Pesquisas recentes indicam que o governo chinês está intensificando sua repressão ao uso de VPNs, especialmente na região autônoma do Xinjiang, onde o tráfego de internet via VPN para sites banidos é estimado em apenas 4%. Este dado foi coletado a partir de mais de 100 mil documentos da Geedge Networks. A censura na China é amplamente conhecida, com muitos sites ocidentais bloqueados ou de difícil acesso. A partir de abril de 2026, novas medidas foram implementadas para bloquear serviços de VPN, especialmente em datas sensíveis como o aniversário do massacre da Praça Tiananmen. O uso de VPNs na China é permitido, mas as opções disponíveis são monitoradas pelo governo, o que levanta preocupações sobre a privacidade dos usuários. A pesquisa também destaca que, enquanto o uso de VPNs é comum em países ocidentais, na China, a utilização é drasticamente menor, com apenas 2% do tráfego de internet durante períodos críticos sendo direcionado a aplicativos como o WhatsApp. A situação atual reflete um ambiente de crescente vigilância e controle sobre a comunicação digital dos cidadãos.

Recentemente, 73 repositórios do GitHub da Microsoft, incluindo aqueles relacionados ao Azure e MicrosoftDocs, foram comprometidos por uma campanha de ataque à cadeia de suprimentos chamada Miasma. O GitHub desativou o acesso a esses repositórios após a violação das suas políticas de serviço. O ataque é uma variante do worm Mini Shai-Hulud, que se aproveita do modelo de confiança das plataformas de código aberto, explorando a suposição de que pacotes assinados por mantenedores autenticados são seguros. O ataque se destaca por sua capacidade de se propagar rapidamente, comprometendo usuários downstream e repetindo o ciclo de infecção. O vetor de ataque inclui a injeção de código malicioso em repositórios legítimos, que é ativado quando um desenvolvedor clona e abre o repositório em ferramentas de codificação. Este incidente evidencia as vulnerabilidades nas cadeias de suprimentos de software e a necessidade de uma vigilância contínua e de medidas de segurança robustas.

Recentemente, uma startup de segurança revelou 21 vulnerabilidades desconhecidas no FFmpeg, uma biblioteca de mídia amplamente utilizada, todas descobertas por um agente de IA autônomo. Essas falhas, que incluem estouros de pilha e heap, estavam latentes por até 23 anos. Em paralelo, o Google lançou o Chrome 149, corrigindo um recorde de 429 bugs de segurança, sendo 100 deles de alta severidade. O bug mais crítico, CVE-2026-10881, permite que uma página maliciosa escape da sandbox e execute código no host, resultando em um pagamento de $97.000 ao pesquisador que o descobriu. A pressão para encontrar e corrigir vulnerabilidades aumentou com o uso de IA, que está gerando um volume maior de relatórios. O Google reformulou seu programa de recompensas para lidar com essa avalanche de descobertas, exigindo provas mais concisas. Para mitigar riscos, é crucial que os usuários do FFmpeg atualizem suas versões assim que os patches estiverem disponíveis, especialmente aqueles que lidam com fluxos de mídia não confiáveis. Para o Chrome, a atualização para a versão 149 é essencial para garantir a segurança do navegador.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no software de servidor de arquivos multi-protocolo SolarWinds Serv-U em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2026-28318, possui uma pontuação CVSS de 7.5 e é classificada como um bug de negação de serviço (DoS), que pode causar a queda do serviço sob certas condições. Segundo a SolarWinds, a falha é suscetível a requisições POST especialmente elaboradas que podem derrubar o serviço sem necessidade de autenticação, utilizando o cabeçalho Content-Encoding: deflate. A empresa já lançou uma correção na versão 15.5.4 HF1 do Serv-U e recomenda que os usuários limitem o acesso a endereços conhecidos e bloqueiem requisições que contenham “content-encoding”. A CISA ordenou que as agências do governo federal dos EUA resolvam a falha até 19 de junho de 2026. Embora a exploração ativa tenha sido confirmada, não há informações sobre como a vulnerabilidade está sendo utilizada em ataques reais ou quantas instâncias do Serv-U expostas à internet foram comprometidas.

Um pesquisador reverteu a engenharia do SDK da Bright Data, que é embutido em aplicativos de consumo, revelando como ele transforma dispositivos, como TVs inteligentes sempre ligadas, em nós de saída que retransmitem tráfego de web scraping. A Bright Data, sucessora da Luminati, opera a maior rede de proxies residenciais do mundo, com mais de 400 milhões de IPs residenciais. O problema surge quando o tráfego de scraping utiliza a conexão de internet do usuário, em vez da do cliente, o que pode resultar em uso indevido da largura de banda do usuário. O SDK não possui autenticação robusta e, em dispositivos iOS, o tráfego consegue contornar VPNs configuradas. A tela de consentimento apresentada aos usuários não reflete a extensão do uso permitido pelo SDK, que pode consumir até 200 GB de tráfego mensalmente. Embora a Bright Data afirme que os nós de saída são opt-in, a validade desse consentimento é questionável. A pesquisa destaca a necessidade de monitoramento e bloqueio de endereços web associados ao SDK para proteger a rede doméstica. Com a crescente demanda por dados para IA, essa prática levanta preocupações sobre privacidade e segurança, especialmente no contexto da LGPD no Brasil.

A Cisco emitiu um alerta sobre uma vulnerabilidade de alta severidade, identificada como CVE-2026-20245, que afeta o Catalyst SD-WAN Manager. Com uma pontuação CVSS de 7.8, essa falha permite que um atacante autenticado execute comandos arbitrários como root, ao enviar um arquivo malicioso para o sistema afetado. A vulnerabilidade é resultado de uma validação insuficiente de entradas fornecidas pelo usuário, o que pode levar a ataques de injeção de comandos e elevação de privilégios. Para explorar essa falha, o atacante precisa ter privilégios de netadmin, o que requer credenciais válidas ou a exploração de outras vulnerabilidades conhecidas, como CVE-2026-20182 e CVE-2026-20127, ambas já exploradas ativamente. A Cisco não possui patches disponíveis para CVE-2026-20245, mas recomenda que os clientes atualizem seu software SD-WAN para corrigir as falhas anteriores. A empresa também alertou que sistemas expostos à internet estão em risco elevado de comprometimento e sugere que os usuários verifiquem logs específicos em busca de indicadores de comprometimento. Essa é a sétima vulnerabilidade crítica identificada na plataforma SD-WAN da Cisco em 2026, destacando a necessidade urgente de atenção e ação por parte das organizações que utilizam essas tecnologias.

Darren Hughes, um homem de 39 anos de San Jose, Califórnia, foi condenado a mais de 26 anos de prisão federal por tráfico de fentanil e metanfetamina através do Nemesis Market, um dos maiores mercados ilegais da dark web. Hughes foi preso em junho de 2023 após vender drogas a agentes infiltrados em cinco ocasiões, utilizando criptomoedas como forma de pagamento. Durante a prisão, a polícia encontrou 672 gramas de metanfetamina e uma arma de fogo sem número de série em seu veículo. O Nemesis Market, que operou de 2021 até sua desarticulação em março de 2024, tinha mais de 150 mil contas de usuários e processou centenas de milhares de pedidos de drogas, incluindo opioides. Autoridades de vários países, incluindo os EUA e a Alemanha, colaboraram para fechar o mercado, destacando a crescente preocupação com o tráfico de drogas na internet e a eficácia das forças de segurança em combater esses crimes, mesmo em plataformas que parecem anônimas.

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no software Serv-U da SolarWinds, que foi recentemente corrigida. A falha, identificada como CVE-2026-28318, permite que atacantes remotos provoquem a queda do serviço sem necessidade de autenticação, utilizando requisições POST especialmente elaboradas. A SolarWinds lançou um patch para corrigir essa vulnerabilidade, mas a CISA observou que a exploração já está ocorrendo na prática, levando a agência a incluir a falha em seu Catálogo de Vulnerabilidades Conhecidas. Administradores que não puderem aplicar a correção imediatamente são aconselhados a restringir o acesso a endereços conhecidos e bloquear requisições POST que contenham “content-encoding”. Atualmente, mais de 12.000 servidores Serv-U estão expostos online, o que representa um risco significativo, especialmente considerando que grupos de cibercrime têm historicamente explorado falhas nesse software para roubar dados sensíveis. A CISA enfatiza a necessidade de que todas as organizações, incluindo o setor privado, tomem medidas para proteger suas redes contra esses ataques.

As gigantes japonesas Toshiba e Muji emitiram alertas a seus usuários sobre telas de login suspeitas que podem estar coletando credenciais. Essas telas foram geradas por um serviço externo hospedado em polyfill[.]io, que, em 2024, introduziu códigos maliciosos em scripts entregues por sua rede de distribuição de conteúdo (CDN). Ambas as empresas recomendaram que os usuários que inseriram dados de login nessas telas mudassem suas senhas. A Toshiba confirmou que algumas partes de seu site poderiam exibir essas telas e pediu que os usuários selecionassem ‘Cancelar’ sem inserir informações. A Muji também fez um aviso semelhante, embora não tenha confirmado acessos não autorizados até o momento. Além de Toshiba e Muji, outras empresas, como Zojirushi e FiNC Technologies, também foram afetadas. O problema surgiu após a aquisição do domínio polyfill[.]io por uma entidade chinesa, que adicionou scripts maliciosos, impactando mais de 100 mil sites. Embora a situação tenha sido mitigada, a recomendação é que os usuários permaneçam cautelosos com solicitações de autenticação inesperadas.

Recentes ataques à cadeia de suprimentos de software têm impactado o ecossistema npm, com criminosos utilizando versões maliciosas de mais de 50 pacotes legítimos para disseminar um ladrão de informações baseado em Rust e um worm auto-replicante. O ladrão de informações, denominado IronWorm, é capaz de coletar segredos de máquinas de desenvolvedores e se esconde atrás de um rootkit de kernel eBPF, comunicando-se com seu operador via Tor. O malware foi publicado no registro npm por uma conta comprometida chamada ‘asteroiddao’, que introduziu versões de pacotes contendo um binário Rust executado por um hook de pré-instalação. O IronWorm visa variáveis de ambiente e arquivos que podem conter credenciais de serviços populares como AWS, Docker e GitHub, e possui lógica para evitar roubar dados da própria carteira do atacante. Além disso, uma nova variante do worm Miasma foi identificada, comprometendo 57 pacotes npm com 286 versões maliciosas. Essa variante utiliza um arquivo binding.gyp para executar código durante a instalação, contornando verificações de segurança. Os desenvolvedores afetados são aconselhados a rotacionar credenciais e desativar scripts de instalação por padrão.

Pesquisadores de cibersegurança da Sansec revelaram uma nova campanha de roubo de informações de pagamento que utiliza a API do Stripe e o Google Tag Manager (GTM). Os atacantes comprometeram sites de comércio eletrônico baseados em Magento/Adobe Commerce, inserindo um contêiner malicioso do GTM. Quando um usuário acessa o site, o código do GTM é carregado a partir dos servidores do Google, permitindo que um script malicioso seja executado durante o processo de checkout. Esse script monitora a página de pagamento e captura dados sensíveis, como números de cartão, CVV e informações pessoais. Os dados roubados são então ofuscados e enviados para uma conta controlada pelos atacantes no Stripe, utilizando a própria infraestrutura do Stripe para evitar detecções. Essa técnica permite que o malware passe despercebido por políticas de segurança e filtros de rede, tornando a situação ainda mais crítica para os usuários e comerciantes online.

O relatório Verizon Data Breach Investigations Report (DBIR) de 2026 destaca a crescente preocupação com o uso não autorizado de inteligência artificial (IA) nas empresas, conhecido como Shadow AI. Este fenômeno, que representa um aumento de quatro vezes em relação ao ano anterior, ocorre quando funcionários utilizam ferramentas de IA, como ChatGPT, para tarefas cotidianas, muitas vezes sem a aprovação da organização. O relatório revela que 67% dos usuários acessam serviços de IA em dispositivos corporativos através de contas pessoais, expondo dados sensíveis a riscos significativos.

Mais de 900 sistemas automáticos de medição de tanques (ATG) nos Estados Unidos estão expostos na internet e vulneráveis a ataques cibernéticos, conforme alerta da Cybersecurity and Infrastructure Security Agency (CISA) e outras agências federais. Esses sistemas são utilizados para monitorar tanques de armazenamento de combustíveis e produtos químicos, sendo essenciais para a detecção de vazamentos e conformidade regulatória. Os atacantes têm explorado falhas de segurança, como credenciais hardcoded e vulnerabilidades de injeção SQL, para alterar configurações dos sistemas. A CISA alertou que, após compromissos bem-sucedidos, os invasores podem desativar alertas de sistema, aumentando o risco de vazamentos e falhas de equipamentos. A Shadowserver, um grupo de vigilância de segurança, identificou mais de 1.000 sistemas ATG expostos, com a maioria localizada nos EUA. As organizações de infraestrutura crítica são aconselhadas a restringir o acesso remoto e a implementar autenticação multifatorial, além de substituir senhas padrão por credenciais fortes. O alerta surge após relatos de hackers iranianos que comprometeram sistemas ATG em postos de gasolina, manipulando leituras de exibição sem alterar os níveis reais de combustível.

Pesquisadores de cibersegurança identificaram um novo grupo de ameaças, denominado OP-512, que tem como alvo servidores Microsoft Internet Information Services (IIS) para implantar um framework de web shell personalizado. A ReliaQuest, empresa que analisou a atividade, acredita que essa operação de espionagem está ligada à China. O grupo OP-512 é o quarto a focar em servidores IIS nos últimos 12 meses, seguindo outros grupos como CL-STA-0048 e DragonRank. O framework utilizado pelo OP-512 é sofisticado, consistindo em três web shells que permitem acesso remoto ao servidor comprometido, além de técnicas para evitar a detecção e manipular os registros de tempo dos arquivos. Recentemente, o grupo atacou um servidor IIS legado rodando Windows Server 2016, utilizando um processo de trabalho para implantar um dos web shells. A operação foi rápida e eficiente, permitindo que o atacante escalasse privilégios e executasse comandos antes que a defesa pudesse reagir. A ReliaQuest alerta que a combinação de ferramentas personalizadas e a falta de sobreposição com outros grupos conhecidos tornam o OP-512 uma ameaça significativa para organizações que utilizam servidores IIS desatualizados.

Um novo spyware para Android, codinome Asin, tem como alvo usuários de língua árabe, conforme revelado pela empresa de cibersegurança ESET. O malware foi detectado pela primeira vez em campanhas de ataque no início de 2025, utilizando sites fraudulentos que imitam serviços úteis e fontes de notícias governamentais. Entre os sites identificados estão govlens[.]net, que finge ser uma fonte de notícias do governo, e live-war-map[.]com, que promete atualizações sobre incidentes militares. Esses sites distribuem aplicativos maliciosos que combinam funcionalidades legítimas com capacidades de spyware. A ESET observou que as campanhas parecem ter como alvo jornalistas e pesquisadores de OSINT (inteligência de fontes abertas) na região árabe, com três dos cinco aplicativos fraudulentos identificados sendo direcionados a esse público. Os usuários precisam instalar manualmente os aplicativos e conceder permissões para que o spyware funcione. Embora a origem das campanhas ainda não tenha sido atribuída, a natureza dos alvos sugere um foco em indivíduos envolvidos em investigações abertas. A situação é preocupante, pois o spyware pode comprometer a segurança e a privacidade de informações sensíveis.

Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.

Nos últimos 18 meses, a adoção de inteligência artificial (IA) nas operações de segurança cibernética (SOC) cresceu exponencialmente, com bilhões de dólares investidos em plataformas de segurança impulsionadas por IA. No entanto, um relatório recente revelou que apenas 10% dos SOCs consideram que a IA trouxe valor excelente, enquanto 71% relataram valor limitado ou nenhum. O estudo identificou que a maioria dos SOCs adota um modelo de ’taker’, utilizando IA padrão sem personalização, o que resulta em baixa eficácia. Além disso, os desafios de maturidade operacional e a falta de melhores práticas aumentaram, indicando que muitos SOCs não sabem como utilizar a IA adquirida de forma eficaz. A primeira onda de ferramentas de IA foi integrada como recursos em produtos de segurança existentes, mas não conseguiu conectar os diferentes estágios do fluxo de trabalho, resultando em um aumento da fragmentação. Os SOCs que obtiveram sucesso na implementação da IA têm arquiteturas que permitem uma operação integrada e contínua, onde a IA é governável e adaptável ao ambiente dinâmico em que opera. Para que a indústria avance, é crucial que as operações de segurança conectem suas etapas e adotem uma abordagem mais holística em relação à IA.

Na última quinta-feira, a Cisco emitiu um alerta sobre uma vulnerabilidade crítica, classificada como zero-day, no Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. Essa falha, que ainda não possui correção, permite a escalada de privilégios para usuários com permissões limitadas, possibilitando a execução de comandos arbitrários como root. A vulnerabilidade afeta todos os tipos de implantação, incluindo soluções on-premises e na nuvem. A Cisco informou que a exploração dessa falha requer que o atacante tenha privilégios de netadmin, o que pode ser obtido através de credenciais válidas ou pela exploração de outras vulnerabilidades conhecidas. A empresa também observou tentativas limitadas de exploração que resultaram em alterações de configuração em dispositivos de borda. Além disso, a Cisco já havia identificado outras falhas críticas em seu SD-WAN Manager, algumas das quais também estão sendo ativamente exploradas. A recomendação é que os administradores verifiquem os logs do sistema para identificar possíveis tentativas de exploração e que abram um chamado com o suporte técnico da Cisco para assistência.

O grupo de cibercriminosos conhecido como PCPJack comprometeu servidores em nuvem da Amazon Web Services (AWS), Google Cloud e Microsoft Azure, estabelecendo uma rede clandestina de retransmissão de e-mails SMTP. A Hunt.io, empresa de inteligência em cibersegurança, revelou que servidores de empresas nos EUA, Europa e Ásia foram convertidos em proxies SMTP, sincronizados a cada cinco minutos com um consumidor downstream. Durante a investigação, foram encontrados códigos-fonte, binários compilados e ferramentas de exploração em diretórios abertos de um servidor de comando e controle (C2). O PCPJack foi identificado pela primeira vez em abril de 2026, quando um framework de roubo de credenciais foi detectado. Os proxies SMTP verificados são enriquecidos com informações de IP, país e ASN, e a lista é sincronizada a cada cinco minutos para um servidor separado. O objetivo final da operação ainda é incerto, mas a infraestrutura para entrega em larga escala está claramente em funcionamento, levantando preocupações sobre possíveis usos para spam ou phishing.

Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA que já está afetando os fãs da Copa do Mundo 2026, dias antes do início do torneio. Com mais de seis milhões de torcedores esperados e uma demanda de ingressos que supera em 30 vezes a oferta, os golpistas estão aproveitando a ansiedade dos fãs. O grupo GHOST STADIUM, por exemplo, registrou mais de 4.300 domínios fraudulentos, com páginas de login quase idênticas ao site oficial da FIFA, que coletam informações pessoais e podem revender ingressos. Além disso, aplicativos de streaming pirata estão sendo utilizados para disseminar malware bancário, comprometendo dispositivos móveis. As fraudes incluem também sites falsos de produtos, apostas e até e-mails de loteria prometendo prêmios. O FBI e outras entidades estão monitorando a situação, mas a quantidade de domínios fraudulentos ainda ativos é alarmante, com estimativas de perdas que podem chegar a bilhões de dólares. Os fãs devem ser cautelosos e comprar apenas através de canais oficiais.

Um incidente de segurança na DentaQuest, administradora de benefícios dentários nos EUA, resultou na exposição de dados sensíveis de 2,6 milhões de contas. O grupo de extorsão ShinyHunters anunciou o vazamento em seu site, alegando ter roubado mais de 234 GB de informações. A DentaQuest, que atende 35 milhões de clientes e possui uma rede de 140 mil dentistas, confirmou a violação em 2 de junho, informando que tomou medidas imediatas para conter o ataque e que os sistemas permanecem operacionais. A análise do serviço Have I Been Pwned (HIBP) revelou que os dados vazados incluem endereços de e-mail, números de telefone, identificações emitidas pelo governo, informações de seguro de saúde e datas de nascimento. Embora a DentaQuest não tenha confirmado que os dados afetaram seus clientes, a HIBP validou os registros vazados. O incidente aumenta o risco de ataques de engenharia social e phishing, exigindo cautela dos usuários cujas informações podem ter sido comprometidas.

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

O navegador Hola para Windows foi comprometido em um ataque à cadeia de suprimentos, resultando na instalação de um minerador de criptomoedas não declarado, identificado como Monero. A vulnerabilidade foi descoberta durante verificações de certificação periódicas realizadas pela AppEsteem, que anteriormente havia aprovado o software. A Hola, uma empresa israelense conhecida por seu serviço de VPN, confirmou a violação e alegou que apenas 0,1% de seus usuários foram afetados, sem evidências de acesso ou roubo de dados pessoais. O arquivo malicioso, denominado ‘me.exe’, foi encontrado em alguns sistemas e apresentava características suspeitas, como código ofuscado e a capacidade de se auto-replicar. A empresa já tomou medidas para reconstruir sua infraestrutura de distribuição e implementar controles de acesso mais rigorosos. Apesar da confirmação do ataque, a Hola assegura que não houve comprometimento significativo de dados dos usuários. A situação destaca a importância de monitoramento contínuo e verificação de integridade em softwares amplamente utilizados, especialmente em um contexto onde a segurança cibernética é cada vez mais crítica.

A Brave Software anunciou o lançamento público do Brave Origin, uma versão paga e minimalista de seu navegador, que elimina recursos voltados para monetização, como criptomoedas, inteligência artificial e recompensas. O objetivo do Brave Origin é atender usuários que buscam uma experiência de navegação mais limpa e focada em privacidade, sem as funcionalidades adicionais que a versão padrão oferece. A empresa afirma que o novo navegador desativa recursos como Brave Rewards, Brave Wallet e promoções de VPN, mantendo, no entanto, as proteções de privacidade e bloqueio de anúncios do Brave Shields. O preço da licença é de US$ 59,99, permitindo a ativação em até 10 dispositivos, enquanto usuários do Linux podem obter a versão gratuitamente. O lançamento gerou críticas, com alguns usuários argumentando que a Brave se tornou uma camada de monetização, cobrando por uma versão que deveria ser a norma. Defensores do projeto afirmam que a nova versão facilita o acesso a um navegador mais focado em privacidade, especialmente para aqueles que não têm conhecimento técnico para desativar manualmente as configurações na versão gratuita.

O grupo de cibercriminosos Anubis reivindicou a responsabilidade por um vazamento de dados no Singing River Health System, localizado no Condado de Jackson, Mississippi. O incidente, que ocorreu entre 19 e 21 de dezembro de 2025, afetou 53.888 pessoas, comprometendo informações sensíveis, como números de Seguro Social, dados bancários, informações médicas e de seguro saúde. Anubis afirma ter roubado 293 GB de dados, incluindo imagens íntimas de cirurgias, e publicou amostras em seu site de vazamento. Embora o Singing River Health System tenha notificado os afetados e oferecido monitoramento de crédito gratuito, não confirmou a reivindicação do grupo. Este não é o primeiro ataque de ransomware enfrentado pela instituição, que já havia sido alvo de um incidente em agosto de 2023, afetando mais de 895 mil pessoas. O grupo Anubis, ativo desde 2024, opera sob um modelo de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. O aumento de ataques de ransomware no setor de saúde nos EUA, com 143 incidentes confirmados em 2025, levanta preocupações sobre a segurança de dados e a continuidade dos serviços de saúde.

Na quarta-feira, a Microsoft anunciou a correção de um problema que permitiu que alguns dispositivos Windows instalassem atualizações de drivers sem aviso, apesar de políticas configuradas para impedir atualizações automáticas. De acordo com um relatório de incidente do centro de administração (MO1332784), a empresa atribuiu a falha a uma má configuração no serviço de cache do Windows Update, que temporariamente descartou informações de registro de dispositivos. Isso fez com que alguns dispositivos fossem tratados como não registrados, impedindo a aplicação correta dos controles de aprovação de drivers. A equipe de suporte do Intune também reconheceu o problema nas redes sociais, afirmando que estava trabalhando ativamente para mitigá-lo. A Microsoft garantiu que os drivers instalados eram aprovados e não representavam uma ameaça à segurança. Após a atualização do cache do serviço afetado e a confirmação de que o problema foi resolvido, a empresa continua a investigar a causa da falha para evitar recorrências. Embora a Microsoft não tenha divulgado quantas regiões ou clientes foram afetados, administradores de Windows relataram que dezenas de milhares de dispositivos receberam atualizações inesperadas, causando problemas em dispositivos de áudio e vídeo.

Um tópico em um fórum intitulado “Hacking for Profit. Working method” revela como comunidades underground compartilham informações sobre exploração de vulnerabilidades e técnicas de hacking. O autor, conhecido como “Hercules”, apresenta um guia prático que descompõe o processo de identificação e monetização de vulnerabilidades em etapas claras. O tutorial aborda desde a busca por vulnerabilidades recém-divulgadas, como execução remota de código e vazamento de dados, até a validação de sistemas expostos e a decisão sobre a exploração ou divulgação das falhas.

Um novo ataque à cadeia de suprimentos afetou 36 pacotes no Node Package Manager (npm), introduzindo um malware infostealer chamado IronWorm. Este malware, escrito em Rust, visa 86 variáveis de ambiente e 20 arquivos de credenciais, que podem conter informações sensíveis como credenciais da OpenAI, AWS, Anthropic e npm, além de chaves SSH e arquivos de carteiras de criptomoedas. A pesquisa da JFrog revelou que o IronWorm se propaga utilizando credenciais roubadas para publicar pacotes no npm, comprometendo ambientes de desenvolvedores e sistemas de integração contínua (CI). O ataque começou a partir de uma conta comprometida chamada ‘asteroiddao’, que publicou versões maliciosas de pacotes. O malware utiliza um rootkit e se comunica com o operador via rede Tor, além de empregar um mecanismo que utiliza GitHub Actions para entregar segredos roubados. Embora o ataque tenha sido detectado rapidamente, a situação destaca a necessidade de os desenvolvedores atualizarem suas versões de pacotes e implementarem autenticação de dois fatores (2FA). O incidente é um lembrete da vulnerabilidade das cadeias de suprimentos e da importância de medidas de segurança robustas.

O Programa Mundial de Alimentos (PMA), a maior organização humanitária do mundo, anunciou no último fim de semana que sua aplicação de auto-registro para a Palestina foi comprometida. O incidente, ocorrido em 14 de maio, resultou no acesso não autorizado a dados pessoais de beneficiários em Gaza, incluindo nomes, números de identificação, telefones e informações de localização. O PMA assegurou que os beneficiários não precisam atualizar ou excluir suas informações, e que a assistência continuará normalmente. A plataforma de registro foi temporariamente suspensa para implementar melhorias de segurança. Embora o número exato de pessoas afetadas não tenha sido divulgado, estima-se que cerca de 600.000 lares palestinos tenham seus dados expostos. O PMA alertou os beneficiários a terem cuidado com tentativas de phishing e a não clicarem em links suspeitos. Este não é o primeiro incidente de segurança envolvendo agências da ONU, que já enfrentaram outros ataques cibernéticos nos últimos anos, levantando preocupações sobre a proteção de dados em organizações humanitárias.

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Recentemente, a comunidade de cibersegurança foi alertada sobre os riscos associados à inteligência artificial (IA) em redes de defesa, após um incidente em que um modelo de IA da Anthropic, o Claude Mythos, foi supostamente acessado por um grupo não autorizado em poucas horas. Este evento destaca a vulnerabilidade das redes de defesa e inteligência dos EUA, especialmente com a crescente adoção de IA em ambientes classificados. Para garantir que a IA ofereça vantagens decisórias, é crucial considerar três áreas principais: a qualidade dos dados que alimentam os modelos, o controle de acesso às IAs e a integridade das comunicações entre a IA e os sistemas de missão. A infraestrutura de rede segura é fundamental para mitigar riscos, já que a IA pode introduzir vulnerabilidades em múltiplas camadas. A empresa Everfox está desenvolvendo soluções para permitir que agências de defesa e inteligência integrem IA de forma segura, sem comprometer a velocidade e a segurança das operações. A implementação responsável da IA deve ser feita com segurança incorporada desde o início, evitando que a tecnologia se torne uma responsabilidade em vez de uma vantagem.

Um pesquisador de segurança descobriu uma falha no Claude Code, uma ação do GitHub desenvolvida pela Anthropic, que permitia a um atacante assumir repositórios públicos vulneráveis apenas com a abertura de uma única issue no GitHub. A falha foi reportada em janeiro e corrigida em quatro dias, com a versão segura sendo a claude-code-action v1.0.94. A vulnerabilidade foi classificada com um score de 7.8 no CVSS v4.0 e resultou em um pagamento de recompensa por bugs. O problema estava na verificação de gatilho da ação, que permitia que qualquer ator cujo nome terminasse em [bot] acionasse a ação, assumindo que aplicativos do GitHub são confiáveis. Isso possibilitou que um atacante injetasse comandos maliciosos que poderiam expor variáveis de ambiente e credenciais sensíveis. Além disso, a configuração padrão da ação permitia que usuários sem acesso de escrita a acionassem, aumentando o risco. A situação é crítica, pois um ataque semelhante já resultou na exploração de um token de publicação npm em outro repositório. A recomendação é atualizar para a versão corrigida e auditar fluxos de trabalho que permitam entradas não confiáveis.

A Cisco lançou um patch para uma vulnerabilidade crítica no Unified Communications Manager (UCM), identificada como CVE-2026-20230. Essa falha permite que um atacante não autenticado na rede escreva arquivos no sistema, possibilitando a escalada de privilégios até o nível root. O problema é classificado como uma ‘server-side request forgery’ (SSRF), onde requisições HTTP malformadas podem ser utilizadas para comprometer a integridade do sistema. Embora a Cisco não tenha registrado ataques explorando essa vulnerabilidade até o momento, a disponibilidade de um código de prova de conceito (PoC) aumenta a preocupação com possíveis explorações. A falha só se manifesta quando o serviço WebDialer está ativo, o que não é o padrão, mas organizações que o ativaram estão em risco. A correção para a versão 14 do UCM está disponível, enquanto a atualização completa para a versão 15 está prevista para setembro de 2026. A situação é alarmante, considerando que o UCM já foi alvo de outras vulnerabilidades críticas no passado, como a presença de uma conta SSH root hard-coded.

A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Autoridades da França e da Espanha desmantelaram um mercado online que vendia documentos de identidade falsificados, utilizados por redes de tráfico de migrantes na União Europeia. A operação culminou na prisão de um suspeito em Alicante, na Espanha, onde foram apreendidos equipamentos de produção de documentos e cerca de 800 identidades europeias falsas. A investigação começou após a identificação de um site que anunciava esses documentos fraudulentos, levando à localização do suspeito, que residia em Alicante desde 2024. Segundo a Europol, o marketplace facilitava operações de tráfico de migrantes, fornecendo documentos falsos que permitiam a evasão de controles de fronteira e a obtenção fraudulenta de direitos de residência. A Europol destacou que a fraude documental é um dos principais facilitadores da legalização fraudulenta de residências e do tráfico de migrantes na UE. Em março de 2026, a Europol ampliou suas capacidades de combate ao tráfico de migrantes com a criação do Centro Europeu de Combate ao Tráfico de Migrantes (ECAMS), que visa fortalecer a troca de informações e a coordenação entre agências de segurança. A operação em Alicante evidencia a importância da infraestrutura de fraude documental para a manutenção das redes de tráfico de migrantes na Europa.

Um ataque cibernético sofisticado comprometeu a caixa de entrada de um executivo sênior de uma importante bolsa de valores global, permitindo que invasores acessassem informações sensíveis por pelo menos cinco meses. De acordo com um relatório da equipe de ameaças da Symantec e Carbon Black, os atacantes utilizaram técnicas de exfiltração disfarçadas, enviando dados por meio de serviços de nuvem como Dropbox e OneDrive, o que dificultou a detecção. A operação começou em outubro de 2025, quando os invasores instalaram dois binários maliciosos que imitavam atualizações do Adobe e do OneDrive. A partir de novembro, eles começaram a extrair dados da caixa de entrada, utilizando uma ferramenta construída com a biblioteca legítima Aspose para converter arquivos OST e PST do Outlook. O ataque foi caracterizado por acessos discretos e programados, evitando chamar a atenção de softwares de segurança. A falta de um CVE específico e a utilização de ferramentas públicas dificultam a atribuição do ataque a um grupo conhecido, mas a natureza da intrusão sugere um foco em espionagem, não em roubo financeiro. O relatório alerta que instituições financeiras e reguladoras devem monitorar atividades incomuns em caixas de entrada e uploads para contas pessoais de nuvem.

Pesquisadores de cibersegurança identificaram uma operação em larga escala que se disfarça de projetos de código aberto e freeware para redirecionar usuários desavisados a um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware, como Remus Stealer, AnimateClipper e o framework SessionGate. Os sites envolvidos são bem projetados e imitam portais legítimos, utilizando uma camada de JavaScript hospedada no CloudFront que transforma cliques em downloads em redirecionamentos para o TDS. Essa operação visa aquisição e monetização de tráfego, levando usuários a uma infraestrutura de entrega de malware. Os ataques visam especificamente usuários que buscam ferramentas de segurança em motores de busca, como o Google, fazendo com que esses sites falsos apareçam no topo dos resultados. A análise de telemetria do VirusTotal revelou entre 2.000 a 3.500 submissões de amostras associadas à família SessionGate, com a maioria das submissões originárias de países como Turquia, Polônia, Brasil e Alemanha. O objetivo final da infecção é entregar um payload único por cliente, dificultando a análise e a recuperação do payload. Essa situação representa um risco significativo para usuários que buscam ferramentas de segurança, especialmente no Brasil, onde a popularidade de tais ferramentas pode ser explorada por cibercriminosos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malvertising para macOS, chamada Operação FlutterBridge, que dissemina um backdoor conhecido como FlutterShell. De acordo com a Palo Alto Networks, essa campanha é uma evolução de atividades anteriores do grupo criminoso CL-CRI-1089, ativo desde 2023. O FlutterShell, desenvolvido com o framework Flutter, infecta dispositivos com adware por meio de aplicativos de desktop maliciosos, permitindo execução de comandos e manipulação do sistema de arquivos. Os ataques utilizam anúncios fraudulentos no Google e YouTube, atraindo usuários de macOS nos EUA, Canadá, Austrália, França e Alemanha. Os anúncios são veiculados por empresas de fachada, ligadas a indivíduos ucranianos. O FlutterShell se destaca por sua arquitetura baseada em WebView, que permite alterações dinâmicas no comportamento do malware sem necessidade de recompilação. Variantes do FlutterShell, como PodcastsLounge e PDF-Brain, foram identificadas, e a campanha continua em desenvolvimento ativo, representando uma ameaça significativa para usuários de macOS.

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

O Pentágono confirmou que adversários estrangeiros dos Estados Unidos conseguiram rastrear tropas americanas em zonas de guerra, como o Oriente Médio, utilizando dados de localização de smartphones disponíveis comercialmente. Essa situação é alarmante, pois o Departamento de Defesa (DoD) não exige que os usuários desativem a geolocalização em áreas de conflito, e os identificadores de publicidade continuam a ser transmitidos mesmo quando os anúncios personalizados estão desativados. O senador Ron Wyden e o representante Pat Harrigan criticaram o DoD por não impor protocolos de segurança mais rigorosos para smartphones, destacando que tanto dispositivos pessoais quanto os fornecidos pelo governo ainda transmitem informações que podem ser usadas para localizar militares. Apesar de estar ciente dessa vulnerabilidade há pelo menos uma década, o DoD não desenvolveu soluções concretas para mitigar o problema, mesmo diante de múltiplos relatórios de ameaças. A política de ’traga seu próprio dispositivo’ (BYOD) adotada pelo exército, que permite o uso de dispositivos pessoais, contrasta com as necessidades de segurança operacional, aumentando o risco para os soldados em campo.

Os ataques de ransomware registraram um aumento de 3% de abril para maio de 2026, totalizando 661 incidentes em maio, com destaque para o setor educacional, que viu um crescimento de 54% nos ataques. O setor de alimentos e bebidas também teve um aumento significativo de 80%. Em contraste, os provedores de saúde e empresas de utilidades experimentaram quedas de 21% e 29%, respectivamente. Entre os ataques confirmados, 35 foram direcionados a empresas, 7 a entidades governamentais e 5 a instituições educacionais. Os grupos de ransomware mais ativos foram Qilin, The Gentlemen e DragonForce, com Qilin liderando em ataques confirmados. Nos Estados Unidos, foram registrados 272 ataques, o maior número entre os países analisados. O ataque mais notável no setor de saúde foi contra a Central Medical Services of Westrock, que teve dados comprometidos e foi reivindicado pelo grupo INC. O cenário atual indica uma necessidade crescente de vigilância e proteção, especialmente em setores vulneráveis como educação e alimentos.

O Departamento de Justiça dos EUA (DoJ) anunciou os resultados de uma operação abrangente contra fraudes cibernéticas e de criptomoedas, que teve início em 18 de maio de 2026. A operação, chamada ‘Disruption Week’, resultou na desativação de milhões de contas em redes sociais e e-mails utilizadas por grupos de cibercrime transnacionais na Ásia. Além disso, mais de $3,8 milhões em criptomoedas foram congelados, relacionados à lavagem de dinheiro proveniente de fraudes. A U.S. Attorney Jeanine Ferris Pirro destacou que essas fraudes têm devastado as economias de muitos cidadãos americanos, especialmente os mais vulneráveis. A operação é parte da iniciativa Scam Center Strike Force, que visa desmantelar organizações criminosas envolvidas em fraudes online e tráfico humano. Os esquemas frequentemente envolvem a construção de relacionamentos com as vítimas antes de convencê-las a investir em plataformas fraudulentas, resultando em perdas financeiras significativas. A operação contou com a colaboração de empresas como Apple, Google e Coinbase, além de agências de polícia de vários países. O DoJ alertou que as fraudes com criptomoedas estão crescendo rapidamente, com perdas estimadas em mais de $7,2 bilhões em 2025, um aumento de 24% em relação ao ano anterior.

Agências de segurança dos EUA, incluindo a CISA e o FBI, alertaram sobre ataques direcionados a sistemas automáticos de medição de tanques (ATG) expostos à internet, utilizados em setores críticos como Energia, Química, Alimentos e Transporte. Os hackers estão explorando vulnerabilidades como bypass de autenticação e credenciais hardcoded para modificar configurações do sistema, o que pode comprometer a segurança operacional. Os ataques podem permitir que invasores alterem volumes de tanques, controles de bombas e desativem alertas, aumentando o risco de vazamentos e falhas de equipamentos. Embora não tenha sido atribuído a um grupo específico, houve relatos anteriores de hackers iranianos envolvidos em atividades semelhantes. As agências recomendam que as organizações restrinjam o acesso remoto e implementem práticas de segurança robustas, como autenticação multifatorial e atualizações de segurança. A situação destaca a necessidade urgente de revisão das medidas de segurança em sistemas ATG, especialmente considerando a crescente interconexão e a vulnerabilidade desses sistemas críticos.

O Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA anunciou sanções contra a Nobitex, a maior exchange de criptomoedas do Irã, por facilitar pagamentos relacionados a atividades terroristas. A Nobitex é acusada de ajudar a evadir sanções econômicas e facilitar transações ligadas ao Corpo da Guarda Revolucionária Islâmica (IRGC). Em 2025, a exchange processou mais de 50% de todos os influxos de ativos digitais iranianos, além de permitir que o Banco Central do Irã acessasse centenas de milhões de dólares em stablecoins para estabilizar o valor do rial iraniano. O OFAC também designou executivos da Nobitex, como o presidente Amir Hossein Rad e o CEO Seyed Ali Khoee, e impôs sanções a outras exchanges iranianas. Dados da Chainalysis indicam que o ecossistema de criptomoedas do Irã recebeu quase $7,8 bilhões em 2025, com endereços associados ao IRGC representando mais de 50% do valor recebido no quarto trimestre. As sanções congelam ativos sob jurisdição dos EUA e proíbem negócios com as partes designadas, criando pressão internacional sobre aliados e empresas estrangeiras. Além disso, um grupo de hackers pro-Israel afirmou ter invadido a Nobitex, roubando ativos digitais avaliados em cerca de $90 milhões.

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

O Redis, popular banco de dados em memória, corrigiu uma vulnerabilidade crítica, identificada como CVE-2026-23479, que permitia a usuários autenticados executar comandos arbitrários no sistema operacional do servidor. A falha, descoberta por uma ferramenta de IA, estava presente desde a versão 7.2.0 e afetou todas as versões estáveis até a correção em 5 de maio de 2026. A NVD avaliou a gravidade da vulnerabilidade em 8.8 no CVSS 3.1, enquanto o Redis a classificou como 7.7 no CVSS 4.0. A exploração da falha requer uma sessão autenticada, mas muitos ambientes de nuvem executam o Redis sem senha, aumentando o risco. O ataque envolve manipulação de memória, onde um ponteiro de função é sobrescrito, permitindo que comandos do sistema sejam executados. O Redis recomenda que os usuários atualizem para as versões corrigidas e adotem medidas de segurança, como restringir acessos e manter o Redis fora da internet pública. Apesar da gravidade, não há evidências de exploração ativa até o momento.

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.