ANPD investiga ataque que comprometeu dados de 500 mil pacientes no Brasil

A Agência Nacional de Proteção de Dados (ANPD) iniciou um processo de sanção contra o Instituto de Saúde e Cidadania (ISAC) após um ataque de ransomware que afetou cerca de 500 mil pacientes em várias unidades de saúde no Brasil. O incidente, que ocorreu em 2025, resultou no sequestro de dados sensíveis, incluindo informações de identificação e dados de saúde, como prontuários e diagnósticos. A ANPD investiga se houve infrações à Lei Geral de Proteção de Dados (LGPD), como a falta de medidas de segurança adequadas e a comunicação inadequada aos afetados. O ISAC alegou que não houve risco significativo, mas a ANPD contestou essa afirmação, destacando a falta de comprovação. A organização tem dez dias úteis para apresentar sua defesa, e as sanções podem incluir multas de até 2% do faturamento e a suspensão de atividades de tratamento de dados. Este caso destaca a importância da conformidade com a LGPD e a necessidade de medidas robustas de segurança da informação em instituições de saúde.

DuckDuckGo lança bloqueador de anúncios para YouTube

O DuckDuckGo anunciou uma nova funcionalidade em seu navegador que permite bloquear a maioria dos anúncios em vídeo no YouTube, incluindo aqueles exibidos antes e durante a reprodução dos vídeos. Essa funcionalidade está habilitada por padrão nas versões mais recentes do DuckDuckGo para iOS, Mac e Windows, enquanto os usuários de Android podem ativá-la manualmente nas configurações de bloqueio de anúncios. O YouTube, a maior plataforma de vídeos do mundo, exibe anúncios para usuários gratuitos, que se tornaram mais frequentes e, em alguns casos, ininterruptos. O novo mecanismo de bloqueio de anúncios do DuckDuckGo utiliza listas de filtros mantidas pela comunidade do uBlock Origin, complementadas por regras de compatibilidade próprias para aumentar a eficácia. Os usuários podem ativar simultaneamente o ‘Duck Player’, que oferece proteção de privacidade aprimorada, e o bloqueio de anúncios, permitindo uma experiência de visualização sem interrupções. Embora o bloqueador possa causar tempos de buffer ligeiramente mais longos, a experiência de reprodução deve ser suave. No entanto, a eficácia do bloqueador pode ser temporariamente afetada por mudanças frequentes na forma como o YouTube serve anúncios. O DuckDuckGo convida os usuários a testar a nova funcionalidade e fornecer feedback anônimo para melhorias.

Relatório da IBM revela uso de IA em ataques cibernéticos

O Relatório de Custo de uma Violação de Dados da IBM de 2025 revelou que 16% das violações analisadas envolveram o uso de ferramentas de inteligência artificial (IA) por atacantes, principalmente para ataques de phishing e de impersonação com deepfake. O serviço de atendimento ao cliente (service desk) se torna um alvo natural para engenharia social, pois um atacante que convence um agente de que é um usuário legítimo pode contornar controles técnicos. A IA facilita essa tarefa, tornando as abordagens mais personalizadas e convincentes. O processo de integração de novos funcionários é especialmente vulnerável, já que os agentes de suporte podem não ter familiaridade com os novos colaboradores. Para mitigar esses riscos, é essencial que os agentes tenham métodos mais robustos de verificação de identidade antes de conceder acesso a credenciais ou aprovar mudanças sensíveis. O uso de soluções como o Specops Secure Onboarding pode ajudar a proteger o processo de integração, garantindo que os novos funcionários criem senhas seguras sem que credenciais sejam enviadas diretamente, além de implementar verificações biométricas para evitar impersonações. Com a crescente sofisticação dos ataques, a proteção do service desk se torna uma prioridade crítica para as organizações.

Grupo de cibercriminosos usa chamadas para phishing em Microsoft 365

Um grupo de cibercriminosos tem atacado organizações de diversos setores com solicitações de segurança falsas, utilizando chamadas telefônicas para persuadir usuários do Microsoft 365 a se inscreverem em uma nova chave de acesso Entra. Essa técnica, conhecida como vishing, explora uma funcionalidade recém-lançada pela Microsoft que permite campanhas de registro de chaves de acesso. Os atacantes direcionam as vítimas para sites de phishing que imitam o processo legítimo de registro, coletando credenciais e códigos de autenticação multifatorial (MFA). O grupo, identificado como O-UNC-066 e associado à operação de extorsão chamada Pink, tem como alvo setores como alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação. Após obter acesso às contas, os criminosos rapidamente exfiltram dados de serviços como SharePoint e OneDrive, utilizando um painel PHP controlado pelo operador para guiar as vítimas em tempo real. A Okta recomenda que as organizações implementem métodos de verificação mais rigorosos para a identidade de pessoal de suporte ao cliente e neguem solicitações de locais onde a empresa não opera.

Falha em commits assinados do Git pode comprometer segurança

Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.

Fraude bancária no México utiliza iscas ClickFix para atacar clientes

Um novo esquema de fraude bancária está atacando clientes de bancos, fintechs e exchanges de criptomoedas no México, utilizando iscas ClickFix. A operação, identificada como REF6045 pelo Elastic Security Labs, envolve a infecção de vítimas através de páginas falsas de verificação CAPTCHA, que induzem os usuários a executar um comando malicioso que instala um toolkit PowerShell chamado SCMBANKER. Este malware é projetado especificamente para o ecossistema financeiro mexicano e possui capacidades como monitoramento de sessões bancárias, captura de telas e manipulação de área de transferência. O ataque começa com uma verificação CAPTCHA falsa que leva as vítimas a copiar e colar um comando malicioso. Após a instalação, o operador pode monitorar a atividade bancária da vítima, redirecionar navegadores e até mesmo bloquear a tela com avisos falsos. Os pesquisadores notaram que o SCMBANKER utiliza um modelo de linguagem para desenvolver suas ferramentas, evidenciando a utilização de inteligência artificial na criação do malware. A operação representa um risco significativo, pois já existem vítimas reais sendo monitoradas em tempo real pelos operadores. A descoberta de um diretório aberto permitiu a recuperação de informações detalhadas sobre a infraestrutura do ataque, revelando falhas de segurança operacional por parte dos criminosos.

Campanha EvilTokens expõe nova vulnerabilidade em segurança de e-mails

Uma recente campanha de phishing chamada EvilTokens está atacando empresas nos EUA e na Europa, revelando uma nova vulnerabilidade na segurança de e-mails. A técnica, conhecida como ‘ghost phishing’, mantém a página maliciosa oculta até que seja decifrada e se torne visível no navegador da vítima. O ataque utiliza um método de phishing que não requer o roubo direto de senhas, mas sim a autorização involuntária do acesso às contas do Microsoft 365. Isso representa um risco significativo, pois verificações tradicionais de URL podem não detectar o ataque, resultando em maior exposição a invasões de contas e acesso não autorizado a dados sensíveis. A análise do ataque foi realizada na sandbox interativa ANY.RUN, que permitiu visualizar o fluxo completo do ataque, destacando a importância de ter visibilidade no nível do navegador para detectar e conter essas ameaças antes que causem danos financeiros. Os setores mais afetados incluem tecnologia, manufatura, educação e serviços financeiros, onde a exposição ao phishing atingiu níveis alarmantes, como 75,6% no setor de consultoria. Para mitigar esses riscos, é crucial que as equipes de segurança adotem ferramentas que permitam a inspeção de dados no navegador e a detecção de comportamentos maliciosos.

Ubiquiti lança atualizações para falhas críticas em UniFi

A Ubiquiti lançou atualizações para corrigir várias falhas de segurança críticas em suas aplicações UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect e UniFi OS. As vulnerabilidades, que variam de um CVSS de 9.0 a 10.0, incluem problemas de controle de acesso inadequado, injeção de comandos e injeção SQL. Por exemplo, a CVE-2026-50746 permite que um atacante execute injeções de comandos na aplicação UniFi Connect, enquanto a CVE-2026-50747 envolve injeções SQL na UniFi Talk, ambas podendo resultar em escalonamento de privilégios. Embora não haja evidências de exploração ativa dessas falhas, a CISA já havia alertado sobre vulnerabilidades semelhantes que foram utilizadas em ataques reais. Além disso, um botnet chamado MooBot, que utilizava roteadores Ubiquiti Edge OS comprometidos, foi desmantelado em uma operação de aplicação da lei. As atualizações estão disponíveis e é crucial que os usuários implementem os patches para mitigar os riscos associados a essas vulnerabilidades.

HalluSquatting nova ameaça de botnet via assistentes de IA

Um novo tipo de ataque cibernético, denominado HalluSquatting, explora as falhas de assistentes de programação baseados em inteligência artificial (IA) que frequentemente geram informações fictícias. Pesquisadores descobriram que, ao registrar nomes de projetos que a IA tende a inventar, os atacantes podem induzir o assistente a buscar e executar códigos maliciosos. O ataque combina duas características da IA: a ‘alucinação’, onde a IA cria informações falsas, e a ‘injeção de prompt’, que manipula a IA para seguir instruções do atacante. O processo começa com o atacante identificando um recurso popular, repetindo solicitações à IA até que ela produza um nome falso, que é então registrado. Quando um usuário legítimo solicita o recurso, a IA pode acabar puxando a versão maliciosa. Este método é particularmente perigoso, pois não requer senhas ou exploração de rede, tornando-o difícil de detectar por firewalls. O estudo, realizado por pesquisadores de universidades israelenses, destaca a necessidade urgente de melhorias na segurança desses assistentes, como a verificação de nomes antes da execução de comandos. A pesquisa sugere que a combinação de nomes inventados, marketplaces abertos e a capacidade da IA de executar comandos cria um novo vetor de ataque que pode afetar uma ampla gama de dispositivos e sistemas operacionais.

CISA ordena correção de falha crítica no Adobe ColdFusion

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade de alta severidade na plataforma de desenvolvimento de aplicativos web Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores, permitindo que atacantes remotos executem código em sistemas não corrigidos, sem necessidade de privilégios. A Adobe lançou atualizações de segurança há uma semana, alertando os administradores sobre o alto risco de exploração. O fundador da KEVIntel, Ryan Dewhurst, informou que os ataques começaram a ocorrer apenas duas horas após a divulgação da falha. A CISA incluiu a CVE-2026-48282 em sua lista de vulnerabilidades ativamente exploradas e exigiu que as agências federais aplicassem os patches até sexta-feira, 10 de junho. Além disso, a Adobe corrigiu outras seis falhas críticas na mesma plataforma, embora não tenha confirmado a exploração ativa dessas vulnerabilidades. A situação é preocupante, pois a CISA já adicionou 80 vulnerabilidades de produtos da Adobe à sua lista desde novembro de 2021, com várias delas sendo utilizadas em ataques de ransomware.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti lançou atualizações de segurança para corrigir sete vulnerabilidades críticas no UniFi OS, incluindo uma falha de gravidade máxima, identificada como CVE-2026-50746, que pode ser explorada em ataques de injeção de comando. Essa vulnerabilidade afeta a aplicação UniFi Connect (versões 3.4.16 e anteriores), utilizada para gerenciar operações em edifícios comerciais, como sistemas de iluminação LED inteligentes e carregadores de veículos elétricos. A empresa alertou que um ator malicioso com acesso à rede pode explorar uma vulnerabilidade de Controle de Acesso Inadequado para executar injeções de comando no dispositivo host. Os usuários devem atualizar a aplicação UniFi Connect para a versão 3.4.20 ou posterior. Além disso, a Ubiquiti corrigiu outras seis vulnerabilidades críticas em aplicações como UniFi Talk, UniFi Access e UniFi Protect, bem como em seu servidor UniFi OS e uma variedade de roteadores e sistemas de vigilância. A empresa não confirmou se essas vulnerabilidades foram exploradas antes da correção, mas destacou que seis delas podem ser exploradas em ataques de baixa complexidade sem interação do usuário. A empresa de inteligência de ameaças Censys rastreia mais de 100.000 instâncias do UniFi OS expostas online, com a maioria localizada nos Estados Unidos.

CISA alerta sobre vulnerabilidade crítica no Langflow para IA

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrigissem uma vulnerabilidade ativa no Langflow, uma ferramenta popular para desenvolvimento de agentes de IA. A falha, identificada como CVE-2026-55255, é uma referência direta insegura (IDOR) que permite a atacantes autenticados acessarem fluxos de outros usuários ao enviar uma solicitação maliciosa ao endpoint /api/v1/responses com o UUID da vítima. A exploração bem-sucedida pode resultar no acesso a dados sensíveis e no consumo de recursos da vítima. A CISA destacou que essa vulnerabilidade é um vetor de ataque frequente e representa riscos significativos para a segurança federal. Além disso, outras falhas no Langflow foram identificadas, incluindo problemas de autenticação e injeção de código. A CISA ordenou que as agências federais garantissem a segurança de seus dispositivos até a última sexta-feira, conforme exigido pela Diretiva Operacional Vinculante 26-04. A exploração dessa vulnerabilidade foi observada pela primeira vez em junho, com motivações financeiras por parte dos atacantes, que buscam computação e credenciais de IA. A situação exige atenção imediata das equipes de segurança cibernética para evitar possíveis compromissos.

KDDI revela vazamento de dados de milhões de clientes no Japão

A KDDI, uma das maiores operadoras de telecomunicações do Japão, anunciou que milhões de endereços de e-mail e senhas de clientes foram expostos após um ataque a uma plataforma de e-mail utilizada por cinco provedores de serviços de internet no país. O incidente, descoberto em 17 de junho, afetou até 14,2 milhões de clientes, incluindo contas ativas e inativas. A empresa informou que algumas senhas estavam armazenadas de forma criptografada, mas não especificou quantas estavam em texto simples. O ataque ocorreu em 16 de maio, explorando uma vulnerabilidade zero-day em um software de terceiros, que não havia sido reconhecida pelo fornecedor até então. A KDDI já implementou medidas de segurança, como a mudança obrigatória de senhas para os clientes afetados e a instalação de software de detecção de ameaças. A empresa também notificou as autoridades japonesas sobre o incidente e está colaborando com os provedores de internet para mitigar os riscos decorrentes do vazamento.

CISA adiciona vulnerabilidades críticas ao catálogo de ameaças

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), todas com evidências de exploração ativa. As falhas incluem CVE-2026-48282 e CVE-2026-56290, ambas com pontuação CVSS de 10.0, que permitem a execução remota de código em sistemas vulneráveis, como Adobe ColdFusion e Joomlack Page Builder. A CVE-2026-55255, com pontuação de 6.1, permite que atacantes autenticados contornem autorizações e executem fluxos de outros usuários. A CVE-2026-48908, também com pontuação 10.0, permite o upload irrestrito de arquivos perigosos, resultando na execução de código PHP. A exploração da CVE-2026-48282 foi observada rapidamente após a divulgação pública, com tentativas de ataque originadas da Índia. As organizações são aconselhadas a aplicar correções até 10 de julho de 2026 para proteger suas redes. O cenário destaca a urgência de ações corretivas, especialmente para plataformas amplamente utilizadas como Joomla e WordPress.

Falha GhostLock no Linux permite controle total por usuários logados

Pesquisadores da Nebula Security revelaram uma vulnerabilidade crítica no kernel do Linux, identificada como GhostLock (CVE-2026-43499), que permite a qualquer usuário logado obter controle total de um sistema não atualizado. Essa falha, que existe há 15 anos, foi incluída por padrão em praticamente todas as distribuições Linux desde 2011 e não requer permissões especiais ou configurações incomuns para ser explorada. A vulnerabilidade foi descoberta por meio da ferramenta de busca de bugs VEGA, e a equipe da Nebula conseguiu criar um exploit funcional que é 97% confiável em testes. Embora não haja relatos de exploração ativa, o código do exploit foi publicado, tornando a correção uma prioridade. A falha é classificada como de alto risco, com uma pontuação de 7.8 em 10, já que um atacante precisa estar logado na máquina. As distribuições estão atualmente implementando patches, mas é essencial que os administradores verifiquem se estão usando a versão corrigida do kernel, pois versões anteriores podem ainda estar vulneráveis. Além disso, a Nebula também destacou que a GhostLock é parte de uma cadeia de exploração que pode ser combinada com outras falhas para comprometer sistemas remotamente.

Grupo de Ameaça Chinês Refinando Malware para Expandir Rede ORB

O grupo de ameaças avançadas persistentes (APT) conhecido como UAT-7810, vinculado à China, está aprimorando seu malware personalizado para expandir sua rede de Operational Relay Box (ORB). De acordo com a Cisco Talos, o UAT-7810 é responsável pela manutenção e proliferação do LapDogs, uma rede ORB identificada pela primeira vez em junho de 2025. O objetivo do grupo é estabelecer redes ORB que possam ser utilizadas por outros atores de ameaças para realizar ataques cibernéticos a alvos de alto valor. Recentemente, o UAT-7810 desenvolveu uma nova versão de seu malware, chamada LONGLEASH, além de outras ferramentas como DOGLEASH e LEASHTEST, que são utilizadas para explorar vulnerabilidades em dispositivos de rede, como roteadores Ruckus e ASUS. As campanhas do grupo têm se concentrado em explorar falhas conhecidas, como CVE-2020-22653 e CVE-2023-25717, para comprometer dispositivos e estabelecer acesso persistente. A evolução do malware indica um ciclo ativo de desenvolvimento, com novas funcionalidades sendo testadas em dispositivos MIPS. A situação representa um risco significativo para a segurança de redes, especialmente para infraestruturas críticas.

Porta-voz do Anonymous Wild Hornets critica enxames de drones

O porta-voz do grupo Anonymous Wild Hornets descreveu os enxames de drones como ‘uma lenda divertida e um mecanismo de fraude’ enquanto defende a importância das impressoras 3D na guerra moderna. A empresa, que fabrica drones na Ucrânia, está expandindo seu uso de impressão 3D para reduzir custos e aumentar a produção. Utilizando impressoras de mesa FDM, como as da Bambu Lab e Elegoo, a Wild Hornets consegue produzir componentes plásticos de drones em grande volume, o que permite uma rápida iteração de design em resposta às táticas do inimigo. Além disso, a fabricação interna abrange também baterias e controladores de voo, diminuindo a dependência de fornecedores externos. Apesar do crescente interesse em inteligência artificial para drones, a empresa alerta que a implementação dessa tecnologia pode aumentar significativamente os custos. O porta-voz também expressou ceticismo sobre a viabilidade dos enxames de drones, afirmando que, por enquanto, eles não representam uma ameaça real. A Wild Hornets, que começou como uma iniciativa voluntária, agora produz cerca de 100 drones por dia e planeja focar em pesquisa e desenvolvimento após o término do conflito.

Hackers chineses evoluem malware para comprometer roteadores Ruckus

Hackers chineses identificados como ‘UAT-7810’ estão aprimorando seu malware para expandir sua rede de infraestrutura de relé operacional (ORB), focando principalmente em dispositivos de rede expostos à internet, como roteadores Ruckus não atualizados. De acordo com pesquisadores da Cisco Talos, essa rede ORB serve como uma infraestrutura de relé segura para outras ameaças persistentes avançadas (APTs) alinhadas à China. O malware LONGLEASH, uma versão aprimorada do backdoor SHORTLEASH, foi identificado, oferecendo novas funcionalidades, como redirecionamento de tráfego e suporte a TLS. Além disso, foram descobertos outros malwares, como DOGLEASH, um backdoor leve para Linux, e JARLEASH, uma ferramenta administrativa em Java. Os pesquisadores destacam que UAT-7810 explora vulnerabilidades conhecidas em roteadores, como CVE-2020-22653 e CVE-2023-25717, para obter acesso inicial. A continuidade da expansão da infraestrutura ORB e a substituição do SHORTLEASH pelo LONGLEASH indicam um aumento na capacidade operacional dos atacantes. A lista completa de indicadores de comprometimento (IoCs) relacionados à atividade do UAT-7810 está disponível no relatório da Cisco Talos.

Accenture confirma violação de segurança e roubo de dados

A gigante de serviços de TI, Accenture, confirmou ter sofrido uma violação de segurança após um ator de ameaças afirmar ter roubado 35 GB de código-fonte e outros dados da empresa. Em uma declaração ao BleepingComputer, a Accenture afirmou que está ciente do incidente isolado e que já remediou a situação, garantindo que não houve impacto nas operações e na entrega de serviços. O ator de ameaças, conhecido como ‘888’, começou a oferecer os dados roubados para venda em um fórum de cibercrime, alegando que a violação ocorreu em julho de 2026 e que os dados incluem chaves RSA, chaves SSH, tokens de acesso pessoal do Azure e arquivos de configuração. Embora a Accenture tenha confirmado a violação, não forneceu detalhes sobre como os atacantes conseguiram acesso ou se dados de clientes foram afetados. Este incidente se soma a um histórico de violações da Accenture, incluindo um ataque do grupo de ransomware LockBit em 2021. A situação destaca a importância da segurança cibernética em um ambiente corporativo cada vez mais vulnerável a ataques.

Falha crítica no Google Dialogflow CX expõe dados de usuários

Uma falha crítica no Google Dialogflow CX, identificada pela empresa de segurança Varonis e nomeada de Rogue Agent, permitia que um atacante com permissões de edição em um agente habilitado para Code Block comprometesse outros agentes no mesmo projeto do Google Cloud. A vulnerabilidade possibilitava a leitura de conversas em tempo real, o roubo de dados compartilhados pelos usuários e o envio de mensagens escritas pelo atacante, como solicitações para reentrada de senhas. A falha afetou apenas organizações que utilizavam Playbooks e Code Blocks personalizados, que permitem a adição de código Python. Para explorar a vulnerabilidade, o atacante precisava da permissão dialogflow.playbooks.update, limitando o risco a insiders maliciosos ou contas de desenvolvedores comprometidas. O ambiente compartilhado onde o código é executado não apresentava isolamento adequado entre os agentes, permitindo que um único Code Block malicioso substituísse um arquivo crítico, comprometendo todos os agentes no projeto. Embora a Google tenha corrigido a falha e não haja indícios de exploração real, a situação destaca a necessidade de controles rigorosos de acesso e monitoramento em ambientes de desenvolvimento de IA.

Novo malware RedWing ameaça segurança bancária em dispositivos Android

Um novo malware para Android, denominado RedWing, está sendo comercializado no Telegram como um serviço de fraude bancária acessível até para criminosos de baixa habilidade. De acordo com a Zimperium, que identificou a operação, o RedWing é uma variante do malware Oblivion, e é oferecido em pacotes de assinatura que incluem descontos por indicação, guias e vídeos explicativos, permitindo que qualquer comprador crie um aplicativo personalizado sob demanda.

O processo de infecção começa com um link de phishing que direciona a vítima a uma página falsa de loja de aplicativos. O malware solicita permissões de forma gradual, utilizando técnicas enganosas para obter acesso total ao dispositivo. Uma vez instalado, o RedWing pode criar telas de login falsas, ler mensagens de texto para capturar códigos de autenticação e redirecionar chamadas, além de permitir o controle remoto do dispositivo.

Ransomware com IA acelera ataques, mas ainda depende de ação humana

Pesquisadores da Sysdig identificaram um ataque de ransomware inovador, atribuído ao operador JadePuffer, que utiliza inteligência artificial para automatizar etapas do sequestro de dados. Embora o ataque tenha sido facilitado pela IA, ele ainda requer a intervenção humana para configuração e direcionamento. O ataque começou com a exploração de uma vulnerabilidade no Langflow, uma ferramenta para criar aplicações com modelos de linguagem, e culminou em um ataque a um servidor de produção com banco de dados MySQL. Durante a operação, o agente de IA executou mais de 600 ações, adaptando-se a falhas e ajustando comandos em tempo real. O resultado foi a criptografia de aproximadamente 1.300 itens de configuração e a criação de um usuário administrador malicioso, seguido de uma mensagem de resgate. Notavelmente, a chave de criptografia gerada não foi preservada, o que pode inviabilizar a recuperação dos dados mesmo que o resgate seja pago. Este incidente destaca a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante por parte das empresas.

Grupo cibercriminoso CMD reivindica ataque a universidade canadense

O grupo cibercriminoso CMD Organization assumiu a responsabilidade por um ataque cibernético à Mount Royal University (MRU), em Calgary, Alberta, ocorrido em 17 de junho de 2026. A universidade confirmou a ocorrência de um incidente cibernético que afetou seus sistemas, incluindo folha de pagamento e registro de acomodações estudantis. CMD afirma ter roubado 10 TB de dados da MRU e está exigindo um resgate de 1,9 milhão de dólares em uma semana. Para corroborar sua reivindicação, o grupo publicou amostras de documentos que alegam ter sido roubados. A MRU ainda não confirmou a autenticidade da reivindicação e está em fase inicial de investigação, sem determinar se informações pessoais foram acessadas. CMD Organization, que opera um esquema de ransomware como serviço, já reivindicou 32 ataques desde sua fundação em maio de 2026, com um resgate médio de 580 mil dólares. O ataque à MRU é parte de uma tendência crescente de ataques de ransomware a instituições educacionais, que podem causar interrupções significativas nas operações diárias e riscos de fraude para alunos e funcionários.

Pipeline verde não é governado vulnerabilidades em CICD

Em junho de 2026, a Novee Security revelou uma nova classe de vulnerabilidades em pipelines de CI/CD, chamada Cordyceps, que afeta repositórios de alto impacto em ecossistemas como npm, PyPI, crates.io e Go. A pesquisa analisou cerca de 30.000 repositórios e identificou 654 vulnerabilidades, das quais mais de 300 eram totalmente exploráveis. O problema reside na forma como os workflows do GitHub Actions são configurados, permitindo que um atacante, com apenas uma conta gratuita do GitHub, execute código malicioso em contextos privilegiados. A vulnerabilidade se origina da interação entre workflows, onde um código aparentemente seguro pode ser manipulado para executar comandos não autorizados. Exemplos de exploração incluem o repositório Azure Sentinel da Microsoft, onde um simples comentário em um pull request permitiu o roubo de uma chave de aplicativo do GitHub, e o repositório do Google Cloud, onde um pull request poderia conceder acesso de proprietário a um projeto. A análise destaca a necessidade urgente de governança e revisão de segurança em pipelines, especialmente com o aumento da automação e do uso de ferramentas de IA, que podem replicar padrões inseguros em larga escala.

Polícia da Espanha prende suspeito de hacktivismo pró-Rússia

A Polícia Nacional da Espanha prendeu um homem suspeito de ser membro ativo do grupo hacktivista pró-Rússia conhecido como CyberArmy of Russia Reborn (CARR) e Z-Pentest. Esses grupos têm sido associados a vários ataques cibernéticos direcionados a infraestruturas críticas nos Estados Unidos e na Europa. Um dos ataques mais preocupantes, revelado em uma acusação recente, visou instalações de água e processamento de alimentos, colocando em risco a segurança pública. O governo dos EUA já impôs sanções a outros membros do CARR, que também foram implicados em ataques a sistemas SCADA de empresas de energia. O suspeito, residente em Palência, teria fornecido apoio logístico a um hacker ucraniano do CARR e tentado facilitar sua fuga para a Rússia. A investigação, que começou em agosto de 2025 com informações do FBI, resultou em uma operação policial em março de 2026, onde foram apreendidos dispositivos de armazenamento de criptomoedas e computadores. Embora ainda não haja acusações formais, o homem é investigado por associação a organização terrorista e danos computacionais.

Backdoor de autenticação oculta em roteadores Tenda expõe riscos

Uma vulnerabilidade crítica foi identificada em várias versões de firmware de roteadores Tenda, permitindo que atacantes obtenham acesso administrativo ao painel de gerenciamento web do dispositivo. O problema, rastreado como CVE-2026-11405, é causado por um mecanismo de autenticação não documentado na função ’login()’ do servidor web ‘/bin/httpd’. Quando um usuário tenta fazer login, o firmware do roteador realiza uma autenticação padrão baseada em MD5. Se essa falha, o sistema recupera uma senha alternativa da configuração ‘sys.rzadmin.password’ e a compara diretamente com a senha em texto claro fornecida pelo usuário remoto. Se as senhas coincidirem, o dispositivo concede acesso administrativo, independentemente do nome de usuário inserido. Isso significa que qualquer nome de usuário é aceito, desde que a senha da backdoor seja fornecida. O CERT/CC alerta que essa falha não está documentada em nenhum lugar, deixando os usuários inconscientes do risco. A exploração bem-sucedida pode permitir que um atacante reconfigure o dispositivo, altere configurações de rede e desative recursos de segurança, comprometendo ainda mais a rede local. Atualmente, não há correção disponível e recomenda-se que os usuários desativem o painel de gerenciamento remoto e mudem o endereço IP LAN padrão para mitigar riscos. A vulnerabilidade foi descoberta por um pesquisador anônimo e, embora não haja relatos de exploração ativa, a possibilidade de ataques por botnets é alta.

Vulnerabilidade crítica no Writer permite comprometimento entre inquilinos

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica de isolamento de sessão na plataforma de inteligência artificial generativa Writer, que já foi corrigida. Batizada de WriteOut pela equipe de Sand Security Research, a falha permite que um atacante, com apenas um link, consiga acessar e tomar controle de contas de usuários de diferentes organizações. Isso significa que um invasor pode acessar chats privados, documentos e dados sensíveis, dependendo do papel do usuário atacado. O ataque ocorre quando um usuário logado clica em um link de pré-visualização compartilhado por um agente malicioso, que então captura o cookie de sessão do usuário. A vulnerabilidade quebra as proteções de isolamento entre inquilinos, permitindo que o atacante atue como um usuário legítimo em diferentes contas. Após a divulgação responsável, a Writer implementou correções para evitar que cookies de sessão sejam enviados para pré-visualizações de sandbox. A falha destaca a importância de uma análise rigorosa de segurança em plataformas de IA, especialmente em ambientes corporativos.

Hacker ligado a roubo de dados de joalheria de luxo nos EUA é preso

Um hacker, identificado como Peter Stokes, de 19 anos, foi preso e acusado de envolvimento em um ataque cibernético a uma joalheria de luxo nos Estados Unidos. O ataque ocorreu entre 12 e 15 de maio de 2025, quando os invasores se passaram por funcionários da empresa e conseguiram redefinir senhas e acessar contas críticas. Utilizando ferramentas como ngrok e Teleport, os hackers transferiram pelo menos 77 gigabytes de dados para armazenamento em nuvem. Embora tenham tentado implantar ransomware, a equipe de segurança da joalheria conseguiu bloquear a ação. O ataque resultou em um custo de aproximadamente 2 milhões de dólares para a empresa. A investigação levou à identificação de Stokes através de um identificador de dispositivo da Microsoft, que estava ligado à conta usada para o ataque. Apesar da prisão, especialistas alertam que o grupo Scattered Spider, do qual Stokes faz parte, é uma rede descentralizada e que a captura de um único membro não é suficiente para mitigar a ameaça. O caso destaca a importância de processos rigorosos de verificação de identidade em help desks e a adoção de autenticação multifatorial resistente a phishing.

Vulnerabilidade no GitHub pode expor repositórios privados

Pesquisadores da Noma Security revelaram uma vulnerabilidade crítica no GitHub, que pode permitir que agentes de automação, conhecidos como GitHub Agentic Workflows, exponham conteúdos de repositórios privados. A técnica, chamada GitLost, permite que um atacante crie um problema aparentemente inofensivo em um repositório público, levando o agente a acessar e vazar informações privadas. Isso ocorre devido à ineficácia do agente em distinguir entre instruções legítimas e maliciosas, resultando em uma injeção de prompt indireta. A vulnerabilidade é particularmente preocupante porque não requer credenciais roubadas ou acesso direto à organização, apenas a criação de um problema público. Embora o GitHub tenha implementado medidas de segurança, como tokens de acesso somente leitura e detecção de ameaças, um simples ajuste na redação de um comando malicioso conseguiu contornar essas proteções. A Noma Security alerta que a combinação de acesso a dados privados, leitura de conteúdo não confiável e capacidade de postagem pública cria um caminho claro para vazamentos de dados. As organizações devem restringir o escopo dos tokens de acesso e revisar as saídas dos agentes antes da publicação para mitigar esses riscos.

Campanha de phishing com código de dispositivo do Microsoft 365 em alta

Uma nova campanha de phishing utilizando códigos de dispositivo do Microsoft 365 foi identificada entre o final de junho e início de julho de 2026. A técnica, conhecida como ‘device code phishing’, explora um fluxo legítimo de autenticação OAuth 2.0, permitindo que atacantes contornem a autenticação multifator (MFA) e acessem contas sem precisar roubar senhas. Ao invés de criar páginas falsas, os criminosos manipulam usuários a completarem um prompt de autenticação real, inserindo um código que, na verdade, autoriza o acesso do invasor. A campanha observada pela ZeroBEC utiliza iscas relacionadas a colaborações e pagamentos, levando as vítimas a um site legítimo, mas comprometido, que orquestra o desafio de código do dispositivo. Essa abordagem é similar a uma campanha anterior, Storm-2372, e utiliza uma infraestrutura reutilizável chamada DEBULL, que permite a personalização das iscas sem alterar a base de identidade. O aumento desses ataques representa um risco significativo, facilitando a tomada de controle de contas, roubo de informações e fraudes. A situação exige atenção especial dos profissionais de segurança, especialmente em um cenário onde a autenticação legítima é explorada para fins maliciosos.

Microsoft testa recurso de recuperação em nuvem no Windows 11

A Microsoft iniciou testes da funcionalidade Cloud Rebuild, que permite a reinstalação completa do sistema operacional Windows 11 a partir da nuvem, visando dispositivos que enfrentam problemas persistentes ou que se tornaram inoperáveis. Apresentada na conferência Ignite em novembro de 2025, essa ferramenta é uma alternativa ao recurso ‘Reset this PC’, pois baixa a imagem do Windows e os drivers diretamente do Windows Update, garantindo que o dispositivo retorne a um estado funcional sem a necessidade de mídia USB ou de uma imagem personalizada. Para testar o Cloud Rebuild, os usuários devem instalar a versão Insider Preview Build 26300.8772 e seguir um processo de recuperação no Ambiente de Recuperação do Windows (WinRE). Além disso, a Microsoft também anunciou o recurso Point-in-Time Restore (PITR), que permite reverter o sistema para um estado anterior saudável em minutos. Essas funcionalidades fazem parte da iniciativa de resiliência do Windows, que visa facilitar a recuperação de dispositivos que não conseguem iniciar corretamente. Outras ferramentas, como o Quick Machine Recovery (QMR), também estão sendo testadas para ajudar administradores a resolver falhas de inicialização sem acesso físico ao dispositivo.

BeyondTrust alerta sobre falhas críticas em software de acesso remoto

A BeyondTrust emitiu um alerta para que seus clientes apliquem patches em duas falhas de segurança críticas em seus softwares Remote Support (RS) e Privileged Remote Access (PRA). A primeira vulnerabilidade, identificada como CVE-2026-40138, afeta versões 25.3.2 ou anteriores do RS e do PRA, permitindo que atacantes contornem controles de acesso e acessem dispositivos alvo, incluindo contas com privilégios elevados. A segunda falha, CVE-2026-40139, permite que atacantes remotos não autenticados acessem instâncias vulneráveis devido a um processamento inadequado de solicitações de autenticação. Embora a BeyondTrust tenha destacado que a exploração dessas falhas requer uma configuração específica de autenticação, não foram fornecidos detalhes adicionais. Além disso, a empresa lançou atualizações de segurança para outras duas vulnerabilidades de alta severidade (CVE-2026-40140 e CVE-2026-40141), que podem causar negação de serviço ou acesso a recursos restritos. A BeyondTrust já aplicou patches para clientes em nuvem e recomenda que clientes auto-hospedados atualizem suas versões. O grupo de vigilância de segurança Shadowserver identificou quase 2.000 instâncias do RS e PRA expostas online, mas não há informações sobre quantas já foram corrigidas. Historicamente, falhas anteriores da BeyondTrust foram exploradas em ataques, incluindo um incidente que comprometeu agências do governo dos EUA, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Vulnerabilidade de 16 anos no Linux permite fuga de máquinas virtuais

Uma vulnerabilidade no kernel do Linux, identificada como Januscape, permite que atacantes escapem de máquinas virtuais e executem códigos arbitrários no host. Descoberta pelo pesquisador de segurança Hyunwoo Kim, essa falha de escape de convidado para host (CVE-2026-53359) é resultado de uma fraqueza de uso após a liberação na emulação MMU sombra do KVM/x86. Presente no kernel do Linux por cerca de 16 anos, a vulnerabilidade foi corrigida em junho de 2026 e foi utilizada como um exploit zero-day no programa de recompensas de vulnerabilidades do Google, kvmCTF. A exploração bem-sucedida permite que atacantes com acesso root em uma máquina virtual convidada executem códigos como root no host, comprometendo todos os convidados em execução ou até mesmo derrubando o kernel do host. Kim destacou que Januscape é o primeiro exploit desse tipo que pode ser acionado em arquiteturas de processadores Intel e AMD, representando um risco significativo para ambientes de nuvem pública multi-inquilinos. Administradores de hosts KVM/x86 devem garantir que o patch correspondente tenha sido aplicado para proteger seus sistemas contra essa vulnerabilidade.

Automatizando a segurança de e-mails com IA comportamental

As organizações continuam a investir em soluções de segurança como gateways de e-mail seguros e autenticação multifatorial, mas ataques de phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO) permanecem como ameaças persistentes. Um webinar promovido pela BleepingComputer, intitulado ‘Stop chasing alerts: Automating email security with behavioral AI’, abordará como a inteligência artificial comportamental pode ajudar as empresas a identificar padrões de comunicação anormais, automatizar investigações e acelerar respostas a ataques de e-mail. Os ataques modernos têm se tornado mais sofisticados, utilizando identidades confiáveis e comunicações empresariais normais, o que dificulta a detecção por controles tradicionais de segurança. O evento contará com especialistas que compartilharão insights práticos sobre como reduzir a fadiga de alertas e melhorar a eficiência das investigações. O webinar também discutirá as estratégias para detectar esses ataques de forma mais eficaz, aliviando a carga operacional das equipes de segurança. Os participantes aprenderão sobre as táticas que os atacantes usam e como a IA pode ser uma aliada na defesa contra essas ameaças.

Vulnerabilidade em firmware da Tenda permite acesso não autorizado

O CERT Coordination Center (CERT/CC) alertou sobre uma vulnerabilidade crítica em várias versões de firmware da fabricante chinesa Tenda, que permite a exploração de uma backdoor de autenticação não documentada. Essa falha, identificada como CVE-2026-11405, possibilita que atacantes contornem o processo de verificação de senha e obtenham controle administrativo total sobre os dispositivos, sem a necessidade de credenciais válidas. A vulnerabilidade afeta diversos modelos de firmware, incluindo US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD e US_AC10V1.0re_V15.03.06.46_multi_TDE01. O problema reside na função “login()” do binário do servidor web, onde uma comparação direta de senhas pode ser realizada, permitindo acesso administrativo ao fornecer um nome de usuário qualquer junto com a senha da backdoor. Até o momento, a Tenda não lançou um patch para corrigir essa falha. Os usuários são aconselhados a desativar a gestão remota e alterar o endereço IP padrão da LAN para mitigar riscos de exploração.

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.

Segurança da Cadeia de Suprimentos de Software O Impacto da IA

A segurança da cadeia de suprimentos de software enfrenta novos desafios com a integração da inteligência artificial (IA) no processo de desenvolvimento. Nos últimos anos, incidentes como SolarWinds e Log4Shell destacaram que os riscos estão mais associados ao que compõe o código do que ao código em si. Com a introdução de ferramentas autônomas e assistentes de codificação baseados em IA, a necessidade de entender a origem e a confiabilidade dos modelos e ferramentas se torna crucial. A validação do código gerado por IA antes de sua implementação é essencial, mas o verdadeiro desafio reside na governança das ferramentas e agentes que produzem esse código. Para lidar com essa nova realidade, as equipes de segurança precisam estender a rastreabilidade para incluir modelos e agentes, além de priorizar vulnerabilidades com base na real possibilidade de exploração. O recente reconhecimento do Gartner sobre a segurança da cadeia de suprimentos de software ressalta a importância de abordar esses riscos de forma sistemática. Um webinar programado para julho de 2026 discutirá como a integração da IA alterou a superfície de ataque e o que um programa de segurança deve incluir para ser eficaz nesta nova era.

Atualizações críticas da BeyondTrust para falhas de segurança em produtos

A BeyondTrust divulgou atualizações para corrigir duas falhas de segurança críticas em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). As vulnerabilidades, identificadas como CVE-2026-40138 e CVE-2026-40139, possuem uma pontuação CVSS de 9.2, permitindo que atacantes não autenticados contornem controles de acesso e obtenham acesso não autorizado a dispositivos vulneráveis, incluindo contas com privilégios elevados. Ambas as falhas estão relacionadas a problemas na validação de dados de autenticação. Além disso, outras vulnerabilidades, como CVE-2026-40140 e CVE-2026-40141, apresentam riscos adicionais, como negação de serviço e acesso não intencional a recursos. A BeyondTrust não relatou exploração ativa dessas falhas, mas enfatizou a importância de aplicar as correções rapidamente, especialmente considerando que falhas anteriores em seus produtos foram exploradas para implantar shells web e backdoors. As versões afetadas são RS 25.3.2 ou inferiores e PRA 25.3.2 ou inferiores, com correções disponíveis nas versões 25.3.3 e superiores.

Autoridades vietnamitas prendem operadores do HiAnime, serviço de pirataria

As autoridades do Vietnã prenderam sete suspeitos envolvidos na operação do HiAnime, a maior plataforma de streaming de anime pirata, que foi encerrada em junho de 2023. O HiAnime oferecia uma vasta biblioteca de animes legendados e dublados em inglês sem taxas de assinatura, atraindo centenas de milhões de visitantes mensais e superando temporariamente serviços legais como Disney+ e Crunchyroll em tráfego na web entre 2024 e 2025. A plataforma foi lançada no domínio Zoro.to, rebatizada como Aniwatch e, posteriormente, como HiAnime/H!Anime. Após sua popularidade, o HiAnime foi incluído na lista de Pirataria e Contrafação da Comissão Europeia e na lista de Mercados Notórios do Representante de Comércio dos EUA. Os sete réus enfrentam acusações de violação de direitos autorais e lavagem de dinheiro, com quatro deles detidos e três sob prisão domiciliar. Eles são acusados de criar mais de 100 sites para hospedar mais de 26.000 filmes de anime piratas, gerando cerca de 12,85 milhões de dólares em receita publicitária ilegal entre 2020 e abril de 2026. A Aliança para Criatividade e Entretenimento (ACE) confirmou a ação das autoridades e expressou gratidão ao apoio dos EUA durante a investigação que levou às prisões.

Atores de ameaças abusam de chamadas do Microsoft Teams para instalar malware

A Palo Alto Networks, através da sua unidade Unit 42, revelou uma nova campanha de ciberataques que explora chamadas de voz do Microsoft Teams. Os atacantes se passam por funcionários de suporte técnico para induzir colaboradores a instalar o malware EtherRAT, que concede acesso remoto a redes corporativas. O ataque começa com um e-mail de phishing disfarçado de ‘Pesquisa de Funcionários’, contendo um PDF malicioso. Após abrir o documento, a vítima recebe uma chamada de voz do Teams de uma conta externa que se faz passar por um ‘Administrador de Sistema’. Os pesquisadores notaram que a sessão do Teams exibia o rótulo ‘Externo desconhecido’, indicando que o chamador pertencia a um locatário diferente do Microsoft 365. Após convencer a vítima a conceder controle remoto, o atacante orienta a instalação de ferramentas legítimas de acesso remoto, como HopToDesk e AnyDesk, antes de baixar e executar um instalador MSI malicioso que carrega o EtherRAT. Este trojan de acesso remoto, escrito em Node.js, permite que os atacantes executem comandos, manipulem arquivos e roubem dados. A campanha destaca a crescente preocupação com a segurança do Microsoft Teams, levando a empresa a implementar novas proteções contra ataques de phishing e vishing.

Campanha de phishing finge ser marcas famosas para roubar credenciais

Uma nova campanha de phishing está se passando por mais de 30 marcas conhecidas, como Adobe, Netflix e Coca-Cola, visando profissionais de marketing para roubar credenciais de contas do Google. Os atacantes utilizam a plataforma legítima PeopleForce e um domínio associado ao Salesforce Marketing Cloud para redirecionar as vítimas a uma página de captura maliciosa. Para aumentar a credibilidade, os e-mails de phishing usam nomes e fotos de recrutadores reais das empresas impersonadas. A análise de Will Thomas, da Team Cymru, revelou que a campanha utiliza pelo menos 34 domínios, abrangendo setores como aviação, alimentos, vestuário e tecnologia. Os e-mails, que inicialmente usavam endereços do Outlook, solicitam que as vítimas agendem entrevistas, levando-as a uma página que imita o login do Google. Embora não esteja claro como os atacantes acessaram as plataformas legítimas, a possibilidade de criação de contas genuínas ou uso de logins comprometidos é considerada. A operação já está em andamento há pelo menos cinco meses, destacando a necessidade de vigilância constante contra esse tipo de ameaça.

Vulnerabilidade Januscape no KVM do Linux pode comprometer hosts

Uma nova vulnerabilidade, identificada como ‘Januscape’ e registrada como CVE-2026-53359, foi descoberta no hipervisor KVM do Linux. Essa falha, que se trata de um bug do tipo use-after-free, pode ser explorada a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel do host. O problema reside no código da MMU sombra que o KVM compartilha entre processadores Intel e AMD e, segundo o pesquisador Hyunwoo Kim, pode levar a uma execução de código completo no host. A vulnerabilidade ficou sem ser detectada por cerca de 16 anos e requer que o atacante tenha acesso root na VM, uma condição comum em instâncias de nuvem alugadas. A falha foi utilizada como uma submissão de zero-day no programa de recompensas kvmCTF do Google, que oferece até $250.000 por escapes completos de convidado para host. A correção foi implementada em junho de 2026, mas os administradores de sistemas devem agir rapidamente para aplicar o patch, especialmente em ambientes x86 que hospedam convidados não confiáveis com virtualização aninhada habilitada.

Grupo de hackers iranianos utiliza novo malware contra Israel

Um grupo de hackers iranianos, vinculado ao Ministério da Inteligência e Segurança do Irã, tem utilizado um novo framework modular de comando e controle (C2) chamado Cavern, visando principalmente organizações israelenses, especialmente no setor de TI e governo. A pesquisa da Check Point identificou que o Cavern Manticore, como é conhecido o grupo, apresenta semelhanças táticas com outros grupos como MuddyWater e Lyceum. O framework é construído sobre uma base .NET e utiliza múltiplos formatos de compilação, dificultando a análise por parte de especialistas em segurança.

A Revolução da Inteligência Artificial na Segurança de Software

O artigo de Morey J. Haber discute a evolução do desenvolvimento de software, destacando a transição do modelo Waterfall para metodologias mais ágeis, como Agile e DevOps, e, mais recentemente, para o que é chamado de Vibe Coding, impulsionado pela inteligência artificial generativa. Essa nova abordagem permite que qualquer pessoa, independentemente de experiência técnica, crie aplicações rapidamente, simplesmente descrevendo suas intenções em linguagem natural. No entanto, essa velocidade de desenvolvimento traz novos desafios de segurança, pois o código gerado pode conter vulnerabilidades e falhas que não eram previstas nas metodologias anteriores. O autor enfatiza que, apesar das vantagens do Vibe Coding, as práticas tradicionais de engenharia de software seguro, como modelagem de ameaças e testes de vulnerabilidade, continuam essenciais. A democratização da criação de software não garante a democratização do julgamento de engenharia necessário para garantir a segurança e a confiabilidade das aplicações. Portanto, as organizações devem estar atentas ao aumento da superfície de risco que essa nova era de desenvolvimento pode trazer.

Como Avaliar Plataformas de SOC com Inteligência Artificial

A avaliação de plataformas de Centro de Operações de Segurança (SOC) que utilizam Inteligência Artificial (IA) pode ser desafiadora, uma vez que diferentes fornecedores apresentam soluções com características semelhantes. Um SOC com IA é uma plataforma onde agentes de IA realizam tarefas essenciais, como detecção, triagem, investigação e resposta, sob supervisão humana. A eficácia de uma plataforma não está apenas em seu nome, mas em sua capacidade de melhorar resultados, como tempo de investigação e volume de falsos positivos. Para garantir a confiabilidade, é crucial que os agentes tenham acesso a um contexto abrangente, que inclui dados de identidade, configuração e comportamento normal. O artigo destaca seis capacidades essenciais a serem testadas durante uma prova de conceito, como a correlação de dados em tempo real e a cobertura de detecção além do SIEM. A plataforma Exaforce é mencionada como um exemplo que atende a essas capacidades, demonstrando resultados significativos, como a redução do tempo de investigação em 95%. A luta entre IA e IA continua, e a confiança nas decisões automatizadas depende da qualidade dos dados utilizados pelos agentes.

Ameaça crítica em imagens Docker do Gitea vulnerabilidade CVE-2026-20896

Pesquisadores de segurança alertaram sobre uma vulnerabilidade crítica (CVE-2026-20896) em imagens Docker do Gitea, uma plataforma de DevOps. Com uma pontuação CVSS de 9.8, a falha permite que um cliente da internet não autenticado obtenha acesso elevado ao confiar no cabeçalho ‘X-WEBAUTH-USER’ de qualquer endereço IP. A configuração padrão do arquivo ‘app.ini’ da imagem Docker define ‘REVERSE_PROXY_TRUSTED_PROXIES’ como ‘*’, permitindo que qualquer IP que consiga acessar a porta do Gitea se autentique como qualquer usuário, incluindo administradores. Essa vulnerabilidade afeta versões do Gitea até a 1.26.2, mas foi corrigida na versão 1.26.3, onde o wildcard foi removido e a autenticação por proxy reverso se tornou opcional. A Sysdig detectou tentativas de exploração 13 dias após a divulgação pública da falha, destacando a urgência de aplicar os patches disponíveis para proteger as instâncias do Gitea, que somam cerca de 6.200 expostas na internet.

Falha em app da Mottu expõe dados de usuários, incluindo CPF

Um incidente de segurança na plataforma de aluguel de motos Mottu resultou na exposição de dados pessoais de usuários, incluindo nomes, CPFs, endereços e informações de contato. O vazamento não comprometeu dados financeiros, como informações de pagamento ou senhas. A empresa identificou a falha em 29 de junho e tomou medidas corretivas, como revogação de acessos e reforço na autenticação. A Mottu notificou a Agência Nacional de Proteção de Dados (ANPD) sobre o incidente, conforme exigido pela Lei Geral de Proteção de Dados (LGPD). Apesar de não haver comprometimento de dados financeiros, a empresa alertou os usuários sobre possíveis tentativas de golpe e engenharia social, recomendando atenção redobrada. O número total de usuários afetados não foi divulgado, mas a situação destaca a importância da segurança de dados em plataformas digitais, especialmente em um cenário onde a proteção de informações pessoais é cada vez mais crítica.

Alibaba proíbe uso do Claude Code em meio à disputa de IA EUA-China

A Alibaba anunciou a proibição do uso do Claude Code por seus funcionários, a partir de 10 de julho de 2026, classificando a ferramenta como de alto risco para a segurança organizacional. Essa decisão segue uma tendência observada entre gigantes da tecnologia dos EUA, que também têm banido ferramentas chinesas em suas operações internas. A proibição foi motivada por preocupações de segurança levantadas pela Anthropic, desenvolvedora do Claude Code, que identificou que a ferramenta continha códigos para rastrear usuários na China. Esses códigos incluíam verificações de fusos horários, servidores proxy e características de rede, o que levantou questões sobre privacidade e segurança. A Alibaba, por sua vez, incentivou seus funcionários a utilizarem seu assistente de IA interno, o Qoder, como alternativa. A situação é um reflexo das crescentes tensões geopolíticas entre os EUA e a China, onde empresas chinesas estão promovendo ferramentas de IA locais em resposta a essas preocupações. Embora a Alibaba e a Anthropic ainda não tenham comentado publicamente sobre a situação, o incidente destaca a complexidade da segurança cibernética em um ambiente de crescente rivalidade tecnológica.

Análise do antivírus MacPaw Moonlock

O MacPaw Moonlock é um novo software antivírus que se destaca no mercado por sua interface amigável e um conjunto abrangente de funcionalidades. Lançado em outubro de 2025, o Moonlock não apenas oferece proteção contra malware, mas também inclui um VPN, um inspetor de rede e um conselheiro de segurança. O software foi testado e certificado pelo AV-Test, obtendo notas altas em proteção e usabilidade. Apesar de suas qualidades, o preço de $54 por ano para um único dispositivo pode ser um obstáculo para alguns usuários, especialmente quando comparado a concorrentes mais baratos. Além disso, a necessidade de um cartão de crédito para iniciar o teste gratuito e a falta de suporte ao vivo são pontos negativos. A pesquisa da MacPaw indica que 66% dos usuários de Mac enfrentaram pelo menos uma ameaça cibernética no último ano, reforçando a importância de soluções de segurança como o Moonlock. O software é ideal para quem busca uma proteção mais robusta e educativa, mas pode não ser a melhor escolha para todos devido ao custo e à concorrência.

Vulnerabilidade crítica do Adobe ColdFusion está sendo explorada

O Centro Canadense de Cibersegurança (CCCS) alertou sobre a exploração ativa de uma vulnerabilidade crítica no Adobe ColdFusion, identificada como CVE-2026-48282. Essa falha afeta as versões 2025.9, 2023.20 e anteriores do ColdFusion, permitindo que atacantes não privilegiados executem código remotamente em sistemas não corrigidos. A Adobe lançou atualizações de segurança para mitigar essa vulnerabilidade, classificando-a como de alto risco e recomendando que administradores apliquem os patches em até 72 horas. O CCCS confirmou que os atacantes já começaram a explorar essa falha, incentivando a revisão das atualizações necessárias. Embora a Shadowserver tenha identificado quase 800 instâncias do ColdFusion expostas online, não há dados sobre quantas delas estão vulneráveis ou já foram protegidas. Além disso, a Adobe também corrigiu outras falhas críticas em suas plataformas, mas não confirmou a exploração ativa dessas. A situação exige atenção imediata das equipes de segurança, especialmente considerando o histórico de vulnerabilidades em produtos da Adobe que têm sido alvo de ataques cibernéticos.