O Google anunciou uma nova funcionalidade chamada Intrusion Logging, disponível no modo de proteção avançada do Android, que permite o registro forense de atividades em dispositivos para análise de ataques sofisticados de spyware. Desenvolvido em parceria com a Anistia Internacional e Repórteres Sem Fronteiras, o recurso registra atividades diárias do dispositivo, como comportamento de aplicativos, conexões de rede e transferências de arquivos. Os dados são criptografados de ponta a ponta e armazenados em servidores do Google, garantindo que nem mesmo a empresa tenha acesso a eles, exceto o proprietário do dispositivo. Os registros são mantidos por 12 meses e podem ser baixados offline, mas uma vez baixados, a segurança dos dados fica sob responsabilidade do usuário. A funcionalidade também registra eventos de navegação no Chrome em modo incógnito, o que pode levantar preocupações sobre privacidade. O objetivo é fornecer a indivíduos de alto risco, que possam ser alvos de ferramentas de vigilância, a capacidade de compartilhar logs de atividade com especialistas em segurança para investigação. Além disso, o Google anunciou melhorias em segurança e privacidade no Android, incluindo proteção contra fraudes em chamadas financeiras e detecção de ameaças em tempo real.

Pesquisadores de cibersegurança alertam para a campanha GemStuffer, que tem como alvo o repositório RubyGems, utilizando mais de 150 gems para exfiltração de dados ao invés de distribuição de malware. De acordo com a empresa Socket, os pacotes não visam comprometer massivamente desenvolvedores, pois muitos têm pouca ou nenhuma atividade de download e seus payloads são repetitivos e barulhentos. Os scripts envolvidos na campanha acessam portais de serviços democráticos do governo local do Reino Unido, coletando informações como calendários de reuniões, listas de itens de agenda e documentos PDF, que são então empacotados em arquivos .gem e publicados de volta no RubyGems com credenciais de API codificadas. A campanha levanta preocupações sobre o uso do RubyGems como um canal de armazenamento para dados coletados, o que pode indicar uma capacidade de ataque contra a infraestrutura governamental. A situação se agrava com a desativação temporária do registro de novas contas no RubyGems, após um ataque malicioso significativo. Embora a informação coletada seja publicamente acessível, a sistemática coleta e arquivamento de dados pode ter implicações mais amplas, incluindo possíveis testes de abuso de registro de pacotes.

O Comitê de Segurança Nacional da Câmara dos EUA convocou executivos da Instructure para depor sobre dois ataques cibernéticos realizados pelo grupo de extorsão ShinyHunters, que afetaram a plataforma Canvas da empresa. Os ataques resultaram no roubo de dados de milhões de estudantes e na interrupção de atividades escolares durante períodos críticos, como as provas finais. A Instructure confirmou que, em 29 de abril, detectou a invasão, que expôs informações como nomes, endereços de e-mail e números de identificação de estudantes, mas não incluiu senhas ou dados financeiros. O ShinyHunters reivindicou a responsabilidade, alegando ter roubado 280 milhões de registros de 8.809 instituições educacionais. Após o segundo ataque, que desfigurou portais de login do Canvas, a Instructure anunciou ter chegado a um acordo com o grupo para interromper a divulgação pública dos dados. O Comitê expressou preocupações sobre a capacidade de resposta da Instructure a incidentes e solicitou uma reunião até 21 de maio para discutir as intrusões e as medidas tomadas. O incidente levanta questões sérias sobre a segurança dos dados armazenados pela empresa e sua responsabilidade em proteger as informações de estudantes e educadores.

A Fortinet divulgou atualizações de segurança para corrigir duas vulnerabilidades críticas em seus produtos FortiSandbox e FortiAuthenticator, que podem permitir que atacantes executem comandos ou códigos arbitrários em sistemas não corrigidos. A primeira vulnerabilidade, identificada como CVE-2026-44277, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) FortiAuthenticator, permitindo que um atacante não autenticado execute código não autorizado por meio de requisições manipuladas. Essa falha foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do FortiAuthenticator. A segunda vulnerabilidade, CVE-2026-26083, refere-se ao FortiSandbox e pode ser explorada para execução remota de código em sistemas vulneráveis, permitindo que atacantes não autenticados executem comandos não autorizados via requisições HTTP. Embora a Fortinet não tenha indicado que essas falhas estejam sendo ativamente exploradas, a empresa tem um histórico de vulnerabilidades que são frequentemente utilizadas em ataques de ransomware e espionagem cibernética. A CISA, agência de segurança cibernética dos EUA, já adicionou 24 vulnerabilidades da Fortinet ao seu catálogo de falhas ativamente exploradas nos últimos anos, destacando a necessidade de atenção e ação imediata por parte das organizações.

A Microsoft lançou a atualização de segurança KB5087544 para o Windows 10, visando corrigir vulnerabilidades identificadas durante o Patch Tuesday de maio de 2026. Esta atualização é aplicável para usuários do Windows 10 Enterprise LTSC e aqueles que participam do programa ESU. Após a instalação, a versão do Windows 10 será atualizada para a build 19045.7291, enquanto o Windows 10 Enterprise LTSC 2021 será atualizado para a build 19044.7291.

O foco principal da KB5087544 é a correção de 120 vulnerabilidades, incluindo um problema conhecido relacionado ao aviso de segurança do Remote Desktop, que poderia ser exibido incorretamente em configurações de múltiplos monitores. Além disso, a atualização melhora o relatório dinâmico do status do Secure Boot e inclui ajustes para o horário de verão no Egito. A Microsoft também alertou sobre um problema que pode solicitar a chave de recuperação do BitLocker após a instalação de atualizações recentes, afetando sistemas com uma configuração específica de Política de Grupo do BitLocker. Para contornar esse problema, a empresa recomenda a remoção da configuração afetada e a suspensão e retomada do BitLocker.

O aplicativo Signal introduziu novas confirmações e mensagens de alerta dentro do app para aumentar a segurança contra tentativas de phishing e engenharia social, que podem resultar em fraudes. O objetivo é criar um nível de fricção que permita aos usuários avaliar a segurança de solicitações externas. Recentemente, ataques direcionados a usuários de alto perfil foram relatados, envolvendo alertas falsos de ‘Suporte do Signal’, conforme destacado pelo FBI e autoridades da Alemanha e Países Baixos. Esses incidentes foram atribuídos a hackers patrocinados pelo estado russo, que exploraram a funcionalidade de Dispositivos Vinculados para acessar contas, chats e listas de contatos das vítimas. O ataque convencía as vítimas a escanear códigos QR ou compartilhar códigos de verificação, permitindo que os atacantes vinculassem seus dispositivos às contas-alvo. Para mitigar esses riscos, o Signal agora exibe mensagens como ‘Nome não verificado’ e ‘Sem grupos em comum’ para contatos que iniciam comunicação, além de alertar os usuários sobre a impossibilidade de solicitar códigos de registro ou PINs. As novas funcionalidades visam educar os usuários sobre perfis fraudulentos e reforçar a segurança contra ataques de engenharia social.

O artigo destaca que muitos incidentes de rede não se intensificam devido à falta de visibilidade, mas sim pela dificuldade das equipes de TI em gerenciar alertas e coordenar respostas em sistemas diversos durante situações de alta pressão. Um webinar promovido pela BleepingComputer em 2 de junho de 2026, em parceria com a Tines, abordará a importância de fluxos de trabalho de resposta mais coordenados para reduzir o tempo de resposta e evitar interrupções. Com o aumento da complexidade dos ambientes de TI, os alertas provenientes de plataformas de monitoramento, sistemas de infraestrutura e ferramentas de segurança estão crescendo em volume, enquanto muitas equipes ainda dependem de investigações manuais, o que atrasa a resolução de incidentes. A Tines oferece soluções que combinam automação e inteligência artificial para otimizar a resposta a incidentes, minimizando o trabalho repetitivo e melhorando a coordenação entre sistemas. O webinar abordará como os incidentes evoluem, onde ocorrem falhas nos fluxos de trabalho e técnicas para enriquecer e priorizar alertas automaticamente, promovendo uma resposta mais integrada e eficiente.

O Escritório do Comissário de Informação do Reino Unido multou a South Staffordshire Water Plc e sua controladora em £963,900 (cerca de R$ 6,3 milhões) devido a um ciberataque que expôs os dados pessoais de 663,887 clientes e funcionários. A empresa, que fornece 330 milhões de litros de água potável diariamente para 1,6 milhão de consumidores, sofreu o ataque que comprometeu suas operações de TI em 2022. Embora a gangue de ransomware Cl0p tenha inicialmente reivindicado a responsabilidade, a investigação do ICO confirmou a autenticidade dos dados vazados, que incluíam nomes completos, endereços, e informações bancárias. O ataque, que começou em setembro de 2020, foi facilitado por um ataque de phishing que permitiu a instalação de malware em seus sistemas, permanecendo indetectado por 20 meses. O ICO identificou falhas significativas na segurança da empresa, como controles insuficientes para prevenir a escalada de privilégios e o uso de software obsoleto. A multa foi reduzida em 40% devido à cooperação da empresa durante a investigação.

A Exim, um agente de transferência de e-mail de código aberto, lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2026-45185, também conhecida como Dead.Letter. Essa falha, classificada como uma vulnerabilidade de uso após liberação (use-after-free), afeta versões do Exim entre 4.97 e 4.99.2 que utilizam a biblioteca GnuTLS. O problema ocorre durante o processamento de mensagens BDAT quando um cliente envia um alerta de fechamento TLS antes da conclusão da transferência do corpo da mensagem, resultando em corrupção de memória e potencial execução de código malicioso. O especialista Federico Kirschbaum, do XBOW, destacou que a exploração dessa vulnerabilidade requer pouca configuração especial no servidor. A Exim já lançou a versão 4.99.3, que corrige a falha, e recomenda que todos os usuários atualizem imediatamente, pois não há mitigações disponíveis. Essa não é a primeira vez que falhas críticas são descobertas no Exim, levantando preocupações sobre a segurança contínua do software.

Uma pesquisa realizada pela empresa britânica Cifas revelou dados alarmantes sobre a disposição de funcionários em vender acesso a sistemas corporativos. De acordo com o estudo, 13% dos trabalhadores britânicos admitiram já ter vendido suas credenciais ou conhecer alguém que o fez. O relatório, intitulado ‘Tendências de Fraude no Ambiente de Trabalho’, também indicou que 32% dos gerentes e 43% dos executivos de alto escalão consideram essa prática justificável. Os motivos para essa atitude incluem problemas financeiros, a crença de que a venda é uma ação inofensiva e descontentamento com o trabalho. Os setores de TI e telecomunicações apresentaram a maior tolerância a esse tipo de fraude. Embora a venda de acesso a sistemas tenha sido uma das fraudes menos comuns abordadas, a pesquisa destaca a necessidade de as empresas desenvolverem uma cultura anti-fraude, conscientizando os funcionários sobre suas responsabilidades e as consequências de suas ações. A Cifas enfatiza que as organizações devem estar atentas a essa disposição dos funcionários, especialmente em um cenário onde a fraude pode ter impactos significativos na segurança e na integridade dos dados corporativos.

O Google Threat Intelligence Group (GTIG) anunciou a detecção e interrupção de um ataque de dia zero que utilizou inteligência artificial (IA) pela primeira vez. O ataque, realizado por um grupo de cibercriminosos ainda não identificado, visava explorar uma vulnerabilidade em uma ferramenta de administração de sistemas open-source. O código malicioso, embutido em um script Python, permitia contornar a autenticação de dois fatores, embora os invasores ainda precisassem de credenciais válidas para acessar a plataforma. O GTIG identificou que a IA foi utilizada para descobrir e transformar a vulnerabilidade em um exploit, com evidências no código que indicam a utilização de um modelo de IA para mapear brechas e desenvolver malware. O Google trabalhou com o fornecedor afetado para corrigir a falha, e uma atualização já foi disponibilizada. Este incidente destaca uma tendência crescente entre grupos hackers que estão utilizando IA para aumentar a eficácia de seus ataques, com foco em grupos ligados à China e à Coreia do Norte, que demonstraram interesse em explorar vulnerabilidades através de técnicas avançadas.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova campanha de malware que visa usuários de Mac, utilizando chats do Claude e anúncios do Google para enganar as vítimas. Os golpistas exploraram a funcionalidade de ‘Shared Chats’ do Claude, criando conversas fraudulentas que fornecem instruções falsas para a instalação de um assistente de codificação chamado Claude Code. Essas instruções, na verdade, são um golpe do tipo ClickFix, que leva à infecção por malware do tipo infostealer. Para aumentar a credibilidade, os golpistas se apresentaram como ‘Apple Support’ e usaram anúncios pagos no Google para garantir que suas conversas fraudulentas aparecessem no topo dos resultados de busca. O link parecia legítimo, levando os usuários a acreditar que estavam acessando um conteúdo seguro. Embora o número de vítimas não tenha sido especificado, a pesquisa indicou que o malware não funciona em sistemas com idioma russo, sugerindo que os criminosos estão evitando esse público. Essa situação destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de Mac.

O American Lending Center (ALC), um credor de pequenas empresas da Califórnia, notificou 123.158 pessoas sobre uma violação de dados ocorrida em julho de 2025, resultante de um ataque de ransomware. A empresa revelou que o invasor comprometeu sua rede interna, executou o ataque e acessou arquivos que podem conter informações pessoais sensíveis, como nomes, números de Seguro Social e datas de nascimento. Até o momento, não se sabe como os atacantes conseguiram acessar a rede da ALC ou se um resgate foi pago. Para mitigar os danos, a ALC está oferecendo monitoramento de crédito gratuito e um seguro contra roubo de identidade de até 1 milhão de dólares através da IDX. Em 2025, foram registrados 67 ataques de ransomware em empresas financeiras dos EUA, afetando cerca de 1,4 milhão de pessoas. O ataque à ALC foi o terceiro maior em termos de registros comprometidos, atrás de incidentes em outras empresas financeiras. Os ataques de ransomware têm se tornado uma preocupação crescente, pois não apenas roubam dados, mas também podem paralisar sistemas, exigindo resgates para a restauração. A ALC gerencia ativos de 3,1 bilhões de dólares e financiou 110 projetos em todos os estados dos EUA.

O Android 17, previsto para ser lançado no próximo mês, introduzirá várias funcionalidades de segurança e privacidade, focando em roubo de dispositivos, detecção de ameaças e chamadas fraudulentas relacionadas a bancos. A Google ampliará as proteções contra golpistas que falsificam IDs de chamadas para se passar por instituições financeiras, ajudando a evitar que usuários transfiram dinheiro ou revelem informações sensíveis. O sistema operacional trabalhará em conjunto com aplicativos bancários para detectar chamadas fraudulentas e encerrar automaticamente a conexão quando um golpe for identificado. Além disso, a detecção de ameaças em tempo real será aprimorada para identificar técnicas de abuso adicionais, como o uso indevido de encaminhamento de SMS e sobreposições de acessibilidade ocultas. Para aumentar a proteção contra roubo, a nova funcionalidade ‘Marcar como perdido’ permitirá bloquear o dispositivo com autenticação biométrica, impedindo que ladrões desativem o rastreamento do aparelho. Outras melhorias incluem a verificação de autenticidade de chamadas, escaneamento de APKs para malware e compartilhamento temporário de localização precisa. Embora algumas funcionalidades sejam lançadas inicialmente em dispositivos Pixel, a Google promete disponibilizá-las para versões do Android 11 em diante.

A Škoda Auto, subsidiária do Grupo Volkswagen, confirmou um vazamento de dados após um ataque cibernético que comprometeu seu portal de e-commerce. Os invasores exploraram uma vulnerabilidade não especificada no software da loja online, obtendo acesso a informações pessoais de clientes, incluindo nomes, endereços, informações de contato e credenciais de login. A empresa assegurou que dados financeiros, como detalhes completos de cartões de crédito, não foram acessados, pois são processados exclusivamente por provedores de pagamento. Após a detecção do ataque, a Škoda notificou as autoridades competentes e corrigiu a falha de segurança. A empresa alertou os clientes afetados sobre possíveis tentativas de phishing e recomendou que ficassem atentos a comunicações suspeitas relacionadas à Škoda. Este incidente segue uma série de ataques cibernéticos que afetaram outras montadoras, como Renault e Jaguar Land Rover, destacando a crescente vulnerabilidade do setor automotivo a ameaças digitais.

As equipes de operações de segurança (SOC) enfrentam um desafio crescente: a sobrecarga de alertas. Um relatório recente da The Hacker News destaca que os alertas mais perigosos, como os relacionados a WAF (Web Application Firewall), DLP (Data Loss Prevention), IoT/OT, inteligência da dark web e sinais da cadeia de suprimentos, frequentemente não são investigados. O problema não é apenas a quantidade de alertas, mas sim a falta de capacidade e expertise especializada nas equipes. Muitas vezes, os analistas estão sobrecarregados com alertas rotineiros e não conseguem se aprofundar em eventos complexos que exigem conhecimento específico. Além disso, as plataformas de automação de SOC baseadas em IA têm limitações, pois geralmente operam com um número restrito de categorias de alerta e não conseguem lidar com ameaças novas ou desconhecidas. Para abordar essa lacuna, a Radiant Security e a Cirosec realizarão um webinar técnico em 21 de maio de 2026, onde discutirão as razões estruturais por trás dessa falta de cobertura e apresentarão uma solução inovadora que utiliza IA para gerar lógica de triagem personalizada em tempo real, abordando alertas que normalmente ficariam sem resposta.

Pesquisadores de cibersegurança identificaram uma nova versão do trojan bancário TrickMo, que utiliza a blockchain TON para suas comunicações de comando e controle. Observada entre janeiro e fevereiro de 2026, essa variante tem como alvo usuários de bancos e carteiras de criptomoedas na França, Itália e Áustria. O TrickMo, ativo desde 2019, é um malware que se aproveita dos serviços de acessibilidade do Android para sequestrar senhas de uso único (OTPs) e possui uma gama de funcionalidades, como phishing de credenciais, registro de teclas e interceptação de mensagens SMS. A nova versão, chamada TrickMo C, é distribuída por meio de aplicativos dropper que se disfarçam como versões de TikTok e Google Play Services. Uma mudança significativa na arquitetura do malware é a implementação de um proxy SOCKS5, que transforma dispositivos comprometidos em nós de saída de rede, permitindo que o tráfego malicioso seja roteado sem ser detectado. Além disso, o TrickMo inclui funcionalidades inativas que podem ser ativadas no futuro, indicando uma intenção de expandir suas capacidades. Essa evolução no malware representa um risco elevado, especialmente para instituições financeiras e usuários de criptomoedas, devido à sua capacidade de operar de forma furtiva e eficiente.

O RubyGems, gerenciador de pacotes padrão da linguagem de programação Ruby, suspendeu temporariamente o cadastro de novas contas após um ataque malicioso significativo. Maciej Mensfeld, gerente de produto sênior da Mend.io, responsável pela segurança do RubyGems, confirmou que o ataque envolve centenas de pacotes, com foco principal na plataforma, mas também com alguns pacotes que carregam exploits. A página de cadastro do RubyGems agora exibe uma mensagem informando que o registro de novas contas está temporariamente desativado. A Mend.io planeja fornecer mais detalhes assim que a situação for controlada. Este incidente ocorre em um contexto de aumento de ataques à cadeia de suprimentos de software, onde grupos de ameaças, como o TeamPCP, têm comprometido pacotes amplamente utilizados para distribuir malware que rouba credenciais e dados sensíveis. Um relatório do Google revelou que as credenciais roubadas estão sendo monetizadas através de parcerias com grupos de ransomware e extorsão de dados. O impacto total do ataque ainda não é conhecido, e a situação está em desenvolvimento.

Um estudo da Global Anti-Scam Alliance (GASA) revela que 70% dos brasileiros foram vítimas de golpes digitais nos últimos 12 meses, com uma média de 252 tentativas de fraude por pessoa. Em resposta a esse cenário alarmante, o governo federal sancionou a Lei 15.397/2026, que tipifica a ‘fraude eletrônica’ no Código Penal, estabelecendo penas de quatro a oito anos para crimes cometidos por meio de redes sociais, e-mails e ligações. A nova legislação também criminaliza o uso de ‘contas laranja’, com pena de até cinco anos. Apesar do endurecimento das penas, especialistas como Renata Salvini, da GASA, alertam que a lei sozinha não resolverá o problema, enfatizando a importância da identificação e especialização das forças de segurança. Os dados mostram que 65% dos golpes começam por ligações telefônicas, enquanto 60% das vítimas relatam perdas financeiras em compras online. O impacto emocional é significativo, com 86% das vítimas relatando estresse elevado. A GASA lançou um site para ajudar os usuários a verificar links suspeitos e acessar orientações de proteção.

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, anunciou que chegou a um acordo com o grupo de cibercrime ShinyHunters para evitar a divulgação de dados roubados em uma recente violação de segurança. O ataque afetou mais de 30 milhões de educadores e alunos em mais de 8.000 instituições de ensino ao redor do mundo. O grupo ShinyHunters reivindicou a responsabilidade pelo ataque, que resultou no roubo de mais de 3,6 TB de dados, explorando vulnerabilidades no ambiente Free-for-Teacher do Canvas. Apesar do retorno dos dados e da confirmação de sua destruição, especialistas alertam que o pagamento de resgates não garante a proteção contra futuras extorsões ou vendas dos dados a outros criminosos. A Instructure informou que está tomando medidas para reforçar a segurança de seus sistemas e que mais informações sobre o incidente serão compartilhadas em um webinar. A empresa também suspendeu temporariamente as contas Free-for-Teacher enquanto trabalha para resolver as falhas de segurança identificadas. Este incidente destaca a crescente ameaça de grupos de cibercrime e a necessidade de vigilância constante na proteção de dados educacionais.

A SAP lançou atualizações de segurança em maio de 2026 que corrigem 15 vulnerabilidades em diversos produtos, incluindo duas falhas críticas no Commerce Cloud e no S/4HANA. A primeira falha crítica, identificada como CVE-2026-34263, permite que atacantes não autenticados executem código em servidores vulneráveis devido a uma configuração inadequada do Spring Security. Isso pode resultar em uma execução arbitrária de código, comprometendo a confidencialidade, integridade e disponibilidade da aplicação. A segunda vulnerabilidade crítica, CVE-2026-34260, permite que atacantes com privilégios básicos injetem comandos SQL maliciosos, o que pode levar ao acesso não autorizado a informações sensíveis do banco de dados e até mesmo à queda da aplicação. Além dessas falhas críticas, a SAP também corrigiu uma falha de alta severidade e 11 problemas de severidade média, incluindo injeção de comandos e XSS. Embora a SAP não tenha encontrado evidências de exploração ativa dessas vulnerabilidades, a CISA já adicionou 14 falhas de segurança da SAP ao seu catálogo de vulnerabilidades conhecidas exploradas. A empresa, que é a maior fornecedora de software empresarial do mundo, atende a 99 das 100 maiores empresas globais, destacando a importância de uma resposta rápida a essas vulnerabilidades.

Uma nova campanha de supply-chain chamada Shai-Hulud comprometeu centenas de pacotes nas plataformas npm e PyPI, visando roubar credenciais de desenvolvedores. O ataque, atribuído ao grupo de ameaças TeamPCP, começou com pacotes da TanStack e Mistral AI, mas rapidamente se espalhou para projetos populares como Guardrails AI e UiPath. Os atacantes utilizaram tokens OpenID Connect (OIDC) válidos para publicar versões maliciosas de pacotes, que aparentavam ter origem legítima devido a atestações de proveniência. Entre os pacotes comprometidos estão o Bitwarden CLI e pacotes oficiais da SAP. A última onda de ataques ocorreu recentemente, com a publicação de pacotes infectados na namespace TanStack no npm. Os atacantes exploraram vulnerabilidades em workflows do GitHub, resultando na publicação de 84 versões maliciosas em 42 pacotes da TanStack. O malware é projetado para roubar segredos de desenvolvedores, incluindo tokens do GitHub Actions, credenciais do AWS e tokens do HashiCorp Vault. Para mitigar os riscos, especialistas recomendam que equipes de segurança verifiquem versões afetadas, rotacionem credenciais e bloqueiem a infraestrutura de comando e controle dos atacantes.

A OpenAI anunciou o lançamento do Daybreak, uma nova iniciativa de cibersegurança que combina capacidades avançadas de inteligência artificial (IA) com o Codex Security. O objetivo é ajudar organizações a identificar e corrigir vulnerabilidades antes que atacantes possam explorá-las. A plataforma permite que os defensores integrem revisões de código seguro, modelagem de ameaças e validação de patches no ciclo de desenvolvimento de software, aumentando a resiliência desde o início. O Daybreak utiliza três modelos de IA, incluindo o GPT-5.5, que possui salvaguardas para uso geral e versões específicas para trabalho defensivo e testes de penetração. A iniciativa já conta com a colaboração de grandes empresas como Akamai, Cisco e Cloudflare, que estão integrando essas capacidades em suas operações. O uso de ferramentas de IA tem acelerado a descoberta de problemas de segurança, mas também gerado um fenômeno conhecido como ‘fadiga de triagem’, onde mantenedores de projetos enfrentam um volume crescente de relatórios de vulnerabilidades, alguns dos quais podem ser falsos positivos gerados por IA. A discussão sobre a eficácia do prazo de divulgação de 90 dias para vulnerabilidades também foi levantada, dado que a velocidade de identificação e exploração de falhas tem diminuído esse intervalo.

A Instructure, empresa americana de tecnologia educacional e responsável pela plataforma Canvas, anunciou que chegou a um acordo com um grupo de cibercriminosos após uma violação de sua rede. O ataque resultou na ameaça de vazamento de dados de aproximadamente 9.000 instituições de ensino, incluindo escolas e universidades. A empresa revelou que decidiu pagar um resgate para evitar a divulgação das informações roubadas, que incluíam 275 milhões de registros, como nomes de usuários, endereços de e-mail e informações de matrícula. A Instructure afirmou que os dados foram devolvidos e que a destruição digital das informações foi confirmada. Além disso, a empresa está colaborando com especialistas para melhorar sua segurança cibernética e realizar uma análise forense do incidente. O ataque, atribuído ao grupo ShinyHunters, explorou uma vulnerabilidade relacionada a tickets de suporte na versão Free-for-Teacher do Canvas. Após a violação, a Instructure suspendeu temporariamente as contas dessa versão e implementou medidas de segurança adicionais. O incidente destaca a necessidade de vigilância constante contra ataques cibernéticos, especialmente em ambientes educacionais, onde dados sensíveis estão em risco.

O grupo de ameaças TeamPCP está por trás de uma recente onda de ataques à cadeia de suprimentos, comprometendo pacotes npm e PyPI de empresas como TanStack, UiPath e Mistral AI. Os pacotes npm afetados foram alterados para incluir um arquivo JavaScript ofuscado, projetado para roubar credenciais de provedores de nuvem, carteiras de criptomoedas e ferramentas de IA. Os dados são exfiltrados para um domínio que parece legítimo, dificultando a detecção. O ataque utiliza infraestrutura do Session Protocol, o que torna a detecção ainda mais desafiadora. Além disso, o malware é capaz de se manter ativo mesmo após reinicializações, injetando serviços maliciosos em ambientes de desenvolvimento como o Visual Studio Code. A TanStack identificou que o ataque envolveu um comprometimento em um fork do GitHub, permitindo que o código malicioso fosse publicado como parte de versões legítimas. Este incidente, classificado como CVE-2026-45321, possui uma pontuação CVSS de 9.6, indicando severidade crítica, afetando 42 pacotes e 84 versões no ecossistema TanStack. A campanha Mini Shai-Hulud também se espalhou para outros pacotes, incluindo alguns no PyPI, destacando a gravidade e a abrangência do ataque.

A Apple anunciou a liberação oficial do iOS 26.5, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens de Rich Communication Services (RCS) na versão beta. Essa atualização faz parte de um esforço conjunto da indústria para substituir o SMS tradicional por uma alternativa mais segura. A funcionalidade de E2EE está disponível para usuários de iPhone com iOS 26.5 e para usuários de Android que utilizam a versão mais recente do Google Messages. A criptografia é ativada por padrão em novas e antigas conversas, garantindo que as mensagens não possam ser lidas durante a transmissão entre dispositivos. A Apple destacou que os usuários poderão identificar conversas criptografadas pelo ícone de cadeado que aparecerá nas mensagens RCS. A implementação da E2EE foi testada inicialmente em versões beta anteriores e, em 2025, a GSMA anunciou apoio à criptografia para proteger mensagens enviadas via protocolo RCS. A colaboração entre Apple, Google e a GSMA é vista como um avanço significativo na segurança das comunicações móveis, estabelecendo uma base reconhecida globalmente para serviços seguros.

Um site falso que imita a IA Claude, da Anthropic, está sendo utilizado para disseminar a backdoor Beagle, que afeta sistemas Windows. A Malwarebytes identificou a ameaça, e a Sophos X-Ops aprofundou a investigação. O domínio malicioso, claude-pro.com, apresenta uma interface semelhante à da IA original e oferece um programa fictício chamado Claude-Pro Relay, destinado a desenvolvedores. Ao baixar o arquivo ZIP de 505MB, os usuários instalam um instalador MSI que, além de um atualizador de antivírus legítimo disfarçado, contém um arquivo DLL malicioso. Este DLL carrega um payload que instala a backdoor Beagle, capaz de executar comandos, transferir arquivos e até se autodeletar. A campanha está ativa desde abril de 2026 e utiliza anúncios patrocinados no Google para atrair vítimas. Este é o terceiro incidente em 2026 em que ferramentas de IA são exploradas para fins maliciosos.

Recentemente, a Nvidia confirmou um vazamento de dados relacionado ao seu serviço de jogos em nuvem, GeForce NOW. O incidente ocorreu devido a uma falha na infraestrutura de um parceiro regional, a GFN.am, que gerencia operações em países como Azerbaijão e Geórgia. Os dados comprometidos incluem nomes, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação em dois fatores (2FA), mas não houve comprometimento de senhas. O vazamento afetou apenas usuários na Armênia, e a Nvidia afirmou que não houve impacto em seus serviços operados diretamente. O grupo de hackers, que se apresentou como ShinyHunters, foi identificado como um impostor, e a GFN.am está colaborando com a Nvidia para investigar o incidente. Embora o vazamento tenha gerado preocupações, a empresa garantiu que a maioria dos usuários não foi afetada, especialmente aqueles que se registraram após 9 de março de 2026. O valor de venda dos dados vazados foi estimado em US$ 100.000, pagos em criptomoedas como Bitcoin ou Monero.

O grupo de ransomware Genesis reivindicou um ataque cibernético à CarePoint Health, uma clínica médica em Ontário, que resultou em um vazamento de dados em março de 2026. A clínica confirmou que informações sensíveis, como nomes, dados médicos, endereços e números de telefone, foram comprometidas. Genesis alegou ter roubado 70 GB de dados médicos, operacionais e financeiros da CarePoint, publicando a reivindicação em seu site de vazamento de dados. Até o momento, a CarePoint não confirmou oficialmente a alegação do grupo e não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O ataque à CarePoint é o primeiro incidente confirmado de 2026 para o grupo, que já atacou outras quatro organizações de saúde desde seu início em 2025. Os ataques de ransomware têm se tornado uma preocupação crescente no Canadá, com sete incidentes confirmados em 2026 até agora, destacando o risco significativo que essas ameaças representam para a segurança de dados e a continuidade dos serviços de saúde.

Um pesquisador de segurança lançou uma ferramenta chamada GhostLock, que demonstra como a API de arquivos do Windows pode ser explorada para bloquear o acesso a arquivos armazenados localmente ou em compartilhamentos de rede SMB. A técnica, desenvolvida por Kim Dvash da Israel Aerospace Industries, utiliza a função ‘CreateFileW’ e o parâmetro ‘dwShareMode’ para garantir acesso exclusivo a arquivos, impedindo que outros usuários ou aplicações os abram. A ferramenta automatiza o ataque, abrindo recursivamente um grande número de arquivos em compartilhamentos SMB, resultando em falhas de acesso com o erro ‘STATUS_SHARING_VIOLATION’. O ataque pode ser realizado por usuários comuns de domínio, sem necessidade de privilégios elevados, e se torna mais eficaz se executado a partir de múltiplos dispositivos comprometidos. Dvash classifica a técnica como um ataque de interrupção, semelhante a um ataque de negação de serviço, que pode ser usado como uma distração durante intrusões. Embora a técnica não cause perda de dados, ela pode sobrecarregar as equipes de TI, permitindo que atacantes realizem atividades maliciosas em outras partes do ambiente. O pesquisador também forneceu consultas SIEM e regras de detecção para ajudar as equipes de segurança a identificar esse tipo de ataque.

A Checkmarx alertou sobre a publicação de uma versão comprometida de seu plugin Jenkins Application Security Testing (AST) no Jenkins Marketplace, atribuída ao grupo hacker TeamPCP. Este incidente faz parte de uma série de ataques à cadeia de suprimentos, que também afetaram outras ferramentas como npm e Trivy. O plugin AST da Checkmarx é amplamente utilizado para integrar a segurança em pipelines automatizados de desenvolvimento. Os hackers conseguiram acessar os repositórios do GitHub da Checkmarx e injetar código malicioso, utilizando credenciais obtidas em um ataque anterior ao Trivy. A Checkmarx confirmou que a versão maliciosa do plugin foi publicada fora do pipeline oficial e não seguiu os padrões de versionamento adequados. A empresa recomendou que os usuários verifiquem se estão utilizando a versão correta do plugin e alertou que aqueles que baixaram a versão comprometida devem considerar suas credenciais como comprometidas e realizar uma rotação de segredos. A Checkmarx também disponibilizou indicadores de comprometimento (IoCs) para ajudar na detecção de possíveis infecções em ambientes de desenvolvimento.

O Procurador-Geral da Califórnia, Rob Bonta, anunciou um acordo de liquidação de US$ 12,75 milhões com a General Motors (GM) devido a alegações de violação da Lei de Privacidade do Consumidor da Califórnia (CCPA). As acusações surgiram a partir de investigações que indicaram que a GM coletou e vendeu ilegalmente dados de direção e localização de motoristas californianos para corretores de dados, como Verisk Analytics e LexisNexis Risk Solutions, entre 2020 e 2024. A coleta de dados foi realizada através da subsidiária OnStar da GM e do sistema ‘Smart Driver’, destinado a produtos de pontuação de motoristas relacionados a seguros. Além da multa, a GM deve interromper a venda de dados de direção por cinco anos, excluir dados retidos em 180 dias, solicitar a exclusão dos dados já vendidos e implementar um programa de conformidade de privacidade mais robusto. Este caso é o primeiro a focar em regras de minimização de dados e representa um marco na proteção da privacidade dos consumidores na Califórnia.

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

A Checkmarx confirmou a publicação de uma versão modificada do plugin Jenkins AST no Jenkins Marketplace, alertando os usuários para utilizarem a versão 2.0.13-829.vc72453fa_1c16, lançada em 17 de dezembro de 2025, ou versões anteriores. A nova versão, 2.0.13-848.v76e89de8a_053, foi disponibilizada, mas a empresa ainda está trabalhando em uma nova atualização. O ataque foi atribuído ao grupo cibercriminoso TeamPCP, que já havia comprometido anteriormente a imagem Docker KICS da Checkmarx, extensões do VS Code e um fluxo de trabalho do GitHub Actions para implantar malware que rouba credenciais. O acesso não autorizado ao repositório do plugin no GitHub permitiu que o grupo renomeasse o repositório para uma mensagem provocativa, evidenciando a falha na rotação de segredos por parte da Checkmarx. A rápida reentrada do TeamPCP sugere que a remediação inicial pode ter sido incompleta ou que o grupo ainda mantém um ponto de acesso não identificado. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância contínua contra tais ameaças.

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Os ataques cibernéticos modernos evoluíram, combinando técnicas como phishing gerado por IA, comprometimento de e-mails corporativos, ransomware e abuso de SaaS para acessar ambientes empresariais e interromper operações. O webinar ‘Da phishing ao impacto: Por que MSPs devem repensar segurança e recuperação’, promovido pela BleepingComputer, abordará a necessidade de as organizações não se basearem apenas na prevenção, mas também em estratégias de backup e recuperação, que se tornaram essenciais para a resiliência cibernética. Os atacantes estão cada vez mais utilizando infraestruturas confiáveis e plataformas SaaS legítimas para contornar defesas tradicionais, e muitas vezes as organizações têm dificuldade em conter ataques antes que ocorram interrupções operacionais ou perda de dados. O evento discutirá como as equipes de TI e os provedores de serviços gerenciados (MSPs) podem mitigar o impacto de ataques modernos, fortalecendo tanto a postura de segurança quanto a prontidão para recuperação. Serão abordados tópicos como a evolução do phishing impulsionado por IA, a importância de backups de SaaS e a necessidade de um plano de continuidade de negócios (BCDR) como camadas críticas de resiliência cibernética.

Pesquisadores do Google Threat Intelligence Group (GTIG) relataram que um exploit de zero-day, que visa uma popular ferramenta de administração web de código aberto, foi provavelmente gerado com o auxílio de inteligência artificial (IA). Este exploit poderia contornar a proteção de autenticação de dois fatores (2FA) do sistema, que não foi nomeado. Embora o ataque tenha sido frustrado antes de uma exploração em massa, o incidente destaca a crescente dependência de atores maliciosos em ferramentas de IA para descobrir e explorar vulnerabilidades. A análise do código do exploit, escrito em Python, sugere que um modelo de linguagem de grande porte (LLM) foi utilizado, evidenciado pela presença de docstrings educacionais e um formato estruturado típico de dados de treinamento de LLMs. Além disso, o tipo de falha explorada é uma lógica semântica de alto nível, que sistemas de IA são particularmente bons em identificar. O Google também observou que grupos de hackers da China e da Coreia do Norte têm utilizado modelos de IA para desenvolvimento de exploits, enquanto atores ligados à Rússia têm empregado código gerado por IA para ofuscar malware. O relatório alerta que os atores de ameaças estão industrializando o acesso a modelos de IA premium, utilizando infraestrutura automatizada para criação de contas e proxies.

Os resets de senha são uma resposta comum a suspeitas de comprometimento de contas, mas não resolvem completamente o problema em ambientes de Active Directory (AD) e Entra ID. Após um reset, as credenciais antigas podem permanecer válidas por um curto período, permitindo que atacantes mantenham acesso. Isso ocorre devido ao cache local de hashes de senha nos sistemas Windows e a possíveis atrasos na sincronização de senhas em ambientes híbridos. Existem três estados possíveis após um reset: o usuário logou com a nova senha, não logou em um dispositivo específico ou a nova senha ainda não foi sincronizada. Os atacantes podem explorar essas lacunas utilizando técnicas como pass-the-hash e mantendo sessões ativas com tickets Kerberos válidos. Para mitigar esses riscos, é crucial invalidar sessões ativas, revisar permissões e rotacionar senhas de contas de serviço. A implementação de soluções como o Specops uReset pode ajudar a garantir que os resets de senha sejam mais seguros e eficazes, reduzindo a exposição a ataques. A segurança das senhas no AD é vital, considerando que 44,7% das violações de dados envolvem credenciais roubadas, segundo o relatório da Verizon.

A Instructure, empresa responsável pelo Canvas, um sistema de gestão de aprendizagem amplamente utilizado, confirmou que uma vulnerabilidade de segurança permitiu que hackers modificassem portais de login do Canvas e deixassem uma mensagem de extorsão. O ataque envolveu múltiplas falhas de cross-site scripting (XSS), que possibilitaram ao invasor obter sessões administrativas autenticadas. Em 29 de abril, a Instructure detectou a violação e imediatamente revogou o acesso não autorizado, iniciando uma investigação com especialistas forenses. Dias depois, foi confirmado que dados foram roubados, totalizando mais de 3,6 terabytes de informações. O grupo ShinyHunters, responsável pelo ataque, utilizou a mesma vulnerabilidade em um segundo ataque em 7 de maio, pressionando a Instructure a negociar um resgate. A empresa tomou medidas para mitigar os danos, incluindo a suspensão temporária de contas do Canvas. Embora o ataque não tenha comprometido dados durante a defaceação, a violação inicial afetou 8.809 instituições educacionais, resultando na possível exposição de 275 milhões de registros de alunos e funcionários. A Instructure restaurou o Canvas em 9 de maio, mas a situação destaca a necessidade de vigilância contínua em sistemas educacionais.

O cenário de cibersegurança continua a ser alarmante, com novas vulnerabilidades sendo exploradas ativamente. Recentemente, a Ivanti alertou sobre a exploração de uma falha crítica (CVE-2026-6973) em seu Endpoint Manager Mobile, permitindo que usuários autenticados executem código remotamente. Além disso, uma vulnerabilidade zero-day em firewalls da Palo Alto Networks (CVE-2026-0300) também está sendo explorada, afetando cerca de 263 mil hosts expostos na Internet.

Outro destaque é o surgimento do Quasar Linux RAT, um trojan modular que transforma sistemas Linux em pontos de entrada para ataques em cadeia, utilizando uma rede P2P para comunicação entre sistemas comprometidos. A campanha PCPJack, que substitui o malware TeamPCP, visa roubar credenciais de serviços em nuvem, propagando-se lateralmente em redes.

O Google anunciou a descoberta de um ator de ameaças desconhecido utilizando um exploit de zero-day, supostamente desenvolvido com um sistema de inteligência artificial (IA). Esta é a primeira vez que a tecnologia é empregada em um contexto malicioso para a descoberta e geração de exploits. A operação, descrita como uma “operação de exploração de vulnerabilidades em massa”, envolveu a colaboração de grupos de cibercrime. O exploit, que permite contornar a autenticação de dois fatores (2FA) em uma ferramenta de administração de sistemas web de código aberto, foi implementado em um script Python. O Google trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e garantir sua correção. Embora não haja evidências de que o Google Gemini tenha sido usado, a análise sugere que um modelo de IA foi instrumental na descoberta da vulnerabilidade. Além disso, a IA está acelerando a descoberta de vulnerabilidades e permitindo o desenvolvimento de malware polimórfico, como o PromptSpy, que pode monitorar atividades do usuário e capturar dados biométricos. O uso de IA por grupos de ameaças, incluindo grupos ligados à China e à Coreia do Norte, tem se intensificado, levantando preocupações sobre a segurança cibernética em um cenário global cada vez mais complexo.

No final de semana, o grupo de ransomware Lynx reivindicou um ataque ocorrido em março de 2026 na St Anne’s Catholic School, em Southampton, Reino Unido. O grupo afirma ter roubado informações confidenciais, dados financeiros e contratos da instituição. Em um comunicado enviado aos pais no dia 22 de março, a escola confirmou o ataque e permaneceu fechada por quatro dias, reabrindo em 27 de março. O diretor, Julian Waterfield, afirmou que não há evidências de que dados tenham sido comprometidos, ressaltando que o impacto foi a perda temporária de controle sobre a rede da escola. O Lynx, que opera sob um modelo de Ransomware-as-a-Service (RaaS), realiza ataques em duas etapas: primeiro, criptografa os sistemas e exige um resgate, e segundo, mantém os dados roubados como moeda de troca. Até o momento, a St Anne’s não confirmou as alegações do Lynx sobre o roubo de dados ou se um resgate foi pago. Este é o primeiro ataque confirmado a uma instituição educacional pelo grupo, que tem como alvo principal organizações governamentais e empresas. Até agora, em 2026, foram registrados 120 ataques de ransomware no Reino Unido, com seis confirmados pelas vítimas.

Uma nova variante do malware TrickMo, focada em bancos, foi identificada em campanhas que visam usuários na Europa, especialmente na França, Itália e Áustria. Desde sua primeira aparição em setembro de 2019, o TrickMo tem passado por constantes atualizações e agora se disfarça como aplicativos populares, como TikTok e plataformas de streaming. A análise da ThreatFabric revela que essa versão, chamada ‘Trickmo.C’, utiliza a rede descentralizada The Open Network (TON) para comunicações furtivas com seus operadores, dificultando a identificação e bloqueio do servidor. O malware é modular e opera em duas etapas: um APK que atua como carregador e um segundo APK que executa funções ofensivas, como roubo de credenciais bancárias, keylogging e interceptação de SMS. Novas capacidades incluem suporte a proxy SOCKS5 e tunelamento SSH. Os usuários de Android são aconselhados a baixar aplicativos apenas do Google Play e a manter o Play Protect ativo para se proteger contra essa ameaça crescente.

Um repositório malicioso no Hugging Face conseguiu enganar usuários ao se passar pelo modelo Privacy Filter da OpenAI, resultando na distribuição de um malware ladrão de informações para usuários do Windows. O projeto, intitulado Open-OSS/privacy-filter, copiou a descrição do modelo legítimo da OpenAI para atrair downloads. Após a descoberta, o acesso ao repositório foi desativado. O malware, que utiliza um script Python para executar código malicioso, desativa a verificação SSL e baixa um script adicional que eleva privilégios e configura exclusões no Microsoft Defender. O ladrão de informações coleta dados sensíveis, como capturas de tela e informações de carteiras de criptomoedas, e exfiltra os dados para um domínio controlado pelos atacantes. O repositório malicioso alcançou rapidamente a primeira posição na lista de tendências do Hugging Face, com cerca de 244 mil downloads em apenas 18 horas, sugerindo que os números foram manipulados para criar uma falsa sensação de confiança. Além disso, foram identificados outros seis repositórios com características semelhantes, indicando uma operação mais ampla de ataque a ecossistemas de código aberto.

Uma nova campanha de malvertising está explorando o Google Ads e chats compartilhados do Claude.ai para disseminar malware entre usuários de macOS. Pesquisadores identificaram que ao buscar por ‘Claude mac download’, os usuários podem encontrar anúncios patrocinados que direcionam para um guia de instalação malicioso disfarçado de suporte oficial da Apple. O ataque foi descoberto por Berk Albayrak, engenheiro de segurança do Trendyol Group, que alertou sobre a presença de chats compartilhados que contêm instruções para executar comandos no Terminal do macOS, resultando na instalação silenciosa de malware.

Um estudo recente revelou que a maioria dos usuários de smartphones confia nas ferramentas de segurança integradas em seus dispositivos, ignorando a necessidade de proteção adicional. Apenas 18% dos entrevistados pagam por software antivírus de terceiros, enquanto 14% não possuem nenhuma ferramenta de cibersegurança instalada. A pesquisa, realizada com mais de 1.000 adultos americanos, mostra que a adoção de antivírus pagos em dispositivos móveis caiu 10% nos últimos anos, enquanto no desktop, o uso de soluções pagas cresceu. Os usuários acreditam que as funcionalidades de segurança já disponíveis em seus smartphones são suficientes, o que pode ser um erro, dado o aumento das ameaças cibernéticas, como ataques de ransomware. Embora a maioria dos usuários combine diferentes abordagens de segurança, muitos ainda estão desinformados sobre as proteções que possuem. Marcas estabelecidas como McAfee e Norton continuam a dominar o mercado de antivírus pagos, enquanto soluções menos conhecidas enfrentam dificuldades para ganhar a confiança dos consumidores.

As autoridades alemãs encerraram uma versão relançada do mercado criminoso ‘Crimenetwork’, que gerou mais de 3,6 milhões de euros. O Crimenetwork, que operava desde 2012, era o maior mercado de cibercrime online na Alemanha, com cerca de 100.000 usuários registrados, permitindo a venda de serviços ilegais, substâncias e dados roubados. Em dezembro de 2024, o Ministério Público de Frankfurt, em conjunto com a Polícia Criminal Federal, desmantelou a operação, prendendo um dos administradores. No entanto, poucos dias após o fechamento, uma nova versão do Crimenetwork foi lançada, gerida por um novo operador. Recentemente, um homem de 35 anos foi preso em Mallorca, Espanha, sob um mandado de prisão europeu, acusado de administrar essa nova versão, que rapidamente atraiu 22.000 usuários e mais de 100 vendedores. A nova plataforma também gerou pelo menos 3,6 milhões de euros em receita. As autoridades apreenderam cerca de 194.000 euros em ativos ilícitos e coletaram dados de usuários e transações para investigações futuras. O diretor da Polícia Criminal Federal da Alemanha afirmou que o relançamento do Crimenetwork falhou e que o novo administrador enfrentará a justiça. O operador original já havia sido condenado a sete anos e 10 meses de prisão e a devolução de mais de 10 milhões de euros em lucros criminosos.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no framework open-source Ollama, que permite a execução local de grandes modelos de linguagem. A falha, identificada como CVE-2026-7482, possui um CVSS de 9.1 e pode afetar mais de 300.000 servidores globalmente. A vulnerabilidade é um erro de leitura fora dos limites que permite a um atacante remoto e não autenticado vazar toda a memória do processo do Ollama. O problema se origina do uso do pacote ‘unsafe’ na criação de modelos a partir de arquivos GGUF, permitindo que um arquivo malicioso provoque a leitura de dados sensíveis, como variáveis de ambiente e chaves de API. Além disso, duas falhas não corrigidas no mecanismo de atualização do Ollama para Windows podem permitir a execução de código persistente. Os usuários são aconselhados a aplicar correções, limitar o acesso à rede e implementar um proxy de autenticação. A situação é crítica, pois pode comprometer informações sensíveis de organizações que utilizam o Ollama.

Um estudo realizado por pesquisadores da UNSW Sydney e da QUT revelou que a inteligência artificial (IA) pode criar perfis pessoais detalhados a partir de padrões de anúncios do Facebook, sem precisar acessar dados pessoais ou históricos de navegação dos usuários. A pesquisa analisou mais de 435 mil anúncios coletados de 891 australianos e demonstrou que a IA consegue inferir características como gênero, idade, educação, emprego, preferências políticas e situação econômica apenas com a exposição a anúncios. O processo é 200 vezes mais barato e 50 vezes mais rápido do que a análise humana. Além disso, mesmo sessões curtas de navegação fornecem dados suficientes para a IA construir perfis precisos. Os pesquisadores alertam que extensões de navegador, como bloqueadores de anúncios, podem ser vetores de ataque, pois requerem permissões para acessar o conteúdo das páginas, o que pode ser explorado para coletar informações sobre os anúncios vistos. A situação é preocupante, pois não há necessidade de hacking, e a plataforma de anúncios não percebe que seu sistema está sendo usado como uma ferramenta de vigilância. Para proteger a privacidade online, é recomendado ter cuidado com as extensões de navegador e ajustar as configurações de privacidade, embora uma VPN não ofereça proteção contra esse tipo de coleta de dados. Os pesquisadores defendem que as leis de privacidade devem evoluir para proteger as inferências feitas a partir do consumo passivo de conteúdo.

O site do popular gerenciador de downloads JDownloader foi comprometido entre os dias 6 e 7 de maio de 2026, resultando na distribuição de instaladores maliciosos para Windows e Linux. Os atacantes alteraram os links de download para direcionar os usuários a payloads maliciosos, incluindo um trojan de acesso remoto baseado em Python. O incidente foi inicialmente relatado por um usuário no Reddit, que percebeu que os instaladores estavam sendo sinalizados como software malicioso pelo Microsoft Defender. Os desenvolvedores do JDownloader confirmaram a violação e tomaram o site offline para investigação. A vulnerabilidade explorada permitiu que os atacantes modificassem listas de controle de acesso do site sem autenticação. Apenas os links de download alternativos para Windows e o instalador Linux foram afetados, enquanto outras versões do software permaneceram seguras. Os usuários que baixaram os instaladores comprometidos são aconselhados a reinstalar seus sistemas operacionais e redefinir senhas, pois credenciais podem ter sido comprometidas. O ataque destaca a crescente tendência de hackers visando sites de ferramentas de software populares para disseminar malware.