A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica no Cisco Unified Communications Manager (Unified CM), que permite que atacantes obtenham privilégios de root. A falha, identificada como CVE-2026-20230, pode ser explorada remotamente por meio de ataques de Server-Side Request Forgery (SSRF) de baixa complexidade, sem a necessidade de privilégios. Um atacante pode enviar uma solicitação HTTP manipulada para um dispositivo afetado, possibilitando a escrita de arquivos no sistema operacional subjacente, o que pode ser usado para elevar privilégios a root.

Autoridades da França e da Espanha desmantelaram um mercado online que vendia documentos de identidade falsificados, utilizados por redes de tráfico de migrantes na União Europeia. A operação culminou na prisão de um suspeito em Alicante, na Espanha, onde foram apreendidos equipamentos de produção de documentos e cerca de 800 identidades europeias falsas. A investigação começou após a identificação de um site que anunciava esses documentos fraudulentos, levando à localização do suspeito, que residia em Alicante desde 2024. Segundo a Europol, o marketplace facilitava operações de tráfico de migrantes, fornecendo documentos falsos que permitiam a evasão de controles de fronteira e a obtenção fraudulenta de direitos de residência. A Europol destacou que a fraude documental é um dos principais facilitadores da legalização fraudulenta de residências e do tráfico de migrantes na UE. Em março de 2026, a Europol ampliou suas capacidades de combate ao tráfico de migrantes com a criação do Centro Europeu de Combate ao Tráfico de Migrantes (ECAMS), que visa fortalecer a troca de informações e a coordenação entre agências de segurança. A operação em Alicante evidencia a importância da infraestrutura de fraude documental para a manutenção das redes de tráfico de migrantes na Europa.

Um ataque cibernético sofisticado comprometeu a caixa de entrada de um executivo sênior de uma importante bolsa de valores global, permitindo que invasores acessassem informações sensíveis por pelo menos cinco meses. De acordo com um relatório da equipe de ameaças da Symantec e Carbon Black, os atacantes utilizaram técnicas de exfiltração disfarçadas, enviando dados por meio de serviços de nuvem como Dropbox e OneDrive, o que dificultou a detecção. A operação começou em outubro de 2025, quando os invasores instalaram dois binários maliciosos que imitavam atualizações do Adobe e do OneDrive. A partir de novembro, eles começaram a extrair dados da caixa de entrada, utilizando uma ferramenta construída com a biblioteca legítima Aspose para converter arquivos OST e PST do Outlook. O ataque foi caracterizado por acessos discretos e programados, evitando chamar a atenção de softwares de segurança. A falta de um CVE específico e a utilização de ferramentas públicas dificultam a atribuição do ataque a um grupo conhecido, mas a natureza da intrusão sugere um foco em espionagem, não em roubo financeiro. O relatório alerta que instituições financeiras e reguladoras devem monitorar atividades incomuns em caixas de entrada e uploads para contas pessoais de nuvem.

Pesquisadores de cibersegurança identificaram uma operação em larga escala que se disfarça de projetos de código aberto e freeware para redirecionar usuários desavisados a um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware, como Remus Stealer, AnimateClipper e o framework SessionGate. Os sites envolvidos são bem projetados e imitam portais legítimos, utilizando uma camada de JavaScript hospedada no CloudFront que transforma cliques em downloads em redirecionamentos para o TDS. Essa operação visa aquisição e monetização de tráfego, levando usuários a uma infraestrutura de entrega de malware. Os ataques visam especificamente usuários que buscam ferramentas de segurança em motores de busca, como o Google, fazendo com que esses sites falsos apareçam no topo dos resultados. A análise de telemetria do VirusTotal revelou entre 2.000 a 3.500 submissões de amostras associadas à família SessionGate, com a maioria das submissões originárias de países como Turquia, Polônia, Brasil e Alemanha. O objetivo final da infecção é entregar um payload único por cliente, dificultando a análise e a recuperação do payload. Essa situação representa um risco significativo para usuários que buscam ferramentas de segurança, especialmente no Brasil, onde a popularidade de tais ferramentas pode ser explorada por cibercriminosos.

Pesquisadores de cibersegurança revelaram uma nova campanha de malvertising para macOS, chamada Operação FlutterBridge, que dissemina um backdoor conhecido como FlutterShell. De acordo com a Palo Alto Networks, essa campanha é uma evolução de atividades anteriores do grupo criminoso CL-CRI-1089, ativo desde 2023. O FlutterShell, desenvolvido com o framework Flutter, infecta dispositivos com adware por meio de aplicativos de desktop maliciosos, permitindo execução de comandos e manipulação do sistema de arquivos. Os ataques utilizam anúncios fraudulentos no Google e YouTube, atraindo usuários de macOS nos EUA, Canadá, Austrália, França e Alemanha. Os anúncios são veiculados por empresas de fachada, ligadas a indivíduos ucranianos. O FlutterShell se destaca por sua arquitetura baseada em WebView, que permite alterações dinâmicas no comportamento do malware sem necessidade de recompilação. Variantes do FlutterShell, como PodcastsLounge e PDF-Brain, foram identificadas, e a campanha continua em desenvolvimento ativo, representando uma ameaça significativa para usuários de macOS.

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

O Pentágono confirmou que adversários estrangeiros dos Estados Unidos conseguiram rastrear tropas americanas em zonas de guerra, como o Oriente Médio, utilizando dados de localização de smartphones disponíveis comercialmente. Essa situação é alarmante, pois o Departamento de Defesa (DoD) não exige que os usuários desativem a geolocalização em áreas de conflito, e os identificadores de publicidade continuam a ser transmitidos mesmo quando os anúncios personalizados estão desativados. O senador Ron Wyden e o representante Pat Harrigan criticaram o DoD por não impor protocolos de segurança mais rigorosos para smartphones, destacando que tanto dispositivos pessoais quanto os fornecidos pelo governo ainda transmitem informações que podem ser usadas para localizar militares. Apesar de estar ciente dessa vulnerabilidade há pelo menos uma década, o DoD não desenvolveu soluções concretas para mitigar o problema, mesmo diante de múltiplos relatórios de ameaças. A política de ’traga seu próprio dispositivo’ (BYOD) adotada pelo exército, que permite o uso de dispositivos pessoais, contrasta com as necessidades de segurança operacional, aumentando o risco para os soldados em campo.

Os ataques de ransomware registraram um aumento de 3% de abril para maio de 2026, totalizando 661 incidentes em maio, com destaque para o setor educacional, que viu um crescimento de 54% nos ataques. O setor de alimentos e bebidas também teve um aumento significativo de 80%. Em contraste, os provedores de saúde e empresas de utilidades experimentaram quedas de 21% e 29%, respectivamente. Entre os ataques confirmados, 35 foram direcionados a empresas, 7 a entidades governamentais e 5 a instituições educacionais. Os grupos de ransomware mais ativos foram Qilin, The Gentlemen e DragonForce, com Qilin liderando em ataques confirmados. Nos Estados Unidos, foram registrados 272 ataques, o maior número entre os países analisados. O ataque mais notável no setor de saúde foi contra a Central Medical Services of Westrock, que teve dados comprometidos e foi reivindicado pelo grupo INC. O cenário atual indica uma necessidade crescente de vigilância e proteção, especialmente em setores vulneráveis como educação e alimentos.

O Departamento de Justiça dos EUA (DoJ) anunciou os resultados de uma operação abrangente contra fraudes cibernéticas e de criptomoedas, que teve início em 18 de maio de 2026. A operação, chamada ‘Disruption Week’, resultou na desativação de milhões de contas em redes sociais e e-mails utilizadas por grupos de cibercrime transnacionais na Ásia. Além disso, mais de $3,8 milhões em criptomoedas foram congelados, relacionados à lavagem de dinheiro proveniente de fraudes. A U.S. Attorney Jeanine Ferris Pirro destacou que essas fraudes têm devastado as economias de muitos cidadãos americanos, especialmente os mais vulneráveis. A operação é parte da iniciativa Scam Center Strike Force, que visa desmantelar organizações criminosas envolvidas em fraudes online e tráfico humano. Os esquemas frequentemente envolvem a construção de relacionamentos com as vítimas antes de convencê-las a investir em plataformas fraudulentas, resultando em perdas financeiras significativas. A operação contou com a colaboração de empresas como Apple, Google e Coinbase, além de agências de polícia de vários países. O DoJ alertou que as fraudes com criptomoedas estão crescendo rapidamente, com perdas estimadas em mais de $7,2 bilhões em 2025, um aumento de 24% em relação ao ano anterior.

Agências de segurança dos EUA, incluindo a CISA e o FBI, alertaram sobre ataques direcionados a sistemas automáticos de medição de tanques (ATG) expostos à internet, utilizados em setores críticos como Energia, Química, Alimentos e Transporte. Os hackers estão explorando vulnerabilidades como bypass de autenticação e credenciais hardcoded para modificar configurações do sistema, o que pode comprometer a segurança operacional. Os ataques podem permitir que invasores alterem volumes de tanques, controles de bombas e desativem alertas, aumentando o risco de vazamentos e falhas de equipamentos. Embora não tenha sido atribuído a um grupo específico, houve relatos anteriores de hackers iranianos envolvidos em atividades semelhantes. As agências recomendam que as organizações restrinjam o acesso remoto e implementem práticas de segurança robustas, como autenticação multifatorial e atualizações de segurança. A situação destaca a necessidade urgente de revisão das medidas de segurança em sistemas ATG, especialmente considerando a crescente interconexão e a vulnerabilidade desses sistemas críticos.

O Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA anunciou sanções contra a Nobitex, a maior exchange de criptomoedas do Irã, por facilitar pagamentos relacionados a atividades terroristas. A Nobitex é acusada de ajudar a evadir sanções econômicas e facilitar transações ligadas ao Corpo da Guarda Revolucionária Islâmica (IRGC). Em 2025, a exchange processou mais de 50% de todos os influxos de ativos digitais iranianos, além de permitir que o Banco Central do Irã acessasse centenas de milhões de dólares em stablecoins para estabilizar o valor do rial iraniano. O OFAC também designou executivos da Nobitex, como o presidente Amir Hossein Rad e o CEO Seyed Ali Khoee, e impôs sanções a outras exchanges iranianas. Dados da Chainalysis indicam que o ecossistema de criptomoedas do Irã recebeu quase $7,8 bilhões em 2025, com endereços associados ao IRGC representando mais de 50% do valor recebido no quarto trimestre. As sanções congelam ativos sob jurisdição dos EUA e proíbem negócios com as partes designadas, criando pressão internacional sobre aliados e empresas estrangeiras. Além disso, um grupo de hackers pro-Israel afirmou ter invadido a Nobitex, roubando ativos digitais avaliados em cerca de $90 milhões.

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

O Redis, popular banco de dados em memória, corrigiu uma vulnerabilidade crítica, identificada como CVE-2026-23479, que permitia a usuários autenticados executar comandos arbitrários no sistema operacional do servidor. A falha, descoberta por uma ferramenta de IA, estava presente desde a versão 7.2.0 e afetou todas as versões estáveis até a correção em 5 de maio de 2026. A NVD avaliou a gravidade da vulnerabilidade em 8.8 no CVSS 3.1, enquanto o Redis a classificou como 7.7 no CVSS 4.0. A exploração da falha requer uma sessão autenticada, mas muitos ambientes de nuvem executam o Redis sem senha, aumentando o risco. O ataque envolve manipulação de memória, onde um ponteiro de função é sobrescrito, permitindo que comandos do sistema sejam executados. O Redis recomenda que os usuários atualizem para as versões corrigidas e adotem medidas de segurança, como restringir acessos e manter o Redis fora da internet pública. Apesar da gravidade, não há evidências de exploração ativa até o momento.

Uma falha de segurança descoberta em vários aplicativos Android do Microsoft 365, chamada de FlagLeft, permitiu que aplicativos não confiáveis no mesmo dispositivo solicitassem tokens de conta de usuários autenticados. Isso significa que um aplicativo malicioso poderia acessar e-mails, arquivos, calendários e enviar mensagens em nome do usuário sem necessidade de senha ou autorização. A falha foi identificada por pesquisadores da Enclave e afetou aplicativos amplamente utilizados, como Word, PowerPoint, Excel, Microsoft 365 Copilot, Loop e OneNote. A vulnerabilidade foi corrigida pela Microsoft, que lançou atualizações para os aplicativos, mas os tokens comprometidos podem permanecer válidos mesmo após a atualização. Portanto, é recomendável que os usuários revoguem os tokens de atualização e façam um novo login. A Microsoft emitiu quatro CVEs relacionados a essa falha, com classificações de severidade variando de 4.4 a 7.7, indicando um risco significativo para os usuários que não atualizarem seus aplicativos. A atualização é essencial para mitigar o risco de exploração dessa vulnerabilidade.

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Um estudo recente revelou uma vulnerabilidade crítica no assistente de voz Google Gemini, que pode ser explorada através de notificações maliciosas enviadas por aplicativos como WhatsApp, Slack e Instagram. A pesquisa, conduzida pela SafeBreach, demonstrou que um único aviso envenenado poderia permitir que um invasor assumisse o controle do assistente, abrindo janelas conectadas, enviando mensagens falsas em nome de contatos e até mesmo iniciando chamadas de vídeo no Zoom. O ataque, denominado ‘Fake Context Alignment’, utiliza técnicas de injeção de comandos que enganam o assistente ao interpretar notificações hostis como instruções legítimas. Embora o Google tenha corrigido a falha, a vulnerabilidade destaca a necessidade de vigilância contínua em dispositivos Android, onde o Gemini possui acesso a notificações. A pesquisa não encontrou evidências de que a técnica tenha sido utilizada em ataques reais, mas a possibilidade de controle remoto de dispositivos inteligentes e a persistência de informações envenenadas representam riscos significativos para a segurança dos usuários. Os usuários podem mitigar o risco desativando a leitura de notificações pelo assistente, mas a questão da segurança em assistentes de voz continua a ser uma preocupação crescente.

A Microsoft anunciou a descontinuação do recurso de senha mestre no navegador Edge, substituindo-o por métodos de autenticação mais seguros, como o Windows Hello, que utiliza biometria e chaves de acesso. A mudança, que entra em vigor a partir de 4 de junho, visa aumentar a segurança dos usuários, uma vez que senhas têm sido frequentemente consideradas um ponto fraco na cibersegurança. Especialistas, como Ignas Valancius da NordPass, destacam que a utilização de biometria e chaves de acesso é mais conveniente e segura do que senhas tradicionais, que muitas vezes são reutilizadas ou simplificadas, aumentando o risco de comprometimento de contas. Apesar dos benefícios, a transição pode enfrentar resistência de usuários acostumados com senhas, que podem optar por gerenciadores de senhas de terceiros que ainda permitem o uso de senhas mestres. A mudança reflete uma tendência crescente na indústria de tecnologia em direção a métodos de autenticação sem senha, que prometem melhorar a segurança e a experiência do usuário.

O Clarinda Regional Health Center, localizado em Iowa, confirmou que notificou 24.341 pessoas sobre um vazamento de dados ocorrido em outubro de 2025. As informações comprometidas incluem números de Seguro Social, dados médicos, informações de seguros de saúde, números de contas financeiras, números de identificação de contribuinte, datas de nascimento e números de carteira de motorista. O grupo de ransomware LockBit reivindicou a responsabilidade pelo ataque em 11 de dezembro de 2025, e o hospital detectou a violação em 15 de dezembro de 2025. Embora o LockBit tenha listado o hospital em seu site de vazamento de dados, o Clarinda Regional Health Center não confirmou a reivindicação. A instituição está oferecendo um ano de monitoramento de crédito gratuito para as vítimas do vazamento. O LockBit, um grupo criminoso cibernético baseado na Rússia, tem se tornado cada vez mais ativo, com 156 ataques registrados em 2026 até o momento, incluindo ataques a prestadores de serviços de saúde. Os ataques de ransomware representam uma ameaça significativa para o setor de saúde, pois podem comprometer dados sensíveis e interromper serviços críticos, colocando em risco a saúde e a segurança dos pacientes.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando vulnerabilidades no kernel do Linux e no sistema operacional Android. A mais recente falha, identificada como CVE-2025-48595, é uma vulnerabilidade de estouro de inteiro de alta severidade no Android Framework, que pode ser utilizada para obter privilégios elevados. Essa falha afeta as versões do Android 14 a 16 e não requer interação do usuário para ser explorada. Embora o Google tenha indicado que a exploração dessa vulnerabilidade pode estar ocorrendo de forma limitada, não foram fornecidos detalhes específicos sobre as atividades ou informações técnicas sobre a falha. O problema foi corrigido com a liberação de patches de segurança em junho de 2026.

Um novo ataque de negação de serviço (DoS) conhecido como HTTP/2 Bomb pode ser lançado a partir de uma única máquina, conseguindo derrubar servidores web em questão de segundos. Essa técnica explora configurações padrão do HTTP/2 em servidores amplamente utilizados, como NGINX, Apache, Microsoft IIS, Envoy e Cloudflare Pingora. O ataque combina duas metodologias conhecidas: a amplificação de compressão HPACK e a retenção de recursos ao estilo Slowloris, utilizando o controle de fluxo do HTTP/2. Ao enviar um único byte, um atacante pode forçar o servidor a alocar milhares de bytes de memória, resultando em um consumo extremo de RAM. Por exemplo, um computador doméstico com conexão de 100 Mbps pode tornar um servidor vulnerável inacessível em poucos segundos. Os testes mostraram que o Envoy e o Apache httpd são os mais afetados, consumindo 32 GB de RAM em cerca de 10 e 18 segundos, respectivamente. Embora algumas plataformas já tenham recebido patches, outras, como IIS e Envoy, ainda não têm correções disponíveis. A recomendação é desativar o HTTP/2 onde possível e implementar proxies ou firewalls que limitem o número de cabeçalhos.

O Google está implementando uma nova funcionalidade de segurança no Android chamada ‘detecção de chamadas falsas’, que visa identificar e sinalizar chamadas em que golpistas utilizam inteligência artificial para se passar por contatos pessoais do usuário. A funcionalidade, que será ativada por padrão, está sendo lançada globalmente para dispositivos com Android 12 e versões posteriores, começando pelos dispositivos Pixel.

Quando um contato faz uma chamada, o dispositivo envia um sinal de confirmação silencioso e criptografado em tempo real para o dispositivo do destinatário. Se esse sinal não for enviado, indicando que a chamada pode ser falsificada, o dispositivo do destinatário verifica com o telefone real do contato. Se a confirmação indicar que o contato não está fazendo uma chamada, o destinatário recebe um alerta na tela para desligar imediatamente.

Agências de segurança da Europa e internacionais realizaram uma operação significativa, denominada “Operação KRATOS 2”, que resultou no desmantelamento de nove grupos de crime organizado e na prisão de 29 suspeitos envolvidos em operações de streaming ilegal. Coordenada pela Bulgária com o apoio da Europol, a operação envolveu autoridades de 13 países, incluindo Estados Unidos e Reino Unido. Durante os sete meses de investigação, foram identificados mais de 18.000 endereços IP e 4.370 domínios associados a serviços ilegais, além de quase 400.000 URLs adicionais que foram sinalizadas para suspensão ou remoção. A ação conjunta levou à remoção de mais de 27.000 URLs de streaming ilegal que distribuíam conteúdo protegido por direitos autorais, como esportes, filmes e programas de televisão. A Europol destacou que os grupos criminosos separam intencionalmente os sites voltados para o cliente dos servidores que hospedam o conteúdo ilegal, dificultando a detecção e a acusação. Além disso, esses serviços representam riscos significativos de cibersegurança para os usuários, incluindo infecções por malware e roubo de dados.

A Acer confirmou a existência de duas vulnerabilidades de alta severidade, conhecidas como zero-day, que afetam seus roteadores mesh Wave 7. As falhas foram reportadas pelo pesquisador de segurança Gergo Pap e impactam roteadores que utilizam a versão de firmware T7c_GBL_1.01.000055 ou anterior. A primeira vulnerabilidade, identificada como CVE-2026-49200, permite que atacantes não autenticados acessem remotamente credenciais em texto claro armazenadas em arquivos de log, como o acer_cgi.log, que contém informações sensíveis de login. A segunda falha, CVE-2026-49201, resulta de uma chave criptográfica embutida que possibilita o acesso persistente de invasores ao sistema, permitindo que eles modifiquem backups do dispositivo. Embora a Acer esteja trabalhando em correções, ainda não há patches disponíveis. A empresa recomenda que os usuários desativem a gestão remota e restrinjam o acesso à Internet até que as atualizações sejam lançadas, previstas para o final de junho de 2026.

Em abril, uma vulnerabilidade em uma VPN resultou em vazamentos de dados em mais de setenta instituições financeiras que utilizam a infraestrutura do software Marquis. Apesar de existir um patch e as instituições terem realizado testes de penetração recentes, a exposição de dados não foi evitada. O relatório Mandiant M-Trends 2026 aponta que o tempo médio de permanência de ameaças em 2025 foi de quatorze dias, com atores de espionagem permanecendo em média 122 dias. A CrowdStrike também destacou que os serviços financeiros estão entre os setores mais visados por intrusões. As regulamentações, como PCI DSS e NYDFS, enfatizam a necessidade de testes de penetração contínuos, não apenas anuais, para lidar com as mudanças frequentes na infraestrutura digital. Um exemplo alarmante foi a descoberta de uma falha em um portal de originação de hipotecas, onde dados de várias instituições eram acessíveis sem autenticação. Essa situação ilustra a necessidade urgente de um modelo de testes contínuos, que responda rapidamente às mudanças na infraestrutura, em vez de esperar por avaliações anuais. A falta de validação durante a maior parte do ano expõe as instituições a riscos significativos, tornando essencial a adoção de práticas de segurança mais dinâmicas e responsivas.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade chamada HTTP/2 Bomb, que afeta servidores web amplamente utilizados, como NGINX, Apache HTTPD, Microsoft IIS, Envoy e Cloudflare Pingora. Essa falha permite um ataque de negação de serviço (DoS) remoto, explorando a configuração padrão do HTTP/2. A vulnerabilidade foi descoberta pela Calif, que explicou que o ataque combina duas técnicas conhecidas: uma bomba de compressão e uma técnica de manutenção de conexão semelhante ao Slowloris. O ataque visa o HPACK, o esquema de compressão de cabeçalhos do HTTP/2, onde um único byte pode resultar em uma alocação de cabeçalho completa no servidor, repetida milhares de vezes. Isso pode levar a um consumo excessivo de memória do servidor, tornando-o inacessível rapidamente. Para mitigar a vulnerabilidade, recomenda-se que os usuários do NGINX atualizem para a versão 1.29.8 ou desativem o HTTP/2, enquanto os usuários do Apache HTTPD devem atualizar para a versão 2.0.41 ou desativar o HTTP/2. No entanto, não há patches disponíveis para Microsoft IIS, Envoy e Cloudflare Pingora até o momento.

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

O gerenciamento de identidade e acesso (IAM) nas empresas está se aproximando de um ponto crítico, com a identidade se tornando cada vez mais fragmentada em milhares de aplicações e sistemas descentralizados. Um estudo da Orchid Security revela que 46% das atividades de identidade empresarial ocorrem fora da visibilidade do IAM centralizado, criando o que é chamado de ‘matéria escura da identidade’. Essa camada oculta inclui aplicações não gerenciadas, contas locais e identidades não humanas com permissões excessivas, ampliadas por ferramentas desconectadas e a ascensão da inteligência artificial autônoma.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.

Um novo toolkit de ransomware, desenvolvido com o auxílio de inteligência artificial, está sendo utilizado por atores de ameaças para automatizar a descoberta de Active Directory e evadir soluções de detecção de endpoint (EDR). O desenvolvimento das ferramentas e dos payloads contou com a assistência de agentes de IA, que participaram em várias etapas, desde a codificação inicial até a análise e revisão. Testes realizados em ambientes virtuais mostraram que o malware conseguia contornar ferramentas de EDR de grandes fornecedores como Sophos, CrowdStrike e Microsoft. Os pesquisadores da Sophos identificaram atividades suspeitas em um sistema de um cliente, onde arquivos maliciosos foram encontrados, sugerindo um foco em evadir a detecção. O toolkit inclui perfis do Cobalt Strike, um mecanismo de comando e controle baseado em Telegram e scripts em Python para injeção de código malicioso em executáveis legítimos. Embora a pesquisa tenha sido impulsionada por IA, a Sophos afirma que o fluxo de trabalho é totalmente conduzido por humanos. A modularidade do framework permite a geração de payloads personalizados, que são testados contra mais de 70 técnicas de evasão, apresentando uma taxa de sucesso crescente em contornar soluções de segurança. A utilização de IA nesse contexto acelera a implementação de técnicas de ataque, representando um risco significativo para organizações em todo o mundo.

Uma campanha de malware em larga escala, conhecida como WeedHack, está atacando jogadores de Minecraft e já infectou mais de 116 mil sistemas desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente no YouTube e por meio de técnicas de SEO. A operação funciona como um serviço de malware (MaaS), permitindo que os usuários acessem um painel onde podem visualizar credenciais roubadas e informações de sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido, com uma média de 2.000 a 3.000 novas infecções diariamente. A campanha utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa legitimidade ao vincular sites maliciosos a repositórios legítimos do GitHub. O WeedHack oferece uma camada gratuita que rouba IDs de sessão do Minecraft, cookies e senhas, além de uma versão premium com funcionalidades adicionais. Jogadores são aconselhados a confiar apenas em mods de fontes oficiais e a verificar links de download para evitar infecções.

Uma vulnerabilidade crítica de escalonamento de privilégios, identificada como CVE-2026-8206, foi descoberta no plugin Kirki para WordPress, permitindo que hackers assumam qualquer conta de usuário, incluindo as de administradores. A falha, que afeta versões do plugin até a 6.0.6, foi introduzida na versão 6.0.0 e impacta cerca de 40% da base de usuários do plugin, que está ativo em mais de 500 mil sites. A vulnerabilidade se origina da exposição de um endpoint da API REST para redefinição de senhas, onde o plugin aceita um endereço de e-mail arbitrário durante as solicitações de redefinição. Isso permite que atacantes não autenticados gerem links de redefinição de senha para qualquer usuário registrado, enviando-os para e-mails sob seu controle. A empresa de segurança Wordfence bloqueou mais de 222 tentativas de exploração em apenas 24 horas. A correção foi disponibilizada na versão 6.0.7, lançada em 18 de maio de 2026, e é crucial que os administradores de sites atualizem o plugin ou o desativem para evitar comprometimentos. A vulnerabilidade representa um risco significativo, pois, uma vez que um atacante obtenha acesso administrativo, ele pode instalar plugins maliciosos, modificar conteúdos do site e acessar bancos de dados privados.

A OpenAI anunciou uma atualização significativa para o modelo GPT-5.5 Instant, lançado em 23 de abril de 2026. Essa atualização visa melhorar a qualidade das respostas, tornando-as mais precisas e com um estilo mais natural, semelhante ao de uma conversa humana. Além disso, a empresa está aposentando modelos legados, como o o3, que será desativado em 26 de agosto, e o GPT-4.5, que será retirado em 27 de junho. A OpenAI também introduziu uma nova ferramenta de busca de empregos no ChatGPT, permitindo que os usuários encontrem oportunidades de trabalho relevantes e personalizem seus currículos. Essa funcionalidade busca melhorar a experiência do usuário ao conectar habilidades e experiências a vagas disponíveis em plataformas como Indeed e Upwork. As melhorias estão sendo implementadas gradualmente em todo o mundo, com o objetivo de tornar o ChatGPT mais útil e acessível para tarefas práticas do dia a dia.

Durante a Build 2026, a Microsoft anunciou o lançamento do Coreutils para Windows, que traz uma série de utilitários de linha de comando do Linux como aplicações nativas. Baseado no projeto open-source uutils, que reescreve as GNU coreutils em Rust, o Coreutils visa facilitar a transição de desenvolvedores entre diferentes plataformas, como Linux, macOS e Windows, sem a necessidade de alterar seus fluxos de trabalho. O pacote inclui comandos populares como cat, cp, find, grep, ls, e rm, permitindo que scripts sejam utilizados no Windows sem modificações. A instalação é feita através do WinGet, e a Microsoft criou um único executável coreutils.exe que contém todas as funcionalidades dos comandos. No entanto, alguns comandos do Linux não foram incluídos devido a conflitos com comandos existentes no Windows. A Microsoft também alertou sobre possíveis diferenças de funcionalidade entre os sistemas, como permissões de arquivos e suporte a POSIX. Essa iniciativa faz parte da estratégia da Microsoft para tornar o Windows uma plataforma mais amigável para desenvolvedores.

No início de junho de 2026, o Google lançou patches para 124 vulnerabilidades de segurança no sistema operacional Android, destacando uma falha de alta severidade, identificada como CVE-2025-48595, com um escore CVSS de 8.4. Essa vulnerabilidade, que permite a escalada de privilégios sem interação do usuário, afeta dispositivos que executam as versões 14, 15, 16 e 16 QPR2 do Android. Segundo a descrição da falha, um estouro de inteiro em múltiplos locais pode possibilitar a execução de código, resultando em uma escalada local de privilégios. O Google indicou que há sinais de exploração ativa, embora não tenha fornecido detalhes sobre os responsáveis ou os alvos. Além disso, outras vulnerabilidades foram corrigidas no componente do sistema, algumas das quais também podem levar a escaladas de privilégios. O Google disponibilizou dois conjuntos de patches, com o segundo incluindo correções para componentes de kernel e chipsets de terceiros, como MediaTek e Qualcomm. A situação exige atenção, especialmente considerando que falhas semelhantes têm sido utilizadas por fornecedores de spyware comercial para atacar indivíduos de alto perfil.

A Polícia Federal (PF) deflagrou a Operação Linha Fantasma, focando em fraudes bancárias que utilizam a técnica da ‘falsa central telefônica’. Os golpistas enviam mensagens de texto (SMS) alertando sobre compras suspeitas e fornecem um número 0800 para que as vítimas entrem em contato com o banco. O objetivo é induzir as pessoas a compartilhar dados pessoais ou realizar transferências financeiras, como cancelamento de compras via Pix. A operação resultou em três mandados de busca e apreensão e duas prisões em flagrante em Feira de Santana (BA) e São Paulo (SP). A PF informou que os investigados podem responder por crimes como fraude eletrônica e lavagem de dinheiro. A ação foi desencadeada após denúncias de operadoras de telefonia sobre o envio em massa de mensagens fraudulentas. Para se proteger, a Federação Brasileira de Bancos (Febraban) recomenda não fornecer dados pessoais, não instalar aplicativos solicitados durante ligações e sempre verificar a autenticidade das comunicações com os bancos através de canais oficiais.

Um novo relatório da Check Point Research revela que mais de 5.000 domínios maliciosos relacionados às eleições intermediárias dos EUA, programadas para novembro de 2022, foram identificados desde janeiro deste ano. Esses domínios, que incluem palavras como ’election’ e ‘vote’, são utilizados para criar sites de phishing, portais de doações falsas e campanhas de desinformação. A pesquisa destaca que, enquanto os hackers não estão atacando diretamente as máquinas de contagem de votos, eles visam influenciar os eleitores, dificultando a verificação da verdade. A operação russa chamada Doppelganger tem sido particularmente ativa, clonando sites de notícias de alta autoridade e publicando informações falsas. A Check Point alerta que as organizações envolvidas nas eleições devem estar em alerta máximo para ataques de phishing e impersonificação de marcas, dada a crescente motivação e atenção em torno deste ciclo eleitoral.

A IMA Diligence Services notificou 525.306 pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras e documentos de identidade. O grupo de cibercriminosos Genesis reivindicou a responsabilidade pelo ataque em janeiro de 2026, alegando ter roubado 700 GB de dados da empresa. A IMA Diligence não confirmou a reivindicação do Genesis e não se sabe como a rede foi comprometida ou se um resgate foi pago. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. O ataque à IMA Diligence é o maior registrado em 2025 no setor financeiro dos EUA, com mais de 2 milhões de registros pessoais comprometidos em 70 ataques confirmados. Genesis, que começou a operar em outubro de 2025, já reivindicou 76 ataques de ransomware, sendo este o primeiro contra uma empresa financeira. O impacto de tais ataques pode resultar em perda de dados permanentes e riscos aumentados de fraudes para os clientes.

Um vazamento de dados na Tulane University, que ocorreu após uma vulnerabilidade zero-day no aplicativo Oracle E-Business Suite, afetou 80.867 pessoas. O grupo de ransomware Clop assumiu a responsabilidade pelo ataque, que se seguiu a um incidente de ransomware em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações bancárias e de depósito direto. A universidade informou que, ao descobrir a vulnerabilidade, imediatamente iniciou uma investigação, notificou as autoridades e aplicou os patches fornecidos pela Oracle. Além da Tulane, outras instituições de ensino superior, como Harvard e a Universidade da Pensilvânia, também confirmaram vazamentos de dados relacionados a essa vulnerabilidade. O ataque à Tulane é considerado o terceiro maior incidente de ransomware no setor educacional dos EUA em 2025, com mais de 4 milhões de registros afetados em 54 ataques confirmados ao longo do ano. A universidade está oferecendo acesso gratuito ao serviço de proteção contra roubo de identidade Experian IdentityWorksSM para os afetados.

As equipes de segurança enfrentam dois problemas críticos relacionados à inteligência artificial (IA) no ambiente corporativo. Primeiro, os atacantes estão utilizando IA para aprimorar suas ferramentas de phishing, criando kits e técnicas que evoluem rapidamente, como o phishing por código de dispositivo, que explora fluxos OAuth legítimos para contornar autenticações multifator. Em segundo lugar, a adoção desenfreada de ferramentas de IA pelos funcionários está superando a capacidade das equipes de segurança de monitorar e controlar o uso, resultando em vazamentos de dados sensíveis. A maioria das ameaças ocorre dentro do navegador, onde as atividades maliciosas são difíceis de detectar por ferramentas tradicionais. Para mitigar esses riscos, é essencial que as organizações implementem plataformas que ofereçam visibilidade profunda sobre as sessões do navegador, permitindo o controle tanto sobre as ferramentas de IA utilizadas quanto sobre as tentativas de phishing. A situação é alarmante, com 45% dos funcionários utilizando IA regularmente em dispositivos corporativos, muitas vezes sem supervisão adequada, o que aumenta o potencial de exfiltração de dados e compromissos de segurança.

Recentemente, diversos usuários do Instagram relataram que suas contas foram sequestradas após atacantes conseguirem convencer as ferramentas de suporte da Meta, que utilizam inteligência artificial, de que eram os legítimos proprietários. Muitos dos afetados, incluindo contas de alto valor e raridade, como a do ex-time da Casa Branca de Obama e a pesquisadora Jane Manchun Wong, enfrentaram dificuldades para recuperar o acesso devido à falta de suporte humano. O processo de sequestro envolve o uso de selfies e vídeos gerados por IA para enganar o sistema de verificação. Além disso, os atacantes conseguiram contornar a autenticação de dois fatores (2FA) e utilizaram serviços de VPN para simular a localização dos alvos. Apesar de a Meta afirmar que está tomando medidas para resolver a situação, muitos usuários ainda se sentem frustrados com a incapacidade do suporte automatizado em resolver seus problemas. A situação destaca a vulnerabilidade de sistemas de autenticação baseados em IA e a necessidade de um suporte humano mais eficaz em casos de segurança.

A Microsoft está lidando com um problema de serviço que afeta o fluxo de e-mails do Exchange Online para clientes na América do Norte, na região Ásia-Pacífico (APAC) e na Europa. O incidente, identificado como EX1331830, foi reconhecido pela empresa às 10h33 EDT, após uma série de relatos de usuários nas redes sociais. Os usuários afetados estão enfrentando erros temporários de deferimento SMTP, como mensagens que indicam que o número máximo de conexões concorrentes foi excedido ou que a conexão foi encerrada abruptamente. Isso resulta em atrasos significativos no envio e recebimento de e-mails, com algumas mensagens não sendo entregues por mais de uma hora. A Microsoft está revisando os relatórios para identificar a causa raiz do problema e já classificou a interrupção como um incidente crítico, dada a sua ampla repercussão. Além disso, a empresa já havia enfrentado problemas semelhantes anteriormente, incluindo dificuldades de acesso a caixas de entrada e interrupções em outros serviços como Teams e autenticação multifatorial. A situação continua em investigação, com a Microsoft analisando o backlog de filas de e-mail nas regiões afetadas para entender melhor o cenário atual.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade no Oracle WebLogic Server em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Identificada como CVE-2024-21182, essa falha possui um escore CVSS de 7.5 e permite que atacantes não autenticados, com acesso à rede, assumam o controle de servidores vulneráveis. A CISA alertou que ataques bem-sucedidos podem resultar em acesso não autorizado a dados críticos. Embora não haja relatos públicos sobre a exploração ativa dessa vulnerabilidade, falhas anteriores no WebLogic foram frequentemente utilizadas para formar botnets, minerar criptomoedas e implantar ransomware. A Oracle lançou um patch para corrigir essa vulnerabilidade em julho de 2024. Diante da exploração ativa, a CISA recomenda que as agências do governo federal dos EUA apliquem as correções necessárias até 4 de junho de 2026 para proteger suas redes.

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

O Google divulgou em junho de 2026 atualizações de segurança para o Android, abordando 124 vulnerabilidades, incluindo uma falha zero-day (CVE-2025-48595) que está sendo explorada em ataques direcionados. Essa vulnerabilidade de alta severidade permite que atacantes locais executem código e elevem privilégios em dispositivos que rodam Android 14 ou versões posteriores. O Google alertou que a exploração dessa falha pode estar em andamento, embora detalhes técnicos ainda não tenham sido divulgados. Além disso, foram corrigidas 18 vulnerabilidades críticas em componentes do sistema e do framework, que poderiam ser utilizadas para causar negação de serviço e elevação de privilégios. As atualizações de segurança foram lançadas em dois pacotes, com dispositivos Google Pixel recebendo as correções imediatamente, enquanto outros fabricantes podem demorar mais para implementá-las. O Google também revisou seus programas de recompensas por vulnerabilidades, oferecendo até US$ 1,5 milhão por exploits do Android, enquanto reduziu os pagamentos para falhas mais fáceis de serem descobertas com inteligência artificial. A empresa não forneceu mais informações sobre os ataques relacionados à CVE-2025-48595.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing, atribuída ao grupo SideCopy, alinhado ao Paquistão, que visa o Ministério das Finanças do Afeganistão. A operação, chamada de XENOFISCAL, utiliza um trojan de acesso remoto chamado Xeno RAT, disfarçado em um arquivo ZIP que contém um arquivo LNK com um nome em pashto, a língua predominante no governo afegão. Além do Ministério, a campanha também atinge direções provinciais de finanças e funcionários do governo que falam pashto, evidenciando o conhecimento do atacante sobre o ambiente alvo. O Xeno RAT, uma ferramenta poderosa, permite ao invasor executar uma variedade de ações, como capturar teclas, tirar capturas de tela e monitorar dispositivos de áudio e vídeo. A campanha é uma continuação de atividades maliciosas mais amplas direcionadas a entidades da Ásia do Sul, com o SideCopy já tendo sido associado a ataques anteriores na Índia. A execução do malware envolve a utilização de um arquivo de atalho do Windows que, ao ser ativado, baixa um aplicativo HTML remoto, levando à execução de um JavaScript ofuscado. Este cenário destaca a crescente sofisticação das ameaças cibernéticas na região e a necessidade de vigilância constante por parte das entidades governamentais e corporativas.