Verificação de Idade Desafios e Soluções em Cibersegurança

A verificação de idade está se tornando uma exigência legal em diversos países, incluindo o Brasil, que implementará a Lei Geral de Proteção à Criança e ao Adolescente (ECA Digital) em 2026. Com mais de 30 legislações em vigor, a coleta de dados biométricos, especialmente imagens faciais, levanta preocupações sobre privacidade e segurança. A Incode Technologies propõe uma solução inovadora: a estimativa de idade no dispositivo do usuário, que elimina a necessidade de enviar ou armazenar imagens faciais em servidores. Essa abordagem não apenas protege a privacidade do usuário, mas também reduz o risco de vazamentos de dados, uma preocupação crescente, já que 63% dos consumidores expressaram receios sobre a coleta de dados biométricos. Além disso, a Incode anunciou um investimento de US$ 100 milhões para desenvolver tecnologias que preservem a privacidade, visando melhorar a infraestrutura de identidade digital. A nova solução de estimativa de idade no dispositivo promete atender às exigências legais sem comprometer a segurança dos dados pessoais, oferecendo uma alternativa viável e segura para plataformas que precisam verificar a idade de seus usuários.

Aumento de ataques com malware ACR Stealer afeta empresas

A Microsoft identificou um aumento significativo nos ataques utilizando o malware ACR Stealer, que visa roubar senhas armazenadas em navegadores, tokens de autenticação e documentos sensíveis de clientes corporativos. Entre abril e junho de 2023, os atacantes empregaram métodos de engenharia social, como o ClickFix, além de servidores WebDAV e a ferramenta MSHTA para entregar o malware. O ACR Stealer, uma operação de malware como serviço (MaaS), é considerado uma rebranding do Amatera Stealer. Os ataques ocorrem em duas cadeias de entrega principais: a primeira utiliza um lure ClickFix para executar um DLL malicioso de um compartilhamento WebDAV, enquanto a segunda lança o MSHTA para baixar e executar um downloader PowerShell ofuscado. O objetivo principal é roubar dados sensíveis, incluindo senhas, cookies e documentos do Microsoft 365. A Microsoft recomenda que as organizações implementem filtros e restrinjam o acesso a recursos online desnecessários para mitigar esses riscos.

Funcionários dos EUA apoiam transferência de ações de IA para fundo público

Uma pesquisa recente realizada pela Verasight revelou que 69% dos americanos apoiam a proposta do senador Bernie Sanders de exigir que empresas de inteligência artificial (IA) transfiram 50% de suas ações para um fundo público. A ideia é que esse fundo beneficie a população, proporcionando um pagamento anual de mil dólares a cada cidadão e financiando áreas como saúde e educação. A pesquisa, que entrevistou 1.690 adultos, também mostrou uma desconfiança significativa em relação às práticas das empresas de IA, com 43% dos entrevistados acreditando que as regulamentações propostas visam beneficiar as próprias empresas. Além disso, 30% confiam mais no governo federal do que em empresas como OpenAI e Anthropic. Apesar da polarização em torno de Sanders, a proposta de um fundo de riqueza pública mantém um nível considerável de apoio, indicando uma preocupação crescente com o impacto da IA na sociedade. Embora a percepção pública sobre as empresas de IA esteja em declínio, elas ainda são vistas de forma mais positiva do que indústrias como jogos de azar e tabaco.

Vulnerabilidade HollowByte afeta servidores OpenSSL com DoS

Uma nova vulnerabilidade chamada HollowByte permite que atacantes não autenticados provoquem uma condição de negação de serviço (DoS) em servidores OpenSSL com um payload malicioso de apenas 11 bytes. A equipe do OpenSSL corrigiu silenciosamente a falha e retrocedeu o patch para versões mais antigas. Durante o handshake TLS, versões vulneráveis do OpenSSL alocam memória com base em um cabeçalho de 4 bytes que declara o tamanho da mensagem, sem validar o payload. Isso permite que um atacante envie um cabeçalho que indica um tamanho maior do que o real, fazendo com que o servidor aloque memória desnecessária e bloqueie, aguardando dados que nunca chegam. O ataque pode ser repetido em várias conexões, causando um aumento significativo no uso de memória do servidor. Embora a falha tenha sido corrigida nas versões mais recentes do OpenSSL, a Okta recomenda que as organizações atualizem suas bibliotecas imediatamente, pois a vulnerabilidade pode causar interrupções operacionais e danos à reputação. A HollowByte foi testada em ambientes como NGINX, onde servidores de baixa capacidade podem ser facilmente esgotados de memória. Apesar de ser uma falha de DoS, que é considerada menos severa do que vulnerabilidades que permitem roubo de dados, ainda assim representa um risco significativo para a operação de serviços online.

Abbott investiga incidentes de cibersegurança em sistemas internos

A Abbott Laboratories está investigando dois incidentes de cibersegurança que envolvem acesso não autorizado a sistemas internos da sua divisão de Diagnósticos de Câncer e uma alegação de violação do portal LabCentral. O primeiro incidente foi confirmado após o grupo de extorsão ShinyHunters ameaçar divulgar dados supostamente roubados, caso a empresa não negociasse. A Abbott afirmou que o acesso foi limitado a sistemas legados e que não impactou suas operações ou a segurança dos pacientes. O grupo ShinyHunters alegou ter acessado dados sensíveis através de um ataque de vishing, comprometendo contas de acesso único da Microsoft. No segundo incidente, o grupo ShadowByt3$ afirmou ter invadido o portal LabCentral, mas a Abbott contestou a caracterização dos dados como sensíveis, afirmando que se tratam de documentos públicos. Até o momento, nenhum dado foi divulgado publicamente por ambos os grupos. A empresa ativou procedimentos de resposta a incidentes e notificou as autoridades competentes.

Incidente de segurança da DigiCert atribuído ao grupo CylindricalCanine

Pesquisadores de cibersegurança identificaram o incidente de segurança da DigiCert, ocorrido em abril de 2026, como resultado da atividade do grupo de ameaças CylindricalCanine, uma subcategoria do grupo de cibercrime chinês GoldenEyeDog. Este grupo é conhecido por atacar setores de jogos e apostas, utilizando sites falsificados para disseminar software malicioso. O ataque à DigiCert envolveu o acesso não autorizado a dispositivos de analistas de suporte, permitindo o roubo de certificados de assinatura de código destinados a clientes da empresa. O malware utilizado, uma versão modificada do Gh0st RAT, foi entregue através de um arquivo ZIP disfarçado como captura de tela de cliente. A DigiCert revogou 60 certificados comprometidos, dos quais 27 estavam diretamente ligados ao ataque. O grupo CylindricalCanine também tem um histórico de abusar de certificados de assinatura de código para evitar detecções em suas operações. Este incidente destaca a necessidade de vigilância contínua e melhorias nas práticas de segurança, especialmente em relação ao acesso a informações sensíveis e à proteção de certificados digitais.

Botnet NadMesh ataca serviços de IA expostos em julho de 2026

Em julho de 2026, a botnet NadMesh, desenvolvida em Go, emergiu com o objetivo de explorar serviços de inteligência artificial expostos. De acordo com dados do operador, a botnet já capturou 3.811 chaves da AWS, utilizando um painel que apresenta números contraditórios sobre suas operações. A botnet se concentra em serviços como ComfyUI, Ollama, n8n, Open WebUI, Langflow e Gradio, que são frequentemente utilizados por equipes que priorizam a implementação rápida em detrimento da segurança. A pesquisa da QiAnXin’s XLab revelou que a botnet não busca apenas o host, mas sim as credenciais de nuvem e privilégios de clusters Kubernetes. O tráfego de exploração observado indica que a maioria dos ataques se dirige a APIs Docker e consoles Jenkins, com uma significativa quantidade de tentativas de exploração em senhas fracas de Telnet e Redis. A botnet é projetada para persistir, dificultando sua remoção, e as recomendações incluem proteger serviços expostos com autenticação e removê-los da internet pública. O artigo destaca a necessidade urgente de ações corretivas para mitigar os riscos associados a essa nova ameaça.

Pacotes maliciosos atacam ecossistema Vite em campanha de malware

Pesquisadores de cibersegurança identificaram uma campanha de ataque à cadeia de suprimentos de software, chamada ViteVenom, que envolve sete pacotes npm maliciosos direcionados ao ecossistema de ferramentas frontend Vite. Essa campanha é uma extensão do ChainVeil, que utiliza uma infraestrutura de comando e controle (C2) baseada em blockchain, tornando a desativação da mesma extremamente difícil. Os pacotes maliciosos, que se disfarçam como bibliotecas legítimas, foram publicados entre 29 de junho e 3 de julho de 2026, e incluem nomes como @uw010010/vite-tree e @vite-tab/tab. A principal técnica utilizada é a execução do código malicioso não na instalação, mas no momento da importação, o que dificulta a detecção por sistemas de segurança. Os pesquisadores recomendam que os usuários que instalaram esses pacotes removam-nos imediatamente, auditem suas dependências e troquem todas as credenciais. A campanha é atribuída a um ator de ameaças conhecido como SuccessKey, com atividades detectadas desde fevereiro de 2026.

Falha no OpenSSL pode causar exaustão de memória em servidores

Uma nova vulnerabilidade no OpenSSL, chamada HollowByte, foi identificada e pode causar a alocação de até 131 KB de memória por conexão em servidores que não foram atualizados. Essa falha, que não recebeu um CVE ou um aviso oficial, foi descoberta pela equipe de Red Team da Okta, que relatou que a memória alocada não é liberada até que o processo seja reiniciado. O problema ocorre durante o handshake do TLS, onde o OpenSSL aceita o tamanho da mensagem sem verificar se ela realmente chega, resultando em um ataque de exaustão de conexão. Em testes realizados pela Okta, servidores com 1 GB de RAM foram mortos por falta de memória, enquanto um servidor de 16 GB teve 25% de sua memória ocupada sem atingir o limite de conexões. Embora a OpenSSL tenha corrigido a falha nas versões 4.0.1, 3.6.3, 3.5.7, 3.4.6 e 3.0.21, a falta de um aviso formal e de um CVE levanta preocupações sobre a visibilidade e a resposta a essa vulnerabilidade. A OpenSSL classificou a falha como um ‘bug ou endurecimento’, o que significa que não a considerou uma vulnerabilidade crítica, apesar dos riscos associados à exaustão de memória.

Vulnerabilidade permite execução remota de código em sites WordPress

Uma nova vulnerabilidade descoberta no WordPress permite que um pedido HTTP anônimo execute código em sites, afetando versões 6.9.0 a 6.9.4 e 7.0.0 a 7.0.1. O problema foi identificado por Adam Kues, da Assetnote, e reportado através do programa HackerOne do WordPress. A falha, classificada como uma confusão na rota de lote da API REST e uma injeção SQL, pode ser explorada sem pré-condições, tornando-a crítica para sites que não possuem plugins instalados. O WordPress lançou atualizações de segurança (6.9.5 e 7.0.2) em 17 de julho de 2026, para corrigir a vulnerabilidade. Embora a empresa tenha implementado atualizações forçadas, não está claro se isso se aplica a sites que desativaram as atualizações automáticas. Enquanto isso, a Assetnote disponibilizou uma ferramenta para que os administradores verifiquem se suas instâncias estão vulneráveis. A exploração em massa de vulnerabilidades do WordPress é uma preocupação crescente, com mais de 500 milhões de sites utilizando essa plataforma. A falta de um CVE (Identificador de Vulnerabilidade Comum) para essa falha pode dificultar a detecção e resposta a ataques.

ClickLock Stealer tenta enganar usuários da Apple a revelarem senhas

Pesquisadores da Group-IB descobriram um novo infostealer chamado ClickLock, que tem como alvo usuários do macOS, especialmente na Europa. Este malware utiliza engenharia social agressiva, exibindo repetidamente um prompt de login e encerrando aplicativos essenciais a cada 210 milissegundos, tornando o dispositivo praticamente inoperante. O objetivo é forçar a vítima a fornecer suas credenciais. Uma vez obtidas, o ClickLock exfiltra uma variedade de dados sensíveis, incluindo informações de navegadores, carteiras de criptomoedas, entradas de gerenciadores de senhas e configurações de FTP, utilizando a API do Telegram para enviar os dados. Desde seu surgimento em maio de 2026, o ClickLock foi detectado em 33 países, com a maioria dos casos na Europa, e inicialmente passou despercebido por soluções de segurança. Este incidente destaca a vulnerabilidade dos usuários de macOS a ataques que não requerem exploração técnica, mas sim manipulação psicológica.

Moonshot revela novo modelo de IA Kimi K3, uma ameaça para OpenAI

A Moonshot, uma empresa chinesa emergente no setor de inteligência artificial, lançou o modelo Kimi K3, que promete ser um forte concorrente para gigantes como OpenAI e Anthropic. Com impressionantes 2,8 trilhões de parâmetros, o Kimi K3 é classificado como o primeiro modelo ‘open weight’ de 3T, permitindo que qualquer usuário o execute sem custos, embora exija hardware potente. Segundo a empresa, o modelo supera a maioria dos concorrentes, exceto por Claude Fable 5 e GPT-5.6. A Moonshot destaca o Kimi K3 como ideal para tarefas de programação e raciocínio, o que representa uma ameaça significativa para os líderes de mercado, especialmente considerando que a empresa cobra preços competitivos. A introdução deste modelo levanta preocupações sobre a segurança e a ética no desenvolvimento de IA, especialmente em um contexto onde a acusação de roubo de tecnologia por parte de empresas chinesas está em pauta. O lançamento do Kimi K3 pode acelerar a competição no setor, mas também suscita questões sobre a supervisão e a regulamentação da IA, especialmente em relação à conformidade com a LGPD no Brasil.

Proxies residenciais uma nova camada na simulação de identidade

Os proxies residenciais deixaram de ser apenas ferramentas de anonimato em círculos de carding, sendo agora considerados parte de uma estrutura mais complexa de simulação de identidade. Pesquisadores da Flare analisaram 2.889 postagens em fóruns underground nos últimos dois anos, revelando que os endereços IP residenciais são essenciais, mas não mais confiáveis por si só. Os carders estão se tornando mais seletivos, buscando combinar a geografia do IP com dados de identidade roubados e utilizando navegadores antidetectores para criar identidades digitais convincentes. A pesquisa destaca que a reputação dos proxies é dinâmica e influenciada pelo uso coletivo, levando a uma divisão entre proxies ’limpos’ e ‘sujos’. Além disso, as restrições impostas por provedores de proxies estão criando um mercado secundário para IPs residenciais que possam acessar serviços financeiros. A análise sugere que, embora os proxies residenciais sejam uma parte crucial do ecossistema de carding, sua fragilidade está aumentando, exigindo que as defesas considerem o tráfego residencial como contexto, e não como prova de legitimidade.

Ernst Young notifica clientes sobre violação de dados

A Ernst & Young (EY), uma das quatro maiores empresas de auditoria e serviços profissionais do mundo, notificou seus clientes sobre uma violação de dados resultante da comprometimento de um sistema de suporte de terceiros utilizado por sua equipe de TI. A empresa informou que os tickets de suporte submetidos através dessa plataforma podem ter incluído documentos com informações fiscais de clientes. A violação foi detectada em 23 de abril, após a EY observar atividades anômalas em suas redes. Uma investigação revelou que um terceiro não autorizado acessou a plataforma entre 28 de março e 12 de abril, baixando múltiplos documentos que continham dados pessoais e financeiros. Embora a EY tenha assegurado que o acesso não autorizado foi removido e que não há indícios de uso indevido das informações, a empresa não divulgou quantos clientes foram afetados nem se a violação impactou apenas sua base de clientes nos EUA. Para mitigar os riscos, a EY está oferecendo 24 meses de monitoramento de identidade e serviços de restauração através da Experian. Até o momento, nenhum grupo de extorsão de dados ou ransomware reivindicou a responsabilidade pelo ataque.

Forças Armadas e a Infraestrutura de Informação Confiável

As forças militares dos EUA, Reino Unido e OTAN estão sob crescente pressão para implementar capacidades autônomas rapidamente. O foco agora se volta para a infraestrutura de informação confiável que permite a operação conjunta em alta velocidade. Sistemas autônomos, como aeronaves e embarcações não tripuladas, dependem de dados que precisam ser trocados de forma segura e eficiente entre plataformas e aliados. A transformação da defesa está em andamento, com investimentos significativos em capacidades autônomas e modernização. A nova fase da defesa não se limita apenas à quantidade de sistemas autônomos, mas à eficácia da troca de informações confiáveis entre eles. A construção de uma infraestrutura de informação confiável é essencial para garantir que esses sistemas operem em conjunto com confiança. A separação de hardware, uma abordagem que estabelece confiança na lógica do hardware, é uma solução que pode facilitar essa integração. A empresa Everfox se destaca ao oferecer uma plataforma que permite a troca segura de informações críticas entre sistemas, ajudando as organizações de defesa a adotar capacidades autônomas rapidamente, mantendo a interoperabilidade e a segurança necessárias para as missões modernas.

Comissão Europeia impõe novas regras para assistentes de IA no Android

A Comissão Europeia determinou que o Google deve conceder a assistentes de IA rivais acesso igualitário a recursos do Android, como câmera e microfone, até a versão Android 18, com prazo final em 1º de agosto de 2027. Essa decisão faz parte da aplicação da Lei de Mercados Digitais e visa aumentar a concorrência no setor de assistentes virtuais. Além disso, o Google deve compartilhar dados de pesquisa anonimizados com motores de busca concorrentes e chatbots de IA, sem multas envolvidas. O acesso a cinco funcionalidades do sistema operacional será restrito, exigindo certificação, enquanto outras seis estarão disponíveis para todos os aplicativos. A nova regulamentação também estabelece um programa de certificação para assistentes de IA, que deve ser gratuito e não discriminatório. O Google expressou preocupações sobre a segurança dos dispositivos, argumentando que a decisão pode comprometer a proteção dos usuários. A mudança pode impactar cerca de 60% dos usuários móveis na Europa, refletindo uma tendência crescente de regulamentação em tecnologia e proteção de dados.

Ameaça de cibersegurança hackers norte-coreanos usam esteganografia

Atuando sob a campanha Contagious Interview, hackers associados à Coreia do Norte têm utilizado esteganografia em arquivos de imagem SVG para ocultar cargas maliciosas. A campanha, que visa principalmente desenvolvedores de software, se aproveita de postagens de emprego falsas e desafios de programação para disseminar malware. Os usuários que interagem com essas postagens acabam executando um payload em quatro etapas, que inclui um ladrão de credenciais de navegador e carteiras de criptomoedas, um ladrão de arquivos, um trojan de acesso remoto baseado em Socket.IO e um ladrão de clipboard. A pesquisa da Elastic Security Labs revelou que a campanha foi identificada após ataques a membros de um workspace no Slack, onde mensagens enganosas buscavam desenvolvedores experientes. Os repositórios de código distribuídos contêm código funcional, mas também incorporam código malicioso disfarçado em imagens SVG, evitando a detecção. O malware, chamado OtterCookie, evoluiu para um programa modular capaz de roubar dados de forma abrangente, incluindo informações de carteiras de criptomoedas e extensões de ferramentas de codificação de inteligência artificial. Essa campanha destaca a vulnerabilidade dos desenvolvedores e a necessidade de proteção contra ataques direcionados que podem comprometer toda a cadeia de suprimentos.

Windows 10 ainda opera em um em cada seis PCs e isso pode ser um problema de segurança

Um estudo recente da Lansweeper revela que 16,9% dos dispositivos Windows ainda operam com o Windows 10, o que representa um em cada seis PCs. Embora o Windows 11 tenha conquistado 78,8% do mercado, a migração para a nova versão está desacelerando, o que levanta preocupações de segurança. Dispositivos com Windows 10 apresentam, em média, três vezes mais vulnerabilidades conhecidas (CVEs) ativas do que os que utilizam Windows 11. Aproximadamente dois terços dessas vulnerabilidades são classificadas como altas ou críticas, e a taxa de exploração é 1,7 vezes maior em comparação ao Windows 11. O programa de Atualizações de Segurança Estendidas (ESU) da Microsoft oferece proteção até outubro de 2027 para consumidores e até outubro de 2028 para clientes comerciais, mas a situação é alarmante, especialmente em setores como saúde, varejo e manufatura, onde 23% dos dispositivos ainda utilizam o Windows 10. A análise também indica que apenas 2,8% dos dispositivos não atendem aos requisitos de hardware do Windows 11, sugerindo que a resistência à atualização não é apenas uma questão técnica, mas também de custo e complexidade. Com o fim iminente do suporte, é crucial que as empresas considerem a atualização para evitar riscos de segurança.

CISA ordena correção de falhas críticas no Fortinet FortiSandbox

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais priorizem a correção de duas vulnerabilidades críticas no Fortinet FortiSandbox, identificadas como CVE-2026-39808 e CVE-2026-25089. Essas falhas, que permitem a execução remota de código não autorizado por atacantes não autenticados, foram corrigidas pela Fortinet em abril e junho de 2023. Apesar de a empresa não ter confirmado o uso dessas vulnerabilidades em ataques, a empresa de inteligência Defused relatou que elas estão sendo exploradas ativamente. A CISA incluiu essas falhas em seu catálogo de vulnerabilidades conhecidas e, conforme a Diretiva Operacional Vinculativa (BOD) 26-04, as agências federais dos EUA devem aplicar os patches até 19 de julho. Fortinet já enfrentou problemas semelhantes anteriormente, com outras vulnerabilidades críticas sendo exploradas em campanhas de espionagem cibernética e ataques de ransomware. A situação exige atenção imediata dos administradores de sistemas para evitar possíveis compromissos de segurança.

Homem e mulher de Nova York acusados de lavagem de dinheiro cibernético

Na quinta-feira, promotores dos EUA acusaram um homem e uma mulher de Nova York por envolvimento em uma rede criminosa que lavou dinheiro proveniente de fraudes de investimento cibernético. Zhuoying Chen, de 27 anos, e Haojie Zhang, de 38 anos, supostamente gerenciaram uma rede com mais de uma dúzia de pessoas em Queens e Brooklyn entre 2020 e 2022. Segundo a acusação, eles transferiram pelo menos 43 milhões de dólares de lucros de fraudes para contas bancárias na China, utilizando 140 contas bancárias sob cerca de 45 empresas de fachada. Os esquemas envolviam criminosos que contatavam vítimas por meio de redes sociais, criando confiança e persuadindo-as a investir em oportunidades fraudulentas. O diretor associado da Investigação de Segurança Nacional, John A. Condon, destacou que a rede operou por quase dois anos, permitindo que golpistas continuassem a prejudicar cidadãos americanos. Se condenados por conspiração para lavagem de dinheiro, Chen e Zhang podem enfrentar até 20 anos de prisão. O relatório de crimes cibernéticos do FBI de 2025 indicou que fraudes de investimento representaram 49% de todos os incidentes de golpes no ano passado, resultando em perdas de 8,6 bilhões de dólares.

Windows Server 2022 terá suporte estendido até 2031

A Microsoft anunciou que o Windows Server 2022 atingirá o fim do suporte mainstream em outubro de 2026, mas continuará recebendo atualizações de segurança por mais cinco anos, até outubro de 2031, no suporte estendido. Lançado em setembro de 2021, o Windows Server 2022 faz parte do Long-Term Servicing Channel (LTSC) e oferece um total de 10 anos de suporte. Após o fim do suporte mainstream, a Microsoft recomenda que os clientes atualizem para o Windows Server 2025, que estará disponível a partir de novembro de 2024. O Windows Server 2025 também terá um ciclo de suporte de 10 anos, com o fim do suporte programado para novembro de 2029 e suporte estendido até novembro de 2034. A Microsoft também anunciou a extensão do hotpatching do Windows Server 2022 até outubro de 2027, além de um ano adicional para o programa de Atualizações de Segurança Estendidas (ESU) do Windows 10. A empresa enfatiza a importância de planejar a atualização para garantir a proteção e o suporte contínuo dos ambientes de TI.

Exploit LegacyHive permite elevação de privilégios no Windows

Um pesquisador de segurança conhecido como Nightmare Eclipse divulgou um exploit zero-day para Windows, chamado LegacyHive, que permite a elevação de privilégios em sistemas Windows atualizados. O exploit foi publicado logo após a atualização de segurança de julho de 2026 da Microsoft e explora uma vulnerabilidade no Serviço de Perfis de Usuário do Windows, que ainda não possui um ID CVE. Diferente de exploits anteriores, o LegacyHive requer credenciais adicionais, dificultando sua utilização por atacantes. O pesquisador explica que o exploit exige credenciais de um usuário padrão e um terceiro nome de usuário, que pode ser uma conta de administrador. Se bem-sucedido, o exploit permite que usuários não administradores modifiquem o hive de registro de classes, possibilitando a execução automática de código quando a conta de administrador acessa o sistema comprometido. Especialistas em cibersegurança já começaram a desenvolver consultas para detectar a exploração do LegacyHive em plataformas de segurança como o Microsoft Defender. A Microsoft, por sua vez, alertou sobre possíveis ações legais contra atividades maliciosas, o que sugere uma resposta direta às divulgações do pesquisador.

Falha crítica no Microsoft SharePoint Server exige atenção urgente

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica no Microsoft SharePoint Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2026-58644, possui uma pontuação CVSS de 9.8 e permite que atacantes não autorizados executem código arbitrário. A vulnerabilidade pode ser explorada remotamente, com um nível de complexidade baixo, pois não requer conhecimento prévio significativo do sistema. As versões afetadas incluem o Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. A Microsoft lançou patches para corrigir a falha em 14 de julho de 2026, mas a CISA alertou que a vulnerabilidade já estava sendo explorada ativamente antes da disponibilização das correções. Além disso, a CISA destacou a necessidade de aplicar as últimas atualizações de segurança, verificar a integração do Antimalware Scan Interface (AMSI) e evitar a exposição direta dos servidores SharePoint à internet. A situação é crítica, pois envolve a possibilidade de acesso não autorizado a instâncias locais do SharePoint, o que pode resultar em roubo de dados e instalação de malware.

Malware GoSerpent ataca entidades na Ásia com espionagem cibernética

Pesquisadores de cibersegurança descobriram um malware inédito chamado GoSerpent, que tem sido utilizado em ataques cibernéticos direcionados a entidades no Sudeste Asiático desde o final de 2025. A empresa russa Kaspersky identificou a atividade em fevereiro de 2026, revelando que o malware visa principalmente entidades governamentais e diplomáticas na região. O GoSerpent é projetado para se conectar a um servidor externo e implantar cargas secundárias para coleta de dados sensíveis e extração de credenciais do sistema.

ACR Stealer Malware que rouba dados de redes corporativas

O ACR Stealer, um infostealer ativo desde 2024, tem se mostrado uma ameaça significativa para redes corporativas, conseguindo roubar senhas de navegadores, tokens de sessão, documentos do Microsoft 365 e arquivos de pastas sincronizadas do OneDrive e SharePoint. A infecção ocorre quando um usuário cola um comando na caixa de execução do Windows e pressiona Enter, um vetor que não requer exploração de vulnerabilidades. A Microsoft identificou duas cadeias de entrega do malware, sendo uma delas baseada em memória e a outra gravando arquivos no disco. Ambas as cadeias utilizam iscas de ClickFix para enganar os usuários e facilitar o roubo de credenciais e documentos sensíveis. O ataque pode ser iniciado por meio de malvertising ou resultados de busca manipulados, levando os usuários a páginas que imitam assistentes de IA. A Microsoft recomenda que as vítimas revoguem tokens e não apenas alterem senhas. O ACR Stealer, que foi rebatizado como Amatera Stealer, é associado a um ator conhecido como SheldIO, que comercializou o malware em fóruns de língua russa. A detecção e mitigação desse malware exigem ações proativas das equipes de segurança, incluindo a remoção do prompt de execução e o bloqueio de executáveis suspeitos.

Novo malware OkoBot rouba dados sensíveis e criptomoedas

Um novo framework malicioso chamado OkoBot está em operação, entregando mais de 20 tipos de payloads em ataques que visam roubar frases-semente de carteiras de criptomoedas, credenciais e outros dados sensíveis. O OkoBot atinge suas vítimas por meio de ataques ClickFix ou repositórios maliciosos no GitHub que se disfarçam como ferramentas de software legítimas. Um exemplo é um repositório que prometia o SQL Server Management Studio (SSMS), mas na verdade instalava uma versão trojanizada do Audacity. Pesquisadores da Kaspersky identificaram que a campanha OkoBot está ativa há mais de um ano e evoluiu de uma atividade anterior que utilizava um script PowerShell malicioso chamado TookPS. A nova cadeia de infecção envolve múltiplas etapas, começando com o TookPS que instala um bot SSH para entregar outros componentes maliciosos. O OkoBot coleta detalhes do sistema, desativa notificações do Windows Defender e rouba arquivos de carteiras de criptomoedas, cookies de navegadores e credenciais de contas. Entre os módulos mais notáveis estão o ext daemon/extl.exe, que injeta extensões maliciosas no Chrome, e o SeedHunter, que finge ser uma tela de recuperação de seed para roubar frases de recuperação de carteiras. A maioria das vítimas está no Brasil, seguido por países como Vietnã, Canadá e México. A campanha é global, mas apresenta características que sugerem a atuação de um ator de ameaças de língua russa.

Vulnerabilidade na extensão Claude do Chrome pode comprometer serviços

Uma falha na extensão Claude para o navegador Chrome, desenvolvida pela Anthropic, pode permitir que extensões maliciosas acionem ações de IA pré-definidas ao simular cliques de usuários. Essa vulnerabilidade foi descoberta por Ax Sharma, da Manifold Security, e se origina na forma como a extensão verifica se um usuário realmente solicitou uma de suas tarefas integradas. As extensões do Chrome têm permissão para injetar JavaScript nas páginas, o que lhes permite modificar conteúdos e gerar eventos de clique programaticamente. A extensão Claude escuta eventos de clique em elementos específicos para iniciar fluxos de trabalho que interagem com serviços como Gmail, Google Docs e Salesforce. No entanto, a Claude não valida se os cliques são de usuários reais, o que permite que uma extensão maliciosa, uma vez instalada, manipule a página e execute ações sem consentimento. Embora a falha não permita injeção arbitrária de comandos, ela pode ser explorada para abusar do acesso autenticado da Claude a serviços conectados. A Anthropic foi notificada sobre a vulnerabilidade e reconheceu a gravidade do problema, mas a falha ainda persiste na versão mais recente da extensão, lançada em 7 de julho. Essa situação destaca a necessidade de uma vigilância contínua e de testes rigorosos de segurança em extensões de navegador.

Coca-Cola enfrenta ataque de ransomware em sua subsidiária Fairlife

A Coca-Cola Company anunciou hoje que um ataque de ransomware afetou sua subsidiária Fairlife, responsável pela produção de laticínios, resultando na suspensão temporária da produção de seus produtos nos Estados Unidos. Em um comunicado à SEC, a empresa informou que a Fairlife detectou acesso não autorizado a alguns de seus sistemas, incluindo aqueles relacionados à produção. Após a detecção do problema, a Coca-Cola ativou rapidamente seus protocolos de resposta a incidentes e continuidade de negócios. A investigação sobre o impacto do ataque está em andamento, com a ajuda de consultores externos e especialistas em cibersegurança, e a empresa também notificou as autoridades policiais. Embora a qualidade e a segurança dos produtos não tenham sido comprometidas, a produção nas instalações dos EUA foi suspensa enquanto a empresa trabalha para restaurar os sistemas afetados. A produção no Canadá não foi impactada. Até o momento, não há informações sobre a possível extorsão ou se dados foram roubados durante o ataque, e nenhum grupo de ransomware reivindicou a responsabilidade pelo incidente.

Novo malware ClickLock rouba informações de usuários do macOS

Um novo malware para macOS, chamado ClickLock, foi identificado como uma ameaça significativa, projetado para roubar ativos de criptomoeda, credenciais de login e dados de gerenciadores de senhas. A análise da Group-IB revelou que o malware força os usuários a inserir suas senhas de login do sistema, utilizando engenharia social e um loop de interação forçada. O ataque começa com um comando malicioso no Terminal, que ativa uma sequência falsa de verificação de ‘humano’ da Cloudflare, enquanto oculta o cursor e desativa interrupções do teclado. Caso o usuário cancele a entrada da senha, o malware se torna persistente através de LaunchAgents, reiniciando a cada login e exibindo um diálogo de senha até que o usuário ceda. O ClickLock também coleta dados de navegadores, senhas armazenadas e informações de carteiras de criptomoedas, enviando tudo para o atacante via Telegram. A detecção do malware é dificultada por sua capacidade de se auto-excluir após a execução e por estar hospedado em domínios legítimos comprometidos. Para se proteger, os usuários devem evitar comandos desconhecidos no Terminal e, se necessário, forçar o desligamento do sistema. A Group-IB alerta que a janela de detecção é estreita, exigindo atenção redobrada dos usuários e administradores de sistemas.

Dois hackers são condenados por ataque cibernético ao TfL

O Woolwich Crown Court condenou Owen Flowers, 18 anos, e Thalha Jubair, 20 anos, a cinco anos e meio de prisão por um ataque cibernético ao Transport for London (TfL) em 2024. O ataque deixou 148 sistemas da TfL inoperáveis e forçou 27 mil funcionários a redefinirem suas senhas pessoalmente, resultando em perdas estimadas em £29 milhões. Ambos se declararam culpados sob a Seção 3ZA da Lei de Abuso de Computadores de 1990, que trata de danos significativos à segurança pública. O ataque ocorreu entre 31 de agosto e 3 de setembro de 2024, afetando serviços essenciais, incluindo o sistema de transporte que realiza cerca de 9 milhões de viagens diárias. Durante a invasão, dados pessoais de clientes, como nomes e endereços de e-mail, foram acessados. Flowers foi preso enquanto tentava atacar organizações de saúde nos EUA. A NCA considera essa a maior acusação de cibercrime já vista nos tribunais britânicos. O caso levanta preocupações sobre a segurança de infraestruturas críticas e a necessidade de medidas preventivas, especialmente em um contexto onde ataques cibernéticos estão se tornando cada vez mais comuns.

47 solicitações, zero respostas Como Proton VPN nega pedidos de dados

O Proton VPN, um dos principais serviços de VPN, divulgou seu relatório de transparência referente ao primeiro semestre de 2026, revelando que recebeu 47 solicitações legais de dados, todas negadas. A empresa, com sede na Suíça, mantém uma rigorosa política de não registro, o que significa que não armazena informações que poderiam ser entregues às autoridades. Desde 2019, Proton VPN recebeu um total de 458 pedidos, sem atender a nenhum deles. As solicitações, provenientes de autoridades suíças, buscavam identificar usuários conectados a servidores específicos em determinados horários. A política de não registro do Proton VPN garante que não há dados de navegação, consultas DNS ou metadados de conexão armazenados, impossibilitando a ligação entre um usuário e uma atividade. Além disso, o Proton VPN passou por sua quinta auditoria anual, confirmando a eficácia de sua política. No entanto, a legislação suíça pode mudar, exigindo que serviços com mais de 5.000 usuários mantenham dados por seis meses, o que pode impactar a operação da empresa no futuro.

Aumento de ataques de ransomware a entidades governamentais em 2026

Entre janeiro e junho de 2026, pesquisadores da Comparitech registraram uma média de um ataque de ransomware a entidades governamentais por dia, totalizando 187 ataques, um aumento de mais de 13% em relação ao segundo semestre de 2025. Desses, 89 ataques foram confirmados pelas entidades-alvo. O grupo de cibercriminosos conhecido como The Gentlemen se destacou, com 22 ataques confirmados, um aumento significativo em comparação ao semestre anterior. Apesar de uma queda geral de 23% nos ataques a agências governamentais dos EUA, o cenário global mostra que governos continuam sendo alvos lucrativos devido à quantidade de dados sensíveis que possuem. O valor médio do resgate caiu para $100.000, mas os ataques continuam a causar grandes interrupções e vazamentos de dados, como evidenciado pelo ataque à cidade de Suffolk, que afetou quase 158.000 pessoas. O relatório destaca a necessidade urgente de medidas de segurança robustas para proteger as informações governamentais e a infraestrutura crítica.

Microsoft interrompe atualizações para versões do Windows em 2026

A Microsoft anunciou que as edições Home e Pro do Windows 11 24H2 e o Windows 10 Enterprise LTSB 2016 deixarão de receber atualizações em 13 de outubro de 2026. Após essa data, dispositivos que utilizam essas versões não receberão mais atualizações mensais de segurança ou de pré-visualização, o que pode expor os usuários a riscos de segurança. A empresa recomenda que os usuários atualizem para o Windows 11 25H2, que já está disponível desde setembro de 2024. Para dispositivos não gerenciados por departamentos de TI, a atualização para o Windows 11 25H2 será automática, embora os usuários possam optar por adiar a instalação. A Microsoft também estendeu o programa de Atualizações de Segurança Estendidas (ESU) para o Windows 10 por mais um ano, permitindo que dispositivos inscritos continuem recebendo atualizações de segurança até 12 de outubro de 2027. A interrupção das atualizações pode impactar significativamente a segurança dos sistemas operacionais afetados, tornando essencial que os usuários e administradores de TI tomem medidas proativas para garantir a proteção de seus dispositivos.

Membros do coletivo Scattered Spider são condenados por ataque à TfL

Dois membros do coletivo de cibercrime Scattered Spider foram condenados a cinco anos e seis meses de prisão por invadir a Transport for London (TfL) em agosto de 2024. O ataque comprometeu a rede da TfL, que atende mais de 8,4 milhões de londrinos, causando interrupções em serviços essenciais como o Dial-a-Ride, cartões de viagem e pagamentos digitais. A TfL reportou perdas de £29 milhões, mas as autoridades estimaram que o impacto econômico poderia ter chegado a £56 bilhões se a rede de transporte tivesse sido totalmente paralisada. Além disso, dados de clientes, incluindo nomes e endereços, foram roubados. Os atacantes, Thalha Jubair e Owen Flowers, foram presos após investigações que revelaram que Flowers estava também hackeando empresas de saúde nos EUA. Ambos se declararam culpados sob a Lei de Uso Indevido de Computadores. O caso destaca a importância da colaboração entre organizações e autoridades para mitigar ataques cibernéticos, conforme enfatizado pelo diretor adjunto da NCA, Paul Foster.

23andMe paga US 18 milhões após violação de dados genéticos

A empresa de testes genéticos 23andMe, agora sob a Chrome Holding Co., concordou em pagar US$ 18 milhões para resolver alegações de que não protegeu adequadamente os dados genéticos de seus clientes. A violação de dados, revelada em outubro de 2023, ocorreu após ataques de ‘credential stuffing’ que passaram despercebidos por cinco meses, comprometendo informações de 6,9 milhões de clientes, incluindo dados de ancestralidade genética. A investigação liderada pela procuradora-geral de Nova York, Letitia James, revelou que a empresa carecia de medidas básicas de segurança, como autenticação multifatorial e monitoramento de intrusões. Inicialmente, a 23andMe negou a violação, atribuindo a culpa aos hábitos de senha dos clientes. O acordo inclui novas exigências de segurança, como um conselho consultivo de segurança de dados e protocolos de análise de risco. Além disso, a empresa enfrentou várias ações coletivas e, em 2025, declarou falência, levando a uma aquisição por US$ 305 milhões. O caso destaca a importância da proteção de dados sensíveis e as consequências legais de falhas de segurança.

A Nova Era da Cibersegurança Desafios com Agentes de IA

Nos últimos 20 anos, a segurança empresarial baseou-se na suposição de que o ambiente era previsível e controlável. No entanto, a introdução de agentes de inteligência artificial (IA) que operam de forma autônoma desafiou essa premissa. Esses agentes podem acessar sistemas, modificar comportamentos e até mesmo se ocultar, tornando a segurança mais complexa e dinâmica. A pesquisa da Token Security revela que mais de 20% dos agentes locais já têm acesso direto a fontes de dados de produção, o que levanta preocupações sobre a segurança.

Mais de 20 sites do governo brasileiro sequestrados para malware

Uma campanha ativa do grupo PhantomEnigma resultou no sequestro de mais de 20 sites do governo brasileiro, transformando-os em canais de entrega de malware. A investigação realizada pela ANY.RUN revelou um comportamento de backdoor não documentado anteriormente, além de conexões de infraestrutura ocultas e múltiplos vetores de ataque que colocam bancos e agências públicas em risco. Os ataques começaram com documentos falsos, como ‘Ofício Polícia Civil’ e ‘Procuração Digital’, que incluíam QR codes e links que pareciam legítimos. Os e-mails fraudulentos, enviados de caixas de correio comprometidas, passaram por verificações de segurança, como SPF, DKIM e DMARC, aumentando sua aparência de legitimidade. Os sistemas governamentais foram usados como infraestrutura confiável para a entrega do malware, sem serem os alvos finais. A evolução da campanha incluiu a transição de atividades focadas em bancos para o uso de sites .gov.br comprometidos, dificultando a detecção. O malware, um backdoor modular, pode coletar dados do sistema, estabelecer persistência e entregar diferentes cargas úteis, tornando a contenção mais desafiadora. Este incidente destaca a necessidade de vigilância contínua e de um protocolo seguro para relatar mensagens suspeitas, especialmente em setores críticos como o financeiro e o público.

ClickLock Stealer Novo malware para macOS força usuários a entregar senhas

O ClickLock Stealer é um novo infostealer direcionado a sistemas macOS, que utiliza táticas de coerção para forçar as vítimas a fornecer suas senhas de login. O malware é introduzido através de um comando colado no Terminal, que solicita a senha em um falso diálogo de sistema. Caso a vítima cancele a operação, o malware instala dois LaunchAgents que iniciam um ciclo de encerramento de aplicativos a cada 210 milissegundos, por até 83 horas, mantendo uma caixa de senha visível na tela. Ao digitar a senha, o invasor obtém acesso ao Keychain, credenciais de navegadores e carteiras de criptomoedas.

Malware TELEPUZ se espalha por ataques ClickFix desde abril de 2026

Pesquisadores de cibersegurança alertaram sobre um novo malware modular chamado TELEPUZ, que tem se disseminado através de sites infectados com iscas ClickFix desde o final de abril de 2026. O TELEPUZ é descrito como leve e repleto de funcionalidades, com um desenvolvimento ativo, evidenciado pelo volume diário de uploads no VirusTotal. Este malware utiliza uma técnica chamada ‘clipboard hijacking’, injetando comandos maliciosos no clipboard da vítima, que são executados quando o usuário os cola. O ataque envolve a execução de PowerShell para baixar um payload secundário, que é uma variante do Vidar Stealer, conhecido por roubar dados sensíveis. O TELEPUZ, escrito em C, incorpora diversas técnicas de ofuscação para dificultar a análise e realiza verificações para evitar ambientes de sandbox e virtualizados. Após passar por essas verificações, o malware tenta desativar a monitorização de segurança e se registrar como um serviço no Windows. Além disso, estabelece comunicação com servidores de comando e controle (C2) para receber instruções maliciosas, permitindo uma ampla gama de ações, como captura de teclas e injeção de código em navegadores. A identificação de servidores C2 comprometidos em países como Brasil e Índia destaca a gravidade da ameaça.

Falha de segurança no n8n permite login indevido em contas

O n8n, uma plataforma de automação de fluxos de trabalho, enfrentou uma vulnerabilidade crítica que permitia o login indevido em contas de usuários. A falha, identificada como CVE-2026-59208, ocorreu em instâncias Enterprise configuradas para confiar em mais de um emissor de tokens externos. O problema estava na forma como o sistema validava os tokens JWT, utilizando apenas a reivindicação ‘sub’ e ignorando a ‘iss’, o que permitia que um token válido de um emissor diferente logasse um usuário como se fosse outro. A correção foi lançada em 24 de junho de 2026, mas a vulnerabilidade só foi divulgada publicamente em 9 de julho. O impacto é limitado a configurações específicas de parceiros OEM que utilizam a troca de tokens, mas a falta de clareza sobre como um atacante poderia obter um token válido levanta preocupações. O CVSS 4.0 atribuiu uma pontuação de 7.6, indicando um risco alto, enquanto a NVD avaliou a falha como média, com uma pontuação de 6.8. O n8n recomenda que os usuários atualizem para as versões 2.27.4 ou 2.28.1 ou limitem a lista de emissores confiáveis para mitigar o risco.

Pacotes maliciosos e ransomware novos riscos em cibersegurança

Recentemente, pesquisadores de cibersegurança identificaram uma série de ameaças que destacam a vulnerabilidade de sistemas e usuários. Um grupo de 11 pacotes NuGet maliciosos, disfarçados como ferramentas de jogos, foi descoberto. Esses pacotes atuam como baixadores de um payload Python que coleta dados e envia informações para chats do Telegram. Além disso, um adversário russo, conhecido como UAT-11795, tem utilizado instaladores trojanizados para implantar o Starland RAT e um agente de comando e controle (C2) chamado WLDR, visando roubar credenciais e informações de carteiras de criptomoedas. Outro incidente alarmante envolve o ransomware Spirals, que criptografa redes em menos de 24 horas após a invasão, utilizando um servidor web IIS comprometido para obter acesso inicial. A CISA também adicionou novas vulnerabilidades ao seu catálogo de Exploits Conhecidos, exigindo que agências federais apliquem correções rapidamente. Por fim, autoridades na Europa desmantelaram redes de fraudes em criptomoedas, destacando a crescente complexidade e sofisticação das ameaças cibernéticas.

Grupo russo UAT-11795 utiliza software trojanizado para roubo de dados

Um ator de ameaça russo, identificado como UAT-11795, está utilizando um novo backdoor chamado Starland RAT para roubar credenciais e criptomoedas. As investigações indicam que os ataques começaram em junho de 2025, com foco principal em usuários nos Estados Unidos, embora também tenham sido registrados casos na Alemanha, Romênia e Venezuela. O método de ataque envolve a distribuição de instaladores trojanizados de softwares legítimos, como MobaXterm e Zoom, possivelmente utilizando o método ClickFix para empurrar os arquivos maliciosos.

CISA ordena proteção contra vulnerabilidade crítica no Oracle EBS

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam seus sistemas contra ataques que exploram uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). A falha, identificada como CVE-2026-46817, foi descoberta no componente de Transmissão de Arquivos do produto Oracle Payments e permite que atacantes não autenticados assumam o controle de sistemas vulneráveis com ataques de baixa complexidade. A Oracle já lançou atualizações de segurança em maio de 2026 e recomenda que seus clientes apliquem os patches imediatamente. Embora a Oracle não tenha confirmado a exploração da vulnerabilidade em ambientes reais, a empresa de inteligência Defused relatou que ataques começaram a ocorrer. A CISA também confirmou que hackers estão explorando ativamente essa vulnerabilidade, que foi adicionada à lista de falhas de segurança conhecidas e exploradas. A agência enfatiza que esse tipo de vulnerabilidade representa vetores de ataque frequentes para atores maliciosos e apresenta riscos significativos para a segurança das agências governamentais. A situação é crítica, e a CISA ordenou que as agências federais realizem a correção até o dia 18 de julho.

Zoom lança atualizações de segurança para falha crítica no Windows

A Zoom Video Communications divulgou atualizações de segurança para uma falha crítica que afeta o Zoom Workplace para Windows, potencialmente permitindo a tomada de controle de contas. A vulnerabilidade, identificada como CVE-2026-53412, possui uma pontuação CVSS de 9.8, indicando seu alto risco. Ela impacta o Zoom Desktop Client, o Zoom VDI Client e o Zoom Meeting SDK para Windows, permitindo que um usuário não autenticado realize a tomada de controle de contas através do acesso à rede. Além disso, três outras falhas de alta gravidade foram corrigidas: CVE-2026-53411, CVE-2026-53410 e CVE-2026-53409, que envolvem validação inadequada de entrada e gerenciamento de privilégios. Embora não haja evidências de exploração ativa dessas vulnerabilidades, a Zoom recomenda que os usuários apliquem as atualizações para garantir a segurança de suas contas. As versões afetadas incluem várias do Zoom Workplace e Zoom Rooms, e a empresa enfatiza a importância de manter os softwares atualizados para evitar riscos de segurança.

OpenAI apresenta GPT-Red para combater vulnerabilidades em LLMs

A OpenAI revelou o GPT-Red, um modelo interno de red-teaming automatizado que visa identificar vulnerabilidades de injeção de prompt em modelos de linguagem antes de sua ampla implementação. O GPT-Red simula o trabalho de um red-teamer humano, enviando prompts e monitorando as respostas dos modelos GPT, com o objetivo de descobrir falhas que poderiam ser exploradas maliciosamente. A empresa destacou que seus modelos anteriores eram suscetíveis a ataques de injeção de prompt, e o GPT-Red foi desenvolvido para treinar adversarialmente o GPT-5.6, tornando-o mais robusto contra esses ataques. O modelo é capaz de executar uma variedade de ataques, como exfiltração de dados sensíveis e desativação de autenticação de dois fatores. A OpenAI também enfatizou que o GPT-Red é mantido separado de outros modelos para evitar que suas capacidades maliciosas sejam acessadas por agentes mal-intencionados. Em testes práticos, o GPT-Red demonstrou eficácia em comprometer sistemas, como uma máquina de vendas automatizada e um agente de linha de comando Codex, superando a taxa de sucesso de red-teamers humanos em vários cenários. Com a evolução contínua das defesas, o GPT-Red também se adapta, buscando novas formas de ataque para contornar as proteções implementadas.

Vulnerabilidade em aspiradores Shark permite controle remoto indevido

Um pesquisador identificado como tokay0 revelou uma vulnerabilidade crítica em aspiradores de pó robóticos Shark RV2320EDUS, que permite que atacantes executem comandos remotos em outros dispositivos da mesma região da AWS. A falha reside na política de certificados, que não está restrita ao dispositivo específico, permitindo que qualquer um que tenha acesso ao certificado possa controlar o aspirador, acessar câmeras, ler mapas da casa e obter senhas de Wi-Fi em texto simples. Apesar de ter notificado a SharkNinja sobre a vulnerabilidade em março, a empresa ainda não lançou um patch ou um aviso oficial sobre a falha. O pesquisador observou mais de 1,5 milhão de números de série únicos de aspiradores Shark, com cerca de 44% deles respondendo a comandos, indicando que são vulneráveis. A correção da falha não depende do usuário, mas sim de uma atualização na conta da AWS da SharkNinja. Até que isso ocorra, a única mitigação disponível para os proprietários é desconectar os dispositivos da rede Wi-Fi, revertendo-os ao modo manual.

A Inteligência Artificial e a Segurança Ofensiva Desafios e Oportunidades

A inteligência artificial (IA) está transformando a segurança ofensiva, mas a qualidade das descobertas continua sendo crucial. Ferramentas assistidas por IA podem acelerar a leitura de códigos, gerar payloads e realizar testes repetitivos rapidamente, oferecendo vantagens significativas para as equipes de segurança. No entanto, a produção de relatórios gerados por IA, muitas vezes superficiais e com evidências fracas, tem gerado um aumento na carga de triagem para programas de recompensas por bugs. A distinção entre um relatório que parece vulnerável e uma vulnerabilidade real é fundamental. A validação das descobertas ainda depende do conhecimento profundo dos sistemas e da capacidade de demonstrar a exploração e o impacto real de uma falha. A dependência excessiva de ferramentas de IA pode levar à perda de habilidades críticas entre os profissionais de segurança, uma vez que a prática e a experiência são essenciais para a eficácia na identificação de vulnerabilidades. Portanto, a segurança ofensiva do futuro pertencerá a aqueles que conseguem provar a existência e a gravidade das falhas, e não apenas a quem gera o maior número de relatórios.

Governo australiano orienta descarte de roteadores, gerando riscos de segurança

O governo australiano, através da Comissão Australiana de Concorrência e Consumidor (ACCC), ordenou o descarte de cerca de 4.000 roteadores SamKnows SK-WB8, utilizados para medir a velocidade da banda larga no país. Esses dispositivos, que foram desativados remotamente em 30 de junho de 2026, correm o risco de serem descartados sem a devida limpeza de dados, o que pode levar a violações de segurança digital. Especialistas alertam que, embora os roteadores estejam ‘bricked’ para acesso à internet, eles ainda podem ser reutilizados com firmware alternativo, como o OpenWRT, o que torna a destruição dos dispositivos questionável. A ACCC incentivou os usuários a descartar os roteadores de maneira ambientalmente responsável, mas não forneceu explicações claras sobre o motivo do descarte de equipamentos que ainda podem ser utilizados. A situação levanta preocupações sobre o aumento de resíduos eletrônicos e a segurança dos dados que podem permanecer nos dispositivos se não forem devidamente resetados antes do descarte.

Polícia Holandesa desmantela esquema internacional de fraude financeira

A Polícia Holandesa anunciou a prisão de vários indivíduos suspeitos de integrar um esquema internacional de fraude de investimento, que teria causado prejuízos a dezenas de milhares de vítimas. O grupo operava 20 call centers, com mais de 700 pessoas se passando por consultores financeiros, e chegou a arrecadar mais de 100 milhões de euros por mês. O principal suspeito, um israelense-polaco de 46 anos, foi preso na Polônia e extraditado para a Holanda, onde aguarda julgamento. As investigações revelaram que os fraudadores construíam confiança com as vítimas ao longo do tempo, apresentando plataformas de investimento que mostravam lucros fictícios. Os criminosos persuadiam as vítimas a aumentar seus investimentos, geralmente por meio de transferências de criptomoedas, enquanto mantinham um painel falso de lucros. As autoridades holandesas ligaram pelo menos 550 denúncias de fraude a essa organização criminosa, que operou desde 2021 e utilizou pseudônimos e técnicas para ocultar suas identidades. A polícia acredita que o número de vítimas pode ser muito maior, com perdas médias superiores a 10 mil euros por pessoa.

A Evolução da Segurança em Nuvem Desafios e Soluções Modernas

Nos últimos anos, a segurança de redes corporativas enfrentou desafios significativos devido à mudança dos fluxos de trabalho para aplicações SaaS e ferramentas de inteligência artificial (IA). O modelo tradicional de SASE (Secure Access Service Edge) não conseguiu acompanhar essa evolução, pois depende da inspeção de tráfego em proxies na nuvem, que se tornaram ineficazes com a adoção de protocolos modernos como TLS 1.3 e HTTP/3. Esses protocolos dificultam a interceptação de dados, levando as equipes de segurança a criar listas de exceções que comprometem a segurança geral da rede.