre hackers estatais russos que estão atacando roteadores vulneráveis e mal configurados para infiltrar redes de infraestrutura crítica. O aviso, coautorado pela NSA, FBI e CISA, entre outras agências, atribui os ataques ao Centro 16 do Serviço Federal de Segurança da Rússia (FSB). Este grupo de hackers, conhecido por vários nomes como Berserk Bear e Energetic Bear, utiliza varreduras de SNMP para localizar roteadores que aceitam senhas padrão e, em seguida, executa comandos para copiar arquivos de configuração e exfiltrá-los. Além disso, o FBI já havia alertado sobre a exploração de uma vulnerabilidade crítica no recurso Smart Install de dispositivos Cisco. Os setores mais vulneráveis incluem energia, comunicações, saúde e serviços governamentais. As agências recomendam a atualização para SNMPv3, a desativação do Smart Install e a aplicação de senhas fortes. Este alerta segue uma operação internacional que desmantelou uma campanha de hackers que infectou 18.000 roteadores em 120 países, alterando configurações de DNS para roubar credenciais do Microsoft 365.

União Europeia e Reino Unido sancionam hackers russos

A União Europeia e o Reino Unido impuseram sanções a diversos indivíduos e entidades russas, acusando o país de coordenar uma rede de grupos de hackers responsáveis por ataques cibernéticos na Europa. As sanções incluem nove indivíduos e quatro entidades, entre eles oficiais da inteligência militar russa (GRU) e cibercriminosos. O Reino Unido sancionou 24 indivíduos, incluindo figuras seniores do GRU, que supostamente dirigiram operações cibernéticas. Além disso, membros da empresa IMPULS, acusada de recrutar hackers, e indivíduos ligados à operação de malware Lumma Stealer, que afetou mais de 2.100 vítimas, também foram sancionados. O Conselho da UE identificou o 16º Centro do Serviço Federal de Segurança da Rússia (FSB) como responsável por controlar grupos de ameaças cibernéticas, incluindo o notório grupo de hackers Turla, que tem atacado redes governamentais e infraestrutura crítica em vários países europeus desde 2010. Recentemente, um ataque cibernético em dezembro atingiu a infraestrutura elétrica da Polônia, embora não tenha conseguido interromper o fornecimento de energia. As sanções são uma resposta a atividades maliciosas que visam desestabilizar a UE e seus parceiros internacionais.

CISA alerta sobre falhas críticas em extensões Joomla com exploração ativa

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança de severidade máxima no catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), afetando as extensões iCagenda e Balbooa para Joomla. Ambas as vulnerabilidades, avaliadas com 10.0 no sistema de pontuação CVSS, permitem a execução remota de código através do upload de arquivos arbitrários. A CVE-2026-48939, relacionada ao iCagenda, foi explorada como um zero-day desde 15 de junho de 2026, permitindo que atacantes enviassem arquivos PHP maliciosos. Já a CVE-2026-56291, que afeta o Balbooa Forms, foi identificada em ataques que permitiram o upload de arquivos sem autenticação, resultando em execução remota de código. Ambas as extensões têm versões corrigidas disponíveis, e os proprietários de sites são aconselhados a verificar e remover arquivos PHP suspeitos. Além disso, o Centro de Segurança Cibernética da Austrália (ACSC) emitiu um alerta sobre uma campanha global de exploração de vulnerabilidades em sistemas de gerenciamento de conteúdo (CMS), destacando a gravidade da situação e a necessidade de vigilância constante.

Operação de phishing no Microsoft 365 expõe vulnerabilidades graves

Um ataque de phishing ativo direcionado a usuários do Microsoft 365 foi descoberto, revelando falhas significativas na segurança. Um operador egípcio, identificado como codemado, deixou um servidor Python exposto na internet, permitindo que a empresa de segurança Lexfo acessasse sua ferramenta de ataque. O operador utilizou uma versão modificada do proxy Evilginx, que permitiu contornar a autenticação multifator (MFA) de duas maneiras distintas. A primeira técnica envolveu a intermediação do login ao vivo, enquanto a segunda abusou de um fluxo de login legítimo da Microsoft.

Ameaça de cibersegurança invasão com script PowerShell e IA

Pesquisadores de cibersegurança identificaram uma intrusão em que um ator desconhecido utilizou um script PowerShell codificado para enumeração do Active Directory (AD). O ataque, ocorrido em junho de 2026, envolveu o uso de credenciais pré-comprometidas para acessar um servidor Windows e mapear usuários, computadores e domínios. O script, descrito como ‘altamente agressivo’, empregou uma abordagem de cinco etapas para coletar informações do AD, culminando na criação de um relatório HTML sobre a tentativa de enumeração. Além disso, o atacante utilizou ferramentas legítimas como s5cmd e SharpShares para buscar repositórios de dados acessíveis. A pesquisa sugere que a utilização de inteligência artificial (IA) por parte dos atacantes está facilitando a execução de ataques complexos, permitindo que indivíduos menos experientes realizem ações de cibercrime com maior eficácia. A velocidade e a escala dos ataques estão aumentando, tornando mais difícil para as defesas se manterem atualizadas. Este incidente destaca a necessidade urgente de que as organizações revisem suas práticas de segurança e implementem medidas proativas para proteger seus ambientes de TI.

A Importância da Inteligência Artificial na Segurança Cibernética

Recentemente, um CISO de uma empresa Fortune 50 discutiu a integração de agentes de IA em sua equipe de segurança cibernética. Embora a equipe tenha obtido resultados positivos ao conectar ferramentas de detecção a um modelo de IA, a arquitetura proposta não abordava adequadamente a maioria dos alertas, que exigem processamento automático. O psicólogo Daniel Kahneman, em seu livro ‘Thinking, Fast and Slow’, argumenta que o cérebro humano opera em dois sistemas: o Sistema 1, que é rápido e automático, e o Sistema 2, que é lento e deliberativo. Estudos mostram que 98% dos alertas de segurança podem ser resolvidos autonomamente, enquanto apenas 2% realmente necessitam de análise humana. A proposta é que as equipes de segurança cibernética utilizem IA para lidar com a maioria dos alertas, permitindo que os analistas humanos se concentrem em casos que realmente exigem julgamento crítico. Essa abordagem não só melhora a eficiência, mas também reduz a exaustão dos analistas, aumentando a capacidade de identificar ameaças reais que podem estar escondidas entre alertas de baixa severidade.

Meta registra patente de IA para análise emocional e coaching

A Meta, empresa controladora do Facebook, apresentou uma solicitação de patente para uma tecnologia de inteligência artificial (IA) que escuta a voz do usuário ao longo do dia, analisando seu estado emocional com base no tom e na forma de falar. A patente, registrada em dezembro de 2025 e publicada em julho de 2026, descreve um dispositivo que pode ser um smartphone, óculos inteligentes ou um assistente de voz, que registra e transcreve a fala do usuário, associando-a a dados contextuais como localização e atividades. A IA não apenas identifica emoções, mas também fornece um resumo das emoções ao longo do tempo, incluindo dados biométricos como tamanho da pupila e taxa de piscar. Além disso, a patente inclui um sistema de coaching de exercícios que ajusta o feedback com base no estado emocional do usuário. Embora a Meta ainda não tenha lançado um produto baseado nessa tecnologia, a proposta levanta preocupações sobre privacidade e regulamentação, especialmente em relação à coleta de dados sensíveis. A União Europeia já impôs restrições ao uso de IA que inferem emoções em ambientes de trabalho e escolares, destacando a necessidade de regulamentação rigorosa nesse campo.

OpenAI remove limite de uso do GPT-5.6 Sol temporariamente

A OpenAI anunciou a remoção temporária do limite de uso de cinco horas para os planos Plus, Pro e Business do modelo GPT-5.6 Sol, após um aumento significativo na demanda. Essa mudança, que foi confirmada no último domingo, também inclui um reset de uso para todos os usuários. O líder de produto da OpenAI, Tibo, destacou que as últimas 48 horas foram intensas para os serviços Codex e ChatGPT, levando à decisão de eliminar a restrição de tempo. Normalmente, o ChatGPT opera com uma janela de cinco horas, mas agora os usuários não precisarão interromper suas atividades ao atingir esse limite. Além disso, a OpenAI está implementando melhorias para tornar o GPT-5.6 Sol mais eficiente, reduzindo o consumo de tokens e permitindo que os usuários realizem mais tarefas antes de atingir o limite de uso. Embora a OpenAI não tenha detalhado como exatamente a eficiência foi aumentada, a expectativa é que isso proporcione uma experiência mais fluida e produtiva para os usuários. Essa atualização é particularmente relevante para desenvolvedores e empresas que utilizam o modelo para tarefas de programação e automação.

Você não tem privacidade nenhuma. Aceite isso

O artigo destaca uma declaração polêmica de Scott McNealy, CEO da Sun Microsystems, que afirmou: ‘Você não tem zero privacidade de qualquer forma. Aceite isso’. Essa afirmação, feita durante uma sessão de perguntas e respostas, reflete uma visão que se tornou cada vez mais relevante na era digital atual, onde a coleta de dados dos usuários é uma prática comum. A Sun Microsystems lançou a plataforma Jini, que permitia a comunicação entre dispositivos sem a necessidade de configuração, mas que também gerava um grande volume de dados. As preocupações sobre privacidade levantadas por McNealy foram criticadas por defensores da privacidade, que consideraram suas palavras irresponsáveis. No entanto, a realidade é que a indústria de tecnologia tem avançado em direção à coleta massiva de dados, muitas vezes sem o consentimento adequado dos usuários. O escândalo da Cambridge Analytica é um exemplo notório de como os dados dos usuários podem ser usados para fins políticos. Atualmente, a tecnologia é dominada por sistemas de coleta de dados e inteligência artificial, levantando questões sobre o capitalismo de vigilância e a expectativa de que os consumidores simplesmente aceitem essa realidade.

Anthropic estende acesso ao Claude Fable 5 até 19 de julho

A Anthropic anunciou a extensão do acesso ao modelo Claude Fable 5 para assinantes pagos até 19 de julho de 2026. Inicialmente, o acesso estava limitado até 7 de julho, mas foi prorrogado em várias ocasiões, permitindo que usuários das assinaturas Pro, Max, Team e Enterprise continuem utilizando o modelo sem custo adicional até a nova data. O Fable 5 permite que os usuários utilizem até 50% de seus limites semanais de uso sem cobranças extras, embora a empresa tenha alertado que o uso do Fable 5 consome esses limites mais rapidamente do que outros modelos. O acesso ao Fable 5 está disponível em várias plataformas, incluindo web, mobile e desktop, e requer versões específicas de aplicativos para funcionar corretamente. Após atingir o limite de uso, os usuários podem optar por continuar utilizando o modelo com créditos de uso ou mudar para outro modelo Claude. A promoção não se aplica a usuários gratuitos ou a planos de uso baseado em Enterprise. A Anthropic também afirmou que o Fable 5 não será removido permanentemente das assinaturas, com planos de restaurá-lo quando houver capacidade computacional suficiente.

Novo malware RedHook explora ADB sem conexão USB no Android

Uma nova versão do malware RedHook para Android está utilizando de forma inovadora o mecanismo de Wireless Debugging (Wireless ADB) para obter privilégios de shell sem a necessidade de conexão com um computador. Pesquisadores da empresa de cibersegurança Group-IB analisaram essa variante, que expande significativamente suas capacidades em comparação com a versão anterior de 2025. O RedHook mantém suas características de trojan de acesso remoto (RAT), permitindo o streaming de tela, interceptação de teclas, automação de interações na interface do usuário e roubo de credenciais.

CEO da Suno afirma que fazer música não é mais prazeroso

Mikey Shulman, CEO da Suno, uma plataforma de geração de música por IA, gerou polêmica ao afirmar que a criação musical não é uma atividade prazerosa para a maioria das pessoas. Durante uma entrevista no podcast 20VC, ele destacou que a produção musical exige tempo, prática e habilidades que muitos não possuem, sugerindo que sua plataforma poderia facilitar esse processo e democratizar a criação musical. No entanto, suas declarações provocaram uma forte reação negativa de músicos e profissionais da indústria, que argumentaram que o esforço e a dedicação são partes essenciais da experiência artística. A preocupação com o impacto da IA na indústria musical é crescente, com previsões indicando que os trabalhadores do setor podem perder até 25% de sua renda nos próximos anos. Shulman posteriormente se desculpou por suas declarações, reconhecendo a importância do trabalho árduo na música. O artigo destaca a tensão entre a inovação tecnológica e a preservação da arte, refletindo um debate mais amplo sobre o papel da IA nas indústrias criativas.

Atividade de espionagem cibernética contra a polícia do Paquistão

Pesquisadores de cibersegurança revelaram uma série de atividades de espionagem cibernética direcionadas a várias organizações de aplicação da lei no Paquistão, supostamente realizadas por atores de ameaças alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026. O foco principal foi a Polícia de Balochistão, onde servidores que hospedam aplicações web gerenciando dados policiais e de cidadãos, como registros criminais e biométricos, foram comprometidos. Um dos aplicativos afetados, o Sistema de Gestão de Reclamações (CMS), foi utilizado para implantar um malware disfarçado de atualização do portal. Além da Polícia de Balochistão, outras organizações, como a Polícia de Khyber Pakhtunkhwa e a Polícia de Islamabad, também foram alvo. Quatro grupos de ameaças distintos foram identificados, utilizando famílias de malware como PlugX, ShadowPad, Cobalt Strike e Remcos RAT. A atividade é notável por envolver tanto aliados quanto adversários do Paquistão, indicando um alto valor estratégico das informações coletadas. A convergência de múltiplos atores de espionagem cibernética contra instituições de segurança de um único estado destaca a importância dessas organizações na segurança interna do país.

Pacote jscrambler npm comprometido infostealer em máquinas de desenvolvedores

O pacote jscrambler na versão 8.14.0 foi comprometido, e sua instalação ativa um infostealer em máquinas de desenvolvedores. Publicado em 11 de julho de 2026, essa versão maliciosa contém um hook de pré-instalação que baixa e executa um binário nativo para Windows, macOS e Linux. A análise da StepSecurity e SafeDep revelou que a versão 8.14.0 foi publicada diretamente no npm por uma conta de mantenedor legítima, o que sugere uma conta comprometida ou um pipeline de construção vulnerável. O infostealer, escrito em Rust, visa coletar credenciais de nuvem, senhas de navegadores, e até arquivos de configuração de ferramentas de codificação de IA. Além disso, ele possui capacidades de persistência e anti-debugging, o que o torna ainda mais perigoso. A versão 8.15.0 já foi lançada, mas a 8.14.0 ainda está disponível no npm, representando um risco contínuo para aqueles que não atualizarem. O alerta é claro: qualquer máquina que tenha executado a versão comprometida deve considerar todos os segredos acessíveis como comprometidos e tomar medidas imediatas de mitigação.

Campanha global explora sistemas de gerenciamento de conteúdo vulneráveis

O Centro Australiano de Cibersegurança (ACSC) emitiu um alerta sobre uma campanha de exploração global que visa sistemas de gerenciamento de conteúdo (CMS) e plugins vulneráveis. Muitas empresas australianas já foram afetadas, com a implantação de webshells em seus sites. Esses webshells permitem acesso persistente aos sites comprometidos, possibilitando que atores maliciosos interrompam serviços, roubem credenciais e instalem malware adicional. A ACSC destaca que a campanha está explorando falhas em várias plataformas CMS, incluindo WordPress, Joomla e Craft CMS, com uma lista de produtos específicos afetados. Além disso, a agência sugere que a atividade pode ser apoiada por inteligência artificial, acelerando os ataques. Para mitigar os riscos, os administradores de sites devem aplicar atualizações de segurança, remover componentes não utilizados e monitorar a criação não autorizada de arquivos. O alerta é um chamado à ação para que as empresas se protejam contra essas ameaças.

Ataque Ghostcommit rouba segredos de repositórios usando PNGs

Pesquisadores da Universidade de Missouri-Kansas City desenvolveram um ataque chamado ‘Ghostcommit’, que permite roubar segredos de repositórios de código ao ocultar instruções maliciosas dentro de imagens PNG. O ataque explora uma lacuna na revisão de pull requests, onde 73% dos PRs mesclados em repositórios públicos não recebem revisão humana ou de bots. A técnica consiste em inserir um código que, quando ativado por um agente de codificação, lê o arquivo .env do repositório e extrai chaves secretas, apresentando-as como uma lista de números inofensivos. O ataque foi testado com sucesso em várias ferramentas de codificação, destacando a importância de uma defesa em profundidade, que inclui a análise de imagens e a verificação de comportamentos em tempo de execução. Os pesquisadores também desenvolveram uma ferramenta de defesa que conseguiu detectar a maioria das tentativas de ataque em testes ao vivo. Este incidente revela a vulnerabilidade das práticas atuais de revisão de código e a necessidade urgente de melhorias nas ferramentas de segurança para evitar a exploração de tais falhas.

Zimbra alerta sobre vulnerabilidade crítica em cliente web

A Zimbra está alertando seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, a qual pode permitir a execução de código arbitrário. Essa falha é classificada como um caso de cross-site scripting (XSS) armazenado, onde e-mails especialmente elaborados podem executar scripts maliciosos na sessão do usuário ao serem abertos. A empresa recomenda que os usuários atualizem para a versão 10.1.19 do Zimbra Collaboration Suite para garantir a proteção adequada. Embora a Zimbra não tenha relatado exploração ativa dessa vulnerabilidade, falhas XSS em suas plataformas têm sido alvo de ataques nos últimos anos, com tentativas de exploração documentadas desde dezembro de 2021. A vulnerabilidade atual ainda não possui um identificador CVE, mas a gravidade do problema é acentuada pelo potencial de acesso a informações de caixa de entrada, dados de sessão e configurações de conta. A atualização é essencial para mitigar riscos, especialmente considerando que outras falhas XSS já foram exploradas em ataques direcionados, como os que afetaram o setor militar brasileiro no passado.

IA acelera ataques e obriga empresas a priorizar vulnerabilidades

Em 2026, as vulnerabilidades representam cerca de 40% das exposições críticas em ambientes corporativos, um aumento significativo em relação ao ano anterior. Um estudo da Check Point Software revela que, apesar do crescimento na proporção de vulnerabilidades, apenas 7,8% dos alertas foram classificados como críticos ou de alta prioridade. Isso indica que, embora o número de exposições tenha aumentado, a maioria não exige ação imediata. A pressão sobre as equipes de segurança é intensificada por ferramentas de ataque assistidas por inteligência artificial (IA), que conseguem explorar falhas conhecidas em uma escala e velocidade superiores à capacidade de análise manual das equipes. O conceito de ‘intervalo de exposição’ é crucial, pois refere-se ao tempo entre a identificação de uma vulnerabilidade e sua correção, período em que os atacantes podem agir. As organizações que se destacam são aquelas que conseguem rapidamente identificar e corrigir os riscos realmente exploráveis, priorizando as ações de segurança. O relatório analisou dados de 715 organizações em cinco regiões, incluindo a América Latina, entre janeiro de 2025 e maio de 2026.

Homem de origem armênia se declara culpado por ataque de ransomware nos EUA

Karen Serobovich Vardanyan, um homem armênio de 34 anos, se declarou culpado por invadir empresas nos Estados Unidos e implantar o ransomware Ryuk, que criptografou sistemas de diversas organizações. Ele foi extraditado para os EUA após ser preso em Kyiv em abril de 2025, onde forneceu acesso inicial a redes corporativas. Entre novembro de 2019 e abril de 2020, Vardanyan e seus cúmplices atacaram várias empresas, incluindo uma no Michigan que pagou 200 BTC, equivalente a mais de 1,1 milhão de dólares na época. O Departamento de Justiça dos EUA informou que o grupo recebeu cerca de 1.610 bitcoins em pagamentos de resgate, totalizando aproximadamente 15 milhões de dólares. A operação Ryuk, ativa de 2018 a 2020, era conhecida por atacar setores variados, incluindo prestadores de serviços de saúde durante a pandemia de COVID-19. Após o fechamento do grupo, muitos membros migraram para a operação Conti, que se tornou uma das mais ativas. Vardanyan foi indiciado em fevereiro de 2024 e enfrenta uma pena máxima de 15 anos de prisão, além de multas significativas. Como parte de seu acordo, ele concordou em pagar mais de 1,1 milhão de dólares em restituição.

Seis vulnerabilidades críticas no U-Boot podem permitir ataques de firmware

Seis vulnerabilidades foram descobertas no U-Boot, um dos bootloaders de código aberto mais utilizados globalmente, que podem permitir a execução de código malicioso durante o processo de inicialização de dispositivos. O U-Boot é amplamente encontrado em dispositivos Linux embarcados, como controladores de gerenciamento de placa-mãe (BMCs), equipamentos de rede e dispositivos IoT. As falhas, identificadas pela empresa de segurança Binarly, variam de negação de serviço (DoS) a execução arbitrária de código, comprometendo a segurança antes mesmo do sistema operacional ser carregado. Dentre as vulnerabilidades, duas podem permitir a execução de código arbitrário, enquanto as outras quatro podem causar falhas nos dispositivos. A exploração dessas falhas pode ocorrer sem acesso físico, especialmente em sistemas que suportam atualizações de firmware remotas. Embora a Binarly tenha reportado as vulnerabilidades e enviado patches, a implementação das correções depende dos fabricantes de hardware, o que pode deixar dispositivos mais antigos sem proteção. A natureza crítica dessas falhas exige atenção imediata das equipes de segurança, pois podem resultar em malware persistente e comprometimento de sistemas antes da inicialização do sistema operacional.

Novas falhas de segurança no U-Boot podem comprometer dispositivos

Pesquisadores da Binarly identificaram seis novas vulnerabilidades no U-Boot, um bootloader amplamente utilizado em dispositivos como roteadores, câmeras inteligentes e servidores de data centers. Quatro das falhas podem causar a queda do dispositivo, enquanto duas permitem que um atacante execute código malicioso antes da verificação da autenticidade do software. Essas vulnerabilidades estão presentes no U-Boot desde a versão v2013.07 e afetam mais de 50 versões estáveis. As falhas são categorizadas como BRLY-2026-037 a BRLY-2026-042, sendo que as duas mais críticas podem levar à execução de código malicioso. A exploração dessas falhas requer que uma imagem maliciosa chegue ao caminho de inicialização, o que geralmente exige acesso físico ou um ponto de acesso privilegiado. Embora a Binarly tenha publicado provas de conceito, não há relatos de exploração em ataques reais. A correção das falhas foi integrada ao U-Boot em junho, mas ainda não há uma versão estável disponível com os patches. Para os fabricantes de dispositivos que utilizam U-Boot, é crucial implementar as correções imediatamente, uma vez que a próxima versão está prevista apenas para outubro.

Ameaça de malware compromete repositório do Injective Labs no GitHub

Um ataque cibernético recente comprometeu o repositório do projeto Injective Labs SDK no GitHub, resultando na publicação de um pacote malicioso na npm registry. A versão comprometida, @injectivelabs/sdk-ts@1.20.21, foi lançada em 8 de julho de 2026 e continha uma funcionalidade falsa de telemetria que exfiltrava dados sensíveis de carteiras de criptomoedas, como chaves privadas e frases mnemônicas. O ataque foi realizado por um ator desconhecido que utilizou uma conta de desenvolvedor confiável para introduzir os commits maliciosos. Além disso, a versão comprometida foi publicada em 17 outros pacotes relacionados, aumentando o risco para usuários que não instalaram a biblioteca diretamente. O malware modifica funções legítimas para capturar informações sensíveis sem ser detectado, enviando-as para um servidor remoto. Os usuários que instalaram a versão maliciosa devem atualizar para a versão limpa (1.20.23) e considerar suas chaves como comprometidas. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Progress Software alerta sobre ameaça à segurança do ShareFile

A Progress Software emitiu um alerta para os clientes do ShareFile, recomendando que desliguem os servidores Windows que operam os Controladores de Zona de Armazenamento (Storage Zone Controllers), devido a uma “ameaça externa credível”. A empresa desativou temporariamente o acesso às contas afetadas como medida de precaução enquanto investiga a situação com especialistas em segurança. Embora não haja indícios de acesso não autorizado a contas ou dados do ShareFile, a falta de informações sobre a natureza da ameaça levanta preocupações. O controlador, que permite que empresas mantenham arquivos em seu próprio armazenamento enquanto utilizam a nuvem do ShareFile, está exposto à internet, tornando-se um alvo potencial. A decisão de desligá-lo completamente, em vez de aplicar um patch, sugere que a vulnerabilidade pode ser grave. A situação é semelhante a um incidente anterior em 2023, quando um erro não autenticado foi explorado. Os clientes devem seguir as instruções de desligamento e verificar se suas versões do software estão atualizadas, mas não devem reiniciar os sistemas até que a Progress forneça mais informações.

Microsoft descobre novo pacote de malware GigaWiper

A Microsoft alertou sobre um novo malware chamado GigaWiper, atribuído ao grupo iraniano CyberAv3ngers. Este software malicioso combina várias variantes de malware, permitindo que ele execute funções de espionagem e destruição de dados. O GigaWiper pode apagar drives, criptografar arquivos com uma extensão falsa de ransomware e sobrepor partições do Windows, tornando os dados irrecuperáveis. Além disso, ele pode capturar capturas de tela, gravar a tela do usuário e acessar dados do sistema. O malware se disfarça como tarefas de atualização do OneDrive, o que dificulta sua detecção. A Microsoft não especificou um caminho de recuperação para os dados afetados, o que aumenta a gravidade da ameaça. O uso de técnicas de ofuscação sugere que os atacantes tentaram minimizar a detecção por parte dos usuários e sistemas de segurança. A combinação de espionagem e destruição torna o GigaWiper uma ameaça significativa para empresas e usuários em geral.

A segurança foi feita para pessoas, mas a IA expõe lacunas

O artigo de Grady Summers, CEO da Netwrix, aborda a crescente preocupação com a segurança de identidades não humanas em ambientes corporativos, onde identidades de máquinas já superam as humanas em muitos casos. Essas identidades, que incluem agentes de IA, contas de serviço e aplicações OAuth, não seguem o ciclo de vida típico dos usuários humanos, como mudanças de função ou desligamentos. Isso gera um desafio significativo para as equipes de segurança, que frequentemente não têm visibilidade sobre quem possui essas identidades, quais permissões têm e o que podem acessar. Um exemplo alarmante é o caso do ator de ameaças UNC6395, que explorou um token OAuth confiável para acessar ambientes Salesforce, demonstrando como identidades confiáveis podem ser a porta de entrada para ataques mais amplos. O artigo destaca que, mesmo organizações com boas práticas de governança de identidade, que monitoram identidades não humanas, ainda enfrentam taxas de violação alarmantes. A falta de respostas para perguntas cruciais sobre a propriedade e o gerenciamento dessas identidades pode aumentar a superfície de ataque. Portanto, é essencial que as equipes de segurança desenvolvam uma compreensão clara e contínua das identidades em seus ambientes, especialmente à medida que a adoção de IA se expande.

Búlgaro é acusado de roubar criptomoeda enquanto estava preso

Rossen G. Iossifov, um cidadão búlgaro de 53 anos, foi acusado de roubar $290.000 em criptomoedas que haviam sido apreendidas pelo governo dos EUA, enquanto cumpria uma pena de 121 meses de prisão por lavagem de dinheiro. Iossifov, que já havia sido condenado em 2021 por operar uma exchange de criptomoedas chamada RG Coins, supostamente conspirou com outros para mover os fundos de uma conta apreendida, utilizando várias exchanges e serviços de mistura para evitar a detecção. O agente especial do Serviço Secreto dos EUA, Robert Holman, afirmou que a tentativa de Iossifov de desviar e lavar fundos legalmente apreendidos é um desafio direto ao sistema de justiça e uma desconsideração pelos direitos das vítimas. Iossifov já havia lavado quase $5 milhões para membros de uma rede de fraude que enganou pelo menos 900 americanos, utilizando anúncios falsos para vender produtos inexistentes. Ele foi condenado a pagar mais de $2,6 milhões em restituição às vítimas e, se condenado pelas novas acusações, pode enfrentar até 25 anos de prisão.

Vulnerabilidade crítica no Docker do Gitea permite ataque de impersonação

Hackers estão explorando uma vulnerabilidade crítica na imagem oficial do Docker do Gitea, um serviço de Git auto-hospedado, que permite que atacantes se façam passar por qualquer usuário, incluindo administradores. A falha, conhecida como CVE-2026-20896, é uma vulnerabilidade de bypass de autenticação que afeta implantações com a configuração padrão, onde cabeçalhos de autenticação de proxy reverso, como o X-WEBAUTH-USER, estão habilitados. Michael Clark, pesquisador de segurança da Sysdig, confirmou que a exploração da falha começou menos de duas semanas antes de sua divulgação pública. Atualmente, existem cerca de 6.200 instâncias do Gitea expostas na web, mas não está claro quantas delas são vulneráveis. A configuração padrão do Gitea confia no cabeçalho X-WEBAUTH-USER de qualquer endereço IP, permitindo que um cliente da internet não autenticado se passe por qualquer usuário conhecido. O Gitea lançou versões 1.26.3 e 1.26.4 para corrigir a vulnerabilidade e recomendou que os usuários atualizassem imediatamente. A Agência de Cibersegurança de Cingapura também emitiu um alerta sobre a exploração ativa dessa vulnerabilidade.

Polícia Holandesa investiga hackers em violação de dados da Odido

A Polícia Nacional da Holanda revelou indícios de que hackers holandeses estiveram envolvidos em uma violação de dados ocorrida em fevereiro na operadora de telecomunicações Odido. A investigação apontou que um homem de fala holandesa se passou por funcionário de TI da empresa durante uma ligação com o serviço de atendimento ao cliente, levando a um ataque de phishing que resultou no roubo de dados pessoais de 6,2 milhões de clientes. As informações expostas incluem nome completo, endereço, número de telefone, e dados bancários, mas não incluem detalhes de chamadas ou senhas. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque, divulgando um arquivo de 88GB com mais de 15 milhões de registros. A polícia destacou que, embora as investigações sejam complexas, os criminosos digitais deixam rastros que podem ser utilizados para identificar os responsáveis. A Odido, uma das maiores operadoras de telecomunicações da Holanda, ainda não atribuiu oficialmente a violação, mas o impacto na segurança de dados é significativo, especialmente considerando a legislação de proteção de dados, como a LGPD no Brasil.

Grupo de cibercrime ligado à China lança novo trojan baseado em Rust

O grupo de cibercrime conhecido como Silver Fox, vinculado à China, foi associado a um novo trojan de acesso remoto (RAR) chamado MODBEACON, desenvolvido em Rust. Segundo a empresa de cibersegurança QiAnXin, embora a operação pareça de baixa sofisticação, ela possui uma estrutura organizacional complexa, envolvendo múltiplos distribuidores que propagam malware por meio de instaladores falsificados e técnicas de SEO. Uma campanha observada em junho de 2026 visou empresas de tecnologia, educação e estatais na Ásia, utilizando uma infraestrutura de comando e controle (C2) hospedada na Amazon e na rede de entrega de conteúdo (CDN) da Cloudflare.

Vulnerabilidades críticas no assistente de IA OpenClaw expostas

Recentemente, foram reveladas três vulnerabilidades críticas no assistente de inteligência artificial OpenClaw, que, se exploradas, podem permitir o roubo de credenciais, escalonamento de privilégios e execução de código arbitrário no sistema host. As falhas, identificadas como GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm, ambas com uma pontuação CVSS de 8.8, envolvem injeção de comandos do sistema operacional e uma lista incompleta de entradas não permitidas. A terceira vulnerabilidade, GHSA-575v-8hfq-m3mc, com uma pontuação CVSS de 8.4, refere-se a uma falha de travessia de caminho que pode permitir que montagens de sandbox contornem verificações de autorização. Todas as falhas foram corrigidas na versão 2026.6.6 do OpenClaw. O pesquisador de segurança Chinmohan Nayak, que descobriu as vulnerabilidades, alertou que elas podem ser utilizadas para executar código no host a partir de mensagens externas, como as enviadas pelo WhatsApp. A OpenClaw recomenda que os usuários atualizem para a versão mais recente e adotem medidas de segurança adicionais, como habilitar o modo sandbox e restringir o uso de comandos potencialmente perigosos.

Vulnerabilidade em carteiras Tangem permite reset de senha com laser

Pesquisadores da equipe de segurança Donjon, da Ledger, descobriram uma vulnerabilidade crítica nas carteiras de criptomoedas Tangem. Um ataque físico, utilizando um pulso de laser precisamente cronometrado, pode redefinir a senha de uma carteira Tangem para qualquer valor escolhido pelo atacante. Este ataque exige acesso físico ao cartão e um laboratório especializado, estimado em cerca de 250 mil dólares, além de danificar o cartão de forma visível. A vulnerabilidade reside na função de redefinição de senha, que permite que um novo código seja aceito sem a necessidade da senha antiga, caso o cartão esteja em modo de recuperação. Como as carteiras Tangem não podem receber atualizações de software, a falha é permanente e afeta todos os cartões já vendidos. Embora o ataque não represente uma emergência para a maioria dos usuários, aqueles que perderam ou tiveram seus cartões roubados devem agir rapidamente para proteger seus ativos. A Tangem respondeu afirmando que a vulnerabilidade é uma técnica de laboratório e não exclusiva de seus produtos, além de ressaltar que até o momento, ninguém perdeu fundos devido a esse tipo de ataque.

Ex-funcionário de empresa de cibersegurança é condenado por ransomware

Angelo Martino, ex-funcionário da DigitalMint, foi condenado a 70 meses de prisão por sua participação em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. O FBI relaciona o grupo BlackCat a mais de 60 violações de segurança entre novembro de 2021 e março de 2022, com um total de pelo menos 300 milhões de dólares em pagamentos de resgate de mais de 1.000 vítimas até setembro de 2023. Martino, junto com outros dois negociadores de ransomware, Kevin Tyler Martin e Ryan Clifford Goldberg, foi acusado de extorquir empresas, ameaçando vazar dados roubados e exigindo pagamentos de resgate. Os três ex-funcionários da DigitalMint e Sygnia pagaram 20% dos lucros dos resgates aos administradores do BlackCat. Entre as vítimas estão organizações financeiras e instituições educacionais que pagaram resgates significativos, como 25,6 milhões e 26,7 milhões de dólares. A DigitalMint condenou as ações de Martino e Martin, afirmando que foram demitidos assim que suas condutas foram descobertas.

Zimbra alerta sobre vulnerabilidade crítica em cliente web clássico

A equipe de segurança da Zimbra alertou seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, utilizado para acessar a suíte de colaboração Zimbra. Essa falha de segurança, que ainda não possui um ID CVE, permite que atacantes explorem o cliente através de e-mails maliciosos, executando código malicioso ao abrir as mensagens. A exploração bem-sucedida pode resultar no roubo de dados de sessão, configurações de conta e informações da caixa de entrada. A Zimbra lançou a versão 10.1.19 para corrigir essa vulnerabilidade e recomenda que todos os usuários do Classic Web Client atualizem imediatamente. Embora a vulnerabilidade ainda não tenha sido confirmada como explorada ativamente, foi reportada pelo Google Threat Analysis Group, que frequentemente identifica exploits zero-day usados por grupos de hackers apoiados por estados. Nos últimos anos, hackers patrocinados pelo estado russo têm explorado vulnerabilidades do Zimbra para comprometer servidores vulneráveis, incluindo ataques a organizações alinhadas à OTAN. A situação é crítica, pois a falha pode ser utilizada em ataques direcionados a indivíduos de alto risco, como políticos e jornalistas. Portanto, a atualização é essencial para garantir a segurança dos ambientes que utilizam essa tecnologia.

Grupo de cibercriminosos usa phishing por voz para extorquir dados

Um ator de ameaças, identificado como O-UNC-066, está atacando organizações de diversos setores com solicitações de segurança falsas baseadas em voz, visando usuários do Microsoft 365. O grupo utiliza um kit de phishing controlado por painel que foca no processo de registro de chaves de acesso (passkeys). Os ataques têm como alvo indústrias como alimentos e bebidas, tecnologia, saúde, automotiva, construção e aviação. Os criminosos registram domínios que incluem a palavra ‘passkey’ e fazem chamadas para persuadir os usuários a se inscreverem em uma nova chave de acesso. Ao direcionar os usuários para um kit de phishing que imita o processo legítimo da Microsoft, os atacantes conseguem registrar suas próprias chaves de acesso nas contas das vítimas, obtendo acesso não autorizado. Este tipo de ataque se aproveita da falta de familiaridade dos usuários com a autenticação por chaves de acesso, criando uma sequência de páginas que enganam as vítimas a fornecerem suas credenciais e aprovar o registro de uma chave de acesso maliciosa. A situação é preocupante, pois coincide com a Microsoft incentivando a adoção de chaves de acesso, o que pode ser explorado por criminosos para facilitar ataques de extorsão de dados.

Estudo revela falhas graves em aplicativos de VPN gratuitos

Um estudo recente analisou 281 dos aplicativos de VPN gratuitos mais populares disponíveis na Google Play Store e revelou que muitos deles falham em proteger a privacidade e a segurança dos usuários, que são as principais razões para a instalação de uma VPN. Os pesquisadores, da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi, utilizaram um sistema de teste chamado MVPNalyzer, que identificou que 29 aplicativos permitiram vazamentos de tráfego, incluindo consultas DNS que expõem quais sites os usuários visitam. Além disso, 61 aplicativos enviaram dados em texto claro, acessíveis a qualquer um que monitorasse a rede. O estudo destacou cinco aplicativos que baixam arquivos de configuração sem criptografia, permitindo que atacantes redirecionem conexões para servidores controlados por eles. A pesquisa também revelou que 76 aplicativos rastreiam os usuários, enviando informações como o ID de publicidade do dispositivo. A maioria dos aplicativos analisados não seguiu as melhores práticas de segurança, com 89% utilizando um único método de autenticação e muitos empregando criptografia fraca ou desatualizada. Os resultados levantam preocupações sobre a confiabilidade dos aplicativos de VPN gratuitos, que frequentemente prometem privacidade, mas falham em implementá-la adequadamente.

Grupo de cibercrime expõe 1,4 milhão de sites vulneráveis na internet

Um grupo de cibercrime deixou um servidor exposto na internet por três semanas, revelando suas operações internas, incluindo ferramentas de hacking, logs de atividades e listas de alvos que abrangem mais de 1,4 milhão de sites. A operação, chamada WP-SHELLSTORM, é classificada como uma corretora de acesso a webshells, onde os hackers invadem sites, instalam backdoors e revendem esse acesso. A maioria das invasões ocorreu em sites WordPress com plugins desatualizados, especialmente uma falha no plugin Breeze, que permitiu a instalação de webshells em mais de 17 mil sites. Embora o número total de alvos seja alarmante, a quantidade de sites realmente comprometidos é significativamente menor, com estimativas variando entre 5.700 e 25.195 sites. O grupo utilizou scanners automatizados para explorar vulnerabilidades conhecidas e deixou rastros que podem ser rastreados até sua origem. Especialistas alertam que as falhas identificadas estão sob exploração ativa, exigindo que administradores de sites verifiquem e atualizem seus sistemas imediatamente.

Gestão de Ativos A Importância da Precisão na Cibersegurança

Um estudo recente revelou que apenas 45% das empresas consolidam seus dados de ativos e exposição em uma única visão, o que compromete a eficácia dos programas de segurança. A Lumen Technologies, uma empresa de telecomunicações, exemplificou essa situação ao utilizar a plataforma Axonius para integrar dados de mais de 40 sistemas desconectados, resultando na descoberta de 60 vezes mais dispositivos do que se imaginava. Essa falta de precisão nos inventários de ativos é um problema comum, onde diferentes ferramentas de TI e segurança apresentam informações contraditórias. A Lumen, ao corrigir esses dados, não apenas melhorou sua resposta a vulnerabilidades críticas, mas também conseguiu visibilidade sobre a postura de suas aplicações, permitindo uma gestão de riscos mais inteligente. Com dados confiáveis, a empresa evoluiu de um modelo de “scan and spam” para uma abordagem baseada em riscos, priorizando ações de remediação que realmente reduzem a exposição. A visibilidade gerada pela Axonius também influenciou decisões estratégicas, como a migração para a nuvem, reduzindo o risco em 40%. O artigo alerta que muitas organizações podem estar enfrentando lacunas semelhantes em seus dados de ativos, o que pode comprometer suas operações de segurança.

Vulnerabilidade no XQUIC permite queda de servidores com tráfego legal

Uma vulnerabilidade crítica foi descoberta na biblioteca XQUIC, utilizada pela Alibaba para QUIC e HTTP/3, que permite que qualquer cliente remoto derrube o servidor com um pequeno fluxo de tráfego QPACK legítimo. Nomeada XRING, a falha foi divulgada pelo pesquisador Sébastien Féry da FoxIO em 8 de julho de 2026 e não possui correção disponível até o momento. A vulnerabilidade afeta todas as versões do XQUIC até a v1.9.4 e não requer login ou pacotes malformados, bastando cerca de 260 bytes de tráfego normal para causar a queda do servidor. O problema reside na forma como o HTTP/3 comprime cabeçalhos, utilizando uma tabela dinâmica que, quando redimensionada, pode resultar em uma contagem incorreta de bytes, levando a uma cópia de memória que ultrapassa os limites. Isso pode causar falhas no processo do servidor, embora não tenha sido testado se essa corrupção pode ser explorada para execução de código. A FoxIO tentou contatar a Alibaba várias vezes sem resposta antes de tornar a falha pública. A situação é preocupante, especialmente considerando que a XQUIC é open-source, expondo outros servidores que a utilizam, como o Tengine, a riscos semelhantes.

Câmeras em carros novos da UE geram preocupações sobre privacidade

A Comissão Europeia anunciou que todos os novos veículos registrados na União Europeia deverão ser equipados com sistemas avançados de alerta de distração do motorista (ADDW). Esses sistemas, que incluem câmeras voltadas para o rosto do condutor, visam aumentar a segurança nas estradas, onde o número de mortes e ferimentos ainda é considerado elevado. As câmeras monitoram os olhos e expressões faciais do motorista, emitindo alertas sonoros quando detectam distração. No entanto, críticos levantam preocupações sobre a privacidade dos dados coletados, especialmente considerando que a maioria dos carros será conectada à internet até 2030. Uma análise da Mozilla revelou que todas as marcas de automóveis estudadas falharam em atender seus próprios padrões de privacidade. Além disso, a falta de clareza sobre o tratamento dos dados dos motoristas pode levar a implicações legais, como a determinação de prêmios de seguro ou uso em processos judiciais. A implementação inadequada dessa tecnologia também pode resultar em distrações adicionais para os motoristas, criando um paradoxo em relação à segurança.

Hackers comprometem repositório do Injective Labs e roubam chaves de criptomoedas

Recentemente, hackers comprometeram o repositório do projeto Injective Labs no GitHub, publicando um pacote malicioso no Node Package Manager (npm) que visava roubar chaves privadas e frases mnemônicas de carteiras de criptomoedas. A vulnerabilidade foi detectada por empresas de segurança cibernética, incluindo Socket e Ox Security, através da versão 1.20.21 do pacote @injectivelabs/sdk-ts, que possui 50 mil downloads semanais e é amplamente utilizado por desenvolvedores de carteiras de criptomoedas e aplicações DeFi. O ataque começou em 8 de junho, quando o invasor acessou uma conta de um colaborador legítimo e fez alterações suspeitas. Embora o proprietário da conta tenha revertido as mudanças rapidamente, a versão maliciosa já havia sido baixada 310 vezes antes de ser descontinuada. O malware se ativa ao utilizar funções do SDK que geram ou importam chaves de carteira, capturando informações sensíveis e enviando-as para um endpoint público da Injective Labs. Os desenvolvedores afetados são aconselhados a transferir suas criptomoedas para novas carteiras e a rotacionar segredos em seus ambientes.

Projeto OpenMandriva Linux sofre tentativa de sabotagem interna

O projeto OpenMandriva Linux, uma distribuição independente de Linux, foi alvo de uma tentativa de sabotagem interna após desavenças entre colaboradores. O incidente envolveu a exclusão de repositórios no GitHub e a publicação de um pacote vazio que poderia prejudicar os sistemas dos usuários. A situação se agravou após comportamentos abusivos de um colaborador, levando a uma série de ações destrutivas por parte de Davide Beatrici, um desenvolvedor que tinha privilégios administrativos. Beatrici deletou partes de um repositório que estava em desenvolvimento há quase uma década e publicou um pacote que obsoletou componentes importantes dos ambientes de desktop Gnome e Cosmic. A equipe do OpenMandriva está atualmente restaurando os repositórios e realizando uma auditoria completa do sistema para identificar outras mudanças não autorizadas. Beatrici, por sua vez, negou as alegações de sabotagem, afirmando que suas ações foram motivadas por desentendimentos sobre a direção do projeto. Apesar da gravidade das ações, a equipe do OpenMandriva decidiu não tomar medidas legais contra Beatrici.

Microsoft desmantela malware GigaWiper, uma ameaça cibernética complexa

A Microsoft revelou detalhes sobre o GigaWiper, um malware destrutivo que atua como uma backdoor no Windows. O GigaWiper combina três programas maliciosos antigos, permitindo ao operador escolher entre diferentes métodos de destruição: apagar todo o disco, sobrescrever a unidade do Windows ou executar um ransomware falso que criptografa arquivos sem deixar chave para decriptação. O malware também possui capacidades de espionagem, permitindo que o atacante monitore a atividade do usuário, capture telas e controle remotamente o PC infectado. A origem do GigaWiper está ligada a um grupo de hackers possivelmente iraniano, que visa organizações israelenses. A detecção precoce e a manutenção de backups offline são essenciais para mitigar os danos, uma vez que não há patch disponível para este tipo de malware. A Microsoft recomenda a ativação de proteções contra alterações em antivírus e o bloqueio de servidores de comando conhecidos para proteger sistemas contra essa ameaça.