O artigo analisa a crescente atividade de atores de ameaças que transformam grandes coleções de credenciais roubadas em serviços subterrâneos pesquisáveis. Pesquisadores da Flare examinaram 470 postagens em fóruns underground entre janeiro de 2025 e junho de 2026, revelando que esses serviços permitem que compradores solicitem credenciais específicas de empresas, plataformas ou tipos de contas. Os resultados mostram uma camada de serviço dedicada entre infecções por infostealers e atividades de roubo de contas, onde os atores funcionam como corretores de credenciais, monetizando a capacidade de filtrar e entregar resultados direcionados. A análise indica que, embora os vendedores prometam acesso a grandes bases de dados, o feedback dos compradores revela uma discrepância entre o que é anunciado e a realidade, com muitas credenciais sendo inválidas ou duplicadas. Este modelo de serviço representa um exemplo prático de coleta de informações de identidade de vítimas, onde os adversários pesquisam e adquirem credenciais antes da exploração. O artigo destaca a importância de monitorar esses serviços para prevenir incidentes de segurança, especialmente em um cenário onde ataques à cadeia de suprimentos estão se tornando mais comuns.

Nesta semana, o cenário de cibersegurança apresenta ameaças recorrentes, incluindo a campanha FortiBleed, que comprometeu mais de 80 mil dispositivos Fortinet FortiGate em todo o mundo. A campanha, que começou em fevereiro de 2026, utiliza credenciais reutilizadas de incidentes anteriores e técnicas de força bruta, destacando a importância de práticas de segurança robustas, como a autenticação multifator (MFA). Além disso, a Salesforce desativou a integração do aplicativo Klue após um incidente de extorsão que resultou no acesso não autorizado a dados de clientes. A operação de ransomware Gentlemen também está desenvolvendo ferramentas para desativar produtos de detecção de endpoint, enquanto uma nova vulnerabilidade no Splunk permite a execução remota de código sem autenticação. Por fim, um exploit de hardware, chamado usbliter8, afeta chips Apple A12 e A13, sendo impossível de ser corrigido. Essas ameaças ressaltam a necessidade de vigilância contínua e atualização das práticas de segurança em ambientes corporativos.

Em um cenário onde a adoção de Inteligência Artificial (IA) avança rapidamente, um ponto cego nas estratégias de segurança é a vulnerabilidade das infraestruturas legadas que suportam esses sistemas. Um estudo recente revela que 71% das organizações estão testando agentes de IA, mas muitos não consideram as falhas em servidores não corrigidos, permissões mal configuradas e credenciais armazenadas como riscos diretos. Esses fatores podem ser explorados por atacantes para comprometer agentes de IA sem precisar atacá-los diretamente. O artigo detalha um exemplo prático onde um agente de IA foi comprometido através de uma cadeia de vulnerabilidades, começando por um servidor desatualizado e culminando em um acesso indevido a dados sensíveis. A solução proposta envolve uma abordagem de gestão de exposições que considera as dependências dos agentes de IA como ativos críticos, permitindo que as equipes de segurança identifiquem e fechem caminhos de ataque antes que sejam explorados. A urgência em proteger a infraestrutura legada é enfatizada, pois cada novo agente de IA implantado aumenta a superfície de ataque.

A partir de 30 de setembro de 2026, o Google começará a implementar a verificação de desenvolvedores Android em quatro países: Brasil, Indonésia, Cingapura e Tailândia. Essa medida visa bloquear a instalação de aplicativos de desenvolvedores não registrados em dispositivos Android certificados, que representam mais de 95% dos aparelhos fora da China. O novo serviço, chamado Android Developer Verifier, será instalado em dispositivos com Android 8 ou superior e confirmará se um aplicativo está associado a um desenvolvedor verificado antes da instalação. Aplicativos não registrados ainda poderão ser instalados, mas por meio de métodos mais complexos, como o Android Debug Bridge (ADB), que exigem que o usuário ative o modo desenvolvedor e passe por um processo de autenticação. O Google justifica essa mudança como uma forma de combater o malware, que é mais prevalente em fontes não verificadas. No entanto, a comunidade de código aberto, representada por organizações como o F-Droid, expressou preocupações de que essa exigência pode inviabilizar projetos que dependem de contribuições anônimas. A implementação global está prevista para 2027, mas questões sobre o processo de apelação para desenvolvedores e a manutenção do registro de identidade permanecem sem resposta.

Pesquisadores de cibersegurança revelaram uma nova campanha que distribui o malware CastleStealer através de um carregador de malware inédito chamado OXLOADER. Segundo o Elastic Security Labs, a campanha utiliza anúncios maliciosos no Google como ponto de partida para a distribuição do malware. A análise sugere que o ator da ameaça é de língua russa e motivado financeiramente, uma vez que há exclusões explícitas para evitar a infecção de máquinas na região da Comunidade dos Estados Independentes (CEI).

Uma vulnerabilidade crítica foi descoberta no proxy web Squid, conhecida como Squidbleed (CVE-2026-47729), que permite que um usuário mal-intencionado acesse requisições HTTP em texto claro de outros usuários que compartilham o mesmo proxy. Essa falha, que remonta a uma alteração de 1997 no parser de FTP do Squid, pode vazar informações sensíveis, como credenciais e tokens de sessão. O ataque é realizado por um cliente confiável, ou seja, alguém que já tem permissão para usar o proxy, o que é comum em redes compartilhadas, como escolas e escritórios. A vulnerabilidade se manifesta quando o servidor FTP do atacante envia uma linha de listagem que termina logo após o timestamp, fazendo com que o código do Squid leia além do buffer, resultando na exposição de dados de outros usuários. Para mitigar o problema, os pesquisadores recomendam desativar o suporte a FTP, uma vez que a maioria das redes não utiliza mais esse protocolo. A classificação de risco da vulnerabilidade é moderada, com um CVSS de 6.5, e até o momento, não foram relatados casos de exploração ativa. A correção já está disponível, mas é essencial verificar se a atualização foi aplicada corretamente.

Um novo relatório da INTERPOL destaca um aumento dramático no cibercrime na Ásia e no Pacífico, impulsionado pela rápida digitalização e pela penetração da internet. O relatório de Avaliação de Ciberameaças da INTERPOL para 2025/2026 revela que o phishing é a forma mais comum e financeiramente prejudicial de crime cibernético, com um terço dos países da região relatando mais de 10.000 casos entre janeiro de 2024 e março de 2025. Mais da metade dos países membros da INTERPOL indicou que o cibercrime representa pelo menos 30% de todos os crimes registrados. O diretor de Cibercrime da INTERPOL, Neal Jetton, enfatiza que os criminosos estão utilizando inteligência artificial e técnicas de engenharia social em larga escala. O relatório também aponta um aumento significativo em ataques de ransomware, com mais de 135.000 incidentes registrados em 2024, afetando principalmente os setores imobiliário, manufatureiro e de serviços financeiros. Além disso, a utilização de tecnologias como deepfake para fraudes e exploração sexual tem crescido, com organizações criminosas transnacionais estabelecendo centros de fraude que utilizam trabalho forçado. O fortalecimento da cooperação operacional e da resiliência cibernética é essencial para proteger comunidades e infraestruturas críticas na região.

Uma nova família de malware, chamada AryStinger, está transformando roteadores domésticos esquecidos em uma rede de reconhecimento distribuído, ao invés de uma botnet DDoS. A empresa QiAnXin’s XLab identificou pelo menos 4.300 roteadores infectados, número que continua a crescer. O malware explora vulnerabilidades em roteadores antigos, especificamente aqueles com chips RTL819X da Realtek, que eram comuns entre 2012 e 2015. A infecção se espalhou a partir de um único IP e utiliza falhas conhecidas, como CVE-2013-3307 e CVE-2016-5681, para comprometer dispositivos, principalmente da D-Link. Além disso, uma variante do malware também ataca caixas NAS da QNAP. O AryStinger permite que os dispositivos infectados realizem varreduras na internet, coletando informações e ocultando a localização do verdadeiro atacante. A persistência do malware é garantida por um servidor SSH. A recomendação para os usuários é desativar a administração remota e substituir roteadores que não recebem mais atualizações de firmware.

O Serviço Canadense de Inteligência de Segurança (CSIS) obteve autorização judicial para neutralizar duas botnets operadas por estrangeiros que estavam infectando servidores e dispositivos IoT no Canadá. A decisão, divulgada em 15 de junho de 2026, marca a primeira vez que o CSIS utiliza suas novas capacidades de redução de ameaças para agir diretamente em dispositivos infectados. O juiz Catherine Kane concedeu o mandado em 1º de maio de 2024, permitindo que o CSIS alterasse e destruísse dados das botnets em equipamentos como roteadores e câmeras de segurança. A operação foi justificada pela iminente ameaça à segurança do Canadá, com foco em dispositivos e não em usuários. A corte destacou que a operação visava proteger a infraestrutura crítica do país, especialmente no setor energético. Embora a decisão tenha identificado a presença de adversários estrangeiros, não revelou suas identidades. A abordagem do CSIS se assemelha a operações anteriores do FBI nos EUA, que também realizaram limpezas de botnets, mas com diferenças nas autoridades legais. O artigo ressalta a importância da manutenção de equipamentos de rede, já que muitos ataques exploram dispositivos negligenciados e desatualizados.

Um estudo recente revela que muitos usuários de VPNs gratuitas e aplicativos de streaming podem estar inadvertidamente contribuindo para atividades criminosas, ao permitir que suas conexões de internet sejam utilizadas como proxies residenciais. Esses serviços, que prometem anonimato, frequentemente não obtêm permissão dos usuários e podem resultar em suas redes sendo marcadas como fraudulentas. A pesquisa da Infoblox Threat Intel indica que mais de 65% dos clientes de sua nuvem de defesa contra ameaças realizaram consultas DNS a domínios associados a redes de proxies residenciais, totalizando mais de 500 bilhões de consultas mensais. Essa prática não só compromete a segurança e a privacidade dos usuários, mas também pode levar a problemas legais, uma vez que é difícil provar que um usuário foi apenas um intermediário em atividades maliciosas. Para mitigar esses riscos, recomenda-se realizar auditorias de software, monitorar dispositivos conectados e investir em serviços que bloqueiem solicitações suspeitas. Além disso, usuários podem verificar o perfil de risco de seus endereços IP para identificar se já foram vítimas de abusos.

A Fraunhofer IPMS lançou o Q-Dice, um gerador de números aleatórios quânticos, que promete aumentar a segurança em ambientes digitais frente aos desafios impostos pelos computadores quânticos. Utilizando flutuações quânticas em vez de algoritmos de software, o Q-Dice gera números aleatórios a uma velocidade superior a 4 Gbit/s, essencial para criptografia, autenticação e comunicações seguras. A geração de números aleatórios é crucial, pois a previsibilidade pode comprometer a segurança de sistemas digitais. O Q-Dice se destaca por não ter padrões subjacentes que possam ser explorados por hackers, tornando-o uma solução robusta contra ataques. O dispositivo foi avaliado por frameworks reconhecidos e possui classificações de segurança que garantem sua eficácia. A tecnologia está disponível tanto em formato de hardware dedicado quanto como um serviço em nuvem, facilitando sua adoção por diferentes organizações. A Fraunhofer IPMS busca parcerias para desenvolver aplicações práticas, destacando a importância de preparar as infraestruturas de segurança para a era quântica.

O malware botnet AryStinger, recentemente descoberto, já comprometeu mais de 4.000 roteadores desatualizados, transformando-os em proxies para tráfego malicioso. Pesquisadores do XLab, da Qianxin, revelaram que o malware permite que dispositivos infectados atuem como ’executores’ controlados remotamente, realizando atividades como escaneamento, proxy, tunelamento e execução de comandos. Essa abordagem distribuída permite que atacantes dividam tarefas massivas em partes menores, aumentando a eficiência de operações de intrusão. Além de usar roteadores comprometidos para operações maliciosas, o AryStinger pode alterar configurações de DNS, sequestrando a navegação do usuário e monitorando silenciosamente o tráfego de rede. O malware explora vulnerabilidades antigas, como CVE-2013-3307 e CVE-2016-5681, visando principalmente modelos de roteadores D-Link. A pesquisa indica que a maioria das infecções está concentrada na Coreia do Sul, seguida pela China e Suécia. Os especialistas alertam que proprietários de roteadores obsoletos devem substituí-los por modelos novos e aplicar atualizações de firmware para mitigar riscos.

Um estudo recente da Kaspersky revela que golpistas estão utilizando ferramentas de inteligência artificial (IA) para enganar vítimas e obter dinheiro em menos de cinco minutos. Aproximadamente 64,5% das vítimas acreditam que a IA desempenhou um papel crucial em suas experiências de fraude. No Reino Unido, 54% dos entrevistados suspeitam que criminosos usaram deepfakes ou vozes sintéticas para imitar amigos ou familiares, criando cenários convincentes que se assemelham a interações genuínas. Mais da metade das vítimas completou pagamentos ou compartilhou informações sensíveis em até 30 minutos após o primeiro contato, e 12,2% o fizeram em apenas cinco minutos. Os golpistas frequentemente se movem entre várias plataformas de comunicação, aumentando sua credibilidade. Os tipos mais comuns de fraudes incluem oportunidades de investimento (40%), alertas de entrega falsos (38%) e esquemas de imitação de marcas (35%). A pesquisa também destaca que as perdas financeiras estão crescendo, com vítimas no Reino Unido perdendo em média £458,45 por golpe. Especialistas alertam que a conscientização sozinha não é suficiente e recomendam a combinação de cautela com medidas técnicas, como software antivírus e gerenciadores de senhas.

Na madrugada do dia 20 de junho de 2026, o Ministério da Integração e do Desenvolvimento Regional desativou a plataforma Defesa Civil Alerta após o envio de dez mensagens de alerta não autorizadas para celulares em várias regiões do Brasil. As mensagens, que continham o termo ‘misantropi4’, foram enviadas através da tecnologia Cell Broadcast e SMS, atingindo milhões de pessoas em estados como São Paulo, Rio de Janeiro, e Paraná. O secretário nacional de Proteção e Defesa Civil, Wolnei Wolff, informou que a origem dos alertas está sendo investigada pela Polícia Federal, com indícios de um crime cibernético. As contas utilizadas para o envio das mensagens foram bloqueadas, e o retorno do sistema de alertas depende da revisão dos mecanismos de acesso. A Anatel confirmou que os alertas não foram enviados pelas autoridades competentes e orientou os usuários a desconsiderá-los. Este incidente levanta preocupações sobre a segurança das plataformas de comunicação de emergência e a proteção de dados pessoais.

A Microsoft atribuiu um recente ataque à cadeia de suprimentos do Mastra AI, que comprometeu mais de 140 pacotes npm, ao grupo de hackers norte-coreano Sapphire Sleet, também conhecido como BlueNoroff. O ataque começou com a violação da conta de um mantenedor do npm, permitindo que os atacantes publicassem atualizações maliciosas. As atualizações incluíam uma dependência chamada ’easy-day-js’, que é uma imitação da popular biblioteca JavaScript dayjs. Quando os pacotes comprometidos eram instalados, a dependência maliciosa executava um script que implantava um dropper de malware nos dispositivos dos desenvolvedores, com o objetivo de roubar credenciais sensíveis, chaves de API e carteiras de criptomoedas. O malware, que é projetado para ser multiplataforma, coleta informações sobre o sistema e verifica a presença de extensões de carteira de criptomoeda. A Microsoft observou que a comunicação com os servidores de comando e controle dos atacantes resultou em atividades adicionais, incluindo a implantação de um backdoor PowerShell. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante na segurança cibernética.

Uma nova operação de ransomware chamada ‘Prinz Eugen’ tem chamado a atenção por sua abordagem distinta, priorizando a criptografia de arquivos recentemente modificados e não deixando notas de resgate nos sistemas afetados. A investigação da Threatdown, braço de cibersegurança da Malwarebytes, revelou que os hackers utilizam um estilo de ataque manual, empregando softwares legítimos de monitoramento remoto e ferramentas de living-off-the-land. O acesso inicial é provavelmente obtido através de credenciais RDP roubadas, seguido pelo download e execução manual do payload principal, denominado ‘servertool.exe’.

Uma vulnerabilidade recentemente corrigida no plugin Gravity SMTP, utilizado em aproximadamente 100 mil sites WordPress, está sendo explorada por atacantes. Identificada como CVE-2026-4020, essa falha de severidade média (CVSS 5.3) permite que invasores não autenticados acessem dados sensíveis, incluindo chaves de API e informações de configuração do plugin. A vulnerabilidade se origina de um endpoint da API REST que, devido a uma configuração inadequada, permite acesso irrestrito a qualquer visitante. Ao adicionar o parâmetro de consulta ‘?page=gravitysmtp-settings’, um atacante pode obter um relatório completo do sistema em formato JSON, revelando detalhes críticos como versão do PHP, plugins ativos e credenciais de serviços de email integrados. Desde o início de maio de 2026, mais de 17 milhões de tentativas de exploração foram bloqueadas, com picos de atividade em junho. Os proprietários de sites que utilizam versões vulneráveis do plugin devem atualizar imediatamente e rotacionar suas credenciais para evitar possíveis abusos. A análise dos logs do servidor também é recomendada para identificar acessos suspeitos provenientes de endereços IP específicos associados a essas tentativas de ataque.

A evolução da cibersegurança está em um ponto de inflexão com a introdução da inteligência artificial (IA), que não apenas aprimora as ferramentas de defesa, mas também acelera a capacidade de ataque. Um relatório da CrowdStrike revela que o tempo médio para invasores acessarem dados sigilosos caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Além disso, 82% das detecções foram livres de malware, indicando que os hackers estão utilizando credenciais válidas e integrações legítimas para realizar ataques. A IBM reportou um aumento de 89% nas atividades ilegais relacionadas à IA, com 1 em cada 6 violações envolvendo o uso dessa tecnologia. Nesse contexto, a segurança preemptiva, que antecipa ameaças por meio da análise contínua, se torna essencial. O código aberto surge como uma solução estratégica, oferecendo transparência e colaboração, mas exige maturidade organizacional para evitar riscos, como demonstrado pelo incidente com a biblioteca XZ Utils. A convergência entre IA e open source pode ser uma oportunidade para as organizações que buscam se adaptar a um ambiente de ameaças em constante evolução.

Uma vulnerabilidade de divulgação de informações não autenticadas no plugin Gravity SMTP do WordPress está sendo explorada ativamente por agentes maliciosos, afetando cerca de 100 mil sites. A falha, identificada como CVE-2026-4020, possui uma classificação de severidade média e afeta todas as versões do plugin anteriores à 2.1.5, que foi lançada em 17 de março para corrigir o problema. A vulnerabilidade se origina de um endpoint da API REST exposto, que permite requisições GET não autenticadas, possibilitando o acesso a um relatório de sistema abrangente que pode conter chaves de API, credenciais de serviços de e-mail e detalhes de configuração do WordPress. A empresa de segurança Defiant, responsável pelo firewall Wordfence, relatou que mais de 17 milhões de tentativas de exploração foram bloqueadas. Apesar da classificação média, a possibilidade de exploração sem autenticação torna a vulnerabilidade crítica, pois pode permitir que atacantes se façam passar por vítimas e acessem informações sensíveis. Além disso, a empresa também alertou sobre uma vulnerabilidade crítica em outro plugin, o Avada Builder, que permite a exclusão arbitrária de arquivos, exigindo atenção imediata dos administradores de sites.

A plataforma de inteligência de mercado Klue confirmou um incidente de segurança que resultou no roubo de tokens OAuth utilizados para conectar-se aos ambientes Salesforce de seus clientes. O ataque foi reivindicado publicamente pelo grupo de extorsão Icarus, que acessou dados de várias organizações ao explorar integrações comprometidas da Klue. O CEO da Klue, Jason Smith, informou que a atividade não autorizada foi detectada em 12 de junho, quando um credencial legado comprometido foi utilizado para obter acesso aos tokens OAuth. Embora a Klue tenha revogado imediatamente as credenciais afetadas e iniciado uma investigação, o grupo Icarus pressionou as organizações afetadas a contatá-los para evitar a divulgação de dados roubados. Entre as vítimas estão empresas como Huntress e ReliaQuest, que confirmaram a exfiltração de dados sensíveis, incluindo informações de contatos comerciais e comunicações de vendas. O incidente destaca a vulnerabilidade das integrações de terceiros e a necessidade de vigilância contínua contra ataques de engenharia social e phishing, que podem ser facilitados pelo acesso a informações roubadas.

O grupo de ransomware Gentlemen, que opera como um serviço (RaaS), tem se destacado por desenvolver uma série de ferramentas para desativar sistemas de detecção e resposta de endpoint (EDR) antes de implementar seu software de criptografia. Conhecido como GentleKiller, esse conjunto de ferramentas é distribuído a afiliados e inclui variantes que imitam produtos legítimos de segurança, utilizando informações falsas de versão e certificados copiados. Desde sua aparição em março de 2025, o grupo já reivindicou 504 vítimas, principalmente na Ásia, América do Sul e Europa Ocidental. O líder da operação, Alexander Andreevich Yapaev, tem um histórico como afiliado em outros esquemas de ransomware. A equipe de segurança da ESET destacou a agilidade do grupo em operacionalizar novas vulnerabilidades, especialmente a técnica chamada ‘bring your own vulnerable driver’ (BYOVD), que permite a exploração de drivers vulneráveis para comprometer sistemas. Além disso, o Gentlemen também utiliza um ladrão de credenciais baseado em Rust, chamado OxideHarvest, que coleta dados de navegadores populares. A centralização da função de desativação de EDRs torna o grupo atraente para novos afiliados, reduzindo as barreiras de entrada e facilitando a execução de ataques.

Pesquisadores de segurança da Paradigm Shift divulgaram um exploit chamado usbliter8, que permite a execução de código arbitrário no SecureROM dos chips A12 e A13 da Apple. Essa vulnerabilidade é crítica, pois o código está gravado no silício durante a fabricação e não pode ser corrigido por atualizações de software. O ataque requer acesso físico ao dispositivo, que deve estar em modo DFU e conectado a uma placa microcontroladora específica. Os dispositivos afetados incluem iPhones XS, 11, SE (2ª geração), iPads de 3ª e 5ª geração, e Apple Watch Series 4 e 5. O problema raiz é uma falha no controlador USB da Synopsys, que permite um buffer underflow, possibilitando que o ponteiro de escrita acesse e sobrescreva a SRAM. Após a exploração, o usbliter8 injeta um manipulador de requisições USB personalizado, permitindo que um atacante desative temporariamente o modo de produção do SoC ou inicialize uma imagem iBoot não assinada, contornando a cadeia de confiança da Apple. Embora a pesquisa não indique comprometimento do Secure Enclave, a possibilidade de controle no nível do BootROM pode abrir novas rotas de ataque. Para ambientes de alta segurança, a recomendação é evitar o uso de dispositivos afetados em situações não confiáveis.

A Copa do Mundo de 2026 trouxe um aumento significativo nos golpes virtuais, especialmente aqueles relacionados à venda de ingressos e apostas. Criminosos estão utilizando técnicas de engenharia social para manipular usuários, criando páginas falsas que imitam sites legítimos e enviando mensagens enganosas via WhatsApp e SMS. As fraudes mais comuns incluem a clonagem de sites oficiais, ofertas de ingressos a preços muito baixos e aplicativos falsos que prometem acesso gratuito a jogos. Segundo a Hexa Security, o ambiente de grandes eventos esportivos é propício para essas fraudes, devido ao alto volume de transações financeiras e ao engajamento do público. Para se proteger, especialistas recomendam que os consumidores verifiquem a autenticidade dos sites digitando os endereços manualmente e evitem links recebidos por mensagens. Além disso, a utilização de senhas fortes e a ativação da autenticação em dois fatores são medidas essenciais para proteger dados financeiros. Empresas também devem estar atentas, pois se tornam alvos frequentes durante esses eventos, necessitando revisar permissões de acesso e investir em monitoramento contínuo.

A recente proibição de redes sociais para menores de 16 anos na Austrália levanta questões sobre a eficácia de medidas semelhantes que o Reino Unido pretende implementar. Apesar da intenção de proteger crianças e adolescentes, dados revelam que cerca de 70% dos jovens australianos ainda possuem contas ativas em plataformas como Snapchat e Instagram, mesmo com a nova legislação. A pesquisa da Molly Rose Foundation indica que a maioria dos entrevistados não percebeu melhorias na segurança online desde a proibição, com muitos afirmando que a situação se tornou até mais insegura. A resistência a essa abordagem vem não apenas da indústria de tecnologia de privacidade, mas também de grupos de segurança infantil, que argumentam que a proibição pode ser um retrocesso na proteção online. A falta de verificação de idade efetiva por parte das plataformas é apontada como uma das principais razões para a ineficácia da medida. Com o Reino Unido planejando adotar um modelo semelhante, especialistas alertam que a implementação de verificações obrigatórias de idade pode resultar em um ‘desastre de cibersegurança’. A situação destaca a necessidade de abordagens mais eficazes e menos invasivas para garantir a segurança das crianças na internet.

Nos últimos anos, as equipes de segurança concentraram seus esforços na premissa de que, ao controlar identidades, é possível controlar riscos. No entanto, a introdução de agentes de inteligência artificial (IA) nas empresas está desafiando essa abordagem. Inicialmente vistos como ferramentas de produtividade, esses agentes agora estão conectados a serviços críticos, como Salesforce e GitHub, e atuam de forma autônoma ou em nome de humanos, criando um novo nível de complexidade em segurança. A falta de modelos de governança para esses agentes resulta em um cenário de acesso amplo e visibilidade baixa, onde 82% das organizações identificaram agentes de IA criados sem o conhecimento das equipes de segurança. A segurança deve ir além da simples permissão, considerando a intenção dos agentes e o que eles realmente podem acessar. A governança contínua é essencial para evitar que esses agentes se tornem caminhos invisíveis para ataques. O artigo destaca a importância de visibilidade e controle sobre esses novos atores, sugerindo que as empresas que adotarem uma abordagem proativa em relação à segurança de agentes de IA estarão mais bem posicionadas para inovar de forma segura.

O Departamento de Parques e Vida Selvagem do Texas (TPWD) revelou um vazamento de dados em seu fornecedor de sistema de licenciamento, que expôs informações pessoais de mais de três milhões de indivíduos. A intrusão foi descoberta pelo Comando Cibernético do Texas, que iniciou uma investigação para avaliar a extensão do acesso não autorizado. Embora números de Seguro Social, datas de nascimento e informações financeiras não tenham sido comprometidos, dados pessoais identificáveis, como informações de carteira de motorista, números de passaporte, endereços de e-mail, números de telefone e endereços residenciais, foram expostos. Isso pode facilitar ataques de phishing e engenharia social, onde hackers podem tentar enganar as vítimas para obter informações mais sensíveis. O TPWD não encontrou evidências de que clientes menores de 18 anos tenham sido afetados ou que um grupo específico tenha sido alvo. A agência está colaborando com o fornecedor para implementar novas medidas de segurança e recomenda que os indivíduos afetados monitorem seus relatórios de crédito e considerem medidas adicionais de proteção, como congelamento de crédito. O incidente destaca a importância da vigilância contínua contra fraudes e ataques cibernéticos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou os clientes da Fortinet sobre uma campanha de ataque chamada FortiBleed, que comprometeu mais de 86 mil dispositivos FortiGate acessíveis pela internet. Acredita-se que o ataque seja realizado por atores de ameaça de língua russa, que utilizam uma abordagem automatizada para explorar credenciais padrão e específicas de organizações. Dados da SOCRadar indicam que 35% das credenciais comprometidas são contas administrativas genéricas, enquanto 28,3% são contas do sistema Fortinet. Os setores mais afetados incluem telecomunicações, governo e educação, com a maioria das exposições localizadas na Índia, EUA, México, Colômbia e Tailândia. O ataque envolve a varredura em massa de dispositivos Fortinet e o uso de combinações conhecidas de login e senha para obter acesso. A CISA recomenda que as organizações terminem todas as sessões ativas, redefinam senhas e implementem autenticação multifator (MFA) para mitigar os riscos. O incidente destaca a importância de práticas adequadas de segurança de senhas e a vulnerabilidade de dispositivos de segurança de perímetro a ataques automatizados.

As autoridades de segurança da Holanda, em colaboração com o Canadá, Alemanha e EUA, desmantelaram a infraestrutura maliciosa associada ao malware SocGholish, resultando na limpeza de quase 15.000 sites WordPress infectados. O malware, que atua como um downloader baseado em JavaScript, é conhecido por distribuir outras ameaças cibernéticas, como ransomware e espionagem. Desde 2017, o SocGholish tem se espalhado por meio de sites comprometidos, disfarçando-se como atualizações enganosas de navegadores populares. A operação, parte da ‘Operação Endgame’, visa combater botnets e infraestruturas criminosas. Os proprietários dos sites afetados foram alertados para atualizar seus sistemas de gerenciamento de conteúdo e alterar credenciais. A análise indica que a maioria dos sites comprometidos está localizada nos EUA, seguida por países como Alemanha, França e Brasil. O uso de técnicas como ‘Domain Shadowing’ tem facilitado a operação do malware, tornando a detecção mais difícil. A ameaça é considerada de alto risco, afetando diversos setores e exigindo atenção especial dos CISOs, especialmente em relação à conformidade com a LGPD.

Pesquisadores da Microsoft identificaram uma cadeia de exploração chamada AutoJack, que transforma um agente de navegação AI em um veículo para execução remota de código. O ataque ocorre quando o agente carrega uma página da web maliciosa, permitindo que o JavaScript dessa página acesse um serviço local privilegiado e inicie um processo no host, sem necessidade de credenciais ou interação do usuário. A vulnerabilidade reside no AutoGen Studio, uma interface de prototipagem de código aberto, e afeta versões pré-lançamento específicas. A Microsoft esclareceu que a versão estável atual (0.4.2.2) não é vulnerável, mas as versões 0.4.3.dev1 e 0.4.3.dev2, disponíveis no PyPI, contêm a falha. A cadeia de exploração se baseia em três fraquezas: a confiança no localhost, a falta de autenticação em conexões MCP e a execução de comandos diretamente de parâmetros de requisição. Embora a Microsoft não tenha registrado exploração ativa, recomenda-se que os usuários evitem executar o AutoGen Studio em máquinas que também executem agentes de navegação ou de execução de código que acessem conteúdo não confiável. A correção foi implementada no código-fonte, mas ainda não está disponível em uma versão do PyPI.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais protejam seus sistemas contra uma vulnerabilidade crítica no Splunk Enterprise, identificada como CVE-2026-20253. Essa falha afeta versões do software entre 10.0.0 a 10.2.3, permitindo que atacantes remotos não autorizados criem ou truncem arquivos arbitrários em dispositivos vulneráveis através de um endpoint do serviço PostgreSQL. A falta de controles de autenticação nesse endpoint é a principal causa da vulnerabilidade, conforme indicado pela equipe de segurança da Splunk. Após a descoberta, a CISA ordenou que as agências federais aplicassem patches até domingo, devido à exploração ativa da falha. A empresa também recomendou que administradores que não consigam aplicar as correções imediatamente desativem o serviço PostgreSQL, embora isso possa afetar outras funcionalidades do sistema. A situação é crítica, pois a exploração dessa vulnerabilidade pode levar a ataques de execução remota de código, representando um risco significativo para a segurança das informações. A CISA enfatizou a importância de avaliar a exposição à internet de cada ativo e seguir as diretrizes de correção estabelecidas.

A Microsoft confirmou um bug no Windows que causa confusão ao excluir arquivos da Lixeira. Quando um usuário tenta deletar permanentemente um item, a janela de confirmação mostra um nome de arquivo interno (como $Rxxxxx.ext) em vez do nome original do arquivo. Apesar disso, a Lixeira exibe corretamente o nome original, e a restauração do item também utiliza o nome correto. Este problema afeta todas as versões suportadas do Windows, tanto em plataformas cliente quanto servidor, após a instalação das atualizações de segurança de junho de 2026. As versões afetadas incluem diversas edições do Windows 10 e Windows 11, além de várias versões do Windows Server. A Microsoft está ciente do problema e trabalha em uma correção, que será disponibilizada em uma atualização futura. Enquanto isso, uma solução temporária está disponível para empresas que contatarem o suporte da Microsoft. Além desse bug, a empresa também confirmou um problema que impede aplicativos de terceiros de abrir documentos do Office após as atualizações de junho de 2026.

A autenticação multifatorial (MFA) é considerada uma das principais defesas contra o comprometimento de contas, mas os atacantes estão cada vez mais utilizando técnicas de phishing que não dependem do roubo de senhas ou da violação da MFA. Um exemplo alarmante é o phishing por código de dispositivo, onde os atacantes induzem os usuários a autorizar o acesso através de páginas de autenticação legítimas da Microsoft. Isso permite que os invasores obtenham acesso contínuo sem precisar roubar credenciais. O webinar ‘Stop chasing alerts: Automating email security with behavioral AI’, que ocorrerá em 8 de julho de 2026, abordará como campanhas modernas de phishing, comprometimento de e-mails empresariais (BEC) e ataques de tomada de conta (ATO) exploram serviços confiáveis e fluxos de autenticação para acessar contas corporativas. A solução proposta envolve o uso de inteligência artificial comportamental para identificar atividades incomuns e automatizar a detecção e resposta a esses ataques. O evento promete fornecer abordagens práticas para detectar compromissos de conta mais cedo, reduzir a carga de investigação e melhorar os tempos de resposta.

A Salesforce anunciou a desativação da integração do aplicativo Klue Battlecards em sua plataforma após um incidente de segurança que ocorreu em 11 de junho de 2026. A medida foi tomada após a detecção de atividades incomuns que poderiam ter resultado em acesso não autorizado a dados de clientes. O ataque foi atribuído ao grupo de extorsão Icarus, que comprometeu dados de clientes da Klue, incluindo a empresa de cibersegurança Huntress. Embora dados sensíveis como senhas e informações de pagamento não tenham sido afetados, informações comerciais e de vendas foram copiadas. A Klue identificou que os atacantes acessaram sua infraestrutura por meio de credenciais legadas comprometidas, permitindo a coleta de tokens OAuth utilizados para conectar a Klue a plataformas de terceiros, como a Salesforce. A Klue já tomou medidas para revogar credenciais afetadas e desativar integrações potencialmente impactadas. A situação destaca a vulnerabilidade das integrações de terceiros e a necessidade de monitoramento rigoroso dessas conexões, que muitas vezes têm acesso amplo a dados sensíveis.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para clientes da Fortinet após a exposição de quase 74 mil credenciais de firewalls e VPNs em um vazamento de dados conhecido como ‘FortiBleed’. O incidente envolve credenciais comprometidas que foram utilizadas por atores maliciosos para atacar dispositivos Fortinet acessíveis pela internet em organizações governamentais e do setor privado ao redor do mundo. A CISA recomenda que os proprietários de dispositivos FortiGate encerrem todas as sessões de VPN e administrativas, redefinam senhas e implementem autenticação multifator resistente a phishing. O vazamento foi descoberto pelo pesquisador de segurança Volodymyr Diachenko, que encontrou um servidor contendo credenciais válidas, incluindo nomes de usuário e senhas em texto claro. A análise da empresa de inteligência em segurança Hudson Rock revelou que o vazamento abrange 21.632 domínios únicos em 194 países, afetando grandes organizações como Samsung, Mercedes-Benz e Toyota. A operação está ligada a um grupo de ameaças de língua russa, que realizou mais de 1,16 bilhão de tentativas de credenciais contra alvos FortiGate. A CISA monitora 26 falhas de segurança da Fortinet que foram exploradas em ataques recentes, incluindo 13 relacionadas a ransomware.

Anthony Belford, um homem de 21 anos de Nova York, foi indiciado por ciberstalking após supostamente compartilhar imagens nuas geradas por IA e mensagens racistas fabricadas para assediar uma estudante universitária da Geórgia. Belford e a vítima frequentaram a mesma faculdade durante o ano acadêmico de 2023-2024. Após a transferência da vítima para uma instituição na Geórgia em agosto de 2024, Belford começou a persegui-la online. Entre janeiro e março de 2025, ele criou perfis falsos em diversas redes sociais, como Instagram e LinkedIn, para se passar pela vítima e disseminar imagens nuas geradas por IA, além de alegações falsas sobre comentários racistas atribuídos à estudante. O Departamento de Justiça dos EUA enfatizou que a lei federal proíbe a divulgação de imagens íntimas sem consentimento, incluindo aquelas geradas por IA, e encorajou as vítimas a reportarem tais violações ao FBI. Este caso destaca a crescente preocupação com o uso de tecnologias de IA para facilitar o assédio online e a importância de medidas de proteção e denúncia para as vítimas.

A Apple lançou uma atualização de firmware para os fones de ouvido Beats Studio Buds, corrigindo uma vulnerabilidade de alta severidade identificada como CVE-2025-20701, com uma pontuação CVSS de 8.8. Essa falha, relacionada a uma autorização incorreta no SDK de áudio Bluetooth Airoha, permite que hackers próximos se conectem aos dispositivos sem o consentimento do usuário, possibilitando a escuta através do microfone. A exploração bem-sucedida da vulnerabilidade não requer privilégios adicionais ou interação do usuário. A falha foi inicialmente destacada em junho de 2025 por pesquisadores da ERNW GmbH e é parte de um conjunto de vulnerabilidades que afetam dispositivos Bluetooth. Além disso, foi revelada uma nova exploração no BootROM dos chips A12 e A13 da Apple, que pode permitir a execução de código malicioso devido a um erro de hardware no controlador USB. Essa situação ressalta a importância da segurança em dispositivos móveis e a necessidade de atualizações regulares para mitigar riscos.

A Nintendo of America confirmou que dados de pesquisa interna foram roubados por um grupo de cibercriminosos conhecido como Shadowbyt3$. A empresa esclareceu que seus sistemas não foram comprometidos e que nenhuma informação pessoal de clientes ou dados financeiros foi acessada. O incidente envolve dados de uma plataforma de terceiros, TinyPulse, utilizada para pesquisas anônimas com funcionários. A Nintendo informou que está colaborando com o provedor do serviço para resolver a questão. O grupo Shadowbyt3$ reivindica ter exfiltrado cerca de 1GB de dados, incluindo nomes completos, endereços de e-mail e informações de funcionários, e exige um resgate de 2 milhões de dólares. Embora a Nintendo tenha afirmado que o vazamento não afeta seus jogos, o grupo ameaçou divulgar mais informações se não houver negociação. A situação destaca a importância de proteger dados sensíveis, especialmente em plataformas de terceiros, e levanta preocupações sobre a segurança de informações internas em empresas de grande porte.

O ransomware Gentlemen, operando como um serviço (RaaS), está aprimorando suas capacidades com um conjunto de ferramentas projetadas para desativar sistemas de detecção e resposta de endpoint (EDR). A principal ferramenta, chamada GentleKiller, possui pelo menos oito variantes que se disfarçam como produtos de segurança legítimos, como Kaspersky e Valorant. Essas ferramentas são utilizadas para neutralizar defesas durante os ataques, permitindo que processos de roubo ou criptografia de dados ocorram sem obstáculos. A técnica ‘bring your own vulnerable driver’ (BYOVD) é empregada para elevar privilégios e desativar motores de segurança, com cada variante do GentleKiller utilizando drivers vulneráveis diferentes para alcançar privilégios de nível kernel. A análise indica que o grupo também utiliza ferramentas externas, como HexKiller e ThrottleBlood, para aumentar a eficácia de seus ataques. O Gentlemen RaaS já comprometeu a fornecedora de energia romena Oltenia e está associado a uma botnet de malware proxy chamada SystemBC. Dada a complexidade e a sofisticação das ferramentas utilizadas, a ameaça representa um risco significativo para empresas que utilizam as tecnologias afetadas.

A F5 Networks anunciou atualizações de segurança para corrigir duas vulnerabilidades críticas no NGINX Open Source, que podem permitir a execução remota de código em sistemas afetados. As falhas, identificadas como CVE-2026-42530 e CVE-2026-42055, possuem uma pontuação CVSS de 9.2, indicando seu alto nível de gravidade. A primeira vulnerabilidade, CVE-2026-42530, é uma falha de uso após a liberação no módulo ngx_http_v3_module, que pode ser explorada por atacantes remotos não autenticados ao manipular sessões HTTP/3. A segunda, CVE-2026-42055, é um estouro de buffer baseado em heap nos módulos ngx_http_proxy_v2_module e ngx_http_grpc_module, que também pode ser ativada por atacantes remotos sob condições específicas. Ambas as falhas podem ser exploradas em sistemas onde a Randomização do Layout do Espaço de Endereços (ASLR) está desativada ou quando o atacante consegue contorná-la. A F5 recomenda desabilitar o HTTP/3 e ajustar as configurações de buffer para mitigar os riscos. Embora não haja relatos de exploração ativa, a história de vulnerabilidades em produtos da F5 sugere que as organizações devem agir rapidamente para aplicar os patches disponíveis.

Um estudo da Serasa Experian revelou que tentativas de fraudes com identidade digital poderiam causar prejuízos de até R$ 1,98 bilhão no Brasil no primeiro trimestre de 2026, caso não fossem bloqueadas. O levantamento identificou quase 1,5 milhão de tentativas de fraudes em cadastros e validações de identidade, um aumento de 36,6% em relação ao mesmo período do ano anterior. Os meios de pagamento foram os mais afetados, com 644,5 mil ocorrências, seguidos por telefonia e serviços bancários. A região Sudeste concentrou a maior parte das tentativas, com São Paulo liderando com mais de 230 mil casos. A pesquisa também destacou o uso crescente de inteligência artificial por golpistas, que torna as fraudes mais convincentes, utilizando técnicas como deepfakes e manipulação de buscas. No comércio eletrônico, quase 1% das transações foi classificado como tentativa de fraude, resultando em R$ 337,9 milhões preservados por soluções antifraude. O estudo alerta para a necessidade de uma resposta estruturada e coordenada para combater esse ecossistema de fraudes digitais.

Golpes por telefone permanecem uma preocupação significativa no Brasil, especialmente com o avanço da inteligência artificial (IA), que torna essas fraudes mais difíceis de identificar. Rodrigo Sanchez, diretor da Serasa Experian, destacou que a IA permite que criminosos criem abordagens mais convincentes, simulando centrais de atendimento e utilizando informações reais sobre as vítimas, como nome e compras recentes. Isso representa um desafio crescente para a segurança cibernética, pois as ligações fraudulentas podem parecer cada vez mais legítimas. A pesquisa ‘Mapa da Fraude’ da Serasa revelou que tentativas de fraudes com identidade digital poderiam causar prejuízos de até R$ 1,98 bilhão no primeiro trimestre de 2026, caso não fossem bloqueadas. Além disso, foram registradas quase 1,5 milhão de tentativas de fraudes em cadastros e validações de identidade, um aumento de 36,6% em relação ao ano anterior. A recomendação é que os consumidores desconfiem de ligações que solicitem dados pessoais e confirmem a veracidade do contato através de canais oficiais.

A Intego, conhecida por suas soluções de segurança para Mac, lançou uma promoção significativa de 50% em todos os planos do Intego One, coincidentemente durante a Copa do Mundo. Essa oferta torna o antivírus acessível a partir de £2,50 por mês nos primeiros dois anos, mesmo para o pacote mais completo. O Intego One é destacado como uma das melhores opções de proteção para Macs, ocupando a segunda posição em avaliações de antivírus para esse sistema. Os planos variam desde proteção básica contra vírus e malware até soluções mais avançadas que incluem tecnologia de limpeza inteligente e uma VPN ilimitada para proteger o tráfego de internet. A Intego recebeu notas altas em testes de desempenho e usabilidade, com a AV-Test atribuindo 6 de 6 em suas avaliações mais recentes. A promoção é válida até 2 de julho de 2026, oferecendo uma oportunidade para usuários que buscam segurança durante a visualização de eventos esportivos ou que necessitam de uma nova solução de proteção.

Um relatório da Nisos revelou uma operação de fraude de emprego em larga escala, patrocinada pelo governo da Coreia do Norte, que visa infiltrar agentes em empresas de tecnologia dos Estados Unidos. Entre dezembro de 2024 e setembro de 2025, 22 operativos submeteram mais de 166 mil candidaturas, resultando em mais de 21 mil entrevistas e 76 ofertas de emprego. A operação utilizou identidades roubadas, ferramentas de inteligência artificial (IA) e até mesmo representantes locais para aumentar a legitimidade das candidaturas. Os fraudadores focaram principalmente em cargos de engenharia de software e dados, com salários variando de US$ 55 mil a US$ 230 mil. A Nisos destacou que essa abordagem combina engano humano com táticas técnicas e recursos de IA, permitindo que esses agentes não apenas recebam salários, mas também acessem sistemas e dados, gerando receita para o regime norte-coreano. O uso de IA para criar currículos, treinar para entrevistas e gerar respostas em tempo real foi fundamental para o sucesso da operação, que representa uma evolução significativa nas táticas de cibercrime.

A ExpressVPN lançou a versão 14.2.0 de seus aplicativos para desktop, incluindo Mac, Windows e Linux, com um design renovado e melhorias funcionais. A atualização, disponibilizada em 17 de junho de 2026, traz uma interface mais limpa, que abre em modo compacto por padrão, facilitando a navegação e a leitura. Além disso, a seção de complementos foi aprimorada, tornando mais fácil encontrar e utilizar as opções disponíveis. Uma das adições mais significativas é o servidor MCP (Model Context Protocol), que permite que ferramentas de codificação baseadas em IA controlem a conexão VPN diretamente do ambiente de desenvolvimento. Essa funcionalidade é especialmente útil para desenvolvedores que utilizam assistentes de IA, pois elimina a necessidade de alternar entre diferentes interfaces para gerenciar a conexão. A atualização também inclui melhorias na acessibilidade, como melhor suporte para leitores de tela e foco no teclado. Embora as mudanças sejam principalmente visuais, a nova funcionalidade de controle de latência em segundo plano e a integração com ferramentas de IA representam um avanço significativo para a experiência do usuário.

Um ataque de supply chain comprometeu múltiplos plugins pagos da ShapedPlugin, um fornecedor de plugins para WordPress, que afeta mais de 400 mil instalações ativas. O malware, distribuído através do sistema oficial de atualizações da empresa, instala um plugin falso que se passa por componentes do WooCommerce, permitindo o roubo de credenciais e acesso remoto a arquivos. O incidente afetou três plugins: Product Slider Pro, Real Testimonials Pro e Smart Post Show Pro, com a injeção do backdoor ocorrendo em 21 de maio e os primeiros relatos de clientes surgindo em 10 de junho. A ShapedPlugin reconheceu a violação em 16 de junho e iniciou uma investigação, implementando medidas corretivas. O malware, uma vez ativado, se comunica com um servidor de comando e controle, baixa um segundo estágio e se autodeleta para apagar rastros. O WordPress está monitorando o incidente sob os CVEs CVE-2026-10735 e CVE-2026-49777. Administradores de sites afetados são aconselhados a redefinir senhas e revisar listas de usuários.

Agências internacionais de segurança, incluindo Europol e Eurojust, realizaram uma operação conjunta chamada Operation Endgame, que resultou na limpeza de quase 15.000 sites WordPress infectados por malware e na desativação de mais de 100 servidores associados ao grupo de cibercrime russo Evil Corp. A operação, que envolveu autoridades da Holanda, Canadá, Estados Unidos e Alemanha, focou na interrupção da cadeia de infecção ligada ao malware SocGholish. Este malware, que atua como um downloader de JavaScript, tem sido utilizado em ataques desde 2017, enganando usuários a baixarem atualizações falsas de navegadores que, na verdade, são cargas maliciosas. O malware permite que os atacantes acessem sistemas infectados e é conhecido por implantar outras famílias de malware, como Dridex e Doppelpaymer. As autoridades também recomendaram que os proprietários dos sites afetados alterassem suas credenciais, ativassem a autenticação multifatorial e mantivessem seus sites atualizados para evitar novas infecções. A operação representa um esforço significativo para mitigar os riscos de ataques cibernéticos em infraestruturas críticas e proteger a segurança digital de cidadãos e organizações em todo o mundo.

O artigo de Andy Kerr, da Acronis, destaca que muitas organizações acreditam que o Microsoft 365 oferece proteção automática para seus dados, mas isso não é verdade. O modelo de responsabilidade compartilhada da Microsoft implica que a segurança dos dados, incluindo backup e recuperação, é responsabilidade do cliente. Essa lacuna se torna crítica em cenários reais, como ataques de ransomware, exclusões acidentais e ameaças internas. O autor apresenta cinco razões principais pelas quais o backup nativo do Microsoft 365 não é suficiente: 1) Falta de proteção contra ransomware e perda de dados maliciosos; 2) Políticas de retenção nativas inadequadas para conformidade; 3) Recuperação granular limitada; 4) Exposição a phishing e ameaças internas; 5) Escalabilidade de custo ineficiente. Para mitigar esses riscos, a adoção de soluções de terceiros, como a Acronis Cyber Platform, é recomendada, pois oferece armazenamento imutável, detecção de ransomware baseada em IA e recuperação rápida. Assim, as organizações podem garantir a integridade e a segurança de seus dados no Microsoft 365.

A plataforma de inteligência de mercado Klue sofreu uma violação de segurança relacionada ao OAuth, permitindo que o grupo de ameaças conhecido como ‘Icarus’ roubasse dados do Salesforce CRM de várias organizações. O ataque foi confirmado por empresas de cibersegurança, como ReliaQuest e Huntress, que relataram que seus dados do Salesforce foram comprometidos. Em resposta, a Salesforce desativou a integração do Klue Battlecards com sua plataforma. Os atacantes acessaram contas de serviço da integração do Klue e utilizaram tokens OAuth para realizar consultas na API REST do Salesforce, resultando em um roubo de dados que incluiu informações críticas como contatos comerciais e comunicações de vendas. O grupo Icarus, que começou a operar em abril de 2026, já começou a enviar e-mails de extorsão para as vítimas do ataque. A Klue desativou as integrações com várias plataformas enquanto investiga o incidente. As organizações afetadas são aconselhadas a revisar logs e revogar tokens OAuth para mitigar riscos futuros.

Atacantes estão direcionando suas ações a carteiras de criptomoedas, utilizando um malware que rouba dados do clipboard e possui capacidades de auto-propagação. A campanha, que está ativa desde fevereiro, utiliza arquivos LNK em drives USB para disseminar o malware, que monitora o conteúdo do clipboard e substitui endereços de carteiras de criptomoedas por aqueles controlados pelos atacantes. Além disso, o malware é capaz de capturar frases-semente e chaves privadas, enviando essas informações através da rede Tor. O processo de infecção se inicia quando a vítima abre o arquivo LNK, ativando o malware. Este realiza uma varredura local em busca de arquivos de documentos, ocultando os originais e substituindo-os por atalhos maliciosos. O malware também captura capturas de tela a cada dez segundos e estabelece comunicação com um servidor de comando e controle (C2) via um executável Tor. A Microsoft alerta que os indicadores mais fortes de infecção são comportamentais, recomendando monitorar atividades de processos como wscript.exe e conexões com o localhost:9050. Essa ameaça representa um risco significativo para usuários de criptomoedas, especialmente em um cenário onde a segurança digital é cada vez mais crucial.

Pesquisadores em cibersegurança observaram a evolução do grupo de ransomware INC, que se tornou um dos mais ativos em 2026, com pelo menos 830 vítimas desde agosto de 2023. A interrupção de operações como LockBit e BlackCat permitiu que o INC expandisse suas atividades, com 65% das vítimas localizadas nos Estados Unidos, abrangendo setores como serviços jurídicos, manufatura, construção, tecnologia e saúde. O ransomware do INC, desenvolvido em Rust, visa facilitar o desenvolvimento multiplataforma e resistir a esforços de engenharia reversa. Os ataques são caracterizados pelo uso de um dumper de credenciais atualizado, capaz de atingir novas implementações de backup da Veeam. A cadeia de ataque do INC inclui acesso inicial por meio de phishing, compra de credenciais e exploração de vulnerabilidades em aplicações públicas. O grupo utiliza uma variedade de ferramentas para movimentação lateral e exfiltração de dados, culminando na criptografia de informações. A análise indica que o INC se destaca por sua capacidade de escalar operações sem depender de técnicas avançadas, resultando em um fluxo constante de vítimas em diversos setores e geografias.