Um estudo da Cybernews revelou que mais de 700 TB de dados de usuários foram expostos devido a vulnerabilidades em 1,8 milhão de aplicativos Android disponíveis na Google Play Store. Os dados vazados incluem informações sensíveis, como dados bancários e chaves de API, resultantes de ataques direcionados a usuários desses aplicativos. A pesquisa identificou que 72% dos aplicativos analisados continham pelo menos um dado confidencial embutido no código-fonte, enquanto 81% estavam relacionados a projetos armazenados no Google Cloud, o que facilita o acesso por agentes maliciosos. A maioria dos aplicativos utiliza hardcoding, uma técnica de criptografia inadequada que armazena informações sensíveis diretamente no código-fonte. Isso aumenta o risco de que hackers explorem brechas de segurança para manipular contas e realizar fraudes. Especialistas alertam que os usuários devem ser cautelosos ao baixar aplicativos, pois as barreiras de segurança do Google não são infalíveis. O cenário é preocupante, especialmente para aplicativos que lidam com operações financeiras, onde as consequências podem ser devastadoras.

Pesquisadores da Rapid7 identificaram que o grupo de hackers conhecido como Lotus Blossom, vinculado ao governo chinês, é o responsável pelo ataque ao editor de códigos Notepad++. O ataque, que ocorreu no início de fevereiro de 2026, comprometeu o sistema de atualização do software, permitindo que downloads maliciosos fossem entregues aos usuários. A nova backdoor, chamada Chrysalis, foi utilizada para garantir acesso permanente ao sistema, sendo mais sofisticada do que um vírus comum. Embora não haja confirmação do número de vítimas, a Rapid7 publicou indicadores de possíveis infecções. O desenvolvedor do Notepad++, Don Ho, expressou confiança na análise da Rapid7, embora não tenha certeza sobre a origem do ataque. O método de ataque envolveu o uso de trojans através do instalador NSIS, uma técnica frequentemente utilizada por grupos maliciosos chineses. A análise também revelou semelhanças com ataques anteriores, mas não há certeza absoluta sobre os responsáveis. Este incidente destaca a crescente ameaça de ciberespionagem em setores críticos, como governo e telecomunicações, especialmente em regiões como o sudeste asiático e América Central.

Pesquisadores da ANY.RUN identificaram um aumento significativo em campanhas de phishing que utilizam plataformas de nuvem legítimas, como Google, Microsoft e Cloudflare, visando o ambiente corporativo. Essas campanhas se aproveitam de vulnerabilidades de segurança para distribuir kits de phishing, contornando sistemas de segurança corporativos e comprometendo contas de funcionários para fraudes financeiras e disseminação de malware. A nova abordagem dos criminosos envolve o uso de URLs de provedores reais e uma entrega padrão em HTML, dificultando a detecção por ferramentas de segurança, que consideram as ações como legítimas. Além disso, os ataques frequentemente utilizam páginas de login falsas, especialmente direcionadas a usuários do Microsoft 365, para coletar dados sensíveis. O problema se agrava, pois a malícia só se revela quando os softwares comprometidos são executados, levando a infecções que podem passar despercebidas até que seja tarde demais. Essa evolução nas táticas de phishing representa um desafio crescente para a segurança cibernética das empresas, exigindo atenção redobrada dos profissionais da área.

A Microsoft identificou um aumento alarmante de ataques de infostealers direcionados ao sistema operacional macOS, uma prática que antes se concentrava principalmente em usuários do Windows. Desde o final de 2025, hackers têm utilizado uma combinação de engenharia social, correções falsas e arquivos DMG maliciosos para disseminar malware. O infostealer, que opera em conjunto com ferramentas como DigitStealer, MacSync e Atomic Stealer, é capaz de contornar as barreiras de segurança do macOS e roubar informações sensíveis, como senhas e dados bancários. Os ataques são frequentemente facilitados por meio de sites falsos promovidos em anúncios do Google e e-mails de phishing que induzem as vítimas a instalar o software malicioso. Além disso, a linguagem de programação Python tem sido utilizada para desenvolver esses malwares, aumentando a eficácia dos ataques. A situação é preocupante, pois os criminosos não apenas coletam dados, mas também apagam rastros digitais, dificultando a detecção de suas atividades. Essa nova onda de ataques representa um risco significativo para usuários de macOS, que historicamente se consideravam menos vulneráveis a esse tipo de ameaça.

A Avast, empresa de cibersegurança, anunciou uma atualização significativa para seu antivírus, incluindo o novo recurso Avast Deepfake Guard, que visa proteger os usuários contra fraudes envolvendo deepfakes. Essa tecnologia utiliza inteligência artificial para analisar vídeos em tempo real, identificando conteúdos manipulados que possam ser utilizados em golpes. A crescente utilização de deepfakes por golpistas representa uma ameaça séria, conforme destacado por Leena Elias, Chief Product Officer da Gen, que observa que esses conteúdos não são intrinsecamente prejudiciais, mas podem ser explorados para manipular e enganar as vítimas. A Avast registrou um aumento alarmante de 159.378 ocorrências de fraudes com deepfakes no último trimestre de 2025, com plataformas como YouTube, Facebook e X (antigo Twitter) sendo os principais alvos. A nova funcionalidade do Avast é uma resposta direta a esse cenário, buscando aumentar a conscientização dos usuários sobre a manipulação de conteúdo e incentivando decisões mais seguras ao consumir informações em vídeo.

Recentemente, uma vulnerabilidade crítica foi identificada no n8n, uma plataforma de automação de fluxos de trabalho, permitindo que usuários não autenticados executem comandos arbitrários nos servidores. A falha, classificada como CVE-2026-25049, pode resultar no roubo de segredos armazenados, como chaves de API e tokens OAuth, além de expor dados de múltiplos inquilinos que compartilham o mesmo ambiente. Os desenvolvedores do n8n reconheceram a gravidade do problema e lançaram um patch na versão 2.4.0, que deve ser aplicado imediatamente, especialmente porque um Proof of Concept (PoC) já foi divulgado, tornando a exploração da vulnerabilidade mais acessível a atacantes. Para aqueles que não conseguem aplicar a atualização de imediato, recomenda-se limitar as permissões de criação e edição de fluxos de trabalho a usuários confiáveis e implementar o n8n em um ambiente mais seguro. Apesar de não haver relatos de abusos até o momento, a situação exige atenção urgente para evitar possíveis comprometimentos.

Com a aproximação do Super Bowl LX em 2026, muitos espectadores fora dos Estados Unidos buscam maneiras de assistir ao evento com a mesma qualidade e experiência que os locais. O artigo destaca o NordVPN como a melhor opção para streaming, especialmente para acessar plataformas como Peacock e NBC. O autor, Rob Dunne, testou o NordVPN e constatou que ele oferece menos quedas de conexão e menos buffering em comparação com outros serviços, como Surfshark e Proton VPN. Os planos do NordVPN começam a partir de R$ 18,00 por mês, com uma garantia de reembolso de 30 dias, permitindo que os usuários experimentem o serviço sem riscos. Além de acesso a mais de 3.000 servidores nos EUA, o NordVPN também oferece proteção contra ameaças e um gerenciador de senhas. O uso de um VPN não só melhora a experiência de streaming, mas também garante segurança durante a transmissão do evento, especialmente em um contexto onde as interrupções comerciais e a análise especializada são altamente valorizadas. Para aqueles que buscam alternativas mais baratas, o artigo menciona Surfshark e PrivadoVPN, embora com algumas limitações em comparação ao NordVPN.

Em janeiro, hackers invadiram a plataforma de investimentos automatizados Betterment, comprometendo dados pessoais de aproximadamente 1,4 milhão de contas. A Betterment, que gerencia cerca de 65 bilhões de dólares em ativos, não revelou o número exato de clientes afetados, mas a análise do serviço Have I Been Pwned confirmou a exposição de informações como endereços de e-mail, nomes, locais geográficos, datas de nascimento, endereços físicos e números de telefone. Após a invasão, os atacantes enviaram e-mails fraudulentos disfarçados de promoções da empresa, tentando enganar clientes com uma falsa oferta de recompensas em criptomoedas. A Betterment assegurou que não houve comprometimento das contas dos clientes e que o acesso não autorizado foi removido. Além disso, a empresa confirmou que a interrupção em seu site e aplicativo móvel foi causada por um ataque de negação de serviço (DDoS). Uma investigação forense, realizada em parceria com a CrowdStrike, não encontrou evidências de que informações sensíveis, como senhas ou dados de login, foram acessadas. O incidente destaca a importância da segurança cibernética em plataformas financeiras e a necessidade de vigilância constante contra ataques de engenharia social.

A plataforma de newsletters Substack informou seus usuários sobre um vazamento de dados ocorrido em outubro de 2025, onde atacantes conseguiram acessar endereços de e-mail e números de telefone. O CEO da empresa, Chris Best, revelou que a falha foi identificada apenas em fevereiro de 2026, quatro meses após o incidente. Apesar do acesso a dados pessoais, não houve comprometimento de informações financeiras ou credenciais de acesso. Um banco de dados com 697.313 registros supostamente roubados foi vazado em um fórum de hackers, mas a Substack não divulgou o número exato de usuários afetados. A empresa afirmou que já corrigiu a vulnerabilidade explorada e alertou os usuários sobre possíveis tentativas de phishing que possam utilizar as informações roubadas. Best enfatizou que não há evidências de que os dados estejam sendo mal utilizados, mas recomendou cautela ao lidar com mensagens suspeitas. Este incidente é um lembrete da importância da segurança de dados, especialmente em plataformas que lidam com informações pessoais de usuários.

A migração para a nuvem, embora prometida como uma solução simples e segura, tem gerado novos desafios de segurança, como a criação de pontos cegos e superfícies de ataque. A visibilidade em tempo real é essencial para a defesa cibernética, especialmente em arquiteturas de múltiplas nuvens e ambientes híbridos. A padronização dos logs nativos da nuvem é complexa devido à diversidade de provedores, mas a telemetria de rede se destaca como uma solução eficaz, permitindo que analistas identifiquem padrões suspeitos rapidamente. O artigo enfatiza a importância de monitorar o tráfego de rede, incluindo comunicações internas e externas, e sugere o uso de ferramentas como o Corelight NDR para melhorar a detecção de ameaças. Além disso, destaca a necessidade de um fluxo de trabalho eficaz para coletar e analisar dados de telemetria, estabelecendo bases de referência e monitorando atividades suspeitas. A segurança em ambientes de nuvem requer a aplicação de princípios de rede tradicionais para garantir uma defesa robusta contra ataques cibernéticos, especialmente em um cenário onde os atacantes utilizam inteligência artificial para contornar controles de segurança.

A Conpet, operadora nacional de oleodutos da Romênia, sofreu um ciberataque que afetou seus sistemas corporativos e derrubou seu site na terça-feira. A empresa, que gerencia quase 4.000 quilômetros de rede de oleodutos, informou que, apesar da interrupção em sua infraestrutura de TI, suas operações de transporte de petróleo e derivados não foram comprometidas. A Conpet está investigando o incidente com a ajuda das autoridades de cibersegurança do país e notificou a Diretoria de Investigação do Crime Organizado e do Terrorismo (DIICOT), apresentando uma queixa criminal. O grupo de ransomware Qilin reivindicou a responsabilidade pelo ataque, alegando ter roubado cerca de 1TB de documentos e vazado informações internas, incluindo dados financeiros e cópias de passaportes. Este ataque segue uma série de incidentes cibernéticos que afetaram outras entidades romenas, como a Autoridade de Águas da Romênia e o Complexo Energético Oltenia, evidenciando um aumento nas ameaças cibernéticas no país.

O grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, tem aprimorado suas táticas para ocultar suas atividades maliciosas. Após um apagão de internet imposto pelo governo iraniano em janeiro de 2026, o grupo interrompeu a manutenção de seus servidores de comando e controle (C2) pela primeira vez em anos. No entanto, a atividade foi retomada em 26 de janeiro, com a configuração de novos servidores C2, indicando que o grupo está se adaptando rapidamente às mudanças no ambiente digital. O Infy, ativo desde 2004, é um dos grupos patrocinados pelo estado iraniano que realiza operações de espionagem e sabotagem. Recentemente, foram identificadas novas versões de suas ferramentas de ataque, como Foudre e Tonnerre, que agora utilizam um bot do Telegram para comunicação. A análise revelou que o grupo também explorou uma vulnerabilidade no WinRAR para implantar seu malware. O uso de técnicas como a geração de nomes de domínio por meio de algoritmos DGA e a desofuscação de dados em blockchain demonstra a sofisticação das operações do Infy, que continua a ser uma ameaça significativa no cenário de cibersegurança.

Nesta semana, diversos pequenos sinais indicam mudanças nas táticas de ataque cibernético. Pesquisadores observaram intrusões que começam em locais comuns, como fluxos de trabalho de desenvolvedores e ferramentas remotas, tornando a entrada menos visível e o impacto mais escalável. O grupo APT36, alinhado ao Paquistão, expandiu suas operações para o ecossistema de startups da Índia, utilizando e-mails de spear-phishing com arquivos ISO maliciosos para implantar o Crimson RAT, permitindo vigilância e exfiltração de dados. Além disso, o grupo ShadowSyndicate tem utilizado uma infraestrutura compartilhada para realizar uma variedade de atividades maliciosas, enquanto a CISA identificou 59 CVEs exploradas em ataques de ransomware, incluindo vulnerabilidades da Microsoft e Fortinet. Por outro lado, a operação Rublevka Team tem se destacado na drenagem de criptomoedas, gerando mais de $10 milhões através de campanhas de engenharia social. Essas tendências mostram como os ataques estão se tornando mais sofisticados e organizados, exigindo atenção redobrada das empresas.

Uma nova onda de spam está afetando usuários em todo o mundo, com muitos relatando o recebimento de e-mails automatizados gerados por sistemas de suporte Zendesk não seguros. Desde ontem, diversos usuários nas redes sociais têm relatado o recebimento de centenas de mensagens com linhas de assunto alarmantes, como ‘Ative sua conta’. Esses e-mails, que parecem ser respostas automáticas legítimas de portais de suporte ao cliente, estão sendo enviados a pessoas que nunca se inscreveram ou abriram tickets. O pesquisador de segurança Jonathan Leitschuh destacou que seu e-mail foi inundado por essas mensagens, sugerindo que atacantes estão explorando formulários de submissão de tickets do Zendesk para disparar e-mails de confirmação em massa. Este problema não é novo; em janeiro, uma onda de spam semelhante foi registrada, levando a Zendesk a implementar novas medidas de segurança. Apesar disso, a atividade recente indica que os atacantes ainda conseguem abusar dos portais de tickets expostos, o que levanta preocupações sobre a eficácia das medidas de proteção implementadas pela empresa. A situação exige atenção, especialmente para organizações que utilizam o Zendesk como parte de suas operações de suporte ao cliente.

Pesquisadores de cibersegurança revelaram uma campanha ativa de sequestro de tráfego web que visa instalações do NGINX e painéis de gerenciamento como o Baota (BT). A Datadog Security Labs identificou que atores de ameaças estão explorando a vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0) utilizando configurações maliciosas do NGINX para redirecionar o tráfego legítimo através de servidores controlados pelos atacantes. A campanha foca em domínios de nível superior (TLDs) asiáticos e infraestrutura de hospedagem chinesa, além de TLDs governamentais e educacionais. Os atacantes utilizam scripts em shell para injetar configurações maliciosas no NGINX, capturando requisições em URLs específicas e redirecionando-as. O toolkit utilizado inclui scripts que orquestram a execução de etapas subsequentes, visando persistência e criação de arquivos de configuração maliciosos. Dados recentes indicam que dois endereços IP representam 56% das tentativas de exploração observadas, com um total de 1.083 IPs únicos envolvidos em um curto período. A situação é preocupante, pois sugere um interesse em acesso interativo, além da extração automatizada de recursos.

Uma nova vulnerabilidade crítica foi identificada na plataforma de automação de fluxos de trabalho n8n, rastreada como CVE-2026-25049, com uma pontuação CVSS de 9.4. Essa falha resulta de uma sanitização inadequada que contorna as proteções implementadas para uma vulnerabilidade anterior, CVE-2025-68613, que já havia sido corrigida. O problema permite que um usuário autenticado, com permissão para criar ou modificar fluxos de trabalho, abuse de expressões maliciosas para executar comandos de sistema não intencionais no servidor que executa o n8n. As versões afetadas incluem todas as anteriores a 1.123.17 e 2.5.2, que já foram corrigidas. A exploração bem-sucedida pode levar ao comprometimento do servidor, roubo de credenciais e exfiltração de dados sensíveis. Especialistas alertam que a gravidade da falha aumenta quando combinada com a funcionalidade de webhook do n8n, permitindo que um adversário crie um fluxo de trabalho acessível publicamente. Os usuários são aconselhados a restringir permissões de criação e edição de fluxos de trabalho e a implementar o n8n em ambientes mais seguros. Além dessa vulnerabilidade, foram relatadas outras quatro falhas críticas, exigindo que os usuários atualizem suas instâncias para as versões mais recentes para garantir a proteção adequada.

Pesquisadores do DataDog Security Labs descobriram uma campanha de ciberataques que compromete servidores NGINX, redirecionando o tráfego de usuários por meio da infraestrutura do atacante. O NGINX, um software de gerenciamento de tráfego web amplamente utilizado, é alvo de modificações em seus arquivos de configuração, onde blocos maliciosos são injetados. Esses blocos capturam requisições em URLs selecionadas e as redirecionam para domínios controlados pelos atacantes, utilizando a diretiva ‘proxy_pass’, que normalmente é usada para balanceamento de carga e, portanto, não aciona alertas de segurança.

A botnet Aisuru estabeleceu um novo recorde ao realizar um ataque de Negação de Serviço Distribuída (DDoS) que alcançou 31,4 Tbps, com 200 milhões de solicitações por segundo. Este ataque, que ocorreu em fevereiro de 2026, foi direcionado principalmente a empresas do setor de telecomunicações e foi detectado pela Cloudflare, que classificou o incidente como um ‘bombardeio sem precedentes’. Aisuru já havia registrado um ataque anterior de 29,7 Tbps, mas a nova campanha se destacou pela intensidade e pela utilização de dispositivos IoT, incluindo TVs Android hackeadas, para amplificar o ataque. O aumento de 121% nos ataques DDoS no último trimestre de 2025, totalizando 47,1 milhões de incidentes, destaca a crescente preocupação com a segurança cibernética, especialmente em setores como telecomunicações, TI e apostas esportivas, que são os mais visados. O cenário é alarmante, pois a botnet Aisuru se alimenta de dispositivos comprometidos, o que representa um risco significativo para a infraestrutura digital global.

Recentemente, a ferramenta de login único (SSO) da Fortinet foi alvo de uma vulnerabilidade crítica, identificada como CVE-2026-24858, com um score de 9,8. Essa falha permitiu que hackers, com contas FortiCloud ativas, acessassem dispositivos de outros usuários sem a necessidade de senha, contanto que o SSO estivesse ativado. A Fortinet desabilitou temporariamente a ferramenta para proteger os usuários, embora tenha destacado que o SSO não é ativado por padrão, o que salvou a maioria dos usuários da exposição. A empresa já havia corrigido uma falha semelhante em dezembro de 2025, mas a exploração continuou, levando à descoberta da nova vulnerabilidade. A Fortinet recomenda que os usuários atualizem seus sistemas para versões corrigidas. A empresa de segurança Shadowserver estima que cerca de 10.000 instâncias foram ameaçadas, uma diminuição em relação às 25.000 identificadas anteriormente. A situação destaca a importância de manter sistemas atualizados e a vigilância constante contra vulnerabilidades.

Um novo relatório da McDonald’s revela que senhas relacionadas a alimentos populares, como ‘bigmac’ e ‘happymeal’, estão presentes em mais de 110 mil contas comprometidas. Apesar das recomendações de segurança cibernética, muitos usuários ainda optam por senhas fáceis de lembrar, o que as torna vulneráveis a ataques automatizados. A substituição de letras por símbolos, uma prática que antes oferecia alguma proteção, já não é eficaz contra métodos modernos de quebra de senhas. A campanha da McDonald’s, que utiliza humor e reconhecimento, visa conscientizar o público sobre a importância de criar senhas mais seguras. Especialistas recomendam o uso de frases longas, autenticação multifatorial e gerenciadores de senhas para melhorar a segurança. A persistência de senhas fracas, mesmo entre usuários mais jovens, destaca a necessidade de uma mudança de comportamento em relação à segurança digital. A falta de conscientização e a resistência à mudança são fatores que contribuem para a continuidade desse problema, que persiste mesmo após anos de orientações sobre cibersegurança.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) confirmou que grupos de ransomware começaram a explorar uma vulnerabilidade crítica no VMware ESXi, identificada como CVE-2025-22225. Esta falha, que permite a escrita arbitrária no kernel e a fuga do ambiente de sandbox, foi corrigida pela Broadcom em março de 2025, juntamente com outras vulnerabilidades. A exploração dessa falha é particularmente preocupante, pois pode ser encadeada com outras vulnerabilidades para comprometer sistemas virtuais. A CISA já havia classificado essa vulnerabilidade como um zero-day e alertou agências federais para que tomassem medidas de segurança até 25 de março de 2025. Relatórios indicam que atores de ameaças que falam chinês estão utilizando essas falhas em ataques sofisticados desde fevereiro de 2024. A CISA também destacou que a exploração de vulnerabilidades do VMware é comum entre grupos de ransomware, devido à ampla utilização desses produtos em sistemas empresariais que armazenam dados sensíveis. O alerta é um chamado à ação para que as organizações revisem suas defesas e apliquem as correções necessárias para evitar possíveis ataques.

Pesquisadores de segurança cibernética identificaram múltiplas vulnerabilidades críticas na plataforma de automação de workflows n8n, coletivamente rastreadas como CVE-2026-25049. Essas falhas permitem que qualquer usuário autenticado que possa criar ou editar workflows execute código remotamente sem restrições no servidor n8n. O problema está relacionado ao mecanismo de sanitização da plataforma e contorna uma correção anterior para a CVE-2025-68613. A exploração dessa vulnerabilidade pode resultar na completa comprometimento da instância do n8n, permitindo o roubo de credenciais, segredos e arquivos de configuração sensíveis. Além disso, os pesquisadores conseguiram acessar o sistema de arquivos e serviços internos, podendo redirecionar tráfego e modificar respostas em workflows de IA. A n8n é um ambiente multi-tenant, o que significa que a exploração pode afetar dados de outros inquilinos. Embora a n8n tenha lançado uma correção em janeiro de 2026, a vulnerabilidade ainda é uma preocupação, especialmente considerando o aumento da atividade maliciosa em endpoints expostos da plataforma. Os usuários são aconselhados a atualizar para as versões mais recentes e revisar as permissões de criação e edição de workflows.

O artigo aborda a crescente complexidade da gestão de identidade e acesso (IAM) em ambientes corporativos modernos, onde a lógica de identidade se deslocou para aplicações, APIs e contas de serviço, criando o que é denominado ‘Matéria Escura de Identidade’. Essa situação gera riscos que não podem ser observados diretamente pelas ferramentas tradicionais de IAM, PAM e IGA. A Orchid Security propõe uma solução que consiste em um modelo operacional de quatro etapas: Descobrir, Analisar, Orquestrar e Auditar. A primeira etapa envolve a identificação do uso de identidade dentro das aplicações, seguida pela análise do risco com base no comportamento observado. A orquestração permite que as equipes de segurança atuem sobre as descobertas, integrando-se com controles existentes. Por fim, a auditoria contínua garante que os dados de identidade estejam sempre disponíveis, facilitando a preparação para auditorias. A abordagem da Orchid visa melhorar a visibilidade e reduzir a exposição a caminhos de acesso não gerenciados, permitindo que as equipes tomem decisões baseadas em dados verificados, em vez de suposições.

Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova campanha de malware chamada DEAD#VAX, que utiliza uma combinação de técnicas sofisticadas para contornar mecanismos tradicionais de detecção. O ataque utiliza arquivos de disco virtual (VHD) hospedados na rede descentralizada InterPlanetary Filesystem (IPFS), disfarçados como arquivos PDF, para enganar as vítimas. O malware AsyncRAT, um trojan de acesso remoto, é injetado diretamente em processos confiáveis do Windows, operando totalmente na memória e evitando a criação de artefatos forenses no disco. A campanha é iniciada por meio de um e-mail de phishing que entrega o arquivo VHD. Uma vez montado, um script WSF é executado, que verifica as condições do ambiente antes de liberar o AsyncRAT. Essa abordagem de execução em memória e o uso de scripts ofuscados dificultam a detecção e a resposta a incidentes, tornando a campanha altamente eficaz. Os pesquisadores alertam que a evolução das campanhas de malware, que agora dependem de formatos de arquivo confiáveis e execução residente na memória, representa um desafio significativo para a segurança cibernética.

A Microsoft anunciou o desenvolvimento de um scanner leve capaz de detectar backdoors em modelos de linguagem de grande escala (LLMs), visando aumentar a confiança em sistemas de inteligência artificial (IA). A equipe de segurança da IA da empresa identificou três sinais observáveis que podem indicar a presença de backdoors, mantendo uma baixa taxa de falsos positivos. Esses sinais incluem padrões de atenção distintos em respostas a frases de gatilho, a memorização de dados de envenenamento e a ativação de backdoors por gatilhos ‘fuzzy’. O scanner não requer treinamento adicional e pode ser aplicado em modelos comuns, mas tem limitações, como a incapacidade de funcionar em modelos proprietários. A Microsoft também está expandindo seu Ciclo de Vida de Desenvolvimento Seguro (SDL) para abordar preocupações de segurança específicas da IA, reconhecendo que sistemas de IA criam múltiplos pontos de entrada para inputs inseguros. Essa inovação é um passo significativo para a detecção prática de backdoors, mas a colaboração na comunidade de segurança da IA é essencial para o progresso contínuo.

Uma vulnerabilidade crítica no Microsoft Office, identificada como CVE-2026-21509, está sendo ativamente explorada por hackers, especialmente um grupo conhecido como APT28. Apesar de a Microsoft ter lançado um patch para corrigir a falha, a exploração da vulnerabilidade foi detectada apenas três dias após a atualização. A Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) relatou que documentos maliciosos estão sendo distribuídos, com alvos principais em organizações governamentais ucranianas e instituições na União Europeia. O ataque envolve a abertura de arquivos DOC corrompidos que desencadeiam downloads de malware, utilizando técnicas como sequestro de COM e shellcode oculto. Especialistas recomendam que as organizações atualizem imediatamente seus sistemas Microsoft Office e outros aplicativos do Microsoft 365 para evitar compromissos de segurança. A situação é alarmante, pois a falha pode ter repercussões mais amplas do que inicialmente previsto, afetando a segurança de dados em várias regiões.

Um estudo da KnowBe4 revelou que 38% das informações expostas em violações de segurança são resultado do roubo de senhas, destacando a vulnerabilidade desse método de autenticação. Apesar da implementação de medidas como a autenticação multifator (MFA), os cibercriminosos continuam a encontrar formas de contornar essas proteções. O ambiente corporativo é especialmente suscetível, com 98,4% das mensagens de phishing focadas em temas como remuneração e políticas internas, o que aumenta a confiança dos usuários nas armadilhas. Além disso, os hackers utilizam diversas táticas para obter senhas, incluindo engenharia social, adivinhação e exploração de falhas técnicas. Para mitigar esses riscos, especialistas recomendam o uso de senhas longas e complexas, a adoção de gerenciadores de senhas e a não reutilização de credenciais em diferentes contas. O artigo alerta que a segurança das senhas deve ser uma prioridade tanto para usuários individuais quanto para empresas, dada a crescente sofisticação das ameaças digitais.

A Apple anunciou uma nova ferramenta de privacidade que permitirá aos usuários de iPhones e iPads limitar a precisão dos dados de localização compartilhados com redes móveis. A funcionalidade, chamada ‘Limitar Localização Precisa’, estará disponível na atualização do iOS 26.3 e permitirá que as operadoras identifiquem apenas a localização aproximada do usuário, como o bairro, em vez do endereço exato. Essa mudança visa aumentar a privacidade dos usuários, embora os dados utilizados em situações de emergência permaneçam precisos. A nova opção pode ser ativada nas configurações do dispositivo, mas atualmente está disponível apenas em modelos específicos, como o iPhone Air, iPhone 16e e iPad Pro (M5) com Wi-Fi + Celular. A implementação dessa ferramenta depende do suporte das operadoras, com algumas já oferecendo a funcionalidade em países como Reino Unido, Estados Unidos e Tailândia, mas sem informações sobre sua disponibilidade no Brasil.

Uma pesquisa realizada pela SentinelLABS e Censys, da SentinelOne, revelou que o Brasil é um dos países mais afetados pela exposição de servidores de Inteligência Artificial (IA) a hackers. A análise abrangeu 175.000 hosts Ollama em 130 países, com a maioria das instâncias expostas localizadas na China. No entanto, o Brasil se destaca entre os países com maior número de servidores vulneráveis, ao lado de nações como Alemanha, Coreia do Sul e Estados Unidos. A Ollama, um framework de código aberto, permite que usuários gerenciem modelos de linguagem localmente, mas a configuração inadequada pode expor esses servidores à internet, aumentando o risco de ataques. Aproximadamente 48% dos hosts analisados possuem capacidades que permitem a execução de código e interação com sistemas externos, o que pode ser explorado por hackers para realizar atividades maliciosas, como spam em massa e campanhas de desinformação. A pesquisa também identificou a campanha Operation Bizarre Bazaar, que monetiza o acesso a essa infraestrutura de IA clandestina. Para mitigar esses riscos, é essencial que as organizações tratem os LLMs com as mesmas medidas de segurança aplicadas a qualquer infraestrutura acessível externamente.

Pesquisadores de cibersegurança identificaram uma campanha que utiliza extensões maliciosas do Chrome para sequestrar links de afiliados, visando roubar dados de usuários. Uma das extensões detectadas, chamada Amazon Ads Blocker, finge ser uma ferramenta de bloqueio de anúncios, mas na verdade injeta um código de afiliado do próprio desenvolvedor em links de produtos da Amazon. Isso resulta na substituição de códigos de afiliados legítimos, prejudicando influenciadores e criadores de conteúdo que dependem dessas comissões. A análise revelou que o Amazon Ads Blocker é apenas uma entre 29 extensões maliciosas que atacam diversas plataformas de e-commerce, incluindo AliExpress, Shein e Walmart. As extensões violam as políticas da Chrome Web Store, que proíbem a substituição de códigos afiliados sem divulgação. O problema é alarmante, pois os usuários não precisam realizar ações adicionais para que suas comissões sejam desviadas, tornando a situação ainda mais crítica.

A Microsoft emitiu um alerta sobre a crescente ameaça de malware infostealer que agora se expande além das campanhas tradicionais focadas em Windows, atingindo também dispositivos macOS. Segundo um relatório da empresa, os cibercriminosos estão utilizando técnicas de engenharia social e anúncios maliciosos para distribuir instaladores DMG que contêm variantes como DigitStealer, MacSync e AMOS (Atomic macOS Stealer). Esses malwares visam roubar dados sensíveis, incluindo sessões de navegador, credenciais de desenvolvedor e tokens de nuvem, facilitando ataques como sequestro de contas e ransomware.

O grupo de ransomware Lynx reivindicou um ataque cibernético à Lakelands Public Health, em Ontário, Canadá, que ocorreu em 29 de janeiro de 2026. O incidente afetou sistemas internos, incluindo linhas telefônicas, e a organização confirmou a descoberta de um problema de cibersegurança em 3 de fevereiro. Lynx alegou ter acessado e roubado dados confidenciais da instituição, publicando amostras de documentos em seu site de vazamento de dados. No entanto, a Lakelands Public Health não confirmou a autenticidade das alegações e não forneceu detalhes sobre a natureza dos dados comprometidos, se um resgate foi pago ou como a rede foi invadida. A organização está colaborando com autoridades e especialistas em cibersegurança para mitigar o impacto do ataque. Este incidente é parte de um aumento de 31% nos ataques de ransomware em organizações canadenses em 2025, com Lynx sendo responsável por 49 ataques confirmados desde sua formação em julho de 2024. O ataque à Lakelands Public Health é o primeiro incidente confirmado em 2026, destacando a crescente ameaça de ransomware, especialmente em setores críticos como a saúde pública.

A Microsoft iniciou a implementação da funcionalidade Sysmon em sistemas Windows 11 que fazem parte do programa Windows Insider. O Sysmon, uma ferramenta gratuita da Microsoft Sysinternals, é um serviço de sistema e driver que monitora atividades maliciosas e suspeitas, registrando-as no Log de Eventos do Windows. Embora já fosse uma ferramenta popular para diagnóstico de problemas e caça a ameaças, sua instalação manual dificultava a gestão em ambientes de TI grandes. Com a nova integração, a funcionalidade Sysmon permite capturar eventos do sistema que auxiliam na detecção de ameaças, podendo ser configurada para monitorar comportamentos complexos, como criação de arquivos executáveis e alterações na área de transferência do Windows. Apesar de estar disponível nativamente, o Sysmon vem desativado por padrão e deve ser habilitado manualmente. As novas capacidades estão sendo disponibilizadas para usuários do Windows Insider nas versões Beta e Dev que instalaram as builds de pré-visualização mais recentes. Essa mudança promete facilitar a administração de segurança em ambientes corporativos, permitindo um monitoramento mais eficaz e centralizado das atividades do sistema.

Um novo ator de ameaças, denominado Amaranth Dragon, vinculado a operações patrocinadas pelo estado chinês APT41, tem explorado a vulnerabilidade CVE-2025-8088 no WinRAR para realizar ataques de espionagem direcionados a agências governamentais e de segurança. Os hackers utilizam ferramentas legítimas combinadas com um carregador personalizado, o Amaranth Loader, para entregar cargas úteis criptografadas a partir de servidores de comando e controle (C2) protegidos pela infraestrutura da Cloudflare, aumentando a precisão e a furtividade dos ataques. Pesquisadores da Check Point identificaram que o grupo tem como alvo organizações em países do Sudeste Asiático, como Cingapura, Tailândia e Filipinas. A vulnerabilidade permite que arquivos maliciosos sejam escritos em locais arbitrários no Windows, e desde meados de 2025, diversos grupos têm explorado essa falha em ataques zero-day. O Amaranth Dragon começou a explorar a falha em 18 de agosto de 2025, utilizando arquivos ZIP com scripts maliciosos e, posteriormente, aproveitando a vulnerabilidade para inserir scripts na pasta de inicialização do Windows. O grupo também implementou um novo RAT, o TGAmaranth, que utiliza um bot do Telegram para suas atividades de C2 e possui capacidades avançadas de evasão de detecção. Dada a exploração ativa da CVE-2025-8088, recomenda-se que as organizações atualizem para a versão mais recente do WinRAR para mitigar os riscos associados.

Pesquisadores da Huntress identificaram um novo ataque cibernético que utiliza um driver de kernel legítimo, mas revogado, do EnCase para criar uma ferramenta maliciosa conhecida como EDR killer. Essa ferramenta é projetada para desativar soluções de detecção e resposta em endpoints (EDR) e outros softwares de segurança, utilizando a técnica ‘Bring Your Own Vulnerable Driver’ (BYOVD). O ataque começou com a violação de uma rede através de credenciais comprometidas do SonicWall SSL VPN, explorando a falta de autenticação multifatorial (MFA). Após a invasão, os atacantes realizaram uma varredura interna agressiva e implantaram um executável de 64 bits que abusava do driver ‘EnPortv.sys’, que possui um certificado expirado e revogado, mas ainda é aceito pelo Windows devido a falhas na verificação de certificados. A ferramenta maliciosa consegue desativar 59 processos relacionados a EDR e antivírus, estabelecendo uma persistência resistente a reinicializações. Apesar de a atividade estar relacionada a um possível ataque de ransomware, a ação foi interrompida antes da entrega do payload final. Recomendações de defesa incluem a habilitação de MFA em serviços de acesso remoto e monitoramento de logs do VPN para atividades suspeitas.

Uma análise abrangente realizada por pesquisadores da Flare em 2025 revelou que mais de 10.000 imagens de contêineres no Docker Hub continham segredos expostos, como chaves de API, tokens de nuvem e credenciais de CI/CD. Esses vazamentos, muitas vezes não intencionais, ocorrem em repositórios públicos e representam falhas estruturais na forma como o software moderno é construído e operado. Um exemplo alarmante foi o vazamento de credenciais que comprometeu 165 organizações durante o incidente da Snowflake em 2024, onde credenciais antigas foram utilizadas por atacantes para acessar dados sensíveis. Outro caso notável foi a exposição de um token do GitHub da Home Depot, que permaneceu ativo por mais de um ano, permitindo acesso a sistemas internos críticos. Esses incidentes destacam a necessidade urgente de monitoramento e governança de identidades não humanas (NHIs), que são essenciais para a automação e operação de serviços em nuvem. A falta de gestão adequada dessas credenciais pode resultar em acessos não autorizados e danos significativos às organizações. Portanto, a segurança das NHIs deve ser uma prioridade nas estratégias de cibersegurança das empresas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade do GitLab, identificada como CVE-2021-39935, que está sendo ativamente explorada em ataques. Essa falha, que permite a execução de requisições do lado do servidor (SSRF), foi corrigida pela GitLab em dezembro de 2021, mas ainda afeta versões do software que vão da 10.5 até a 14.5.2. A CISA alertou que usuários não autorizados poderiam acessar a API CI Lint, comprometendo a segurança das configurações de CI/CD. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, priorizem a correção de suas vulnerabilidades. Atualmente, mais de 49 mil dispositivos com a impressão digital do GitLab estão expostos online, a maioria na China. A GitLab é amplamente utilizada, com mais de 30 milhões de usuários registrados, incluindo grandes empresas como Nvidia e Goldman Sachs. Além disso, a CISA também destacou uma vulnerabilidade crítica no SolarWinds Web Help Desk, exigindo correções em um prazo de três dias. A situação ressalta a necessidade urgente de ações de segurança cibernética em todos os setores.

Em 2025, um novo conjunto de campanhas de espionagem cibernética, atribuído a atores de ameaças ligados à China, foi identificado, visando agências governamentais e de segurança na região do Sudeste Asiático. O grupo, denominado Amaranth-Dragon, está associado ao ecossistema APT 41 e tem como alvos países como Camboja, Tailândia, Laos, Indonésia, Cingapura e Filipinas. As campanhas foram estrategicamente sincronizadas com eventos políticos e de segurança locais, aumentando a probabilidade de que as vítimas interagissem com o conteúdo malicioso. Os ataques, que demonstram um alto grau de furtividade, exploraram uma vulnerabilidade específica (CVE-2025-8088) no WinRAR, permitindo a execução de código arbitrário. Os invasores utilizaram arquivos RAR maliciosos distribuídos via e-mails de spear-phishing, hospedados em plataformas de nuvem conhecidas para evitar detecções. O Amaranth Loader, um componente central dos ataques, foi projetado para estabelecer uma comunicação com servidores externos e executar cargas úteis de forma discreta. A infraestrutura de comando e controle (C2) é protegida e configurada para aceitar tráfego apenas de IPs dos países-alvo, evidenciando a sofisticação dos atacantes. Este cenário destaca a necessidade de vigilância contínua e de ações proativas por parte das organizações na região.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha crítica no SolarWinds Web Help Desk (WHD) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), classificando-a como ativamente explorada em ataques. A vulnerabilidade, identificada como CVE-2025-40551, possui uma pontuação CVSS de 9.8 e refere-se a uma deserialização de dados não confiáveis, que pode permitir a execução remota de código sem necessidade de autenticação. A SolarWinds lançou correções para essa e outras falhas na versão 2026.1 do WHD. Além disso, outras vulnerabilidades críticas em sistemas como Sangoma FreePBX e GitLab também foram adicionadas ao catálogo da CISA. Embora não haja informações públicas sobre como a CVE-2025-40551 está sendo explorada, o alerta destaca a rapidez com que os atores de ameaças estão se movendo para explorar falhas recém-divulgadas. Agências federais dos EUA devem corrigir essa vulnerabilidade até 6 de fevereiro de 2026, e as demais até 24 de fevereiro de 2026, conforme a Diretriz Operacional Vinculante 22-01.

A Fundação Eclipse, responsável pelo Open VSX Registry, anunciou a implementação de checagens de segurança antes da publicação de extensões para o Visual Studio Code (VS Code). Essa mudança visa combater ameaças à cadeia de suprimentos, passando de uma abordagem reativa, que apenas remove extensões maliciosas após a publicação, para uma abordagem proativa. Christopher Guindon, diretor de desenvolvimento de software da fundação, destacou que a estratégia atual não é escalável diante do aumento do volume de publicações e da evolução dos modelos de ameaça. O Open VSX Registry tem sido alvo de ataques, como a recente exploração de uma conta de editor comprometida para distribuir atualizações maliciosas. As novas checagens pré-publicação buscarão identificar casos claros de imitação de nomes de extensões, credenciais acidentalmente publicadas e padrões maliciosos conhecidos. Embora a Microsoft já utilize um processo de verificação semelhante em seu Visual Studio Marketplace, a Fundação Eclipse planeja implementar essas checagens de forma gradual durante fevereiro de 2026, com o objetivo de aumentar a segurança e a confiança na plataforma. Essa iniciativa é crucial para proteger desenvolvedores e garantir um ecossistema mais seguro para extensões de código aberto.

A Microsoft alertou que ataques de roubo de informações estão se expandindo rapidamente para ambientes macOS, utilizando linguagens de programação multiplataforma como Python e explorando plataformas confiáveis para distribuição em larga escala. Desde o final de 2025, campanhas de infostealers direcionadas ao macOS têm utilizado técnicas de engenharia social, como o ClickFix, para distribuir instaladores maliciosos que implantam famílias de malware como Atomic macOS Stealer (AMOS) e DigitStealer. Esses ataques frequentemente começam com anúncios maliciosos, muitas vezes veiculados pelo Google Ads, que redirecionam usuários em busca de ferramentas populares para sites falsos, levando-os a infectar suas próprias máquinas. Os atacantes têm utilizado execução sem arquivos e automação via AppleScript para facilitar o roubo de dados, incluindo credenciais de navegadores e informações financeiras. A Microsoft identificou campanhas específicas, como a do PXA Stealer, que coleta dados sensíveis através de e-mails de phishing. Para mitigar esses riscos, as organizações devem educar seus usuários sobre ataques de engenharia social e monitorar atividades suspeitas.

Com a chegada do Carnaval, a preocupação com a segurança de celulares e dados pessoais aumenta, especialmente em grandes cidades como São Paulo e Rio de Janeiro, onde ocorreram mais de 5 mil furtos em 2025. Cristiano Vicente, especialista em proteção de dados, oferece dicas valiosas para os foliões. O uso de smart tags e cadeados biométricos pode ajudar a localizar itens perdidos em tempo real. Além disso, optar por anéis de pagamento NFC e smartwatches para transações evita levar o celular, reduzindo o risco de furtos. Carregadores portáteis, especialmente os solares, são recomendados para garantir a autonomia do dispositivo durante a folia. Para aqueles que não vão aos bloquinhos, é essencial tomar cuidado ao comprar ingressos, evitando sites não oficiais e verificando a autenticidade dos vendedores. Vicente ressalta que, embora o Carnaval seja um momento de celebração, a atenção à segurança digital é fundamental para evitar prejuízos.

Uma nova campanha de phishing está direcionada a usuários do Dropbox, especialmente em ambientes corporativos, com o objetivo de roubar credenciais de login. Pesquisadores da Forcepoint identificaram que os ataques se disfarçam como e-mails legítimos, contendo PDFs que parecem inofensivos. Ao clicar em links dentro desses documentos, as vítimas são redirecionadas para uma página falsa de login do Dropbox, onde suas informações são coletadas. Os criminosos utilizam endereços de e-mail que aparentam ser profissionais, dificultando a detecção pelos filtros de segurança. Após o fornecimento dos dados, um script é acionado, capturando e enviando informações sensíveis, como e-mail, senha e endereço IP, para um canal privado no Telegram controlado pelos hackers. O golpe é sofisticado, pois apresenta uma mensagem de erro ao usuário, fazendo-o acreditar que digitou a senha incorretamente. A situação é alarmante, pois a conta do Dropbox comprometida pode levar a vazamentos de dados sensíveis, exigindo atenção redobrada de empresas e usuários em geral.

A modelo Bruna Cristine de Menezes de Castro, conhecida como Barbie do Crime, foi presa em Goiânia por sua ligação com uma série de golpes virtuais. A detenção ocorreu no dia 30 de janeiro de 2026, realizada pelo Batalhão 31º BPM, e está relacionada a condenações anteriores de 2015, onde ela aplicou fraudes na venda de produtos como celulares e cosméticos que nunca foram entregues às vítimas. As perdas financeiras das vítimas somaram R$ 3,8 mil, com uma delas perdendo R$ 3,1 mil e outra R$ 700. Bruna já havia sido condenada a prestar serviços comunitários e pagar uma multa, mas descumpriu as condições de sua pena, levando à sua prisão atual. Além disso, a modelo possui um histórico criminal que inclui estelionato e uso de documentos falsos, com processos em andamento em diferentes estados do Brasil. Sua prisão mais recente ocorreu em um local onde estava acompanhada de outros foragidos, indicando um padrão de comportamento criminoso persistente.

A Neurological Associates of Washington, localizada nos arredores de Seattle, confirmou que notificou 13.500 residentes do estado sobre um vazamento de dados ocorrido em dezembro de 2025. O ataque, reivindicado pelo grupo cibercriminoso DragonForce, comprometeu informações sensíveis, incluindo números de Seguro Social, códigos de deficiência, dados médicos e datas de nascimento. O grupo afirmou ter roubado 1,4 TB de dados da clínica e publicou amostras dos documentos supostamente furtados em seu site de vazamento. Embora a clínica tenha reconhecido DragonForce como o atacante, a autenticidade dos dados não pôde ser verificada. A clínica informou que seu servidor, que armazenava registros médicos de 2019 a 2025, foi atacado e criptografado, resultando no roubo de dados de um de seus computadores. Para mitigar os impactos, a Neurological Associates de Washington está oferecendo 12 meses de monitoramento de crédito gratuito aos afetados. O grupo DragonForce, que opera um modelo de ransomware como serviço, já reivindicou 51 ataques confirmados, afetando mais de 7,6 milhões de registros pessoais, incluindo ataques a provedores de saúde. Os ataques de ransomware em instituições de saúde nos EUA têm se tornado cada vez mais frequentes, comprometendo a segurança e a privacidade dos pacientes.

A Iron Mountain, empresa de armazenamento e recuperação de dados, confirmou que um recente incidente de segurança, atribuído ao grupo de extorsão Everest, envolveu principalmente materiais de marketing. A empresa, com sede em Portsmouth, New Hampshire, e com mais de 240 mil clientes em 61 países, informou que os atacantes acessaram uma única pasta em um servidor de compartilhamento de arquivos utilizando credenciais comprometidas. Segundo a Iron Mountain, não houve envolvimento de ransomware ou malware, e nenhum sistema adicional da empresa foi comprometido. O grupo Everest, que se destacou por suas táticas de extorsão de dados, não conseguiu acessar informações confidenciais ou sensíveis de clientes. A empresa desativou a credencial comprometida e assegurou que a situação está sob controle. O incidente destaca a importância da segurança cibernética, especialmente em um cenário onde grupos como o Everest têm se tornado mais ativos, visando principalmente organizações de saúde e empresas de grande porte. A Iron Mountain reafirma seu compromisso com a proteção de dados e a transparência em suas operações.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou uma vulnerabilidade crítica no SolarWinds Web Help Desk, classificada como CVE-2025-40551, que está sendo ativamente explorada em ataques. Esta falha de segurança, originada de uma fraqueza na desserialização de dados não confiáveis, permite que atacantes não autenticados executem comandos remotamente em dispositivos não corrigidos. A SolarWinds lançou uma atualização, a versão 2026.1, em 28 de janeiro, para corrigir essa vulnerabilidade, além de outras falhas de segurança significativas. A CISA emitiu uma diretiva exigindo que as agências federais dos EUA aplicassem patches em seus sistemas em um prazo de três dias, embora tenha incentivado também o setor privado a agir rapidamente. O SolarWinds Web Help Desk é amplamente utilizado por agências governamentais e grandes corporações, com mais de 300.000 clientes em todo o mundo. Dada a frequência com que vulnerabilidades desse software têm sido exploradas, a urgência na aplicação de correções é crítica para evitar possíveis compromissos de segurança.

Uma campanha coordenada de reconhecimento visando a infraestrutura do Citrix NetScaler foi observada entre 28 de janeiro e 2 de fevereiro, utilizando mais de 63 mil endereços IP distintos. Essa atividade, que gerou 111.834 sessões, focou na identificação de painéis de login e na enumeração de versões do produto, indicando um esforço organizado. Aproximadamente 64% do tráfego proveniente de proxies residenciais, que se apresentavam como endereços de ISPs legítimos, dificultou a filtragem baseada em reputação. Os pesquisadores da GreyNoise identificaram dois indicadores claros de intenção maliciosa: um ataque direcionado à interface de autenticação e outro focado em um arquivo específico do Endpoint Analysis (EPA). A atividade sugere um mapeamento de infraestrutura pré-exploração, com interesse em desenvolver exploits específicos para versões vulneráveis do Citrix ADC. As falhas críticas mais recentes que afetam os produtos Citrix incluem CVE-2025-5777 e CVE-2025-5775. Os especialistas recomendam que administradores de sistemas revisem a necessidade de gateways Citrix expostos à internet e monitorem acessos anômalos.

A Step Finance, plataforma de finanças descentralizadas (DeFi) baseada na blockchain Solana, anunciou a perda de aproximadamente US$ 40 milhões em ativos digitais após um ataque cibernético que comprometeu dispositivos de sua equipe executiva. O incidente foi detectado em 31 de janeiro, quando a empresa revelou que várias de suas carteiras de tesouraria foram invadidas por um ator sofisticado utilizando um ‘vetor de ataque bem conhecido’. Embora a empresa tenha conseguido recuperar cerca de US$ 4,7 milhões em ativos, a magnitude da perda é alarmante, especialmente considerando que representa apenas uma fração dos US$ 398 milhões perdidos em ataques de roubo de criptomoedas no mesmo mês. A Step Finance tomou medidas imediatas, notificando as autoridades e suspendendo algumas operações para reforçar a segurança. A empresa também aconselhou os usuários a não interagir com seu token nativo, $STEP, até que a investigação seja concluída. O ataque gerou especulações sobre a possibilidade de um ‘rug pull’ ou um ’trabalho interno’, mas a Step Finance não forneceu detalhes sobre os perpetradores. Este incidente destaca a crescente vulnerabilidade das plataformas DeFi e a necessidade de medidas de segurança robustas no setor.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica, chamada DockerDash, que afeta o assistente de inteligência artificial Ask Gordon, integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker. Essa falha, corrigida na versão 4.50.0 lançada em novembro de 2025, permite que um invasor execute código malicioso e exfiltre dados sensíveis. O problema surge da forma como o Ask Gordon interpreta metadados não verificados como comandos executáveis, permitindo que um ataque simples em três etapas comprometa o ambiente Docker. O ataque começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos de metadados. Quando o assistente é consultado, ele processa essas instruções sem validação, enviando-as ao MCP Gateway, que as executa com privilégios do Docker do usuário. Além disso, a vulnerabilidade também permite a exfiltração de dados sensíveis do ambiente do usuário. A situação destaca a necessidade de uma abordagem de validação de zero confiança para mitigar esse tipo de ataque, que pode ter impactos significativos em ambientes de nuvem e aplicações de desktop.