A Google confirmou a exploração da vulnerabilidade de segurança CVE-2026-21385, que afeta dispositivos Android devido a uma falha em um componente da Qualcomm. Essa vulnerabilidade, classificada como de alta severidade, permite que hackers acessem dados sensíveis da memória dos aparelhos. A Qualcomm foi notificada sobre o problema em dezembro de 2025 e, embora tenha alertado os consumidores em fevereiro de 2026, a Google não forneceu detalhes técnicos sobre como a falha foi explorada. A vulnerabilidade se refere a uma leitura excessiva (over-read) no componente gráfico, que pode levar à corrupção de memória e, consequentemente, comprometer a segurança dos usuários. Apesar de a Google ter mencionado que a exploração foi limitada e direcionada, a falta de informações detalhadas gera preocupações sobre a segurança dos dispositivos Android. A última atualização do Android, lançada em março de 2026, abordou 120 vulnerabilidades, mas não incluiu um patch específico para a falha da Qualcomm, deixando os usuários em uma situação de incerteza até que novas atualizações sejam disponibilizadas.

Um estudo da VulnCheck revelou que, embora milhares de falhas de segurança sejam registradas anualmente, apenas 1% delas é explorado por hackers, resultando em danos significativos. Em 2025, foram identificadas 48 mil vulnerabilidades, mas apenas algumas foram alvo de ciberataques, com destaque para o React2Shell, que permitiu a violação de sistemas de segurança em plataformas online. Além disso, vulnerabilidades no Microsoft SharePoint e no SAP NetWeaver também foram frequentemente exploradas. A pesquisa indicou que 56,4% das falhas estão relacionadas a ataques de ransomware, um dado alarmante para a segurança digital. O uso crescente de inteligência artificial (IA) para gerar códigos maliciosos tem contribuído para um aumento de 16,5% nos exploits em comparação ao ano anterior, tornando os ataques mais rápidos e eficazes. A situação exige atenção redobrada das empresas, especialmente em um cenário onde a maioria das falhas ainda é considerada de dia zero, aumentando o risco antes que correções sejam implementadas.

O aplicativo de mensagens Telegram tem se tornado um ponto central para atividades criminosas, com hackers utilizando a plataforma para vender acessos corporativos, dados roubados e serviços de malware. Pesquisadores da CYFIRMA identificaram um aumento na utilização do Telegram para operações ilegais, que antes eram realizadas principalmente em fóruns da dark web. Essa mudança se deve à facilidade de uso e à resistência da plataforma a desativações frequentes por parte das autoridades. Os grupos criminosos no Telegram operam como um ‘shopping center automatizado’, utilizando bots para encontrar senhas roubadas e processar pagamentos rapidamente. Além disso, o Telegram serve como um canal de suporte para esses criminosos, oferecendo ferramentas e recursos para facilitar suas atividades. Apesar de o Telegram ter colaborado com autoridades, atendendo a 900 solicitações de dados nos EUA, essa ação não tem sido suficiente para conter o crescimento desses grupos. A situação exige uma resposta mais robusta, já que a simples vigilância após incidentes não tem se mostrado eficaz para mitigar os danos causados por essas comunidades criminosas.

A Epic Games emitiu um alerta sobre um golpe que está afetando jogadores de Fortnite, onde bots de terceiros estão manipulando contas para roubar V-bucks, a moeda do jogo. Desde que a empresa permitiu transações em Ilhas Criativas, surgiram problemas, incluindo um mapa polêmico que facilitava jogos de azar. Jogadores relataram perdas significativas de V-bucks, mesmo sem terem jogado na ilha envolvida. Tim Sweeney, CEO da Epic, mencionou que bots de Discord estão por trás do problema, realizando compras automáticas e ações em nome dos usuários. Apesar das recomendações da Epic para desconectar contas e habilitar autenticação em duas etapas, alguns jogadores ainda enfrentam dificuldades para se livrar dos bots. O suporte do Fortnite ainda não se manifestou sobre a restituição das moedas perdidas, mas orienta os afetados a reportar as compras indevidas. Este incidente destaca a vulnerabilidade das contas de jogos online e a necessidade de medidas de segurança mais robustas.

A AdGuard lançou recentemente duas extensões focadas em privacidade para o navegador do Meta Quest: o AdGuard Ad Blocker e o AdGuard VPN. Essas ferramentas visam melhorar a experiência de navegação em realidade virtual, que frequentemente é vulnerável a rastreamento e anúncios intrusivos. O bloqueador de anúncios remove anúncios, rastreadores e pop-ups, enquanto a extensão VPN oferece anonimato e acesso a conteúdos geograficamente restritos, criptografando o tráfego do navegador e mascarando o endereço IP do usuário. Essa iniciativa é significativa, pois marca um avanço na personalização e controle do usuário dentro do metaverso, onde a navegação pode ser tão suscetível a ameaças quanto em dispositivos tradicionais. As extensões são compatíveis com os headsets Quest 2, Quest Pro, Quest 3 e Quest 3S, e a instalação é feita diretamente no navegador do dispositivo. A AdGuard se posiciona como uma das primeiras a oferecer essas soluções no ecossistema ainda em desenvolvimento do Meta Quest, destacando a importância de uma navegação segura e sem distrações em ambientes imersivos.

A Cisco identificou duas falhas de segurança no Catalyst SD-WAN Manager, software de gerenciamento de rede, que estão sendo ativamente exploradas. As vulnerabilidades, identificadas como CVE-2026-20128 e CVE-2026-20122, exigem que os administradores atualizem seus dispositivos vulneráveis. A CVE-2026-20122 é uma falha de alta severidade que permite a sobrescrita arbitrária de arquivos, acessível apenas a atacantes remotos com credenciais de leitura e acesso à API. Já a CVE-2026-20128 é uma falha de severidade média que requer credenciais válidas no sistema alvo. Além disso, a Cisco também destacou uma vulnerabilidade crítica (CVE-2026-20127) que permite a bypass de autenticação, permitindo que atacantes sofisticados comprometam controladores e adicionem dispositivos maliciosos às redes desde 2023. A CISA emitiu uma diretiva de emergência, exigindo que agências federais realizem inventários e apliquem atualizações. Recentemente, a Cisco lançou atualizações de segurança para corrigir falhas em seu software Secure Firewall Management Center, que também podem ser exploradas remotamente. É crucial que as organizações que utilizam esses sistemas realizem as atualizações necessárias para evitar compromissos de segurança.

Autoridades de segurança da Espanha e da Ucrânia desmantelaram uma rede criminosa que explorava mulheres ucranianas deslocadas pela guerra para operar um esquema de apostas online que lavou cerca de €4,75 milhões em lucros ilícitos. O grupo recrutava jovens mulheres de áreas em conflito, financiando sua viagem para a Espanha, onde as mantinham sob controle rigoroso. Após a chegada, as vítimas eram orientadas a abrir contas bancárias e cartões de crédito, que eram imediatamente controlados pelos criminosos. As contas eram utilizadas em uma operação de fraude automatizada, que realizava milhares de apostas simultâneas em plataformas de jogos online, utilizando identidades roubadas de mais de 5.000 cidadãos de 17 nacionalidades. A investigação conjunta resultou na prisão de 12 suspeitos e na apreensão de diversos equipamentos e propriedades, além do bloqueio de contas em 11 países. Este caso destaca a vulnerabilidade das mulheres em situações de conflito e a utilização de tecnologia para fraudes financeiras.

O Relatório de Segurança dos Navegadores 2026 revela que os navegadores se tornaram o ponto de controle mais crítico e menos protegido nas empresas. Com a evolução dos navegadores nativos de IA, que passaram de ferramentas experimentais para plataformas de negócios, a forma como os usuários interagem com dados e aplicações mudou drasticamente. Em 2025, 41% dos usuários finais utilizaram pelo menos uma ferramenta de IA, mas a governança não acompanhou essa adoção, resultando em um uso fragmentado e inseguro. O relatório destaca que 54% das entradas sensíveis em aplicativos web foram enviadas para contas corporativas, enquanto 46% foram para contas pessoais, evidenciando a vulnerabilidade na proteção de dados. Além disso, ataques baseados em navegadores, como phishing e extensões maliciosas, estão se tornando mais comuns, enquanto as soluções tradicionais de segurança falham em detectar essas ameaças. O uso de extensões de navegador, muitas vezes consideradas inofensivas, representa um risco significativo, com 13% delas classificadas como de alto ou crítico risco. O relatório conclui que as estratégias de segurança precisam evoluir para incluir visibilidade e controle nativos dos navegadores, a fim de mitigar esses riscos emergentes.

O Google Threat Intelligence Group (GTIG) identificou 90 vulnerabilidades zero-day ativamente exploradas em 2025, um aumento de 15% em relação a 2024, mas abaixo do recorde de 100 em 2023. Quase metade dessas falhas afetou software e dispositivos empresariais. As vulnerabilidades zero-day são falhas de segurança em produtos de software que são exploradas por atacantes antes que o fornecedor tome conhecimento e desenvolva um patch. Em 2025, 47 zero-days visaram plataformas de usuários finais e 43, produtos empresariais. Os tipos de falhas exploradas incluem execução remota de código, escalonamento de privilégios e corrupção de memória, com problemas de segurança de memória representando 35% das vulnerabilidades exploradas. O relatório destaca que a Microsoft foi o fornecedor mais visado, com 25 zero-days explorados. Além disso, pela primeira vez, fornecedores de spyware comerciais superaram grupos de espionagem patrocinados pelo estado em termos de uso de falhas não documentadas. O uso de ferramentas de IA para automatizar a descoberta de vulnerabilidades pode manter a exploração de zero-days alta em 2026. O GTIG recomenda a redução da superfície de ataque e a monitorização contínua para detectar e conter essas explorações.

Um grupo de ameaças ligado ao Irã, identificado como Dust Specter, está sendo responsabilizado por uma campanha de ciberataques direcionada a autoridades governamentais do Iraque. A campanha, observada pela Zscaler ThreatLabz em janeiro de 2026, utiliza técnicas de engenharia social para se passar pelo Ministério das Relações Exteriores do Iraque e distribuir um conjunto de malwares inéditos, incluindo SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.

Os ataques começam com um arquivo RAR protegido por senha, que contém um dropper .NET chamado SPLITDROP. Este dropper carrega o módulo TWINTASK, que é um DLL malicioso que se infiltra em um processo legítimo do VLC Media Player para executar comandos a partir de um arquivo de texto. O módulo TWINTALK, por sua vez, atua como um orquestrador de comando e controle (C2), permitindo a comunicação com o servidor C2.

Recentes desenvolvimentos em cibersegurança revelam uma rápida evolução no cenário de ameaças. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) alertou sobre uma campanha de phishing que visa instituições governamentais, utilizando e-mails maliciosos para disseminar malwares como SHADOWSNIFF e SALATSTEALER. Além disso, um novo serviço de malware como serviço (MaaS) chamado TrustConnect está sendo utilizado para distribuir um RAT (Remote Access Trojan) disfarçado de ferramenta legítima de gerenciamento remoto.

A Cisco divulgou que duas vulnerabilidades críticas no Catalyst SD-WAN Manager estão sendo ativamente exploradas. As falhas, identificadas como CVE-2026-20122 e CVE-2026-20128, têm pontuações CVSS de 7.1 e 5.5, respectivamente. A primeira permite que um atacante remoto autenticado sobrescreva arquivos arbitrários no sistema, enquanto a segunda possibilita que um atacante local obtenha privilégios de usuário do Data Collection Agent (DCA). Para mitigar os riscos, a Cisco lançou patches para diversas versões do software, recomendando que os usuários atualizem imediatamente para versões corrigidas e adotem medidas de segurança adicionais, como restringir o acesso a redes não seguras e monitorar o tráfego de logs. A empresa também alertou sobre uma falha crítica anterior (CVE-2026-20127) que foi explorada por um ator de ameaças sofisticado, destacando a necessidade urgente de atenção à segurança em ambientes corporativos. As vulnerabilidades afetam um produto amplamente utilizado, o que aumenta a relevância para empresas que dependem da tecnologia da Cisco.

Organizações frequentemente acreditam que dados criptografados estão seguros, mas a realidade é que muitos atacantes estão se preparando para um futuro em que a criptografia atual poderá ser quebrada, especialmente com o advento da computação quântica. A técnica conhecida como ‘colher agora, decifrar depois’ implica que dados sensíveis transmitidos hoje podem ser acessíveis anos depois, quando a capacidade quântica se tornar mais avançada. Para mitigar esse risco, é essencial que as empresas adotem práticas de criptografia pós-quântica, como a criptografia híbrida, que combina algoritmos tradicionais com algoritmos resistentes a quânticos, como o ML-KEM. O webinar ‘Segurança Preparada para o Futuro’ abordará como implementar essas estratégias e a importância de manter a visibilidade sobre os algoritmos criptográficos utilizados. As organizações devem identificar dados sensíveis, entender onde a criptografia é aplicada e começar a adotar essas novas estratégias de proteção. Além disso, a arquitetura de Zero Trust é fundamental para garantir o controle sobre o tráfego criptografado. Preparar-se para a era quântica é crucial para proteger informações críticas, especialmente em setores que exigem confidencialidade a longo prazo.

A Europol, em colaboração com forças policiais de vários países, incluindo Portugal e o Reino Unido, desmantelou a Tycoon 2FA, uma das maiores plataformas de phishing como serviço (PhaaS) do mundo. Essa operação, que ocorreu em agosto de 2023, conseguiu desativar 330 domínios que formavam a infraestrutura central da plataforma, que permitia a cibercriminosos contornar a autenticação de dois fatores (2FA) com facilidade. A Tycoon 2FA operava como um ataque de adversário no meio (AiTM), interceptando credenciais de login e cookies de sessão, permitindo acesso não autorizado a contas de usuários, mesmo aquelas protegidas por múltiplas camadas de segurança. A plataforma era bastante popular no submundo digital, gerando cerca de 400 mil dólares em criptomoedas em menos de um ano e enviando milhões de e-mails de phishing mensalmente, afetando quase 100 mil organizações globalmente, incluindo instituições educacionais e de saúde. A operação contou com o apoio de empresas como Microsoft e Cloudflare, que ajudaram a identificar e desativar os domínios utilizados pelos atacantes.

Evgenii Ptitsyn, um cidadão russo de 43 anos, se declarou culpado por um esquema de fraude eletrônica relacionado à operação de ransomware Phobos, que afetou centenas de vítimas em todo o mundo. O Phobos, uma operação de ransomware como serviço (RaaS) ligada à família Crysis, foi responsável por mais de 39 milhões de dólares em pagamentos de resgate de mais de 1.000 entidades públicas e privadas. Ptitsyn foi extraditado da Coreia do Sul em novembro de 2024 e acusado de supervisionar a venda e distribuição do ransomware. Os afiliados do Phobos invadiam redes de alvos, incluindo escolas e hospitais, utilizando credenciais roubadas, criptografando dados sensíveis e exigindo pagamento sob ameaça de vazamento. A operação Aether, coordenada pela Europol, resultou em detenções e apreensões de equipamentos relacionados ao Phobos, destacando a colaboração internacional no combate a esse tipo de crime cibernético. Ptitsyn enfrenta até 20 anos de prisão e sua sentença está marcada para 15 de julho de 2025.

Uma operação conjunta de agências de segurança desmantelou o LeakBase, um dos maiores fóruns online para cibercriminosos, que contava com mais de 142 mil membros e 215 mil mensagens. O fórum, que estava ativo desde junho de 2021, era um mercado para a compra e venda de dados roubados e ferramentas de cibercrime, incluindo credenciais de contas e informações financeiras. O FBI e a Europol lideraram a operação, que ocorreu nos dias 3 e 4 de março de 2026, resultando em buscas, prisões e a apreensão de dados dos usuários, como contas, mensagens privadas e logs de IP. O LeakBase tinha uma política que proibia a venda de bancos de dados russos, possivelmente para evitar a atenção das autoridades. A operação foi parte de um esforço internacional para combater o cibercrime, com ações em vários países, incluindo EUA, Austrália e Reino Unido. O impacto da operação é significativo, pois o LeakBase era uma plataforma central para a troca de informações que poderiam ser usadas em fraudes e invasões de contas.

O Tycoon 2FA, um dos principais kits de phishing como serviço (PhaaS), foi desmantelado por uma coalizão de agências de segurança e polícia. Lançado em agosto de 2023, o kit permitiu que cibercriminosos realizassem ataques de coleta de credenciais em larga escala, afetando quase 100 mil organizações globalmente, incluindo escolas e hospitais. O kit, que era vendido por meio de plataformas como Telegram e Signal, oferecia um painel de administração web para configurar e monitorar campanhas de phishing, permitindo o acesso a informações sensíveis, como credenciais e códigos de autenticação multifatorial (MFA). O desmantelamento resultou na remoção de 330 domínios associados ao serviço criminoso, que gerava dezenas de milhões de e-mails de phishing mensalmente. A Europol e a Microsoft relataram que o Tycoon 2FA foi responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft até meados de 2025. A análise geográfica revelou que os EUA tinham a maior concentração de vítimas, seguidos pelo Reino Unido e Canadá. O impacto desses ataques é significativo, pois pode levar a sequestros de contas e perda de dados sensíveis.

Um estudo recente da King’s College London revelou que modelos de IA, como GPT-5.2, Claude Sonnet 4 e Gemini 3 Flash, tratam ameaças nucleares como uma ferramenta estratégica comum em 95% dos jogos de guerra simulados. Os pesquisadores analisaram como essas IAs, atuando como líderes de estados, lidavam com crises geopolíticas, onde frequentemente recorriam a ameaças de aniquilação nuclear. Embora a guerra nuclear em larga escala tenha sido rara nas simulações, as ameaças táticas de uso nuclear foram predominantes. Os modelos de IA mostraram uma tendência a não recuar em confrontos, optando por escalonamento em vez de acomodação, o que sugere que eles veem as armas nucleares mais como instrumentos de coerção do que como um tabu. Essa abordagem pode ser atribuída à grande quantidade de dados de treinamento que refletem a estratégia nuclear, um tema amplamente discutido nas últimas oito décadas. A pesquisa levanta preocupações sobre a segurança da integração de IA em sistemas de defesa governamentais, uma vez que esses modelos não possuem a mesma cautela ética que os líderes humanos ao considerar o uso de armamentos nucleares.

A Bitwarden anunciou uma nova funcionalidade que permite o login em dispositivos com Windows 11 utilizando passkeys armazenadas em seu cofre, oferecendo uma autenticação resistente a phishing. Essa nova opção está disponível para todos os planos, incluindo o gratuito, e funciona ao selecionar a opção de chave de segurança e escanear um código QR com um dispositivo móvel para confirmar o acesso à passkey. Para utilizar essa funcionalidade, é necessário que os dispositivos estejam conectados ao Entra ID, que a autenticação via chave de segurança FIDO2 esteja habilitada e que a passkey esteja registrada no cofre da Bitwarden. A Bitwarden atua como provedora de passkeys no fluxo de autenticação do Windows, permitindo que as credenciais sejam armazenadas em um cofre sincronizado, ao invés de estarem vinculadas a um único dispositivo. Essa abordagem reduz significativamente o risco de exposição de credenciais a ataques de phishing, uma vez que elimina a necessidade de inserir senhas durante o processo de login. A Microsoft planeja implementar essa funcionalidade ainda este mês, dependendo da configuração do Entra ID. Essa inovação representa um avanço significativo na segurança de autenticação em sistemas operacionais.

O Google está desenvolvendo soluções para tornar os certificados HTTPS resistentes a ataques de computadores quânticos, sem comprometer a usabilidade da internet. A computação quântica apresenta novas vulnerabilidades à criptografia clássica, especialmente com a possibilidade do algoritmo de Shor, que pode forjar assinaturas digitais e quebrar chaves em logs de certificados. Para mitigar esses riscos, o Google propõe a integração de algoritmos criptográficos pós-quânticos, como o ML-DSA, e a utilização de Certificados de Árvore de Merkle (MTCs), que condensam a verificação de milhões de certificados em provas compactas. Essa abordagem visa garantir que forjamentos só sejam bem-sucedidos se os atacantes quebrarem simultaneamente a criptografia clássica e a resistente a quântica. No entanto, o aumento no tamanho dos dados criptografados pode impactar a velocidade das conexões, o que é uma preocupação para a experiência do usuário. O Google já implementou MTCs no Chrome e está colaborando com a Cloudflare para testar a performance de cerca de 1.000 certificados. A Internet Engineering Task Force (IETF) também está trabalhando em padrões para essa nova era de segurança.

O Conselho das Crianças de San Francisco confirmou um vazamento de dados ocorrido em 3 de agosto de 2025, afetando 12.655 pessoas. Os dados comprometidos incluem nomes e números de Seguro Social, mas não está claro se pertencem a crianças. Duas semanas após o incidente, o grupo criminoso SafePay reivindicou a responsabilidade pelo ataque em seu site de vazamento de dados, exigindo um pagamento de resgate em 24 horas para excluir as informações roubadas. O Conselho não confirmou se pagou o resgate e está oferecendo 12 meses de monitoramento de crédito gratuito e um seguro contra roubo de identidade de até US$ 1 milhão para as vítimas. SafePay, um grupo de ransomware ativo desde 2024, utiliza um esquema de dupla extorsão, onde exige pagamento tanto para restaurar sistemas quanto para deletar dados roubados. Em 2025, o grupo foi responsável por 374 ataques, afetando cerca de 17 milhões de pessoas. O aumento de ataques de ransomware nos EUA, com 653 incidentes confirmados em 2025, destaca a vulnerabilidade de organizações sem fins lucrativos e serviços sociais, como o Conselho das Crianças de San Francisco.

Um novo conjunto de 23 exploits para iOS, denominado ‘Coruna’, foi identificado em campanhas de espionagem e ataques financeiros. O kit inclui cinco cadeias de exploits sofisticados, que utilizam técnicas não documentadas para versões do iOS de 13.0 a 17.2.1. A primeira atividade relacionada ao Coruna foi observada em fevereiro de 2025, associada a um fornecedor de vigilância. Um exploit específico, CVE-2024-23222, permitiu a execução remota de código e foi corrigido pela Apple em janeiro de 2024. O kit foi utilizado em ataques direcionados a usuários de iPhone que acessavam sites comprometidos, especialmente na Ucrânia, e também em sites falsos de jogos e criptomoedas na China. O Coruna é capaz de identificar a versão do dispositivo e selecionar a cadeia de exploits adequada, parando se o Modo de Bloqueio estiver ativo. Após a exploração, um carregador chamado PlasmaLoader é injetado, visando aplicativos de carteira de criptomoedas. A análise sugere que o Coruna evoluiu de um uso em espionagem para atividades criminosas em larga escala, levantando preocupações sobre a segurança dos usuários comuns de iPhone. A Google recomenda que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio se a atualização não for possível.

A Cisco divulgou atualizações de segurança para corrigir duas vulnerabilidades de gravidade máxima em seu software Secure Firewall Management Center (FMC). Essas falhas, identificadas como CVE-2026-20079 e CVE-2026-20131, podem ser exploradas remotamente por atacantes não autenticados. A primeira vulnerabilidade permite o bypass de autenticação, possibilitando que atacantes obtenham acesso root ao sistema operacional subjacente. A segunda, uma vulnerabilidade de execução remota de código (RCE), permite a execução de código Java arbitrário como root em dispositivos não corrigidos. Ambas as falhas afetam o Cisco Secure FMC, mas a CVE-2026-20131 também impacta o Cisco Security Cloud Control (SCC). Até o momento, não há evidências de que essas vulnerabilidades tenham sido exploradas em ataques. A Cisco também corrigiu outras falhas de segurança, incluindo 15 de alta gravidade em diversos produtos. A empresa já havia alertado sobre outra vulnerabilidade crítica em agosto, que permitia a injeção de comandos shell por atacantes não autenticados. Dada a gravidade das falhas, é crucial que as organizações atualizem seus sistemas o mais rápido possível.

A LastPass, fornecedora de software de gerenciamento de senhas, emitiu um alerta sobre uma campanha de phishing que visa seus usuários. Os atacantes estão enviando e-mails que imitam representantes da LastPass, utilizando nomes de exibição falsificados e linhas de assunto que simulam conversas internas sobre solicitações de alteração de e-mail. Os e-mails contêm links que direcionam os usuários a uma página de login falsa, hospedada no domínio ‘verify-lastpass[.]com’, onde as credenciais dos usuários são coletadas. A LastPass esclareceu que sua infraestrutura não foi comprometida e que seus agentes de suporte nunca solicitarão a senha mestra dos usuários. A empresa está colaborando com parceiros para desativar os sites falsos e recomenda que os usuários relatem comunicações suspeitas. Este não é o primeiro incidente desse tipo; a LastPass já havia alertado anteriormente sobre campanhas de phishing semelhantes. A popularidade da LastPass a torna um alvo frequente para esses ataques, que frequentemente utilizam táticas de engenharia social para induzir os usuários a agir rapidamente e fornecer suas informações pessoais.

A Microsoft lançou a atualização KB5075039 para o Windows 10, visando corrigir um problema que impedia alguns usuários de acessar o Ambiente de Recuperação do Windows (WinRE). O WinRE é uma ferramenta essencial para diagnosticar falhas no sistema, reparar o sistema operacional e remover malware. Em outubro de 2025, a Microsoft havia confirmado que a atualização KB5066835 para o Windows 11 causou problemas com a entrada de mouse e teclado USB no WinRE, dificultando o uso da ferramenta. Embora uma correção tenha sido rapidamente disponibilizada, a empresa só revelou em fevereiro que a atualização KB5068164 para o Windows 10 também causou falhas no WinRE. A nova atualização KB5075039 corrige esse problema, permitindo que o WinRE inicie corretamente após a instalação da atualização anterior. Para aplicar a atualização, a partição do WinRE deve ter pelo menos 256MB; caso contrário, o tamanho da partição precisará ser aumentado, sendo recomendável realizar um backup dos dados antes de qualquer alteração nas partições.

Uma vulnerabilidade de severidade máxima foi identificada na plataforma FreeScout, que permite a execução remota de código (RCE) sem interação do usuário ou autenticação. A falha, identificada como CVE-2026-28289, contorna uma correção anterior (CVE-2026-27636) que afetava usuários autenticados com permissões de upload. Pesquisadores da OX Security descobriram que um atacante pode explorar essa vulnerabilidade enviando um e-mail malicioso para qualquer endereço configurado no FreeScout. O problema reside na manipulação de nomes de arquivos, onde um espaço em branco invisível (Unicode U+200B) pode ser adicionado antes do nome do arquivo, permitindo que ele seja salvo como um arquivo oculto e contorne as verificações de segurança. A exploração pode resultar em comprometimento total do servidor, violação de dados e interrupção de serviços. A versão 1.8.207 do FreeScout, lançada recentemente, corrige essa falha, mas recomenda-se desabilitar a configuração ‘AllowOverrideAll’ no Apache para maior segurança. Embora não haja exploração ativa observada até o momento, a natureza da vulnerabilidade indica um alto risco de atividade maliciosa iminente.

Pesquisadores em cibersegurança alertam sobre um aumento significativo na atividade hacktivista em resposta à campanha militar coordenada entre os EUA e Israel contra o Irã, denominada Epic Fury e Roaring Lion. Entre 28 de fevereiro e 2 de março de 2026, 149 ataques DDoS foram registrados, com 70% deles atribuídos a dois grupos principais: Keymous+ e DieNet. O grupo Hider Nex, que apoia causas pró-Palestina, foi responsável pelo primeiro ataque DDoS da série. A maioria dos ataques se concentrou no Oriente Médio, afetando principalmente a infraestrutura pública e alvos governamentais. Além disso, grupos hacktivistas pro-Rússia também reivindicaram invasões em redes militares israelenses. O cenário atual é marcado por uma combinação de ataques cibernéticos e campanhas de phishing, com o objetivo de causar danos econômicos e políticos. As organizações estão sendo aconselhadas a fortalecer suas posturas de segurança cibernética, especialmente em setores críticos como governo, infraestrutura e finanças, em resposta ao aumento da atividade de atores cibernéticos iranianos e hacktivistas.

Um relatório da NETSCOUT, divulgado em 4 de março de 2026, revela um aumento alarmante na sofisticação dos ataques DDoS (Negação de Serviço Distribuídos) em todo o mundo, com o Brasil se destacando como o principal alvo na América Latina. No segundo semestre de 2025, foram registrados mais de oito milhões de ataques em 203 países, com picos de até 30 Tbps. Os pesquisadores identificaram que 42% dos ataques utilizaram múltiplos vetores, dificultando a detecção. Além disso, houve um aumento significativo na utilização de botnets e ferramentas de inteligência artificial por cibercriminosos, que agora colaboram com IAs para otimizar suas operações. O Brasil sofreu mais de 470 mil ataques DDoS, representando quase metade dos incidentes na América Latina, afetando setores críticos como telecomunicações e serviços financeiros. A situação é preocupante, pois a sobrecarga nos sistemas de defesa pode comprometer serviços essenciais, como portais governamentais e financeiros.

Pesquisadores de segurança da Dark Web Informer descobriram que hackers estão vendendo um script malicioso em fóruns clandestinos, que explora vulnerabilidades do WhatsApp para roubar dados pessoais. O exploit, que custa cerca de R$ 160, é projetado para travar o aplicativo em dispositivos Android e iOS. No Android, o ataque provoca o travamento completo do WhatsApp, enquanto no iOS, além do travamento, ele congela conversas em grupos, dificultando o acesso do usuário. O script também possui funcionalidades que permitem bombardeios de chamadas de voz e vídeo, tornando o dispositivo inutilizável durante o ataque. O fato de o exploit ser de fácil execução, sem necessidade de configurações complexas, aumenta o risco, pois qualquer pessoa com um número de celular pode utilizá-lo. A situação é alarmante, considerando que o WhatsApp é amplamente utilizado no Brasil, e a possibilidade de ataques em massa pode afetar a privacidade e segurança de milhões de usuários.

Recentemente, a empresa de segurança Malwarebytes identificou uma nova campanha de phishing que utiliza chamadas falsas em plataformas como Zoom e Google Meet para instalar um aplicativo de monitoramento malicioso no Windows. Os hackers criaram um processo que simula a instalação do aplicativo legítimo Teramind, utilizado por empresas para monitorar dispositivos. O golpe começa com um link aparentemente inofensivo que leva a uma página falsa de videochamada, onde o usuário é induzido a baixar um arquivo de atualização. Esse arquivo, na verdade, instala um malware que coleta informações sensíveis, como teclas pressionadas, capturas de tela e histórico de navegação. A campanha também se aproveita da familiaridade dos usuários com essas plataformas de videoconferência, tornando o ataque mais eficaz. Para se proteger, é recomendado verificar o domínio dos links recebidos e evitar instalar atualizações de fontes desconhecidas.

Pesquisadores da Unit 42, da Palo Alto Networks, identificaram uma vulnerabilidade crítica no Google Chrome, registrada como CVE-2026-0628, que permitia a hackers escalarem privilégios e acessarem arquivos do sistema através de extensões maliciosas. A falha, já corrigida pela Google em janeiro de 2026, estava relacionada ao cumprimento inadequado das políticas da tag WebView no navegador, afetando versões anteriores à 143.0.7499.192. Um agente malicioso poderia injetar scripts em páginas privilegiadas, comprometendo o painel do Gemini Live, uma ferramenta de inteligência artificial do Google. Essa brecha, apelidada de Glic Jack, possibilitava que extensões com permissões básicas acessassem a câmera, microfone e arquivos locais do usuário. A integração do Gemini no Chrome, realizada em setembro de 2025, ampliou a superfície de ataque, tornando o navegador vulnerável a novos tipos de exploração. A descoberta da falha foi feita em 23 de novembro de 2025, e a vulnerabilidade representa um risco significativo para a segurança dos usuários do Chrome, especialmente no contexto de um aumento nas ameaças cibernéticas.

O Huntress Tactical Response Team investigou um alerta de força bruta em um servidor RDP exposto à internet, que inicialmente parecia ser um incidente comum. Ao analisar os logs de eventos do Windows, a equipe descobriu que um único login bem-sucedido levou a um comportamento incomum de busca por credenciais, revelando uma infraestrutura geograficamente distribuída e um serviço VPN suspeito, indicando a presença de um ecossistema de ransomware como serviço.

O Centro Médico da Universidade de Mississippi (UMMC) anunciou que retomou suas operações normais após um ataque de ransomware que durou nove dias, bloqueando o acesso a registros médicos eletrônicos e desativando muitos de seus sistemas de TI. O ataque forçou a instituição a cancelar procedimentos ambulatoriais e consultas de imagem, embora os serviços hospitalares continuassem a ser prestados. A UMMC confirmou que conseguiu restaurar o acesso aos registros dos pacientes e reabriu suas clínicas, que agora funcionam em horários estendidos para acomodar os pacientes. Embora nenhum grupo de ransomware tenha reivindicado a responsabilidade pelo ataque, a UMMC está em contato com os atacantes e trabalhando com o FBI e a CISA para investigar o incidente. A UMMC é um dos maiores empregadores do Mississippi, com mais de 10.000 funcionários e uma infraestrutura crítica que inclui o único programa de transplante de órgãos e medula óssea do estado. O ataque destaca a crescente ameaça de ransomware a instituições de saúde, que são alvos atraentes devido à sensibilidade dos dados que gerenciam.

Com a crescente adoção da Inteligência Artificial (IA) nas empresas, os líderes de segurança estão recebendo mais recursos para proteger essas tecnologias. No entanto, muitos ainda enfrentam um dilema: embora reconheçam a necessidade de ‘Governança de IA’, não sabem como implementá-la efetivamente. Um novo guia de RFP (Request for Proposal) foi lançado para ajudar as organizações a avaliar soluções de Controle de Uso de IA (AUC) e Governança de IA. O guia propõe uma mudança de foco, sugerindo que a segurança da IA deve se concentrar nas interações, e não apenas nas aplicações, permitindo um controle mais eficaz. Além disso, o guia apresenta oito pilares essenciais para um projeto maduro de governança de IA, incluindo descoberta de IA, consciência contextual, governança de políticas e auditoria. A abordagem estruturada do guia visa eliminar a subjetividade na escolha de fornecedores, garantindo que as soluções escolhidas sejam adequadas para o futuro e eficazes na mitigação de riscos. Para os CISOs brasileiros, a adoção desse framework pode acelerar a pesquisa e a implementação de uma governança de IA segura, alinhada às necessidades do negócio.

O Google identificou um novo e poderoso kit de exploits chamado Coruna, que visa modelos de iPhone com versões do iOS entre 13.0 e 17.2.1. Este kit contém cinco cadeias completas de exploits e um total de 23 vulnerabilidades, sendo que não é eficaz contra a versão mais recente do iOS. O Coruna foi observado circulando entre diversos atores de ameaças desde fevereiro de 2025, começando em operações de vigilância comercial e evoluindo para ataques apoiados por governos e, finalmente, para grupos criminosos motivados financeiramente, especialmente da China. O kit utiliza técnicas de exploração não públicas e contorna mitigação de segurança, o que o torna altamente sofisticado. A primeira detecção de partes de uma cadeia de exploits do iOS ocorreu no início do ano passado, integrando um novo framework JavaScript que coleta informações do dispositivo antes de executar os exploits. O kit foi associado a campanhas de espionagem, incluindo um grupo russo, e é um exemplo significativo da proliferação de capacidades de spyware de fornecedores comerciais para atores de estados-nação e operações criminosas em larga escala. Para mitigar os riscos, usuários de iPhone são aconselhados a manter seus dispositivos atualizados e a ativar o Modo de Bloqueio para maior segurança.

A ExpressVPN anunciou a reabertura de suas tarifas mais baixas, coincidentemente com a final da Copa do Mundo de Críquete T20, que ocorrerá no dia 8 de outubro. A empresa oferece planos de dois anos a partir de apenas US$ 2,44 por mês, com pagamento antecipado de US$ 68,40. Para aqueles que desejam uma solução temporária, um plano mensal está disponível por US$ 12,99. A utilização de uma VPN, como a ExpressVPN, é especialmente útil para quem está viajando e deseja acessar serviços de streaming de críquete de sua região, já que a ferramenta permite a criptografia do tráfego online e a conexão a servidores seguros. A ExpressVPN se destaca pela facilidade de uso, com aplicativos intuitivos para dispositivos móveis e tablets. Além disso, oferece recursos como bloqueio de anúncios e malware, proteção de e-mail e a capacidade de conectar até 10 dispositivos simultaneamente. Todos os planos incluem uma garantia de devolução do dinheiro em 30 dias, proporcionando segurança ao usuário. Embora existam opções mais baratas no mercado, a ExpressVPN é recomendada por sua velocidade e segurança, sendo uma escolha sólida para streaming.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma nova vulnerabilidade crítica, CVE-2026-22719, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, com uma pontuação CVSS de 8.1, permite que atacantes não autenticados executem comandos arbitrários, potencialmente levando à execução remota de código durante a migração assistida de produtos no VMware Aria Operations. A vulnerabilidade foi identificada como uma injeção de comando e afeta produtos como VMware Cloud Foundation e VMware vSphere Foundation 9.x.x.x, além do VMware Aria Operations 8.x. A correção foi disponibilizada nas versões 9.0.2.0 e 8.18.6, respectivamente. Para clientes que não podem aplicar o patch imediatamente, a Broadcom oferece um script de contorno. Embora a Broadcom tenha reconhecido relatos de exploração ativa da vulnerabilidade, ainda não há detalhes sobre a natureza dos ataques ou os responsáveis. As agências do Federal Civilian Executive Branch (FCEB) têm até 24 de março de 2026 para aplicar as correções. A situação exige atenção imediata, especialmente considerando o potencial impacto em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores de cibersegurança revelaram detalhes sobre o grupo de ameaças persistentes avançadas (APT) conhecido como Silver Dragon, que está vinculado a ataques cibernéticos direcionados a entidades na Europa e no Sudeste Asiático desde meados de 2024. O grupo, associado ao APT41, uma notória facção de hackers chineses, utiliza técnicas sofisticadas para obter acesso inicial, como a exploração de servidores expostos na internet e o envio de e-mails de phishing com anexos maliciosos.

Pesquisadores de cibersegurança identificaram pacotes PHP maliciosos no Packagist, que se apresentam como utilitários do Laravel, mas atuam como um trojan de acesso remoto (RAT) em sistemas Windows, macOS e Linux. Os pacotes em questão são ’nhattuanbl/lara-helper’, ’nhattuanbl/simple-queue’ e ’nhattuanbl/lara-swagger’. O pacote ’lara-swagger’ não contém código malicioso diretamente, mas depende do ’lara-helper’, que instala o RAT. Os pacotes ainda estão disponíveis para download. O RAT, uma vez carregado, se conecta a um servidor de comando e controle (C2) e permite que o operador tenha acesso total ao sistema comprometido, incluindo a capacidade de executar comandos, capturar telas e manipular arquivos. Embora o servidor C2 esteja inativo no momento, o RAT tenta se reconectar a cada 15 segundos, representando um risco contínuo. Os usuários que instalaram esses pacotes devem considerar suas aplicações comprometidas, removê-los e auditar o tráfego de saída. Além dos pacotes maliciosos, o autor publicou outras bibliotecas limpas para ganhar credibilidade. A situação é crítica, pois qualquer aplicação Laravel que tenha instalado os pacotes mencionados está sob risco de controle remoto.

O Facebook enfrentou uma interrupção global que impediu o acesso dos usuários às suas contas. A falha começou por volta das 16h15 ET e afetou usuários em todo o mundo, que se depararam com uma mensagem informando que suas contas estavam temporariamente indisponíveis. A mensagem dizia: ‘Sua conta está atualmente indisponível devido a um problema no site. Esperamos que isso seja resolvido em breve. Por favor, tente novamente em alguns minutos.’ Embora a página de status da Meta tenha indicado ‘Altas Disrupções’ em serviços como o gerenciador de anúncios do Facebook, Instagram Boost e API do WhatsApp Business, não foram fornecidas informações detalhadas sobre a causa da interrupção. Às 18h21 ET, a situação foi normalizada e os usuários puderam acessar suas contas novamente. No entanto, a falta de esclarecimentos sobre a origem do problema levanta preocupações sobre a segurança e a confiabilidade dos serviços da Meta, especialmente em um cenário onde a cibersegurança é uma prioridade crescente para empresas e usuários. O incidente destaca a importância de uma comunicação clara e eficaz em situações de falhas de serviço.

A empresa multinacional holandesa AkzoNobel, especializada em tintas e revestimentos, confirmou uma violação de segurança em um de seus sites nos Estados Unidos, após um vazamento de dados pelo grupo de ransomware Anubis. Segundo um porta-voz da empresa, a intrusão foi contida e o impacto foi considerado limitado. A Anubis afirma ter roubado 170 GB de dados, incluindo 170 mil arquivos, que contêm informações sensíveis como acordos confidenciais, e-mails, números de telefone e documentos técnicos internos. A AkzoNobel está colaborando com as autoridades competentes e notificando as partes afetadas. O grupo Anubis, que opera como um serviço de ransomware, tem se tornado mais ativo desde seu lançamento em dezembro de 2024, e recentemente adicionou uma ferramenta que apaga arquivos das vítimas, dificultando a recuperação. Este incidente destaca a crescente sofisticação das ameaças cibernéticas e a necessidade de vigilância constante por parte das empresas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade do VMware Aria Operations, identificada como CVE-2026-22719, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas, indicando que a falha está sendo utilizada em ataques. A Broadcom, responsável pela VMware, confirmou que está ciente de relatos sobre a exploração da vulnerabilidade, mas não conseguiu confirmar a veracidade das informações. A falha, que permite a injeção de comandos por atacantes não autenticados, pode resultar na execução remota de código durante a migração assistida do produto. A vulnerabilidade foi divulgada e corrigida em 24 de fevereiro de 2026, com uma pontuação CVSS de 8.1, sendo considerada importante. A CISA exige que as agências civis federais tratem o problema até 24 de março de 2026. A Broadcom também disponibilizou um script temporário para mitigar a falha, que deve ser executado como root em cada nó do Aria Operations. Especialistas recomendam que as organizações apliquem os patches de segurança ou implementem as soluções alternativas o mais rápido possível, especialmente se a exploração estiver em andamento.

A Amazon confirmou que três de seus data centers da AWS foram atacados por drones nos Emirados Árabes Unidos e no Bahrein, resultando em uma queda significativa nos serviços de computação em nuvem. O ataque, que parece ser uma retaliação do Irã a operações militares dos EUA e Israel, causou danos físicos à infraestrutura, afetando diretamente as regiões ME-CENTRAL-1 e ME-SOUTH-1. As instalações atingidas enfrentaram problemas de abastecimento energético e danos adicionais devido ao combate a incêndios. A Amazon está colaborando com as autoridades locais para restaurar os serviços e recomenda que os clientes façam backup de seus dados em regiões não afetadas, como os EUA ou Ásia Pacífica. O Centro de Ciber Segurança Nacional do Reino Unido já havia alertado sobre o aumento do risco de ciberataques iranianos, o que torna a situação ainda mais crítica para empresas que dependem da AWS.

Pesquisadores de segurança da Oasis descobriram uma vulnerabilidade de alta gravidade na plataforma OpenClaw, um agente de IA de código aberto amplamente utilizado, que permite a atacantes obter controle total sobre dispositivos afetados. A falha, chamada ‘ClawJacked’, permite que sites maliciosos realizem ataques de força bruta na autenticação do gateway local, bastando que a vítima acesse um site comprometido. O OpenClaw, que possui mais de 100 mil estrelas no GitHub, conecta-se a aplicativos de mensagens e calendários, facilitando a interação do usuário com suas funcionalidades. A vulnerabilidade reside no próprio sistema, sem necessidade de plugins ou extensões, tornando-a facilmente explorável. Após a divulgação responsável, um patch foi disponibilizado em 24 horas, e os usuários são aconselhados a atualizar para a versão 2026.2.25 ou superior. A falha destaca a importância de práticas robustas de segurança, especialmente em plataformas populares que lidam com dados sensíveis.

O Google Chrome anunciou uma mudança significativa em seu ciclo de lançamentos, passando de um intervalo de quatro semanas para um de duas semanas. A partir da versão 153, lançada em 8 de setembro, o navegador começará a receber duas novas versões estáveis por mês, uma alteração que visa implementar novas funcionalidades, correções de bugs e melhorias de desempenho com maior frequência. Essa nova abordagem se aplica tanto às versões beta quanto às estáveis em plataformas Desktop, Android e iOS, enquanto os canais Dev e Canary continuarão com o cronograma atual. A Google acredita que lançamentos mais frequentes, mas com um escopo menor, reduzirão interrupções e simplificarão a depuração pós-lançamento, mantendo a estabilidade do navegador. Embora as atualizações de segurança ainda sejam parte dos lançamentos principais, o Chrome receberá correções de segurança semanalmente, uma medida que visa diminuir a janela de exploração para hackers. Essa mudança ocorre em um contexto onde o Chrome teve um início de ano relativamente calmo em termos de vulnerabilidades, com apenas uma zero-day reportada até agora. A nova cadência de lançamentos reflete um esforço mais amplo da Google para melhorar a segurança e a experiência do usuário no navegador mais popular do mundo.

Pesquisadores da Microsoft Defender alertam sobre uma nova técnica de ataque que abusa do mecanismo de redirecionamento legítimo do OAuth para contornar as proteções contra phishing em e-mails e navegadores. Os ataques têm como alvo organizações governamentais e do setor público, utilizando links de phishing que induzem os usuários a autenticar-se em aplicativos maliciosos. Os criminosos criam aplicativos OAuth maliciosos em um tenant que controlam, configurando um URI de redirecionamento que aponta para sua infraestrutura. Mesmo que os URLs pareçam legítimos, eles são manipulados para forçar redirecionamentos silenciosos, levando os usuários a páginas de phishing. Em alguns casos, os atacantes utilizam frameworks como EvilProxy para interceptar cookies de sessão válidos, burlando a autenticação multifator (MFA). Além disso, os atacantes podem entregar arquivos ZIP maliciosos que, ao serem abertos, executam scripts PowerShell para realizar reconhecimento e carregar cargas úteis finais. A Microsoft recomenda que as organizações reforcem as permissões para aplicativos OAuth e implementem políticas de Acesso Condicional para mitigar esses riscos.

Recentemente, pesquisadores da Huntress identificaram uma nova campanha de ciberataque onde criminosos se passam por suporte técnico para implantar o framework de comando e controle (C2) Havoc, visando a exfiltração de dados ou ataques de ransomware. A intrusão foi observada em cinco organizações parceiras, onde os atacantes utilizaram e-mails de spam como iscas, seguidos de ligações telefônicas que ativaram um complexo pipeline de entrega de malware.

Em uma das organizações, os atacantes conseguiram se mover lateralmente para nove endpoints em apenas 11 horas, utilizando uma combinação de payloads personalizados do Havoc e ferramentas legítimas de gerenciamento remoto (RMM) para garantir persistência. A técnica de engenharia social, que inclui a criação de páginas falsas que imitam serviços da Microsoft, foi fundamental para o sucesso do ataque, permitindo que os criminosos coletassem credenciais dos usuários.

Um grupo de hackers brasileiros, conhecido como Tropa do Arranca, está utilizando táticas de engenharia social para roubar e desbloquear iPhones, além de acessar dados sensíveis das vítimas. A abordagem combina o roubo físico de dispositivos com técnicas digitais, como phishing. Os criminosos imitam a interface da ferramenta ‘Encontre meu iPhone’, fazendo com que as vítimas acreditem que estão rastreando seus aparelhos perdidos. Ao clicar em links fraudulentos, as vítimas inserem suas credenciais do iCloud, permitindo que os hackers acessem suas contas. Pesquisadores de segurança identificaram um código suspeito em páginas de login do iCloud, que inclui uma assinatura digital do grupo. Os hackers não apenas desbloqueiam os iPhones, mas também os revendem em mercados clandestinos e acessam informações bancárias. Para se proteger, especialistas recomendam que os usuários nunca insiram suas credenciais em links recebidos por mensagens e que utilizem autenticação em dois fatores. A Tropa do Arranca, embora não seja uma rede global, demonstra uma organização crescente e pode expandir suas atividades em outras regiões do Brasil.

Após um ataque aéreo dos Estados Unidos que resultou na morte do líder iraniano Ali Khamenei, o Irã está se preparando para responder com ciberataques, conforme indicado por John Hultquist, analista-chefe do Grupo de Inteligência de Ameaças da Google. Durante um evento em Londres, Hultquist destacou que o país poderá direcionar suas ações contra alvos no Oriente Médio e em outras regiões, especialmente aqueles com segurança cibernética mais fraca. O especialista observou que a linha entre o governo iraniano e grupos hacktivistas tem se tornado cada vez mais tênue, o que pode facilitar a realização de ataques cibernéticos. O Centro Nacional de Ciber Segurança do Reino Unido alertou organizações ocidentais a revisarem suas posturas de segurança, uma vez que a guerra moderna é híbrida, envolvendo tanto frentes físicas quanto digitais. O cenário atual sugere que países vizinhos ao Irã, como Bahrein, Emirados Árabes Unidos e Jordânia, estão sob risco de sofrer ataques cibernéticos, o que exige uma atenção redobrada das empresas que operam na região.

Pesquisadores de segurança da Microsoft alertaram sobre uma nova tática de hackers que utilizam instaladores falsos de jogos populares, como Xeno e Roblox, para disseminar trojans de acesso remoto (RATs). Os arquivos maliciosos, disfarçados como executáveis legítimos, empregam técnicas furtivas para se manterem ocultos no sistema da vítima. Após a instalação, um Java runtime portátil é utilizado para executar um arquivo malicioso, que se conecta a servidores remotos e permite o controle do computador da vítima. Os hackers aproveitam ferramentas já existentes no Windows, conhecidas como LOLbins, para evitar a detecção, fazendo com que suas atividades pareçam normais. A Microsoft já atualizou seu Defender para detectar esses malwares, mas recomenda que os usuários monitorem o tráfego de saída e bloqueiem conexões suspeitas. A orientação é que os jogadores evitem baixar ferramentas de fontes não oficiais, pois a probabilidade de contaminação por malware é alta. Este incidente destaca a importância de se manter vigilante ao baixar softwares, especialmente em ambientes de jogos.