Primeiro caso documentado de ransomware gerado por IA

Pesquisadores identificaram o que acreditam ser o primeiro caso documentado de uma operação de ransomware, chamada JadePuffer, conduzida inteiramente por um agente de modelo de linguagem grande (LLM). Segundo a empresa de segurança em nuvem Sysdig, JadePuffer utilizou um agente de IA autônomo para realizar reconhecimento do alvo, roubar credenciais, mover-se lateralmente, estabelecer persistência, escalar privilégios e criptografar dados. O agente de IA demonstrou uma capacidade de adaptação a falhas durante a intrusão, semelhante ao que um operador humano faria. A operação começou com a exploração de uma vulnerabilidade (CVE-2025-3248) em Langflow, um framework open-source popular. Após obter acesso, o agente coletou informações sensíveis e estabeleceu persistência no servidor. A partir daí, ele se moveu para um servidor MySQL de produção, onde implantou o ransomware, criptografando 1.342 itens de configuração do serviço Nacos. A nota de resgate indicava que os dados foram criptografados usando o algoritmo AES-256, embora os pesquisadores acreditem que o AES-128-ECB foi o realmente utilizado. Este caso destaca a chegada de ‘agentes de ameaças autônomas’, que podem reduzir a habilidade necessária para realizar ataques cibernéticos prejudiciais.

Campanha de Malware da Coreia do Norte Alvo de Desenvolvedores de Criptomoedas

A campanha de cibersegurança conhecida como Contagious Interview, ligada a atores de ameaça da Coreia do Norte, tem se intensificado com a publicação de 108 pacotes e extensões de navegador maliciosos em plataformas como npm, Packagist, Go e Google Chrome. Os atacantes utilizam táticas de recrutamento para enganar desenvolvedores de software e profissionais do setor de criptomoedas, persuadindo-os a executar códigos maliciosos disfarçados. Desde 2023, a atividade tem se mostrado ativa, comprometendo 1.951 repositórios públicos do GitHub. Os atacantes não utilizam credenciais roubadas, mas sim exploram extensões maliciosas do VS Code ou pacotes npm para comprometer as contas dos mantenedores. O malware, uma variante do BeaverTail, busca arquivos específicos no computador da vítima e insere código JavaScript malicioso, além de modificar o histórico do Git para ocultar suas ações. A última onda de ataques envolve um carregador de malware que se conecta a infraestruturas de blockchain para baixar um segundo estágio de payloads maliciosos. Especialistas recomendam que usuários que instalaram esses pacotes tratem seus ambientes como comprometidos e realizem auditorias em seus repositórios e estações de trabalho.

Extorsão cibernética governo dos EUA paga US 1 milhão para evitar vazamento

Um estudo de caso revelou que uma entidade governamental dos EUA pagou cerca de US$ 1 milhão para evitar o vazamento de arquivos roubados por um grupo que se autodenomina Kairos. O caso, analisado por Rakesh Krishnan para o Ransom-ISAC, destaca uma nova abordagem de extorsão cibernética que não envolve a criptografia de dados, mas sim a ameaça de divulgação de informações sensíveis. O grupo Kairos não apresentou sinais de que tenha criptografado sistemas, mas sim de que roubou dados, incluindo informações pessoais e financeiras de residentes de Union County, Ohio. A negociação entre o condado e os atacantes durou cerca de um mês, começando com uma demanda de US$ 3 milhões e culminando em um pagamento de US$ 1 milhão. O pagamento foi rastreado através de transações em criptomoedas, mas a prova de que os dados foram realmente deletados é questionável. O incidente ilustra uma tendência crescente em que as extorsões não dependem mais da criptografia, mas sim da ameaça de vazamento de dados. Especialistas recomendam que entidades governamentais adotem medidas de segurança, como autenticação multifatorial e monitoramento de transferências de dados, para se protegerem contra esse tipo de ataque.

Operação conjunta desmantela rede de proxies residenciais NetNut

Uma operação coordenada envolvendo o Google e outras entidades, como o FBI, resultou na desarticulação da NetNut, uma rede de proxies residenciais que controlava milhões de dispositivos Android comprometidos, incluindo TVs inteligentes e caixas de streaming. Conhecida também como Popa, a botnet NetNut permitia que cibercriminosos ocultassem suas atividades maliciosas utilizando endereços IP residenciais legítimos. Estima-se que a rede seja composta por pelo menos dois milhões de dispositivos infectados, que se tornaram parte da botnet após serem contaminados por malware, seja pré-instalado ou baixado por meio de aplicativos maliciosos. A operação resultou na apreensão de domínios utilizados pela NetNut e na desativação de contas e serviços que os operadores da botnet utilizavam para controle de malware. O Google também implementou medidas de proteção para alertar usuários e desativar aplicativos infectados. A desarticulação da NetNut pode ter um impacto significativo na indústria de proxies, uma vez que muitos serviços populares dependem dessa rede. O Google já havia realizado ações semelhantes anteriormente, visando desmantelar botnets de proxies residenciais.

Framework de malware modular Avalon representa nova ameaça cibernética

Pesquisadores de cibersegurança identificaram um novo framework de malware modular, denominado Avalon, que utiliza uma cadeia de phishing em múltiplas etapas para contornar controles de segurança tradicionais. O ataque inicia com um e-mail que simula um documento legal, levando o destinatário a um arquivo protegido por senha no Proton Drive. Dentro desse arquivo, um atalho do Windows aciona uma sequência de malware que culmina na execução do Avalon, que combina funções de coleta de credenciais, movimentação lateral, acesso remoto e execução de ransomware, conhecido internamente como CrownX.

Falha no Kernel Linux permite controle total de máquinas por usuários comuns

Uma nova vulnerabilidade no kernel Linux, identificada como Bad Epoll (CVE-2026-46242), foi revelada, permitindo que usuários comuns adquiram controle total de máquinas como root. Essa falha afeta não apenas desktops e servidores Linux, mas também dispositivos Android. O problema reside em um bug de ‘use-after-free’, onde duas partes do kernel tentam limpar o mesmo objeto interno simultaneamente, resultando em corrupção da memória do kernel. O pesquisador Jaeyoung Chung desenvolveu um ataque que amplia a janela de tempo para explorar essa vulnerabilidade, alcançando sucesso em 99% dos testes realizados. O ataque pode ser disparado a partir do sandbox do Chrome, o que o torna ainda mais perigoso, pois contorna muitas outras falhas de kernel. Embora a falha tenha sido reportada como um zero-day ao programa kernelCTF do Google, não há indícios de que tenha sido utilizada em ataques reais até o momento. A correção já está disponível, e é recomendável que os usuários apliquem o patch o mais rápido possível, especialmente em sistemas que utilizam o kernel 6.4 ou superior. Essa vulnerabilidade se junta a uma série de falhas conhecidas que afetam o Linux, destacando a necessidade de vigilância contínua em relação à segurança do kernel.

Vulnerabilidades críticas no FatFs afetam dispositivos IoT amplamente utilizados

A empresa de segurança runZero revelou sete vulnerabilidades na biblioteca de sistema de arquivos FatFs, que é amplamente utilizada em dispositivos como câmeras de segurança, drones e carteiras de criptomoedas. As falhas permitem que um atacante, ao inserir um dispositivo USB ou cartão SD malicioso, possa corromper a memória do dispositivo e executar código não autorizado. A vulnerabilidade mais crítica, CVE-2026-6682, apresenta um estouro de inteiro que pode levar à execução de código malicioso. Outras falhas incluem estouros de buffer e problemas de manipulação de dados que podem causar corrupção de memória ou falhas no dispositivo. Embora a runZero tenha classificado essas vulnerabilidades como de médio a alto risco, não houve relatos de exploração ativa até o momento. O FatFs é mantido por um único desenvolvedor, e a falta de resposta a tentativas de contato para correções levanta preocupações sobre a segurança de muitos produtos que dependem dessa biblioteca. Para organizações que utilizam firmware que interage com mídias FAT ou exFAT, é essencial auditar o código e implementar correções. Além disso, recomenda-se limitar o acesso físico a dispositivos e monitorar atualizações de firmware.

Malásia intensifica combate ao uso indevido de VPNs, mas elas continuam legais

O governo da Malásia anunciou uma ação rigorosa contra o uso indevido de VPNs, especialmente em casos que envolvem atividades criminosas ou a violação da nova lei que proíbe o uso de redes sociais por menores de 16 anos. O vice-ministro do Interior, Datuk Seri Dr. Shamsul Anuar Nasarah, afirmou que a utilização de VPNs para contornar essas restrições será investigada, mas ressaltou que a posse e o uso de VPNs em si não são ilegais. A medida faz parte de um esforço mais amplo para proteger crianças online, em resposta ao aumento de crimes cibernéticos. As plataformas de redes sociais agora têm a obrigação de verificar a idade dos usuários, e a não conformidade pode resultar em multas de até RM10 milhões. Embora a ação se concentre em comportamentos ilegais, especialistas em direitos digitais criticam a abordagem, argumentando que a verificação de idade pode levar à normalização da vigilância e ao risco de exposição de dados pessoais. Para os usuários comuns de VPN, a mensagem é clara: o uso de VPNs para proteção de dados e privacidade continua legal e não deve ser interrompido.

Nova plataforma de phishing como serviço ameaça contas do Microsoft 365

Uma nova plataforma de phishing como serviço (PhaaS) chamada ‘ARToken’ foi descoberta, operando como uma afiliada da EvilTokens, que visa comprometer contas do Microsoft 365. Pesquisadores da Cisco Talos identificaram um painel de gerenciamento baseado em React, o ‘ARToken Panel’, que expõe mais de 80 endpoints de API. Através da engenharia reversa do código JavaScript, foram reveladas funcionalidades que vão além do que é comum em plataformas de phishing. A ARToken permite que atacantes roubem tokens de autenticação do Microsoft 365, acessem caixas de entrada do Outlook, sites do SharePoint e arquivos do OneDrive, além de automatizar operações de comprometimento de e-mail corporativo (BEC). A plataforma utiliza um modelo de implantação semelhante ao Cloudflare Workers e permite que afiliados gerenciem suas campanhas em espaços dedicados. O uso de phishing baseado em código de dispositivo da Microsoft, que engana as vítimas a inserirem códigos legítimos, permite que os atacantes contornem a autenticação multifator. Com um aumento significativo nos ataques de phishing, a ARToken representa uma ameaça crescente para organizações que utilizam o Microsoft 365.

Grupo Armored Likho ataca setores estratégicos em vários países

Um novo ator de ameaças cibernéticas, conhecido como Armored Likho, foi identificado como responsável por ataques direcionados a agências governamentais e ao setor de energia elétrica na Rússia, Brasil e Cazaquistão. Segundo a Kaspersky, esse grupo combina campanhas motivadas financeiramente com espionagem cibernética, utilizando um conjunto de ferramentas sofisticadas, como RATs (Remote Access Trojans) e infostealers, projetados para evitar análises dinâmicas. Os ataques começam com e-mails de spear-phishing que distribuem arquivos maliciosos disfarçados de notificações oficiais. O malware BusySnake, uma das ferramentas utilizadas, é um stealer em Python que coleta dados sensíveis, como credenciais e cookies de navegadores, e se comunica com servidores de comando e controle (C2). Além disso, o grupo tem laços com outra ameaça conhecida, chamada Eagle Werewolf, que também visa organizações governamentais e de defesa. A complexidade e a evolução das técnicas utilizadas pelo Armored Likho indicam um aumento na maturidade técnica do grupo, representando um risco significativo para a segurança cibernética, especialmente em setores críticos como energia e governo.

Ameaça de pacotes npm maliciosos ligados à Coreia do Norte

Recentemente, a empresa de cibersegurança JFrog identificou uma nova campanha de ataque envolvendo pacotes npm maliciosos associados a atores de ameaças da Coreia do Norte. Os pacotes, que se disfarçam como ferramentas de polifil para o Rollup, têm como objetivo facilitar o acesso remoto e o roubo de dados. Os pacotes ‘rollup-packages-polyfill-core’ e ‘rollup-runtime-polyfill-core’ imitam o projeto legítimo ‘rollup-plugin-polyfill-node’, o que pode enganar desenvolvedores durante uma revisão rápida de dependências. Além desses, outros quatro pacotes também foram removidos do registro npm, incluindo ‘quirky-token’ e ‘react-icon-svgs’.

Novo malware para macOS rouba credenciais e dados sensíveis

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado PamStealer, que utiliza técnicas sofisticadas para infectar sistemas e roubar dados sensíveis. Distribuído como um arquivo AppleScript disfarçado de Maccy, um gerenciador de área de transferência legítimo, o PamStealer valida a senha de login da vítima através dos Módulos de Autenticação Pluggable (PAM) do macOS antes de capturá-la. O malware é entregue em duas etapas: um AppleScript que baixa um segundo payload, um infostealer baseado em Rust, capaz de roubar credenciais, coletar dados de navegadores e persistir no sistema. O vetor de ataque inicial é um site falso que imita o Maccy, e o script executa um downloader que busca o payload malicioso. O malware também possui características que evitam a execução em ambientes de análise e sistemas fora do Apple Silicon. Após a captura da senha, o malware exibe um alerta falso, enganando a vítima para descartar o aplicativo malicioso. O desenvolvedor do Maccy já emitiu um alerta sobre sites fraudulentos que distribuem essa ameaça. Essa evolução dos stealers para macOS destaca a necessidade de vigilância constante e medidas de segurança robustas.

Ex-membro do Parlamento Europeu alvo de spyware Pegasus

Um novo relatório do Citizen Lab revelou que Stelios Kouloglou, ex-membro do Parlamento Europeu, teve seu dispositivo móvel repetidamente hackeado com o spyware Pegasus enquanto investigava o uso de ferramentas de vigilância comercial na União Europeia. A análise forense do seu iPhone indicou que os invasores poderiam acessar documentos confidenciais e deliberações do comitê. Embora não se tenha atribuído a responsabilidade a um governo específico, há indícios de que um cliente do Pegasus, autorizado a espionar em vários países europeus, pode estar por trás do ataque. Kouloglou foi membro do Comitê PEGA, criado para investigar o uso indevido de spyware comercial. O primeiro ataque ocorreu em outubro de 2022, seguido por outro em março de 2023, coincidindo com momentos críticos de discussões sobre o relatório do comitê. O uso do spyware Pegasus levanta preocupações sobre como governos podem abusar de tecnologias destinadas a combater crimes graves, como terrorismo, para espionar jornalistas e críticos. Além disso, o relatório também destacou campanhas de espionagem que exploram vulnerabilidades na infraestrutura de telecomunicações global, permitindo rastreamento de localização sem a necessidade de malware.

Claude Fable Lançamento decepcionante e restrições severas

O modelo Claude Fable, da Anthropic, foi recentemente disponibilizado para todos os usuários, mas as primeiras impressões são desanimadoras. Apesar de estar acessível a assinantes do plano Max, o uso do modelo é severamente limitado, permitindo apenas 50% do limite semanal de uso. A partir de 7 de julho, o acesso se tornará totalmente baseado em créditos de uso, o que pode restringir ainda mais a utilização. Além disso, usuários relatam que o desempenho do Fable 5 foi ’nerfado’, ou seja, parece mais fraco e frequentemente é redirecionado para versões anteriores, como o Opus 4.8, devido a novas medidas de segurança. Isso afeta negativamente a experiência, especialmente em tarefas de programação que envolvem linguagens como C, C++ e Rust, onde palavras-chave relacionadas à segurança podem acionar bloqueios. Embora a Anthropic não tenha admitido oficialmente a degradação do desempenho, é provável que esteja sendo excessivamente cautelosa com as novas salvaguardas, resultando em uma experiência abaixo do esperado para os usuários. A situação levanta preocupações sobre a eficácia das medidas de segurança implementadas e seu impacto na usabilidade do modelo.

Claude Fable 5 terá acesso restrito após 7 de julho

A Anthropic anunciou que o modelo Claude Fable 5 não estará mais acessível através das assinaturas do Claude após 7 de julho, mas essa mudança não é permanente. A empresa espera que o modelo retorne em breve fora do plano baseado em uso. O Fable 5 foi restaurado recentemente após a liberação de controles de exportação pelo governo dos EUA. Embora esteja disponível globalmente em várias plataformas da Anthropic, o uso do Fable 5 foi restringido devido à alta demanda. A partir da próxima semana, o modelo será cobrado com créditos de uso, o que gerou preocupações entre os usuários regulares do Claude sobre a possibilidade de um custo permanente para acessar o Fable 5. Um engenheiro da Anthropic esclareceu que o Fable deve retornar às assinaturas assim que a capacidade permitir. A empresa também mencionou que a demanda pelo Fable 5 é difícil de prever, levando a uma abordagem mais conservadora na liberação do acesso. Para os usuários que dependem do Fable 5, é importante se preparar para a cobrança por créditos de uso após o prazo estabelecido.

Grupo Anubis explora vulnerabilidade Citrix para ataques de ransomware

O grupo de ransomware Anubis tem utilizado a vulnerabilidade Citrix Bleed 2 (CVE-2025-5777) para obter acesso inicial a sistemas. De acordo com um relatório da Arctic Wolf, os afiliados do Anubis empregam ferramentas legítimas de gerenciamento remoto, como ScreenConnect e Zoho Assist, para se infiltrar nas redes das vítimas sem levantar suspeitas. Desde sua reemergência em 2024, o Anubis já reivindicou 91 vítimas, com 11 ataques ocorrendo apenas em junho de 2026, afetando setores como saúde, serviços financeiros e tecnologia. A operação oferece uma divisão de lucros atrativa para afiliados, que podem receber até 80% do valor do resgate. Além disso, o grupo implementa um módulo de destruição de dados que aumenta a pressão sobre as vítimas para que paguem o resgate. As intrusões observadas também envolveram o uso de credenciais VPN válidas e técnicas de movimento lateral, como RDP e PsExec, para garantir acesso persistente e exfiltração de dados. A situação é crítica, pois a exploração da vulnerabilidade CVE-2025-5777, com uma pontuação CVSS de 9.3, permite que atacantes contornem autenticações em servidores Citrix, representando um risco significativo para empresas que utilizam essa tecnologia.

Google desmantela rede NetNut, uma das maiores botnets de proxy residencial

O Google, em colaboração com o FBI e outras entidades, anunciou a degradação significativa da NetNut, uma das maiores redes que transforma dispositivos residenciais em proxies alugados para tráfego de terceiros. A NetNut, também conhecida como Popa, é uma rede global que abrange pelo menos 2 milhões de dispositivos, incluindo TVs inteligentes e caixas de streaming. Quando um dispositivo da NetNut está em uma residência, criminosos podem redirecionar seu tráfego pela conexão de internet do usuário, comprometendo sua privacidade e segurança. A rede opera através da venda de acesso a endereços IP residenciais, permitindo que atacantes ocultem sua localização real. A empresa por trás da NetNut, a Alarum Technologies, nega a classificação de botnet, alegando que seu software é para compartilhamento de largura de banda consentido. No entanto, pesquisas indicam que os aplicativos associados não informam os usuários sobre esse consentimento. O Google alerta que a degradação da NetNut não é um desmantelamento definitivo, pois a rede possui um programa de revenda que permite que outras empresas comercializem o mesmo pool de dispositivos, tornando a situação complexa e resiliente. Para os consumidores, recomenda-se cautela ao usar aplicativos que prometem pagamento por largura de banda não utilizada e a compra de dispositivos de marcas conhecidas.

Ataques a contas Microsoft 365 81 milhões de tentativas de login

Um ataque de password-spraying comprometeu contas do Microsoft 365, resultando em mais de 81 milhões de tentativas de login em um período de duas semanas. Os hackers utilizaram credenciais roubadas e exploraram políticas de acesso condicional mal configuradas para contornar a autenticação multifator (MFA). A campanha, observada pela empresa de cibersegurança Huntress, afetou 78 contas Microsoft em 64 organizações entre 12 e 26 de junho de 2026. Muitas das empresas visadas não tinham MFA implementada ou a aplicavam de forma inadequada, permitindo que os atacantes enviassem senhas diretamente ao endpoint de token sem um prompt de MFA interativo. Para mitigar esses riscos, recomenda-se que as organizações implementem MFA para todos os usuários e aplicativos em nuvem, restrinjam o uso do Azure CLI e respondam com base na validade das credenciais em vez do volume de tentativas de login.

Companhia de faturamento médico confirma violação de dados em 2025

A empresa de faturamento médico MCBS notificou mais de 309 mil pessoas sobre uma violação de dados ocorrida em setembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, histórico médico, condições de saúde e informações de seguro. A violação foi atribuída ao grupo de ransomware PEAR, que reivindicou ter roubado 3,3 TB de dados da MCBS. A empresa notificou 295.625 pessoas na Carolina do Sul, 13.302 no Texas e 382 em Massachusetts, mas o número total de vítimas pode aumentar à medida que mais estados divulgam dados. A MCBS não confirmou se pagou um resgate ou como a violação ocorreu. O grupo PEAR, ativo desde agosto de 2025, já reivindicou 98 ataques de ransomware, com foco principal em empresas de saúde. Este incidente é considerado o maior ataque ao setor de saúde realizado pelo grupo até agora, superando outras violações significativas ocorridas no mesmo mês. A MCBS não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas da violação.

Microsoft corrige falha no Copilot do Outlook para usuários do Windows

A Microsoft anunciou a correção de um problema que fazia com que os botões do Copilot Chat ou Copilot desaparecessem para usuários do Windows com a licença Copilot Chat (Básico) no Outlook Clássico. Segundo um documento de suporte da empresa, os usuários afetados podem não ver os botões do Copilot na navegação lateral e acima da faixa de opções. Além disso, podem enfrentar outros problemas, como a ausência do botão do Copilot na área superior direita e a impossibilidade de abrir o Copilot através da personalização da faixa de opções. A Microsoft recomenda que os usuários afetados reiniciem o cliente de e-mail para aplicar a correção e atualizem para a versão mais recente do Outlook. Para aqueles que não conseguem atualizar, é sugerido reverter para uma versão anterior ou utilizar o novo Outlook ou Outlook Web Access (OWA). A empresa também está investigando um problema que causa falhas inesperadas no Outlook em sistemas com o software Kaspersky Antivirus. Os usuários afetados devem verificar os logs de aplicativos para confirmar a origem do problema e contatar o suporte da Kaspersky se necessário.

Ataques de Cibersegurança A Nova Ameaça ao Microsoft 365

Os ataques cibernéticos modernos têm se tornado cada vez mais sofisticados, utilizando métodos que exploram a rotina dos usuários. Um exemplo recente é o ataque ConsentFix, que se aproveita dos fluxos de consentimento do OAuth do Microsoft 365. Neste tipo de ataque, os criminosos enviam iscas de phishing através de plataformas confiáveis, levando a vítima a acreditar que está realizando um procedimento de autenticação legítimo. Ao arrastar um link aparentemente inofensivo para o navegador, o usuário entrega tokens de acesso ao atacante, permitindo que ele acesse serviços do Microsoft 365 sem precisar de senha ou autenticação multifator (MFA).

Corte da UE rejeita apelação final do Google sobre multa antitruste

O Tribunal de Justiça da União Europeia (TJUE) confirmou a decisão da Comissão Europeia que impôs uma multa de €4,1 bilhões (cerca de $4,7 bilhões) ao Google por práticas anticompetitivas relacionadas ao sistema operacional Android. A Comissão havia determinado que o Google abusou de sua posição dominante ao exigir que fabricantes de dispositivos pré-instalassem o Google Search e o Chrome para licenciar a Play Store, além de proibir a venda de dispositivos com versões do Android não aprovadas. Embora o Tribunal Geral tenha reduzido a multa original, o TJUE sustentou que as práticas do Google restringem a concorrência e fortalecem sua posição no mercado. Em resposta, o Google argumentou que o Android promove a escolha do consumidor e que suas práticas foram adaptadas desde 2018 para atender às exigências da Comissão. A empresa também destacou a concorrência com o iOS da Apple e a intensa competição entre fabricantes de dispositivos Android. Este caso levanta questões importantes sobre a regulação de grandes plataformas tecnológicas e suas implicações para o mercado global de tecnologia.

Grupo ToddyCat utiliza malware Umbrij para acessar e-mails corporativos

O grupo de ameaças avançadas conhecido como ToddyCat desenvolveu um novo malware chamado Umbrij, que visa comprometer o acesso a e-mails corporativos hospedados no Gmail por meio da API do Google. Segundo um relatório da Kaspersky, o Umbrij utiliza o protocolo OAuth 2.0 para obter tokens de autorização, permitindo que os atacantes acessem recursos de e-mail de forma furtiva. O malware opera em navegadores baseados em Chromium, explorando sessões ativas do Gmail. Ao lançar o navegador em modo headless e se conectar a uma porta de depuração remota, o Umbrij consegue capturar o código de autorização OAuth e trocá-lo por um token de acesso, comprometendo assim as comunicações de e-mail corporativas. O ataque é facilitado por técnicas como DLL side-loading, onde executáveis legítimos são abusados para iniciar o malware. A Kaspersky recomenda que as organizações revisem os códigos de autorização concedidos a aplicações e revoguem acessos não utilizados para mitigar os riscos. A automação do Umbrij aumenta a escala e a frequência dos ataques, evidenciando as habilidades técnicas avançadas do grupo ToddyCat.

Vulnerabilidades em sistemas e novas ameaças de cibersegurança

Nesta semana, diversas vulnerabilidades e campanhas de phishing foram destacadas no cenário de cibersegurança. Uma campanha de phishing está atacando pequenas empresas em várias regiões, incluindo a Europa e os EUA, utilizando e-mails falsos que se passam por investigações da INTERPOL, levando à instalação de ransomware. Além disso, uma pesquisa revelou uma falha no serviço ‘Hide My Email’ da Apple, que permite que endereços de e-mail reais sejam expostos. Outra descoberta alarmante envolve um novo Trojan de Acesso Remoto (RAT) chamado BeepRAT, que se infiltra em sistemas através de um utilitário de gerenciamento de números de telefone, demonstrando um sofisticado encadeamento de infecção. Por fim, a avaliação do modelo GPT-5.6 da OpenAI mostrou que, apesar de suas capacidades ofensivas, ainda enfrenta limitações em alvos bem defendidos. Essas questões ressaltam a necessidade de vigilância constante e atualização de sistemas para mitigar riscos.

Ataques de ransomware atingem recorde global no primeiro semestre de 2026

No primeiro semestre de 2026, os ataques de ransomware alcançaram um novo recorde global, com uma média de 23 ataques por dia, totalizando 4.217 incidentes. Este número representa um aumento de 11% em relação ao segundo semestre de 2025. Dentre os ataques registrados, 484 foram confirmados por organizações-alvo, enquanto o restante foi reivindicado por grupos de ransomware em sites de vazamento de dados. O setor empresarial foi o mais afetado, com 319 ataques confirmados, seguido por entidades governamentais (83) e empresas de saúde (49). O setor de transporte teve um aumento significativo de 52% nos ataques, enquanto a educação viu uma queda de 13%. Apesar do aumento global, os ataques nos Estados Unidos diminuíram em 8%, possivelmente devido à atuação do grupo The Gentlemen, que diversificou seus alvos fora dos EUA. O grupo Qilin foi o mais ativo, com 641 vítimas, seguido por The Gentlemen e Akira. As demandas de resgate variaram, com uma média de $1,36 milhão, destacando o caso do Nippon Medical School, que recebeu uma exigência de $100 milhões. Esses dados ressaltam a necessidade urgente de medidas de segurança cibernética mais robustas em diversos setores.

Cidadão dual dos EUA e Estônia extraditado por cibercrime

Peter Stokes, um cidadão dual dos Estados Unidos e da Estônia, foi extraditado para os EUA após ser acusado de ser membro do coletivo de hackers Scattered Spider. O jovem de 19 anos foi preso na Finlândia enquanto tentava embarcar para o Japão e é acusado de extorquir milhões de dólares de várias empresas de renome mundial. Documentos judiciais revelam que Stokes esteve envolvido em pelo menos quatro invasões do Scattered Spider, incluindo um ataque em março de 2023 a uma plataforma de comunicação online, quando tinha apenas 16 anos. Durante um ataque em maio de 2025, os hackers se passaram por funcionários de uma empresa de itens de luxo, solicitando um resgate de 8 milhões de dólares, embora a empresa tenha se recusado a pagar, resultando em perdas de mais de 2 milhões de dólares devido a interrupções operacionais. O grupo Scattered Spider, que surgiu em 2022, é conhecido por usar engenharia social e ataques de phishing para roubar credenciais e documentos sensíveis. O FBI informou que o grupo já esteve envolvido em mais de 100 intrusões, resultando em pagamentos de resgate superiores a 100 milhões de dólares.

Opera lança funcionalidade de proteção contra comandos maliciosos

A Opera lançou uma nova funcionalidade chamada Paste Protect, que visa bloquear ataques do tipo ClickFix, onde usuários são enganados a copiar e executar comandos maliciosos. Essa técnica é frequentemente utilizada por cibercriminosos para induzir vítimas a executar códigos perigosos, geralmente disfarçados como processos de verificação ou instruções de resolução de problemas. O Paste Protect atua antes que comandos prejudiciais sejam copiados para a área de transferência do navegador, utilizando regras de detecção específicas para identificar padrões associados a scripts maliciosos. Quando um conteúdo suspeito é detectado, a operação de cópia é bloqueada e o usuário recebe um alerta visual na barra de endereços do navegador. A funcionalidade é habilitada por padrão e permite que usuários criem listas de permissões para sites confiáveis, facilitando o uso para desenvolvedores que frequentemente copiam scripts de fontes conhecidas. A Opera recomenda que os usuários evitem executar comandos desconhecidos e tratem solicitações suspeitas com cautela. Essa inovação é especialmente relevante em um cenário onde ataques cibernéticos estão em ascensão, destacando a importância de medidas proativas de segurança.

CISA alerta sobre vulnerabilidade crítica no Microsoft SharePoint

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica no Microsoft SharePoint, identificada como CVE-2026-45659. Essa falha de execução remota de código, resultante da desserialização de dados não confiáveis, permite que atacantes com privilégios baixos executem códigos arbitrários em servidores SharePoint não corrigidos, sem necessidade de interação do usuário. A CISA destacou que qualquer atacante autenticado, com permissões mínimas de Membro do Site, pode explorar essa vulnerabilidade, que é acessível pela rede e de baixa complexidade. A Microsoft lançou atualizações de segurança para as versões do SharePoint afetadas em 21 de maio de 2026, após a falha ter sido acidentalmente omitida nas atualizações de segurança anteriores. A CISA também incluiu a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que as agências federais dos EUA protejam seus servidores até o próximo sábado. A situação é preocupante, pois mais de 10.000 servidores SharePoint estão expostos online, e a falta de informações sobre quantos já foram corrigidos aumenta o risco de ataques em larga escala.

Cisco confirma exploração de vulnerabilidade no Unified CM

A Cisco confirmou que atacantes estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), identificada como CVE-2026-20230, que foi corrigida em junho de 2026. O Unified CM, que gerencia sistemas de telefonia IP da Cisco, permite que atacantes não privilegiados realizem ataques de Server-Side Request Forgery (SSRF) de forma remota, enviando requisições HTTP manipuladas. Apesar de a Cisco ter informado em 3 de junho que não havia evidências de exploração ativa, a situação mudou em 22 de junho, quando a empresa de inteligência Defused revelou que os atacantes começaram a explorar a falha. A Cisco aconselha os clientes a atualizarem para versões corrigidas do software e, enquanto isso, recomenda desativar o serviço WebDialer vulnerável. Atualmente, mais de 200 instâncias do Unified CM estão expostas online, principalmente na Ásia e América do Norte. A situação é crítica, pois a exploração ativa pode levar a compromissos sérios de segurança, especialmente considerando que a CISA identificou 93 vulnerabilidades da Cisco como ativamente exploradas desde novembro de 2021.

Malware ChocoPoC se disfarça em códigos falsos para roubar dados

Pesquisadores de segurança alertaram sobre um novo malware chamado ChocoPoC, que se disfarça em repositórios de código falso no GitHub, direcionado a caçadores de bugs. O malware é um trojan que rouba dados sensíveis, como senhas salvas e cookies de navegadores, e oferece acesso remoto ao computador da vítima. O ataque ocorre quando os pesquisadores clonam repositórios e instalam dependências, levando à instalação de um pacote malicioso chamado ‘skytext’. Este pacote, ao detectar a execução de um código de prova de conceito (PoC), ativa o malware, que permanece oculto durante uma análise superficial. O ChocoPoC já foi encontrado em pelo menos sete repositórios falsos relacionados a vulnerabilidades conhecidas, como CVEs de produtos populares. A campanha é uma evolução de táticas anteriores, onde grupos maliciosos tentam explorar a pressa dos pesquisadores em testar novas falhas. A recomendação é que os pesquisadores tratem qualquer PoC como potencialmente hostil e verifiquem cuidadosamente as dependências antes de executá-las.

Campanha FortiBleed Ransomware e Roubo de Credenciais em Escala Global

A campanha FortiBleed, recentemente descoberta, está ligada a operações de ransomware como INC e Lynx, com credenciais roubadas sendo utilizadas para intrusões subsequentes. A SOCRadar revelou que a operação de roubo de credenciais afetou aproximadamente 11.250 portais FortiGate em mais de 150 países, resultando em acesso administrativo confirmado em 409 alvos e a conclusão bem-sucedida da cadeia de ataque em 354 deles. Pelo menos 12 implantações de ransomware foram registradas, criptografando centenas de endpoints nas organizações afetadas. Os atacantes realizaram varreduras sistemáticas na internet em busca de dispositivos Fortinet expostos, utilizando combinações de credenciais conhecidas e implantando sniffer de pacotes para coletar dados de autenticação. Estima-se que 430.000 firewalls FortiGate tenham sido alvo da operação, com mais de 110 milhões de credenciais coletadas. A atividade foi exposta devido a um erro de segurança operacional dos atacantes, que deixou um servidor com credenciais roubadas acessível na internet. A SOCRadar também identificou que os operadores da FortiBleed estão em posse de pelo menos uma vulnerabilidade zero-day no Nextcloud, e a empresa está coordenando com o fornecedor afetado.

Primeiro ataque de ransomware conduzido por agente de IA é identificado

A empresa de segurança Sysdig revelou um ataque de ransomware que, segundo eles, foi totalmente conduzido por um agente de inteligência artificial, nomeado JADEPUFFER. O ataque explorou uma vulnerabilidade já corrigida (CVE-2025-3248) em Langflow, uma ferramenta de código aberto, permitindo que o agente acessasse servidores expostos na internet. Após invadir a rede, o agente mapeou a máquina, coletou credenciais e, em seguida, criptografou e eliminou dados de um banco de dados de produção. O ataque se destacou pela ausência de um chave de descriptografia, impossibilitando a recuperação dos dados, mesmo que o resgate fosse pago. A Sysdig observou que o código do ataque continha anotações em inglês que explicavam cada passo, uma característica típica de modelos de IA, e que o agente corrigiu seus próprios erros rapidamente. Este incidente marca um novo patamar na automação de ataques cibernéticos, levantando preocupações sobre a segurança de sistemas que utilizam ferramentas de IA expostas à internet. Os especialistas recomendam que as empresas atualizem suas ferramentas e adotem práticas de segurança rigorosas para proteger suas redes.

Medtronic sofre violação de dados que expõe informações pessoais

A Medtronic, empresa de dispositivos médicos, notificou seus clientes sobre uma violação de dados que expôs informações pessoais a um terceiro não autorizado. O incidente foi atribuído ao grupo de extorsão de dados ShinyHunters, que afirmou ter acesso a 9 milhões de registros contendo informações identificáveis e dados corporativos internos. A Medtronic identificou atividade incomum em seus sistemas de TI em 15 de abril de 2026, e uma investigação revelou que o acesso não autorizado ocorreu entre 13 e 19 de abril de 2026. Os dados expostos incluem informações de contato, data de nascimento, número de Seguro Social e dados relacionados à saúde. Embora a Medtronic tenha garantido que os dados não foram expostos online, a empresa aconselha os clientes a se inscreverem em serviços de monitoramento de crédito e proteção contra roubo de identidade. A Medtronic, que opera em 150 países e possui uma receita anual de 33,5 bilhões de dólares, assegurou que todos os seus dispositivos permanecem seguros e não foram afetados pelo incidente. Os clientes devem estar atentos a comunicações suspeitas que possam explorar os dados expostos para fraudes e tentativas de phishing.

Falha crítica no Microsoft SharePoint Server é explorada ativamente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-45659, possui uma pontuação CVSS de 8.8 e permite a execução remota de código devido à desserialização de dados não confiáveis. A Microsoft já disponibilizou correções em maio de 2026 para as versões afetadas do SharePoint. A CISA alerta que qualquer atacante autenticado pode explorar essa vulnerabilidade, sem a necessidade de privilégios elevados, o que a torna particularmente preocupante. Além disso, a Microsoft revelou que investigações de ransomware identificaram dois grupos de atacantes operando simultaneamente em uma mesma rede, complicando a resposta a incidentes. Um dos grupos, conhecido como Storm-2603, tem explorado vulnerabilidades em servidores SharePoint desde 2025, utilizando técnicas para mascarar suas atividades. Diante da exploração ativa, agências federais dos EUA foram orientadas a aplicar as correções até 4 de julho de 2026.

Vulnerabilidade no recurso de e-mail da Apple expõe dados de usuários

O recurso ‘Ocultar Meu E-mail’ da Apple, disponível para assinantes do iCloud+, apresenta uma vulnerabilidade que pode expor endereços de e-mail que deveriam ser protegidos. Identificado pela plataforma EasyOptOuts em junho de 2025, o problema persiste sem solução, mesmo após a Apple ter sido notificada. O recurso, que permite a criação de endereços de e-mail aleatórios para evitar a exposição do e-mail original, falhou em sua função principal, permitindo que, em testes realizados, o endereço original fosse acessado rapidamente. A Apple afirmou que está investigando a situação, mas até o momento não divulgou uma correção. Além disso, há planos para alterar o domínio dos endereços gerados de ‘@icloud.com’ para ‘@private.icloud.com’, o que pode impactar a eficácia do recurso. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a conformidade com a LGPD, especialmente considerando a popularidade dos serviços da Apple no Brasil.

Malware ChocoPoC ataca pesquisadores de cibersegurança via GitHub

Pesquisadores de segurança identificaram uma nova campanha de malware que utiliza exploits de prova de conceito (PoC) no GitHub para disseminar um trojan de acesso remoto (RAT) chamado ChocoPoC. Este malware se destaca por não estar embutido diretamente nos arquivos de exploit, mas sim por meio de pacotes Python maliciosos adicionados à lista de dependências do PoC. Os pacotes, hospedados no Python Package Index (PyPI), são instalados automaticamente quando a vítima clona um repositório malicioso. O ChocoPoC é capaz de executar comandos arbitrários, coletar dados sensíveis como senhas de navegadores e histórico de navegação, e até mesmo exfiltrar dados através de conjuntos de dados do Mapbox. A campanha já foi associada a pelo menos sete repositórios no GitHub, explorando vulnerabilidades conhecidas. A instalação do pacote malicioso ‘frint’ puxa uma dependência adicional chamada ‘skytext’, que contém um código Python embutido que baixa o payload final. Com mais de 2.400 downloads, a maioria em sistemas Linux, a campanha se aproveita da curiosidade de pesquisadores e testadores de segurança. Especialistas recomendam que esses profissionais nunca confiem cegamente em repositórios do GitHub e executem códigos não verificados em ambientes isolados.

Kubota revela acesso de hackers a dados de funcionários por um mês

A Kubota North America Corporation, fabricante japonesa de equipamentos agrícolas e de construção, revelou que hackers tiveram acesso a seus sistemas de rede por mais de um mês, entre 16 de março e 20 de abril deste ano. Durante esse período, informações pessoais de funcionários e seus dependentes foram comprometidas, incluindo nomes completos, números de Seguro Social, datas de nascimento, IDs de contribuinte, informações bancárias de depósito direto e dados de cartões corporativos. A empresa começou a notificar os afetados por e-mail a partir de 30 de junho, oferecendo orientações sobre como se inscrever em serviços de proteção de identidade. A Kubota também aconselhou os funcionários a monitorar declarações de saúde e contas bancárias, além de relatar atividades suspeitas às autoridades. Embora a empresa tenha implementado medidas de segurança adicionais para evitar futuros incidentes, até o momento, nenhum grupo de extorsão de dados ou gangue de ransomware assumiu a responsabilidade pelo ataque. A Kubota não relatou interrupções operacionais ou comerciais devido ao incidente.

Campanha FortiBleed expõe credenciais de 73 mil dispositivos Fortinet

A campanha de roubo de credenciais FortiBleed, que comprometeu mais de 73 mil dispositivos Fortinet, está ligada a operações de ransomware dos grupos INC e Lynx. Um servidor exposto na internet continha arquivos de configuração do FortiGate e credenciais coletadas de dispositivos comprometidos. A SOCRadar, responsável pela investigação, revelou que os atacantes utilizaram uma ferramenta personalizada chamada ‘FortiGate Sniffer’ para interceptar dados de autenticação, como credenciais de VPN, diretamente do tráfego de rede. A análise de um servidor Windows associado à infraestrutura do FortiBleed revelou acesso a painéis de negociação de ransomware, indicando que os atores de ameaça estavam diretamente envolvidos com as operações de extorsão. A campanha, que inicialmente afetou mais de 430 mil firewalls FortiGate, agora tem cerca de 11 mil dispositivos comprometidos. Além disso, os pesquisadores acreditam que uma vulnerabilidade zero-day do Nextcloud foi explorada para expandir o acesso após a invasão inicial. A SOCRadar planeja lançar um documento técnico adicional com mais detalhes sobre as evidências e indicadores de comprometimento.

Nova cadeia de ataque de malware usa engenharia social e Blogger

Pesquisadores de cibersegurança identificaram uma nova cadeia de ataque de malware em múltiplas etapas, chamada VEIL#DROP, que utiliza engenharia social e páginas do Blogger para disseminar um ladrão de informações conhecido como PureLogs. O ataque começa com um arquivo JavaScript disfarçado, que executa comandos PowerShell para baixar um payload adicional hospedado em um blog. Esse método permite que os atacantes contornem defesas baseadas em reputação, aproveitando a infraestrutura confiável do Google. O payload baixado cria a ilusão de que um documento PDF está sendo aberto, enquanto a infecção ocorre em segundo plano. O malware é projetado para ser altamente evasivo, utilizando técnicas como mutação em tempo de execução e geração dinâmica de estágios, dificultando a detecção por soluções antivírus tradicionais. Além disso, o uso de binários assinados pela Microsoft permite que os atacantes realizem suas atividades sem levantar suspeitas. A infecção pode ter consequências graves, permitindo que dados sensíveis sejam extraídos e utilizados para comprometer ainda mais o ambiente alvo. Essa combinação de técnicas demonstra um esforço deliberado para evitar a detecção e manter a furtividade durante todo o ciclo de infecção.

Ameaça de Malware Utiliza ScreenConnect para Distribuir AsyncRAT

Um novo ataque cibernético está utilizando a ferramenta de acesso remoto ScreenConnect para implantar o malware AsyncRAT. A Kaspersky identificou uma campanha massiva que distribui arquivos de instalação maliciosos disfarçados de softwares populares, como OBS Studio e Bandicam, em mais de 90 domínios falsificados em 10 idiomas, incluindo português. Esses arquivos maliciosos contêm um executável legítimo da Microsoft e uma biblioteca DLL maliciosa, que, ao serem carregados, ativam o serviço ScreenConnect. Isso permite que os atacantes mantenham controle sobre os dispositivos comprometidos, que podem incluir tanto usuários individuais quanto organizações. O malware realiza diversas ações, como desativar o Controle de Conta de Usuário e criar scripts que extraem e executam o módulo AsyncRAT. A conexão com um servidor remoto permite que os invasores monitorem atividades e roubem dados sensíveis. A persistência do malware é garantida por uma tarefa agendada que executa scripts a cada dois minutos, mesmo após reinicializações do sistema. A Kaspersky alerta que os atacantes utilizam técnicas de SEO para posicionar seus sites fraudulentos nos resultados de busca, aumentando a probabilidade de infecção.

Adolescente extraditado por envolvimento em grupo de hackers nos EUA

Um adolescente de 19 anos, Peter Stokes, foi extraditado da Finlândia para os Estados Unidos, onde enfrenta acusações de conspiração, invasão de computadores e fraude, conforme anunciado pelo Departamento de Justiça dos EUA. Stokes, que possui cidadania dupla dos EUA e Estônia, foi preso em abril sob um Aviso Vermelho da Interpol e compareceu a um tribunal federal em Chicago no dia 30 de junho, onde foi mantido sob custódia. Ele é acusado de fazer parte do grupo de hackers Scattered Spider, conhecido por ataques a cassinos, varejistas e companhias aéreas. O grupo utiliza engenharia social para obter acesso a sistemas, enganando funcionários de suporte técnico para que resetem senhas. Em um dos ataques, Stokes e outros invadiram uma joalheria de luxo, roubaram dados e exigiram um resgate de cerca de 8 milhões de dólares em criptomoeda. O caso de Stokes é parte de uma série de prisões relacionadas ao grupo, que já está associado a mais de 100 intrusões em redes, resultando em pagamentos de resgate superiores a 100 milhões de dólares. Especialistas em segurança alertam que a vulnerabilidade principal reside nos serviços de suporte técnico, e recomendações incluem a implementação de verificações de identidade mais rigorosas.

Falha crítica no Argo CD permite execução de código não autenticado

Um grave problema de segurança foi identificado no Argo CD, uma ferramenta amplamente utilizada para implantações em Kubernetes. A falha, localizada no componente repo-server, permite que um atacante não autenticado execute código, desde que consiga acessar a porta interna do componente. A empresa Synacktiv, que descobriu a vulnerabilidade, alertou os mantenedores do Argo CD em janeiro de 2025, mas, após dezoito meses, a falha continua sem correção e não possui um CVE atribuído.

Cibersegurança 8 das organizações estão sem proteção contra phishing

Um estudo recente revela que cerca de 3,4 bilhões de e-mails de phishing são enviados diariamente, com 90% dos ataques cibernéticos bem-sucedidos originando-se desses e-mails. A análise de 5.849 domínios em 13 setores mostrou que mais de 8% das organizações não possuem nenhuma medida de proteção, como SPF, DMARC, DKIM ou MTA-STS. O setor público, especialmente agências governamentais, apresentou o pior desempenho, com uma média de 2,73 pontos e 27% dos domínios desprotegidos. Em contraste, empresas de tecnologia se destacaram com uma média de 4,83 pontos e apenas 2% de domínios sem proteção. Entre os países, a China teve a pior média (2,3), enquanto os Países Baixos lideraram com 5,51. A pesquisa destaca a necessidade urgente de melhorias na segurança de e-mails, especialmente em setores críticos como governo e saúde, onde a falta de proteção pode resultar em consequências graves.

Rede de Saúde do Colorado confirma vazamento de dados de 68 mil pessoas

O Colorado Health Network (CHN) notificou 68.212 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de cartões de crédito e débito, informações financeiras e médicas, como prescrições e dados de seguro saúde. O ataque foi reivindicado pelo grupo cibercriminoso Cephalus, que alegou ter roubado 900 GB de dados da organização. O CHN descobriu a violação em 29 de julho de 2025, mas só começou a notificar as vítimas quase 11 meses depois, em 18 de junho de 2026. O grupo Cephalus, ativo por um curto período, também foi responsável por outros ataques de ransomware, afetando diversas organizações de saúde nos EUA. Os ataques de ransomware têm se tornado uma preocupação crescente, com 148 incidentes confirmados em 2025, resultando em mais de 14,1 milhões de registros pessoais comprometidos. O CHN, que atende mais de 5.000 clientes afetados pelo HIV, não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas do vazamento.

Mais de 900 instâncias do Oracle E-Business Suite expostas online

Mais de 900 instâncias do Oracle E-Business Suite (EBS) foram encontradas expostas na internet, em meio a ataques que exploram uma vulnerabilidade crítica identificada como CVE-2026-46817. Essa falha, localizada no componente de Transmissão de Arquivos do produto Oracle Payments, permite que atacantes sem privilégios e com acesso à rede HTTP assumam o controle de sistemas vulneráveis por meio de ataques de baixa complexidade. A Oracle já lançou atualizações de segurança para corrigir essa vulnerabilidade em seu patch de segurança crítico de maio de 2026 e pediu aos clientes que atualizem seus sistemas imediatamente. Embora a empresa ainda não tenha confirmado a exploração ativa dessa falha, a empresa de inteligência de ameaças Defused alertou que os atacantes estão, de fato, explorando essa vulnerabilidade, com os primeiros relatos de tentativas ocorrendo no último fim de semana. Além disso, a Shadowserver, um observatório de segurança na internet, identificou cerca de 950 instâncias do Oracle EBS expostas online, mas não há informações sobre quantas delas foram protegidas contra os ataques relacionados ao CVE-2026-46817. A situação é preocupante, especialmente considerando que a CISA já havia alertado sobre outras vulnerabilidades críticas da Oracle que estão sendo ativamente exploradas.

Inteligência de Ameaças Cibernéticas Enriquecimento com Criminal IP

A inteligência de ameaças cibernéticas ganha valor quando os indicadores são enriquecidos com contexto que apoia investigações e decisões. A integração entre Criminal IP e OpenCTI permite que equipes de segurança transformem endereços IP, domínios e URLs em inteligência estruturada dentro do gráfico de conhecimento do OpenCTI. Essa integração enriquece automaticamente os indicadores com dados como pontuação de reputação, inteligência de infraestrutura e análise de phishing.

Um dos destaques é a pontuação de risco contextual, que oferece uma visão mais detalhada do comportamento de um IP, permitindo que analistas priorizem indicadores de alto risco. Além disso, a inteligência de infraestrutura é estruturada em entidades e relacionamentos, facilitando a investigação de componentes compartilhados e a identificação de superfícies de ataque potenciais.

Campanha de ataque a senhas atinge 81 milhões de tentativas em Microsoft 365

Uma intensa campanha de ataque de password-spraying direcionada a ambientes Microsoft 365 resultou em mais de 81 milhões de tentativas de login em um período de duas semanas. Os atacantes tentaram autenticar-se utilizando combinações de nomes de usuário e senhas que foram expostas em brechas anteriores. O ataque foi realizado através da interface de linha de comando do Azure da Microsoft, que permite a administração de recursos em nuvem. Ao encontrar uma combinação válida, os hackers conseguiram autenticar-se usando o mecanismo OAuth ROPC (Resource Owner Password Credentials), contornando a autenticação multifator (MFA) em muitos casos devido a políticas de Acesso Condicional inseguras. A empresa de cibersegurança Huntress monitorou a campanha entre 12 e 26 de junho, confirmando que 78 contas Microsoft foram comprometidas em 64 organizações. Apesar de muitas dessas empresas terem implementado MFA, a configuração não cobria o fluxo específico utilizado pelos atacantes. A Huntress observou um aumento de mais de 155 vezes nos ataques de password-spraying, com uma média de 1.964 tentativas de login falhadas por inquilino a cada mês. O ataque teve seu pico em 22 de junho e, embora a origem do ataque seja desconhecida, foi identificado um intervalo IPv6 pertencente à LSHIY LLC.

Automatizando a segurança de e-mails com IA comportamental

Nos últimos anos, as organizações têm utilizado gateways de e-mail seguros e detecções baseadas em assinaturas para combater ataques de phishing. Contudo, as ameaças atuais exploram identidades confiáveis e fluxos de trabalho legítimos, tornando-se mais difíceis de detectar. Um webinar programado para 8 de julho de 2026, apresentado por Dan Nickolaisen da Abnormal AI e Eric Danneker da Novant Health, abordará como a IA comportamental pode ajudar as equipes de segurança a automatizar a detecção, investigação e remediação de ataques modernos, como phishing, comprometimento de e-mail corporativo (BEC) e tomada de conta (ATO).

DHS investiga ataque cibernético à rede de informações de segurança

O Departamento de Segurança Interna dos EUA (DHS) está investigando um ataque cibernético que comprometeu a Homeland Security Information Network (HSIN), uma plataforma sensível de compartilhamento de informações utilizada por parceiros do governo e do setor privado. O ataque, realizado por um ator de ameaça desconhecido, ocorreu entre o final de maio e início de junho de 2023. A investigação ainda não atribuiu a responsabilidade a nenhum ator específico ou governo estrangeiro, e não está claro se documentos foram roubados do sistema. Os invasores miraram servidores do HSIN e um sistema SharePoint usado para colaboração. O HSIN é crucial para a comunicação em tempo real e a gestão de incidentes, especialmente em um momento em que os EUA estão supervisionando a segurança de eventos como a Copa do Mundo. O DHS confirmou que sistemas classificados não foram afetados e que ações imediatas foram tomadas para isolar os sistemas comprometidos e mitigar a vulnerabilidade. Este incidente segue um problema anterior em 2023, onde uma configuração inadequada expôs dados restritos dentro do HSIN-Intel, a seção de inteligência da plataforma.

Novo ransomware utiliza IA para atacar navegadores em Windows e Android

Pesquisadores de cibersegurança identificaram um novo artefato de malware que utiliza a tecnologia DeepSeek para criar um caminho de ataque inovador, combinando conceitos teóricos de ransomware em navegadores com capacidades reais. Este ataque, documentado pela primeira vez, ocorre inteiramente dentro do navegador, afetando dispositivos Windows e Android. O malware, denominado InfernoGrabber v9.0, é uma aplicação Python Flask que opera como um servidor web malicioso, atraindo vítimas com um falso aprimorador de avatar do Discord. Ele realiza uma série de ações prejudiciais, como roubo de tokens do Discord, números de cartões de crédito e frases-semente de criptomoedas, além de capturar feeds de webcam e microfone. O ataque utiliza uma técnica de ransomware que não requer a instalação de um payload nativo, explorando vulnerabilidades do navegador. A pesquisa destaca que a IA está redefinindo o cenário de ameaças cibernéticas, permitindo que atores maliciosos desenvolvam malware com menos expertise técnica. A abordagem é limitada a navegadores que expõem a API de Acesso ao Sistema de Arquivos, como o Google Chrome. Embora não haja evidências de que essa técnica tenha sido utilizada em campanhas reais, a descoberta representa uma mudança significativa na forma como ataques cibernéticos podem ser concebidos e executados.