Pacotes maliciosos do AsyncAPI comprometem o npm em ataque supply-chain

Recentemente, cinco versões maliciosas de pacotes AsyncAPI foram publicadas no Node Package Manager (npm) em um ataque de supply-chain, resultando na distribuição de um trojan com capacidades de roubo de informações. O ataque ocorreu devido a uma configuração inadequada do fluxo de trabalho do GitHub Actions, permitindo que o invasor injetasse pacotes trojanizados na namespace @asyncapi, que acumulou mais de 2,25 milhões de downloads semanais. Em 14 de julho, o invasor comprometeu dois repositórios do GitHub do AsyncAPI e injetou malware nos arquivos do projeto. Os pacotes maliciosos incluíam versões do @asyncapi/generator e @asyncapi/specs, entre outros. O malware, uma estrutura de 92.000 linhas, estabelece persistência no sistema e se comunica com servidores de comando e controle por diversos canais. Embora algumas funções de coleta de dados não estejam operacionais, o malware pode ser executado manualmente. Todos os pacotes maliciosos foram removidos do npm, mas instalações existentes podem ainda conter as versões comprometidas. A janela de exposição durou cerca de quatro horas, e recomenda-se que os desenvolvedores regenerem arquivos de bloqueio e removam o payload oculto.

A Lacuna de Aprovação Riscos Ocultos em Tags de Marketing

Um único código de marketing aprovado pode carregar scripts de terceiros que nunca foram avaliados pela equipe de segurança, permitindo acesso total a dados sensíveis. Este fenômeno, chamado de Lacuna de Aprovação, ocorre quando um fornecedor aprovado carrega outro, que por sua vez pode carregar mais scripts, resultando em códigos de quarto nível que não foram verificados. A situação é preocupante, pois esses scripts têm acesso às mesmas informações que o código desenvolvido internamente. O webinar apresentado por Idan Cohen, da Reflectiz, e Omri Ariav, da Taboola, discute a importância de monitorar continuamente esses códigos, uma vez que a aprovação inicial não é suficiente. Eles sugerem cinco perguntas essenciais que as equipes de segurança devem fazer aos fornecedores de marketing para mitigar riscos. Além disso, a rápida evolução da tecnologia de anúncios impulsionada por inteligência artificial está ampliando a superfície de ataque, tornando a visibilidade contínua ainda mais crucial. O relatório da Reflectiz de 2026 indica que 53% das exposições de risco no varejo estão ligadas ao uso excessivo de ferramentas de rastreamento, destacando a necessidade de uma abordagem mais integrada entre as equipes de marketing e segurança.

Vulnerabilidade no Windows permite elevação de privilégios

O pesquisador de segurança Chaotic Eclipse, conhecido como Nightmare-Eclipse, divulgou um novo exploit chamado LegacyHive, que explora uma vulnerabilidade no Windows User Profile Service (ProfSvc). Essa falha permite a elevação de privilégios através do carregamento arbitrário de hives de perfil de usuário. O exploit, que requer credenciais de um usuário padrão e um terceiro nome de usuário (que pode ser um administrador), é funcional em todas as versões de desktop e servidor do Windows, incluindo as atualizações mais recentes de julho de 2026. O pesquisador destacou que a versão pública do exploit foi simplificada para evitar exploração generalizada, mas a vulnerabilidade original não exigia credenciais adicionais e poderia carregar qualquer hive. Além disso, a Microsoft está enfrentando uma série de vulnerabilidades ativas em seus produtos, incluindo falhas no SharePoint Server e no Microsoft Defender, que foram adicionadas ao catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV) da CISA. A situação é preocupante, pois as falhas podem permitir acesso não autorizado e execução remota de código, exigindo atenção imediata das equipes de segurança.

Mozilla e Google corrigem falhas críticas em navegadores

A Mozilla lançou atualizações para corrigir duas falhas críticas no Firefox, identificadas como CVE-2026-15718 e CVE-2026-15719, que envolvem um ponteiro inválido no componente JavaScript: WebAssembly e problemas de isolamento de sites no componente DOM: Navegação. Embora o código de exploração tenha sido publicado, a Mozilla não tem conhecimento de ataques ativos explorando essas vulnerabilidades. As correções estão disponíveis na versão 152.0.6 do Firefox.

Simultaneamente, o Google corrigiu 15 falhas de segurança no Chrome, incluindo duas vulnerabilidades críticas de uso após a liberação (CVE-2026-15764 e CVE-2026-15765) que poderiam permitir a um atacante remoto explorar a corrupção de heap através de uma página HTML manipulada. As atualizações estão disponíveis nas versões 150.0.7871.124 e 150.0.7871.125 para Windows, Mac e Linux.

Malware OkoBot visa usuários de carteiras de hardware no Brasil

O malware OkoBot, ativo desde abril de 2025, tem como alvo usuários de carteiras de hardware, como Trezor e Ledger, roubando suas frases de recuperação. O módulo SeedHunter, parte do OkoBot, injeta código malicioso no software legítimo das carteiras, criando uma página de phishing que solicita a frase de recuperação assim que o dispositivo é conectado. A Kaspersky identificou centenas de vítimas em mais de 25 países, com o Brasil sendo o mais afetado. O malware possui mais de 20 cargas úteis e continua ativo, explorando vulnerabilidades em sistemas Windows. Além disso, o OkoBot utiliza métodos sofisticados, como um downloader em PowerShell que se conecta a servidores controlados por atacantes, permitindo o roubo de credenciais e dados sensíveis. A situação é crítica, pois não há correções disponíveis para as vulnerabilidades exploradas, e a proteção depende da vigilância dos usuários e da segurança dos endpoints.

Acusações contra russos por serviços de hospedagem para ransomware

Promotores federais dos EUA apresentaram acusações contra três cidadãos russos, alegando que eles forneceram serviços de hospedagem à prova de balas (BPH) para gangues de ransomware, resultando em mais de 62 milhões de dólares em danos a vítimas em todo o mundo. Os provedores de BPH, como Media Land e ML.Cloud, alugam servidores que dificultam esforços de interrupção de suas atividades maliciosas, incluindo entrega de malware e ataques de phishing. Os acusados são Aleksandr Volosovik, proprietário da Media Land, Yulia Pankova, que gerenciava questões legais e financeiras da ML.Cloud, e Kirill Zatolokin, responsável por coletar pagamentos. O Departamento de Estado dos EUA também ofereceu uma recompensa de até 10 milhões de dólares por informações sobre esses indivíduos e suas atividades cibernéticas. Além disso, os três foram sancionados anteriormente pelos EUA, Reino Unido e Austrália por fornecer infraestrutura de ataque a operações de ransomware, como Lockbit e Play. As sanções visam combater a crescente ameaça de cibercrimes que afetam diversas instituições, incluindo bancos e hospitais, em todo o território americano.

Microsoft bloqueia atualizações de segurança do Windows 11 em dispositivos Dell

A Microsoft anunciou que está bloqueando as atualizações de segurança do Windows 11 deste mês para alguns dispositivos Dell, devido a problemas de desligamento inesperado e desempenho insatisfatório. O problema foi identificado após a instalação da atualização cumulativa KB5101650, lançada em 23 de junho de 2026, que causou um conflito entre a nova interface do Gerenciador de Conexão USB-C do Windows e o driver Intel Innovation Platform Framework (IPF) Processor Participant. Essa incompatibilidade resulta em um ícone de exclamação amarelo no Gerenciador de Dispositivos, indicando potenciais falhas de desempenho, aumento de temperatura e drenagem da bateria. A Microsoft está colaborando com a Dell para resolver a situação e planeja lançar uma correção em breve. Além disso, a empresa já havia abordado outros problemas recentes, como falhas no Copilot Chat e na funcionalidade de GIFs no painel de emojis. A situação destaca a importância de monitorar atualizações e a necessidade de testes rigorosos antes da implementação de novas versões do sistema operacional.

CISA alerta sobre vulnerabilidades ativas no SharePoint Server

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração ativa de três vulnerabilidades no SharePoint Server, que afetam todas as versões suportadas do software, incluindo a Subscription Edition. As falhas, identificadas como CVE-2026-32201, CVE-2026-45659 e CVE-2026-56164, permitem que atacantes contornem a autenticação e executem código remotamente, possibilitando atividades de pós-exploração, como o roubo de chaves de máquina do Internet Information Services (IIS) e a instalação de malware. Além disso, a CISA destacou outras duas vulnerabilidades (CVE-2026-55040 e CVE-2026-58644) que foram corrigidas pela Microsoft, mas que ainda não foram exploradas ativamente. A CISA recomenda que as equipes de segurança monitorem de perto os servidores afetados e apliquem os patches mais recentes da Microsoft, além de implementar medidas adicionais de segurança, como restringir o acesso externo e usar proxies reversos. Desde novembro de 2021, a CISA identificou 11 vulnerabilidades no SharePoint que foram exploradas em ataques, incluindo ataques de ransomware.

SonicWall alerta sobre exploração ativa de vulnerabilidades críticas

A SonicWall emitiu um alerta sobre a exploração ativa de duas vulnerabilidades zero-day que afetam os dispositivos da série Secure Mobile Access (SMA) 1000. A primeira, identificada como CVE-2026-15409, possui um CVSS de 10.0 e é uma vulnerabilidade de Server-side request forgery (SSRF), permitindo que um atacante remoto não autenticado faça com que o dispositivo realize requisições para locais não intencionais. A segunda, CVE-2026-15410, com um CVSS de 7.2, é uma vulnerabilidade de injeção de código pós-autenticação na Console de Gerenciamento do Aparelho (AMC), que pode ser explorada por um atacante remoto autenticado para executar comandos do sistema operacional como administrador. A SonicWall recomenda que os clientes apliquem as correções disponíveis nas versões 12.4.3-03453 e 12.5.0-02835 ou superiores. Além disso, a empresa sugere uma análise forense detalhada do sistema para identificar indicadores de comprometimento (IoCs). A CISA dos EUA adicionou essas falhas ao seu catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV), exigindo que agências federais apliquem as correções até 17 de julho de 2026.

Pacotes npm comprometidos distribuem loader de botnet multiestágio

Quatro pacotes npm na namespace @asyncapi foram comprometidos e estão distribuindo um loader de botnet multiestágio, conforme relatado por OX Security, SafeDep, Socket e StepSecurity. Os pacotes afetados incluem @asyncapi/generator-helpers@1.1.1, @asyncapi/generator-components@0.7.1, @asyncapi/generator@3.3.1 e @asyncapi/specs (v6.11.2, v6.11.2-alpha.1). O ataque utiliza um payload ofuscado que baixa um segundo payload criptografado, identificado como Miasma, a partir do IPFS. O código malicioso é executado quando o módulo infectado é carregado pelo Node.js, ativando um processo em segundo plano que baixa e executa o malware. O loader, chamado ‘sync.js’, contém um framework de tarefas e um grande blob criptografado. O Miasma permite roubo de credenciais, contaminação de ferramentas de IA e propagação em repositórios como npm e PyPI. Além disso, possui mecanismos de persistência e um ‘dead man’s switch’ que apaga diretórios se um token roubado for revogado. Os pacotes maliciosos foram removidos do registro npm, mas qualquer endpoint que os utilizou deve ser considerado potencialmente comprometido.

Vulnerabilidade no Cursor permite execução de código arbitrário

Um grave problema de segurança foi identificado no Cursor, uma ferramenta de desenvolvimento, que permite a execução de código arbitrário ao abrir um repositório no Windows. Se um arquivo chamado git.exe estiver presente na raiz do projeto, o Cursor o executa automaticamente, sem qualquer aviso ou solicitação de confirmação. Isso significa que um atacante pode inserir um binário malicioso em um repositório, e ao clonar e abrir esse repositório, o código será executado com as permissões do usuário. A empresa de segurança Mindgard reportou essa falha em dezembro de 2025, mas até agora não houve um patch ou aviso oficial da Cursor. A situação é preocupante, pois a vulnerabilidade persiste nas versões mais recentes do software. Para mitigar o risco, recomenda-se o uso de regras de bloqueio no AppLocker ou Windows App Control, além de abrir repositórios não confiáveis em ambientes virtuais descartáveis. A falta de resposta adequada da Cursor e a ausência de um CVE atribuído à falha levantam questões sobre a segurança e a responsabilidade na gestão de vulnerabilidades em ferramentas amplamente utilizadas por desenvolvedores.

Atualizações de Segurança da Microsoft em Julho de 2026

Em julho de 2026, a Microsoft lançou um Patch Tuesday histórico, abordando 570 vulnerabilidades, incluindo duas falhas zero-day ativamente exploradas e uma divulgada publicamente. Dentre as 59 vulnerabilidades classificadas como ‘Críticas’, destacam-se 48 relacionadas à execução remota de código e 9 de elevação de privilégios. As falhas zero-day corrigidas incluem uma vulnerabilidade no Active Directory Federation Services, que permite a elevação de privilégios, e uma no SharePoint Server, que possibilita que atacantes remotos ganhem privilégios elevados. A vulnerabilidade divulgada publicamente refere-se ao BitLocker, que pode permitir o acesso a dados criptografados. A Microsoft também anunciou um aumento nas atualizações de segurança, impulsionado por um sistema de descoberta de vulnerabilidades baseado em IA. É importante que as organizações atualizem seus sistemas imediatamente para mitigar os riscos associados a essas falhas, especialmente considerando o impacto potencial em conformidade com a LGPD.

Atualização de segurança do Windows 10 é estendida até 2027

A Microsoft lançou a atualização de segurança KB5099539 para o Windows 10, que inclui correções para 570 vulnerabilidades, sendo duas delas exploradas ativamente e uma divulgada publicamente como zero-day. Inicialmente, a empresa oferecia um ano de atualizações de segurança estendidas, mas recentemente ampliou esse prazo até 12 de outubro de 2027 para dispositivos inscritos no programa de Atualizações de Segurança Estendidas (ESU). A atualização não traz novas funcionalidades, mas foca em correções de segurança e bugs, como problemas de compatibilidade no OLE Automation e falhas no File Explorer. Além disso, a atualização melhora a segurança do Remote Desktop Protocol (RDP) ao adicionar suporte para impressões digitais de certificados SHA-2, enquanto mantém a compatibilidade com SHA-1. A Microsoft alerta que mudanças na segurança podem afetar aplicações legadas que dependem de transportes TDI não registrados. Os usuários são aconselhados a verificar os logs do sistema para identificar se suas aplicações são impactadas. A atualização é crucial para manter a segurança dos sistemas operacionais, especialmente em um cenário onde ataques cibernéticos estão em ascensão.

Campanha de malware se disfarça em repositórios falsos do GitHub

Um ator de ameaças publicou centenas de repositórios falsos no GitHub, imitando projetos legítimos de software e segurança, com o objetivo de distribuir malware do tipo infostealer. A campanha atraiu tráfego de resultados de busca relacionados a produtos de segurança, serviços de criptomoedas, ferramentas financeiras e utilitários para desenvolvedores. O malware é capaz de coletar dados de mais de 19 navegadores, roubar informações de 32 carteiras de criptomoedas e extrair detalhes sensíveis de aplicativos de mensagens e redes sociais. A empresa de cibersegurança ArcticWolf identificou a atividade após descobrir que um de seus produtos estava sendo imitado desde 26 de junho. No total, foram encontrados 292 repositórios falsos, cada um contendo um arquivo README com um link de download que direcionava os visitantes para uma página maliciosa. Essa página apresentava uma interface projetada para inspirar confiança, incluindo botões de download e selos de autenticidade falsificados. O malware, uma variante da família BoryptGrab, coleta uma ampla gama de dados, incluindo senhas, informações de pagamento e tokens de sessão de aplicativos populares. Embora o GitHub tenha removido muitos dos repositórios maliciosos, ainda existem redirecionadores ativos. A ArcticWolf alerta que a campanha depende da confiança dos usuários em downloads gratuitos de ferramentas premium e recomenda cautela ao interagir com páginas não oficiais do GitHub.

Polícia Espanhola desmantela organização de cibercrime e lavagem de dinheiro

A Polícia Espanhola desmantelou uma organização de cibercrime e lavagem de dinheiro que gerou €140 milhões (cerca de $160 milhões) por meio de fraudes de investimento e ataques de comprometimento de e-mail empresarial (BEC). A operação resultou na prisão de quatro indivíduos em Espanha, Portugal e Panamá. Os suspeitos gerenciaram uma rede de mais de 800 contas bancárias, recebendo grandes quantias de dinheiro ilícito de várias vítimas. Os fundos eram rapidamente dispersos e ocultados através de uma rede de contas, dificultando a rastreabilidade e permitindo a lavagem do dinheiro. A investigação revelou que €94 milhões foram canalizados através dessa rede, com outros €61 milhões relacionados a operações de BEC. A polícia identificou o uso de táticas de engenharia social, como a falsificação de executivos de alto escalão para desviar pagamentos. A operação incluiu buscas em seis locais e a apreensão de 15 computadores e mais de 170 smartphones, além do congelamento de €3 milhões em ativos. A polícia acredita que a rede de lavagem de dinheiro foi efetivamente desmantelada.

SonicWall alerta sobre vulnerabilidades críticas em SMA1000

A SonicWall emitiu um alerta sobre a exploração ativa de duas vulnerabilidades críticas em seus dispositivos SMA1000, identificadas como CVE-2026-15409 e CVE-2026-15410. A primeira é uma falha de solicitação forjada do lado do servidor (SSRF) com uma pontuação CVSS de 10.0, permitindo que atacantes remotos não autenticados forcem o dispositivo a fazer requisições para locais indesejados. A segunda, com uma pontuação CVSS de 7.2, é uma falha de injeção de código pós-autenticação que pode permitir que administradores autenticados executem comandos arbitrários no sistema operacional. Ambas as vulnerabilidades estão sendo ativamente exploradas, e a SonicWall recomenda que os clientes atualizem para as versões de correção disponíveis. As falhas afetam modelos SMA1000, incluindo 6210, 7210 e 8200v, e não impactam a linha de produtos SSL-VPN da empresa. A CISA dos EUA adicionou essas vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploitadas (KEV), reforçando a urgência da situação. A SonicWall também forneceu indicadores de comprometimento (IOCs) para ajudar os administradores a identificar possíveis invasões em seus sistemas.

Pesquisadores identificam novo trojan de acesso remoto baseado em Rust

Pesquisadores de cibersegurança alertaram sobre um novo trojan de acesso remoto (RAT) chamado LabubaRAT, que utiliza a linguagem de programação Rust e se disfarça como software da NVIDIA para se infiltrar em ambientes-alvo. O LabubaRAT permite que os atacantes mantenham um ponto de acesso reutilizável, realizando diversas atividades, como perfilamento do host, identificação de ferramentas de segurança, execução de comandos, movimentação de arquivos e captura de telas. O malware se comunica por meio de múltiplos métodos, incluindo HTTPS e DNS tunneling, o que dificulta sua detecção e remoção. O ataque começa com um executável chamado ’nvidia-sysruntime.exe’, que aceita configurações em tempo de execução, permitindo que os operadores definam parâmetros críticos para a comunicação com o servidor remoto. O LabubaRAT também realiza operações de descoberta para identificar navegadores e produtos de segurança instalados, preparando o ambiente para suas funções. Com uma ampla gama de capacidades, o malware oferece controle significativo ao operador, permitindo interações diretas com o sistema comprometido. A estrutura do LabubaRAT sugere que ele pode ser oferecido como um serviço de malware (MaaS), aumentando sua acessibilidade para cibercriminosos.

Vulnerabilidades no Claude para Chrome expõem dados de usuários

Um novo relatório de segurança revelou vulnerabilidades críticas na extensão Claude para Chrome, que podem permitir que extensões maliciosas acessem dados pessoais de usuários, como e-mails e documentos do Google. A falha, identificada como ‘forged click’, permite que um script malicioso simule cliques legítimos, contornando a necessidade de autorização do usuário. Embora a Anthropic tenha implementado algumas restrições após a descoberta da vulnerabilidade ClaudeBleed, a Manifold Security confirmou que a versão atual (v1.0.80) ainda apresenta riscos significativos. A extensão, que é amplamente utilizada por assinantes do Claude, pode ser manipulada para executar tarefas sem o consentimento do usuário, especialmente se a opção ‘Act without asking’ estiver ativada. A situação é agravada por uma segunda vulnerabilidade que pode ser explorada no futuro, caso uma falha permita que parâmetros de URL sejam manipulados. A Manifold classificou a gravidade da falha como CVSS 7.7 em modo padrão e 9.6 em modo automático. Até o momento, não há correções disponíveis, e a Anthropic não se manifestou publicamente sobre as descobertas.

SAP lança atualizações para corrigir vulnerabilidades críticas

A SAP divulgou atualizações em julho de 2026 para corrigir várias vulnerabilidades, incluindo uma falha crítica no SAP NetWeaver Application Server ABAP, identificada como CVE-2026-44747, com uma pontuação CVSS de 9.9. Essa vulnerabilidade permite que um atacante autenticado explore erros lógicos na gestão de memória, resultando em corrupção de memória que pode levar ao acesso não autorizado a dados, modificação ou indisponibilidade do sistema. Como solução temporária, a SAP recomenda desabilitar todos os nós ICF com uma propriedade específica, embora isso não seja viável para todos os clientes. Além disso, duas outras vulnerabilidades críticas foram abordadas: CVE-2026-27690, que permite ataques de desincronização de requisições HTTP em ambientes não-Cloud Foundry, e CVE-2026-44761, que envolve o uso de credenciais padrão no SAP Commerce Cloud, permitindo que atacantes não autenticados obtenham tokens de acesso válidos. A SAP aconselha os clientes a auditar seus ambientes de produção e remover quaisquer clientes OAuth 2.0 afetados. Embora não haja evidências de exploração ativa, a aplicação das atualizações é fortemente recomendada para garantir a proteção adequada.

Microsoft lança maior atualização de segurança da história

A Microsoft lançou sua maior atualização de segurança até hoje, abordando 622 vulnerabilidades, incluindo duas falhas críticas que estão sendo ativamente exploradas: CVE-2026-56164, no SharePoint Server, e CVE-2026-56155, nos Serviços de Federação do Active Directory. Ambas permitem a elevação de privilégios, com a primeira permitindo que atacantes não autenticados escalem privilégios remotamente, enquanto a segunda requer um atacante já autenticado. A atualização é especialmente urgente para usuários do SharePoint, que alcançou o fim do suporte estendido. Além disso, a Microsoft finalizou a desativação do RC4 no Kerberos, o que pode causar falhas de autenticação se não houver uma auditoria prévia. O volume de atualizações é incomum para julho, um mês tradicionalmente leve, e reflete um aumento na detecção de vulnerabilidades, impulsionado por novas tecnologias de IA. As empresas devem priorizar a aplicação dos patches, especialmente para as falhas em SharePoint e AD FS, que já estão sendo exploradas por atacantes.

IPVanish torna OpenVPN quase três vezes mais rápido no Windows

A IPVanish lançou uma nova versão de seu aplicativo para Windows, incorporando o recurso OpenVPN Data Channel Offload (DCO), que promete aumentar a velocidade de download do OpenVPN em até 196%. Essa melhoria é especialmente significativa, pois o OpenVPN, apesar de ser um dos protocolos mais confiáveis e amplamente utilizados, sempre enfrentou desafios de velocidade. O DCO transfere a carga de criptografia para o núcleo do sistema operacional, reduzindo a latência e a carga da CPU, sem comprometer a segurança do protocolo. Além disso, a IPVanish trocou o cifrador OpenVPN de AES-256-CBC para AES-256-GCM, o que diminui em 32% o tempo de conexão com os servidores. No entanto, há uma limitação: o modo de alta velocidade não pode ser usado simultaneamente com o recurso OpenVPN Scramble, que oculta o tráfego VPN, o que pode ser uma consideração importante para usuários em redes restritas. O DCO atualmente é exclusivo para usuários do Windows, não estando disponível em macOS, iOS ou Android devido a restrições nos núcleos desses sistemas operacionais.

Não é verificação de idade privacidade é a principal razão para uso de VPNs por crianças no Reino...

Um recente relatório do governo britânico revela que a principal motivação para o uso de VPNs entre crianças no Reino Unido é a proteção da privacidade online, e não a evasão de verificações de idade, como se pensava anteriormente. A pesquisa, realizada com mais de 2.000 jovens de 11 a 17 anos, mostrou que 30% dos usuários ativos de VPNs utilizam essas ferramentas para garantir sua privacidade digital. Apenas 20% dos usuários de VPNs afirmaram usar o serviço para contornar verificações de idade, o que representa apenas 7% de todas as crianças britânicas. Além disso, a maioria dos jovens que contornam essas verificações o faz através de métodos mais simples, como mudar para plataformas que não exigem verificação de idade ou fornecendo informações falsas, como datas de nascimento. O relatório sugere que a narrativa de que a restrição ao uso de VPNs é essencial para a aplicação das leis de verificação de idade pode não ser justificada, especialmente à medida que as plataformas implementam métodos mais rigorosos de verificação. A discussão sobre a regulamentação do uso de VPNs no Reino Unido está em andamento, com apelos de grupos de defesa da privacidade para que essas ferramentas permaneçam acessíveis às crianças.

Novos kits de phishing ameaçam contas do Microsoft 365

Pesquisadores da ReliaQuest identificaram dois novos kits de phishing, Jalisco e OmegaLord, que visam contas do Microsoft 365, utilizando técnicas que burlam a autenticação multifator (MFA). O kit Jalisco emprega um método de phishing baseado em código de dispositivo, enquanto o OmegaLord se disfarça como um leitor de PDF para coletar credenciais de login e números de telefone, facilitando a interceptação de solicitações ou códigos MFA.

O método de phishing por código de dispositivo explora o fluxo de autorização do OAuth 2.0, enganando as vítimas para que autorizem um dispositivo controlado pelo atacante a acessar suas contas. O Jalisco gera códigos de dispositivo em tempo real, contornando a validade de 15 minutos imposta pela Microsoft. Após a invasão, os atacantes podem acessar dados sensíveis armazenados em serviços como SharePoint e realizar exfiltração em questão de minutos.

Microsoft adotará chaves de acesso como método padrão de autenticação

A Microsoft anunciou que, a partir de setembro de 2026, as chaves de acesso se tornarão o método padrão de autenticação para o serviço de identidade empresarial Entra ID. Os usuários que atualmente utilizam autenticação via SMS e voz serão migrados automaticamente para chaves de acesso, que são consideradas mais seguras e resistentes a phishing. A autenticação por SMS e voz será descontinuada em fevereiro de 2027, e as organizações são aconselhadas a garantir que todos os usuários adotem métodos de autenticação que não sejam suscetíveis a ataques de phishing antes dessa data. A Microsoft observou um aumento significativo nas campanhas de phishing habilitadas por IA, com taxas de cliques que chegam a 54%, em comparação com 12% para campanhas tradicionais. A mudança para chaves de acesso visa reduzir a dependência de métodos de autenticação vulneráveis e fortalecer a proteção contra o roubo de credenciais. As organizações que ainda precisarem de autenticação baseada em telefone deverão configurar provedores de telecomunicações de terceiros. A Microsoft disponibiliza orientações detalhadas para a implementação de autenticação sem senha e resistente a phishing.

A Gestão de Vulnerabilidades em Tempos de IA Um Desafio Crescente

A gestão de vulnerabilidades enfrenta um cenário alarmante, com a frequência de novas falhas aumentando drasticamente. Em 2026, a cada 7,4 minutos, uma nova CVE (Common Vulnerabilities and Exposures) é registrada, superando os números de anos anteriores. Além disso, a velocidade com que essas falhas são exploradas diminuiu para menos de um dia, devido ao uso de inteligência artificial, tornando a defesa das empresas ainda mais desafiadora. As equipes de segurança se veem incapazes de acompanhar o ritmo das atualizações e correções, enquanto a maioria das CVEs nunca se torna um ataque ativo. A solução proposta envolve a validação das defesas em vez de apenas focar na velocidade de correção, utilizando plataformas que provam a exploração de vulnerabilidades sem a necessidade de um ataque real. Um exemplo prático é o caso do Nightmare-Eclipse, onde um único pesquisador divulgou uma série de exploits que rapidamente foram adotados por criminosos. A abordagem sugerida enfatiza a importância de testar a cadeia de exploração, permitindo que as empresas priorizem quais vulnerabilidades realmente precisam ser corrigidas, sem expor seus sistemas a riscos desnecessários.

LastPass alerta sobre campanha de phishing com e-mails falsos

A LastPass emitiu um alerta sobre uma campanha de phishing em andamento que utiliza e-mails falsos para enganar usuários. Os e-mails, que se assemelham a comunicações corporativas legítimas, informam sobre supostas atualizações nas políticas de segurança e direcionam os destinatários a uma página que imita o serviço DocuSign, onde é alegado que um documento está disponível para revisão. A empresa esclarece que seus sistemas não foram comprometidos e que os e-mails não foram enviados de sua infraestrutura, apesar de os atacantes utilizarem domínios que aparentam ser legítimos. Os e-mails, enviados de ‘hello@lastpassnewsletter.com’, mencionam mudanças nas políticas de serviço da LastPass, como melhorias na monitorização de SaaS e opções de redefinição de senha. Ao clicar no botão ‘Revisar e Acessar Termos’, os usuários são levados a um site malicioso, identificado como lastpasscompliance[.]com, que foi sinalizado como perigoso por Microsoft Defender e Cloudflare. Embora a LastPass não tenha confirmado o objetivo da campanha, o site falso solicita que os usuários baixem um arquivo que supostamente é compatível com Windows e macOS. A empresa recomenda que os usuários que inseriram suas credenciais em sites de phishing mudem suas senhas imediatamente e revisem suas contas em busca de atividades suspeitas.

Vulnerabilidade crítica leva Progress a desligar ShareFile Storage Zone Controllers

A Progress Software confirmou que uma vulnerabilidade zero-day de alta severidade foi a causa do desligamento emergencial dos ShareFile Storage Zone Controllers na semana passada. A empresa alertou seus clientes para que desligassem imediatamente seus servidores Windows após receberem informações sobre uma “ameaça externa credível”. Durante a investigação, a Progress desativou temporariamente o acesso a todas as contas ShareFile que utilizavam os Storage Zone Controllers. A análise revelou uma vulnerabilidade de ‘path traversal’ que afeta todas as versões 5.x e 6.x do ShareFile Storage Zone Controller. Essa falha permite que um usuário administrativo autenticado leia arquivos arbitrários, escreva conteúdo controlado por atacantes em diretórios aleatórios e enumere a estrutura do sistema de arquivos do servidor. A empresa já reservou um identificador CVE para a vulnerabilidade, que será publicado em duas semanas. As versões 5.12.5 e 6.0.2 do ShareFile Storage Zone Controller foram lançadas para corrigir a falha, e a Progress recomenda que todos os clientes instalem as atualizações de segurança o mais rápido possível. Até o momento, não há indícios de que os dados dos clientes tenham sido comprometidos.

Técnica de Evasão em Campanhas na Nuvem Spoofing de OAuth Client ID

Pesquisadores da Proofpoint identificaram uma nova técnica de evasão chamada spoofing de OAuth client ID, utilizada por grupos de ameaças para comprometer ambientes do Microsoft Entra ID. Essa técnica permite que atacantes enumerem contas de usuários e validem credenciais roubadas sem gerar eventos de login bem-sucedidos, o que dificultaria a detecção por parte das equipes de segurança. Ao explorar a forma como o Entra ID responde a IDs de cliente inválidos, os atacantes conseguem inferir a validade de nomes de usuários e senhas em larga escala. Dois grupos distintos, UNK_pyreq2323 e UNK_OutFlareAZ, foram observados utilizando essa técnica, atacando milhões de contas em milhares de locatários. A primeira campanha usou mais de 700 mil IDs de cliente falsificados, enquanto a segunda empregou 3,7 milhões de IDs aleatórios. A falta de registros de nomes de aplicativos nos logs de sign-in do Entra torna a detecção dessas atividades ainda mais desafiadora. As organizações devem revisar suas políticas de acesso condicional, pois os IDs de cliente falsificados não acionam essas políticas, permitindo que os atacantes operem com maior discrição.

Agentes de Segurança com IA A Nova Fronteira na Cibersegurança

Os agentes de segurança baseados em inteligência artificial (IA) estão começando a influenciar decisões reais de segurança, resumindo descobertas, priorizando remediações e recomendando próximos passos. No entanto, muitos ainda dependem de sinais de risco fragmentados, como saídas de scanners e dados de exposição, o que limita sua eficácia. Os atacantes não operam em silos, e a falta de uma visão integrada pode impedir a identificação de caminhos de ataque reais. A validação de segurança se torna crucial, pois permite que as equipes de segurança confirmem se as vulnerabilidades podem ser exploradas em seus ambientes. A plataforma de validação de segurança da Pentera, por exemplo, emula técnicas de ataque do mundo real para validar exposições e gerar caminhos de ataque comprovados. Isso transforma o fluxo de trabalho de segurança, passando de uma abordagem reativa para uma proativa, onde as equipes podem priorizar e remediar vulnerabilidades com base em evidências concretas. A integração de dados de validação com assistentes de IA pode melhorar ainda mais a eficiência, permitindo que as equipes respondam rapidamente a ameaças reais. Essa mudança de paradigma é essencial para enfrentar a crescente sofisticação dos ataques cibernéticos.

Pesquisadores revelam falhas em carteiras de criptomoedas

Um estudo realizado por pesquisadores da KU Leuven analisou 85 das carteiras de criptomoedas mais populares que funcionam como extensões de navegador e descobriu que essas carteiras vazam informações suficientes para vincular e rastrear os usuários. As interações entre as carteiras e os sites podem conectar endereços separados de um mesmo usuário, permitindo que terceiros os sigam de site para site. Além disso, em sites que já possuem um nome ou e-mail, essas falhas podem associar uma identidade real a um perfil de criptomoeda supostamente anônimo. Os pesquisadores identificaram cinco fraquezas de privacidade, sendo a mais crítica a capacidade de vincular endereços separados. A pesquisa também revelou que 36 das 85 carteiras informam quais estão instaladas, mesmo sem conexão ativa. Embora algumas carteiras tenham corrigido problemas após a notificação, a maioria dos fabricantes não reconheceu as falhas como bugs. O estudo destaca a necessidade de melhorias significativas na segurança das carteiras, que atualmente funcionam como projetadas, mas expõem os usuários a riscos de privacidade.

Vulnerabilidades em UEFI podem comprometer a segurança de sistemas

Pesquisadores de cibersegurança descobriram 11 aplicações antigas, assinadas pela Microsoft, que podem ser exploradas para contornar o Secure Boot em sistemas que utilizam a interface UEFI. Um atacante pode executar código não confiável durante a inicialização do sistema, possibilitando a instalação de bootkits maliciosos, mesmo com as proteções do Secure Boot ativadas. O certificado ‘Microsoft Corporation UEFI CA 2011’, que expirou em 27 de junho de 2026, permitia que essas aplicações vulneráveis fossem confiáveis, pois não foram revogadas adequadamente. O uso de bootloaders UEFI antigos, como o shim, que atua como intermediário entre o firmware da placa-mãe e o sistema operacional Linux, é uma das principais preocupações. A exploração dessas vulnerabilidades pode permitir que atacantes contornem mecanismos de segurança, como a lista de negação de chaves de proprietário da máquina (MOK denylist), e executem código arbitrário antes mesmo do carregamento do sistema operacional. As falhas estão registradas sob os identificadores CVE-2026-8863 e CVE-2026-10797, e a ESET alerta que a expiração do certificado não afeta o processo de verificação do Secure Boot, desde que os bootloaders não sejam explicitamente revogados. Essa situação representa um risco significativo para a segurança de sistemas que dependem do Secure Boot.

Vulnerabilidades críticas no RabbitMQ expõem segredos de OAuth

Pesquisadores de cibersegurança revelaram duas falhas relacionadas ao controle de acesso no serviço de mensageria RabbitMQ, que podem permitir que atacantes vazem segredos de clientes OAuth e comprometam a infraestrutura de mensageria empresarial. A equipe de segurança da Miggo, que descobriu as falhas, informou que a primeira vulnerabilidade (CVE-2026-57219) expõe o segredo confidencial do broker a um atacante não autenticado em uma única solicitação, possibilitando a troca desse segredo por um token de administrador e o controle total sobre mensagens, filas e configurações do broker. A segunda falha (CVE-2026-57221) permite que qualquer usuário autenticado leia dados de outros inquilinos sem autorização adequada. Ambas as falhas estão presentes desde 2024 e afetam versões do RabbitMQ a partir da 3.13.0. As vulnerabilidades foram corrigidas nas versões mais recentes, e recomenda-se que as organizações atualizem seus sistemas e implementem medidas de segurança adicionais, como a rotação de segredos e a limitação de acesso à interface de gerenciamento. Embora não haja evidências de exploração ativa antes da divulgação pública, a situação é preocupante, especialmente em ambientes multi-inquilinos ou expostos à internet.

Departamento do Tesouro dos EUA sanciona provedores de ransomware

O Departamento do Tesouro dos EUA, por meio do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções a dois indivíduos e uma entidade envolvidos em ataques de ransomware contra organizações americanas. As sanções foram direcionadas ao First VPN Service (1VPNS), um provedor de rede privada virtual que oferecia serviços a grupos de ransomware, e seu administrador, Dmytro Rashevskyi. Desde sua criação em 2014, o 1VPNS se destacou por não manter registros de atividades dos usuários e por não cooperar com as autoridades. A investigação, que começou em dezembro de 2021, culminou na desmantelação da infraestrutura do 1VPNS, com a apreensão de 33 servidores em 27 países e a prisão de Rashevskyi. Além disso, o cidadão bielorrusso Yegeniy Vladimirovich Silayev, que vende ferramentas para ocultar malware, também foi sancionado. As operações de ransomware associadas a esses indivíduos causaram perdas bilionárias a empresas e infraestruturas críticas nos EUA. As sanções visam desmantelar redes de cibercrime, com a colaboração de autoridades do Reino Unido e da União Europeia.

Microsoft testa nova versão do Windows Search mais limpa e rápida

A Microsoft está testando uma nova versão do Windows Search que promete ser mais rápida e eficiente, priorizando resultados relevantes em detrimento de anúncios e conteúdos promocionais. Essa iniciativa, anunciada pelo presidente da Windows, Pavan Davuluri, visa melhorar a experiência de busca no Windows 11, abrangendo o menu Iniciar, a barra de tarefas, o File Explorer e as Configurações. As atualizações estão disponíveis para os usuários do programa Windows Insiders no canal Experimental, através de uma implementação controlada, o que significa que nem todos os usuários terão acesso imediato. As melhorias incluem a indicação clara da origem dos resultados, suporte a buscas de arquivos com duas letras e maior tolerância a erros de digitação. Além disso, a Microsoft promete melhorias na confiabilidade do sistema, reduzindo falhas e problemas de carregamento. Os usuários também podem escolher se desejam ver sugestões da Microsoft Store e da web junto aos resultados locais. A empresa encoraja feedback dos Insiders para aprimorar ainda mais a funcionalidade.

Grupo ShinyHunters invade Salesforce sem explorar falhas

Um novo relatório da Microsoft revela que atacantes associados ao grupo de extorsão de dados ShinyHunters conseguiram acessar ambientes corporativos do Salesforce sem explorar falhas na plataforma. Em vez disso, eles se aproveitaram da confiança que as organizações já haviam concedido, principalmente através de conexões OAuth com aplicativos e fornecedores de terceiros. A pesquisa identificou três técnicas principais utilizadas: chamadas de vishing que induzem funcionários a aprovar aplicativos maliciosos, tokens OAuth roubados de fornecedores de software comprometidos e acesso de convidados mal configurado em sites do Salesforce. As chamadas de vishing foram a porta de entrada inicial, onde os atacantes se passaram por suporte de TI e convenceram os funcionários a autorizar aplicativos controlados por eles. Já os tokens roubados permitiram acesso a dados de múltiplas organizações ao mesmo tempo, enquanto o acesso de convidados mal configurado possibilitou que os atacantes extraíssem dados sem necessidade de credenciais. A Microsoft, em colaboração com o Salesforce, lançou novas ferramentas de detecção e governança para mitigar essas atividades, enfatizando a importância de monitorar logs de autenticação e revisar permissões de aplicativos conectados.

Campanha de pacotes npm transforma navegadores em botnets DDoS

Uma nova pesquisa da JFrog revelou uma campanha maliciosa envolvendo 148 pacotes npm que se disfarçaram como proxies web para estudantes. Durante cerca de duas semanas em maio, esses pacotes transformaram os navegadores dos visitantes em uma botnet de negação de serviço distribuída (DDoS). Os pacotes, com nomes como ‘charlie-kirk’ e ‘ilovefemboys’, permitiam que os estudantes contornassem filtros de conteúdo, mas carregavam um gerador de tráfego de ataque escondido. Ao abrir uma página, os usuários se tornavam involuntariamente parte do ataque, que não exigia instalação de scripts maliciosos. A pesquisa identificou dois módulos principais: um carregador de scripts remoto e um gerador de inundações WebSocket, ambos projetados para sobrecarregar servidores de proxy. A infraestrutura da campanha era facilmente rastreável, e os operadores, aparentemente jovens, deixaram pistas em seus códigos. Embora muitos pacotes tenham sido removidos do npm, a capacidade de rearmar o ataque permanece. Administradores de redes escolares e corporativas devem bloquear os domínios associados a essa campanha e limpar caches de navegador para mitigar riscos.

EUA sancionam indivíduos e VPN por facilitar ataques de ransomware

O Departamento do Tesouro dos EUA sancionou dois indivíduos e um provedor de VPN, o First VPN Service (1VPNS), por facilitar atividades criminosas, incluindo ataques de ransomware. O administrador ucraniano Dmytro Rashevskyi e o belarusiano Yegeniy Vladimirovich Silayev foram acusados de ajudar grupos de ransomware a ocultar suas atividades. O First VPN foi desmantelado em maio de 2026 após uma operação conjunta de autoridades europeias e norte-americanas, que identificaram que o serviço era utilizado para esconder a origem de ataques cibernéticos contra empresas e instituições dos EUA. O uso dessa VPN resultou em perdas bilionárias para negócios americanos, afetando setores críticos como saúde e serviços financeiros. Além disso, o artigo menciona sanções impostas pelo Reino Unido e pela União Europeia a redes cibernéticas russas, que têm realizado operações de espionagem e sabotagem. O FBI alertou sobre a exploração de dispositivos de rede mal configurados por atores do FSB da Rússia, destacando a vulnerabilidade de infraestruturas críticas em todo o mundo.

Grok Build da xAI vaza repositórios inteiros para o Google Cloud

Um incidente de segurança envolvendo o Grok Build da xAI revelou que o sistema estava enviando repositórios Git inteiros, incluindo todo o histórico de commits, para um bucket do Google Cloud, em vez de apenas os arquivos necessários para as tarefas de codificação. O pesquisador conhecido como cereblab, ao testar a versão 0.2.93, interceptou um desses uploads e conseguiu recuperar um arquivo que o agente deveria ter ignorado. A análise mostrou que, enquanto o tráfego necessário para o modelo era de apenas 192 KB, o upload para o armazenamento alcançou 5,10 GiB, evidenciando uma discrepância significativa. Embora a xAI tenha desativado os uploads de armazenamento em uma atualização subsequente, a questão central permanece: a falta de controle do usuário sobre o que é enviado para a nuvem. Isso levanta preocupações sobre a segurança de dados sensíveis, como códigos proprietários e credenciais, que podem estar expostos. A xAI afirmou que todos os dados enviados antes da correção seriam completamente deletados, mas a falta de clareza sobre o que foi armazenado e por quanto tempo ainda gera incertezas. Para desenvolvedores que utilizaram a ferramenta, é recomendado que rotacionem quaisquer credenciais que possam ter sido expostas durante o uso do Grok Build.

Novo malware para macOS finge ser ferramenta da Apple para roubar dados

Um novo malware para macOS, chamado CrashStealer, tem se destacado por se disfarçar como a ferramenta de relatórios de falhas da Apple, visando roubar credenciais, dados do chaveiro e carteiras de criptomoedas. Pesquisadores começaram a monitorar essa ameaça em maio, quando ainda estava em desenvolvimento, mas notaram seu uso em ataques a partir de julho. O malware utiliza um binário que imita o componente do sistema da Apple, chamado ‘CrashReporter.app’, e cria um LaunchAgent com o nome ‘com.apple.crashreporter.helper’, além de usar o ícone e metadados da ferramenta legítima para evitar a detecção. O instalador, denominado ‘Werkbit Setup’, é assinado e notarizado pela Apple, permitindo que o malware contorne o Gatekeeper, a proteção anti-malware do macOS. Ao ser executado, o CrashStealer apresenta um falso prompt de senha do macOS, enganando o usuário para que forneça sua senha do chaveiro, que armazena dados sensíveis como senhas de aplicativos e chaves criptográficas. O malware também coleta credenciais de navegadores e gerenciadores de senhas, além de arquivos de diretórios do usuário. Os dados roubados são criptografados e enviados para um servidor de comando e controle. A operação é cuidadosamente planejada para ser discreta, utilizando um dropper assinado e notarizado, e um processo de re-assinatura para garantir persistência.

Pacote npm malicioso da Jscrambler compromete dados de desenvolvedores

A empresa Jscrambler, especializada em segurança web, revelou que um ator de ameaça publicou uma versão maliciosa de seu pacote npm, que foi baixada quase 1.500 vezes em um curto período de duas horas. As versões afetadas foram 8.14, 8.16, 8.17 e 8.20, e o malware incluído tinha a capacidade de roubar informações sensíveis durante o processo de instalação. O pacote malicioso foi rapidamente descontinuado e substituído pela versão segura 8.22. O malware visava dados críticos, como credenciais de desenvolvedores, segredos de nuvem, dados de carteiras de criptomoedas e informações de aplicativos de colaboração. A Jscrambler atribuiu a violação a credenciais de publicação npm comprometidas, que já foram revogadas. Após o incidente, a empresa implementou controles de segurança adicionais em seu pipeline de publicação. Os desenvolvedores que utilizaram as versões maliciosas devem considerar seus ambientes como comprometidos e rotacionar todas as credenciais. A Jscrambler recomenda que seus clientes utilizem a versão mais recente de seu produto para garantir a segurança.

Ciberataque compromete sistemas da maior operadora de táxis do Japão

A Nihon Kotsu, maior operadora de táxis do Japão, sofreu um ciberataque que comprometeu seus sistemas, levando à paralisação de parte de sua infraestrutura. O incidente ocorreu na manhã de sábado e afetou operações críticas, incluindo o sistema de despacho de táxis, que permanece fora do ar. A empresa, que gera cerca de US$ 1 bilhão em receita anual e emprega mais de 18 mil pessoas, confirmou a infecção por malware e tomou medidas de emergência para evitar danos adicionais, como desconectar sistemas afetados. Serviços de reserva e contratação de veículos, incluindo o serviço de ’táxi para parturientes’, estão suspensos em várias áreas, incluindo Tóquio e Yokohama. A Nihon Kotsu está colaborando com especialistas em cibersegurança para investigar o incidente e avaliar a possibilidade de vazamento de dados, embora até o momento nenhum vazamento tenha sido confirmado. A empresa recomenda que os clientes evitem abrir anexos de comunicações suspeitas e utilizem o aplicativo ‘GO’ ou táxis disponíveis nas ruas. O ataque ainda não foi reivindicado por grupos de ransomware ou gangues de extorsão.

Google e Microsoft removem extensão ModHeader por coleta de dados oculta

O ModHeader, uma extensão popular para edição de cabeçalhos, foi removido das lojas do Chrome e Edge após a descoberta de um coletor de histórico de navegação embutido em sua versão oficial. A análise da empresa de segurança Stripe OLT revelou que, embora o coletor estivesse inativo devido a uma lista de permissões vazia, ele continha código que poderia coletar e enviar dados de navegação. A extensão, que conta com cerca de 1,6 milhão de instalações, ainda edita cabeçalhos HTTP como prometido, mas o código minificado inclui um sistema que, se ativado, poderia coletar até 1000 domínios distintos. A coleta de dados ocorreria uma vez por dia, enviando informações criptografadas para um servidor associado a um domínio sem relação com a Stanford. A extensão já havia sido alvo de reclamações por injetar anúncios em resultados de busca. A situação levanta preocupações sobre a segurança de extensões populares e a necessidade de vigilância constante sobre o que é instalado nos navegadores. Usuários são aconselhados a desinstalar a extensão e a rotacionar credenciais que possam ter sido armazenadas.

Novo malware CrashStealer rouba dados de usuários do macOS

Pesquisadores de cibersegurança identificaram um novo malware para macOS chamado CrashStealer, que tem a capacidade de roubar informações sensíveis de sistemas comprometidos. Diferente de outros ladrões de informações, CrashStealer é desenvolvido em C++ e não utiliza AppleScript ou Objective-C. O malware valida a senha de login do usuário localmente antes de coletar dados de navegadores, carteiras de criptomoedas, gerenciadores de senhas e do chaveiro do macOS. Os dados coletados são criptografados com AES-GCM e enviados para um servidor controlado pelos atacantes. O malware é distribuído através de um dropper assinado e notarizado, chamado ‘Werkbit.app’, que passa pelas verificações de segurança do Gatekeeper da Apple. O processo de instalação é oculto por um PIN de reunião, limitando o acesso ao instalador. Após a instalação, o malware estabelece persistência como um LaunchAgent e coleta dados de várias fontes, incluindo credenciais de navegadores e gerenciadores de senhas. A exfiltração de dados é feita em um arquivo ZIP enviado para um servidor específico. A complexidade e a sofisticação do CrashStealer destacam a necessidade de vigilância constante em relação a ameaças emergentes no ecossistema macOS.

Negociador de ransomware é condenado a 70 meses de prisão por ajudar atacantes

Angelo Martino, um negociador de ransomware, foi condenado a 70 meses de prisão por colaborar secretamente com o grupo criminoso BlackCat (ALPHV). Em vez de ajudar as vítimas a minimizar os danos, Martino e seus co-conspiradores, Ryan Clifford Goldberg e Kevin Tyler Martin, não apenas falharam em proteger os interesses de seus clientes, mas também infectaram algumas das vítimas com malware. O grupo visava empresas de diversos setores, incluindo dispositivos médicos e farmacêuticos, e exigiu resgates que totalizavam milhões de dólares. Martino, de 41 anos, terá que devolver todos os ganhos em criptomoeda que recebeu, além de perder bens como casas e carros adquiridos com esse dinheiro. Ele também deverá pagar 10% de seu salário futuro após a liberação. A condenação de Martino se segue a sentenças anteriores de seus co-conspiradores, que receberam penas de quatro anos. O caso destaca a crescente preocupação com a confiança em negociadores de ransomware e a necessidade de vigilância em transações de segurança cibernética.

Autoridades do Reino Unido processam cinco por fraudes com chamadas

As autoridades britânicas acusaram cinco indivíduos após uma investigação da National Crime Agency (NCA) sobre a plataforma de falsificação de identificação de chamadas chamada Russian Coms. Essa plataforma, que operava desde 2020, permitia que criminosos realizassem mais de 1,8 milhão de chamadas fraudulentas, utilizando números de instituições financeiras e agências de segurança para enganar as vítimas. Os acusados, todos de Londres, enfrentam várias acusações, incluindo conspiração para fornecer artigos relacionados a fraudes e conversão de propriedade criminosa. A NCA revelou que a Russian Coms foi responsável por perdas financeiras que somam dezenas de milhões de libras, afetando cerca de 170 mil vítimas em mais de 107 países. A plataforma foi promovida em redes sociais como Telegram e Instagram e oferecia serviços como chamadas criptografadas e alteração de voz. A operação que resultou na desativação da Russian Coms, chamada ‘Operação Henhouse’, levou a 290 prisões em todo o Reino Unido e destacou a crescente preocupação com fraudes telefônicas que utilizam tecnologia avançada para enganar os consumidores.

Breach at the Beach Aprenda sobre cibersegurança com Entra ID

O Varonis Threat Labs lançou o ‘Breach at the Beach’, uma experiência de treinamento interativa focada em Entra ID, que simula a exfiltração de dados em ambientes de nuvem. A iniciativa, criada pelos pesquisadores Doron Kapah e Mark Vaitsman, visa proporcionar uma compreensão prática das ameaças modernas que as organizações enfrentam, especialmente com o aumento de identidades não-humanas, como agentes de IA e fluxos de trabalho automatizados. Os jogadores, guiados pelo gato detetive Pixel, devem investigar um ataque e identificar quais dados sensíveis estão em risco. O CTF (Capture the Flag) é gratuito e pode ser acessado online, permitindo que profissionais de segurança aprimorem suas habilidades enquanto ganham créditos de educação continuada (CPE). O jogo enfatiza a importância de reconhecer abusos de funcionalidades legítimas e a necessidade de uma abordagem prática para a detecção de ameaças, especialmente em um cenário onde a IA está cada vez mais presente. Além disso, o evento será apresentado em conferências como Black Hat USA e DEF CON 34, onde os participantes poderão interagir diretamente com os criadores e aprofundar seus conhecimentos sobre cibersegurança.

Lidl sofre vazamento de dados de clientes na Europa

A rede de supermercados Lidl, pertencente ao grupo Schwarz, notificou clientes na Alemanha, Bélgica e Países Baixos sobre um vazamento de dados pessoais ocorrido em um provedor de serviços. O incidente, que foi descoberto na semana passada, resultou no roubo de informações de clientes que utilizam a loja online da Lidl. Segundo a empresa, apesar de manter altos padrões de segurança da informação, atacantes conseguiram acessar brevemente um arquivo armazenado separadamente, levando ao roubo de dados como nome, telefone, e-mail e data de nascimento. Embora os sistemas da loja online não tenham sido comprometidos, a Lidl não descarta a possibilidade de que senhas e informações de pagamento também possam ter sido afetadas. A empresa já registrou um boletim de ocorrência e contratou especialistas em forense digital para investigar o incidente. Além disso, a Lidl alertou os clientes sobre possíveis tentativas de phishing que possam utilizar as informações roubadas, recomendando cautela ao receber mensagens inesperadas. A Autoridade de Proteção de Dados da Holanda também foi notificada sobre o incidente.

CISA alerta sobre vulnerabilidades críticas em extensões Joomla

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de vulnerabilidades nas extensões iCagenda e Balbooa Forms para Joomla, que permitem a execução remota de código através de uploads de arquivos arbitrários. As falhas foram classificadas como de máxima prioridade, exigindo que agências federais aplicassem atualizações de segurança em até três dias. A primeira vulnerabilidade, CVE-2026-48939, afeta o iCagenda, que é utilizado para registro e agendamento de eventos. Um atacante pode explorar essa falha para fazer upload de arquivos maliciosos, como scripts PHP, comprometendo completamente o servidor web. A segunda vulnerabilidade, CVE-2026-56291, está relacionada ao Balbooa Forms, um construtor de formulários que também permite uploads de arquivos. Ambas as falhas foram alvo de ataques automatizados antes da liberação de patches, com a CVE-2026-56291 sendo explorada como um zero-day desde 8 de julho. Administradores de sites Joomla devem verificar a presença dessas extensões e aplicar as correções disponíveis para proteger seus ativos. As versões corrigidas estão disponíveis desde junho e julho de 2023.

Operação de phishing como serviço ataca contas do Microsoft 365

Um novo serviço de phishing, chamado Forg365, está utilizando uma combinação de técnicas avançadas para comprometer contas do Microsoft 365. Este serviço, que custa $400 por mês e é distribuído via Telegram, emprega phishing com código de dispositivo, táticas de adversário no meio (AitM), evasão de antibots e criação de iscas assistida por inteligência artificial (IA). As campanhas de ataque utilizam infraestrutura de entrega de e-mails legítimos, como Amazon SES e Twilio SendGrid, para disfarçar links maliciosos. O Forg365 oferece um painel de controle acessível na clearnet, onde os operadores podem gerar iscas e gerenciar tokens capturados. A plataforma também inclui uma extensão para navegadores que facilita o acesso contínuo a contas comprometidas. Além disso, o Forg365 permite ações pós-compromisso, como monitoramento de e-mails e respostas automáticas a mensagens. A operação reflete a industrialização do modelo de negócios de phishing, permitindo que até mesmo indivíduos com pouca experiência técnica realizem campanhas em larga escala. Diante desse cenário, recomenda-se que as empresas bloqueiem a autenticação por código de dispositivo, revisem regras de fluxo de e-mails e auditem atividades suspeitas em caixas de entrada.

Injeção de Memória Oculta em Assistentes de IA Risco Emergente

Um novo tipo de ataque, denominado ‘injeção de memória oculta’, foi identificado por pesquisadores, permitindo que atacantes manipulem assistentes de IA ao enviar e-mails com informações falsas. Esses assistentes, como o OpenClaw, mantêm registros sobre preferências e interações dos usuários, o que os torna vulneráveis a esse tipo de ataque. O processo é simples: um e-mail é enviado para um usuário, e se o assistente processar a mensagem, ele pode gravar uma informação falsa em sua memória sem que o usuário perceba. O estudo, publicado em julho de 2026, demonstrou que a ferramenta MemGhost conseguiu realizar esse ataque com uma taxa de sucesso de 87,5% em testes de modo de fundo. A pesquisa destaca a necessidade de controles de segurança mais rigorosos, como a verificação de origem das informações e a solicitação de confirmação antes de gravar dados na memória do assistente. A OpenClaw, alvo do estudo, já está considerando implementar medidas de segurança adicionais, mas o problema persiste, especialmente em ambientes onde assistentes de IA interagem com e-mails não confiáveis.