Um estudo realizado por pesquisadores da UNSW Sydney e da QUT revelou que a inteligência artificial (IA) pode criar perfis pessoais detalhados a partir de padrões de anúncios do Facebook, sem precisar acessar dados pessoais ou históricos de navegação dos usuários. A pesquisa analisou mais de 435 mil anúncios coletados de 891 australianos e demonstrou que a IA consegue inferir características como gênero, idade, educação, emprego, preferências políticas e situação econômica apenas com a exposição a anúncios. O processo é 200 vezes mais barato e 50 vezes mais rápido do que a análise humana. Além disso, mesmo sessões curtas de navegação fornecem dados suficientes para a IA construir perfis precisos. Os pesquisadores alertam que extensões de navegador, como bloqueadores de anúncios, podem ser vetores de ataque, pois requerem permissões para acessar o conteúdo das páginas, o que pode ser explorado para coletar informações sobre os anúncios vistos. A situação é preocupante, pois não há necessidade de hacking, e a plataforma de anúncios não percebe que seu sistema está sendo usado como uma ferramenta de vigilância. Para proteger a privacidade online, é recomendado ter cuidado com as extensões de navegador e ajustar as configurações de privacidade, embora uma VPN não ofereça proteção contra esse tipo de coleta de dados. Os pesquisadores defendem que as leis de privacidade devem evoluir para proteger as inferências feitas a partir do consumo passivo de conteúdo.

O site do popular gerenciador de downloads JDownloader foi comprometido entre os dias 6 e 7 de maio de 2026, resultando na distribuição de instaladores maliciosos para Windows e Linux. Os atacantes alteraram os links de download para direcionar os usuários a payloads maliciosos, incluindo um trojan de acesso remoto baseado em Python. O incidente foi inicialmente relatado por um usuário no Reddit, que percebeu que os instaladores estavam sendo sinalizados como software malicioso pelo Microsoft Defender. Os desenvolvedores do JDownloader confirmaram a violação e tomaram o site offline para investigação. A vulnerabilidade explorada permitiu que os atacantes modificassem listas de controle de acesso do site sem autenticação. Apenas os links de download alternativos para Windows e o instalador Linux foram afetados, enquanto outras versões do software permaneceram seguras. Os usuários que baixaram os instaladores comprometidos são aconselhados a reinstalar seus sistemas operacionais e redefinir senhas, pois credenciais podem ter sido comprometidas. O ataque destaca a crescente tendência de hackers visando sites de ferramentas de software populares para disseminar malware.

Um repositório malicioso no Hugging Face, que se disfarçou como o projeto ‘Privacy Filter’ da OpenAI, foi responsável por distribuir malware que rouba informações de usuários do Windows. O repositório, que chegou a ser o mais baixado na plataforma, acumulou 244.000 downloads antes de ser removido. Pesquisadores da HiddenLayer, uma empresa focada em proteger modelos de IA, descobriram que o repositório continha um arquivo ’loader.py’ que, disfarçado de código inofensivo, desativava a verificação SSL e executava um comando PowerShell para baixar um infostealer. Este malware, desenvolvido em Rust, visava dados sensíveis, como cookies de navegadores, tokens do Discord e credenciais de criptomoedas. A HiddenLayer também observou que a maioria dos usuários que interagiram com o repositório parecia ser contas geradas automaticamente, levantando preocupações sobre a segurança da plataforma. Os usuários que baixaram arquivos do repositório malicioso devem reformatar suas máquinas e alterar todas as credenciais armazenadas.

O cPanel anunciou a liberação de atualizações para corrigir três vulnerabilidades significativas em seu software e no Web Host Manager (WHM). As falhas, identificadas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, podem ser exploradas para escalonamento de privilégios, execução de código e negação de serviço. A primeira vulnerabilidade (CVE-2026-29201) apresenta uma pontuação CVSS de 4.3 e envolve uma validação insuficiente de entrada, permitindo a leitura de arquivos arbitrários. As outras duas falhas (CVE-2026-29202 e CVE-2026-29203) têm uma pontuação CVSS de 8.8 e permitem a execução de código Perl arbitrário e a manipulação de permissões de arquivos, respectivamente, o que pode levar a negação de serviço ou escalonamento de privilégios. As versões afetadas incluem cPanel e WHM a partir de 11.136.0.9 e outras versões anteriores. Embora não haja evidências de exploração ativa, a divulgação ocorre após a identificação de outra falha crítica que foi utilizada por agentes de ameaças. Os usuários são aconselhados a atualizar para as versões mais recentes para garantir a proteção adequada.

Pesquisadores de segurança cibernética identificaram um novo trojan bancário brasileiro chamado TCLBANKER, que tem a capacidade de atacar 59 plataformas de bancos, fintechs e criptomoedas. O malware, rastreado pelo Elastic Security Labs sob o nome REF3076, é considerado uma atualização significativa da família Maverick, que utiliza um worm chamado SORVEPOTEL para se espalhar via WhatsApp Web. O ataque começa com um instalador MSI malicioso embutido em um arquivo ZIP, que abusa de um programa legítimo da Logitech para contornar a detecção de ferramentas de análise e antivírus. Após a execução, o trojan verifica se está operando em um sistema brasileiro e estabelece persistência através de tarefas agendadas. Além disso, ele se conecta a servidores externos para enviar informações do sistema e pode realizar uma série de ações maliciosas, como capturar telas, manipular o teclado e o mouse, e roubar credenciais através de sobreposições enganosas. O TCLBANKER também se propaga via mensagens de spam no WhatsApp e e-mails falsos enviados pelo Outlook, aproveitando a confiança dos usuários. Essa evolução no ecossistema de trojans bancários no Brasil representa uma ameaça significativa, especialmente devido à sua capacidade de contornar defesas tradicionais.

Recentemente, um incidente curioso chamou a atenção para as falhas nos sistemas de verificação de idade online. Uma criança de 12 anos conseguiu enganar as ferramentas de verificação da Meta, pintando um bigode em seu rosto e se passando por um adolescente de 15 anos. Esse caso ilustra as dificuldades que empresas como a Meta enfrentam ao tentar identificar usuários menores de 13 anos, especialmente em plataformas como Instagram e Facebook. A Meta está implementando novas tecnologias de inteligência artificial que analisam imagens e vídeos para detectar ‘dicas visuais’ da idade dos usuários, como características físicas e postagens relacionadas a aniversários. Apesar dessas melhorias, a eficácia dessas ferramentas ainda é questionável, já que muitos menores conseguem contornar as restrições. A Meta anunciou que, caso haja suspeita de que um menor esteja gerenciando uma conta, a conta será suspensa e o usuário terá que passar por um novo processo de verificação de idade. Essas medidas estão sendo implementadas em vários países, incluindo Brasil e na União Europeia, como resposta a preocupações regulatórias sobre a proteção de crianças online.

A Mozilla anunciou que, com o auxílio do modelo de IA Mythos da Anthropic, conseguiu identificar e corrigir 423 falhas de segurança no navegador Firefox em apenas um mês. O Mythos é descrito como um modelo de ’nova fronteira’ que pode revolucionar a cibersegurança, sendo capaz de detectar vulnerabilidades zero-day em sistemas operacionais e navegadores. A eficácia do Mythos se deve a duas inovações principais: a melhoria das ferramentas de IA e um ‘harness’ desenvolvido pela Mozilla, que permite que o modelo analise o código do Firefox sem gerar os ‘falsos positivos’ comuns em ferramentas de fuzzing anteriores. Durante o processo, o Mythos conseguiu identificar vulnerabilidades que estavam presentes por até 20 anos, que normalmente levariam semanas para serem descobertas por métodos tradicionais. No entanto, a Mozilla ressalta que o Mythos não é uma solução mágica e requer supervisão humana para operar em larga escala, evidenciando a importância da colaboração entre tecnologia e expertise humana na cibersegurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam uma vulnerabilidade de alta severidade no Ivanti Endpoint Manager Mobile (EPMM), identificada como CVE-2026-6973. Essa falha permite que atacantes com privilégios administrativos executem código arbitrário remotamente em sistemas que utilizam versões do EPMM 12.8.0.0 e anteriores. A Ivanti recomendou a atualização para as versões 12.6.1.1, 12.7.0.1 e 12.8.0.1, além de revisar e rotacionar credenciais de contas administrativas. Embora a exploração da vulnerabilidade tenha sido limitada até o momento, a CISA alertou que esse tipo de falha é um vetor comum para ataques cibernéticos maliciosos, representando riscos significativos para a segurança das agências federais. A Ivanti já havia corrigido outras falhas críticas em janeiro, e a CISA reiterou a importância de ações rápidas para mitigar riscos. A Shadowserver, organização de segurança sem fins lucrativos, identificou mais de 800 dispositivos EPMM expostos online, mas não há informações sobre quantos já foram corrigidos. O prazo para a correção é até a meia-noite de domingo, 10 de maio.

O grupo de cibercriminosos RansomHouse reivindicou a invasão do repositório de código-fonte da Trellix, uma empresa internacional de cibersegurança, e divulgou imagens como prova do ataque. A Trellix confirmou a violação em 1º de maio, informando que identificou acesso não autorizado a uma parte de seu repositório de código-fonte e que está colaborando com especialistas forenses para investigar o incidente. Apesar da confirmação do ataque, a empresa afirmou não ter encontrado evidências de que seu código-fonte tenha sido explorado ou que o processo de distribuição tenha sido afetado. O ataque ocorreu em 17 de abril e resultou em criptografia de dados. O RansomHouse, que atua desde 2022, é conhecido por suas operações de extorsão de dados, utilizando ferramentas avançadas de criptografia. Um caso recente notável do grupo envolveu o roubo de 740 mil registros de clientes da gigante de e-commerce japonesa Askul Corporation. A Trellix ainda está investigando o incidente e prometeu compartilhar mais informações assim que estiverem disponíveis.

O artigo de Rich Perkins, da Prophet Security, aborda a crescente disparidade entre o investimento em segurança cibernética e a eficácia na resposta a incidentes. Apesar de os gastos em segurança terem dobrado nos últimos seis anos, o tempo para investigar e responder a alertas permanece estagnado. A raiz do problema está na arquitetura do Centro de Operações de Segurança (SOC), que não se adaptou ao volume atual de alertas, resultando em um backlog que compromete a segurança. O texto apresenta um diagnóstico em quatro perguntas que os líderes de segurança devem considerar para avaliar a eficácia de suas operações. Além disso, destaca que simplesmente contratar mais analistas não resolverá a questão, pois a demanda por investigações supera a capacidade humana. Exemplos de empresas que implementaram soluções de inteligência artificial mostram que a mudança no modelo operacional pode resultar em investigações mais rápidas e eficientes, liberando tempo valioso para os analistas. O artigo conclui que a verdadeira solução reside em repensar o modelo de operação do SOC, em vez de apenas aumentar a equipe.

A NVIDIA confirmou que informações de usuários do serviço GeForce NOW foram expostas em uma violação de dados, afetando especificamente a Armênia. A empresa esclareceu que a falha ocorreu em uma infraestrutura operada por um parceiro regional, e que sua própria rede não foi comprometida. O incidente, que ocorreu entre 20 e 26 de março, resultou na exposição de dados como nomes completos, endereços de e-mail, nomes de usuário, datas de nascimento e status de autenticação de dois fatores. O operador regional GFN.am informou que nenhuma senha de conta foi exposta e que usuários que se registraram após 9 de março não foram afetados. Um ator de ameaças, conhecido como ShinyHunters, alegou ter acessado o serviço e ofereceu a base de dados roubada por US$ 100.000 em criptomoedas. Embora a violação tenha sido limitada à Armênia, a NVIDIA está colaborando com o parceiro para investigar e resolver a situação. Não há confirmação de impacto em outros países onde o GFN.am opera, como Azerbaijão e Ucrânia.

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Pesquisadores de cibersegurança descobriram 28 aplicativos fraudulentos na Google Play Store que prometiam acesso a históricos de chamadas de qualquer número, mas apenas enganavam os usuários para que se inscrevessem em serviços que forneciam dados falsos. Esses aplicativos, que acumulam mais de 7,3 milhões de downloads, foram identificados pela empresa ESET e visavam principalmente usuários na Índia e na região Ásia-Pacífico. Os aplicativos solicitavam pagamento para desbloquear funcionalidades que, na verdade, não existiam, entregando apenas dados aleatórios gerados. Um dos aplicativos foi publicado sob o nome de um desenvolvedor que imitava uma entidade governamental, aumentando a confiança do usuário. Os pagamentos eram realizados através do sistema oficial da Google Play ou de aplicativos de pagamento de terceiros, como Google Pay e Paytm. Embora os aplicativos tenham sido removidos, usuários que pagaram por assinaturas podem ter direito a reembolsos, mas aqueles que usaram métodos de pagamento de terceiros podem não ter essa opção. Este incidente destaca a vulnerabilidade de plataformas populares a fraudes e a importância de uma vigilância constante por parte dos usuários e das autoridades de segurança.

Uma nova vulnerabilidade zero-day no Linux, chamada Dirty Frag, foi descoberta, permitindo que atacantes locais obtenham privilégios de root em diversas distribuições Linux com um único comando. O pesquisador de segurança Hyunwoo Kim revelou a falha, que foi introduzida há cerca de nove anos na interface algif_aead do kernel Linux. A Dirty Frag explora duas vulnerabilidades do kernel: a vulnerabilidade de gravação em cache de página xfrm-ESP e a vulnerabilidade de gravação em cache de página RxRPC, permitindo a modificação de arquivos do sistema protegidos na memória sem autorização. Essa falha é semelhante às vulnerabilidades Dirty Pipe e Copy Fail, mas utiliza um campo de fragmento de uma estrutura de dados diferente do kernel. Kim destacou que, ao contrário de outras vulnerabilidades, a Dirty Frag não depende de condições de corrida, o que aumenta sua taxa de sucesso. Até o momento, a vulnerabilidade não possui um ID CVE e afeta várias distribuições populares, como Ubuntu, Red Hat, CentOS e Fedora, que ainda não receberam patches. Para mitigar os riscos, os usuários do Linux podem desativar os módulos do kernel vulneráveis, embora isso possa quebrar VPNs IPsec e sistemas de arquivos distribuídos AFS. A descoberta ocorre em um momento em que as distribuições Linux ainda estão implementando correções para a vulnerabilidade Copy Fail, que também permite escalonamento de privilégios de root.

Um homem de 34 anos da Virgínia foi condenado por conspirar para destruir dezenas de bancos de dados do governo após ser demitido de seu trabalho como contratado federal. Sohaib Akhter e seu irmão gêmeo, Muneeb Akhter, já haviam sido condenados em 2016 por acessar sistemas do Departamento de Estado dos EUA sem autorização e roubar informações pessoais de colegas e de um agente da lei. Após cumprirem suas penas, os irmãos foram recontratados, mas foram demitidos em fevereiro de 2025 ao serem descobertos. Após a demissão, eles tentaram prejudicar a empresa acessando computadores sem autorização, escrevendo proteção em bancos de dados e deletando informações. Em um ataque coordenado, eles apagaram cerca de 96 bancos de dados do governo, incluindo documentos sensíveis de várias agências federais. Além disso, tentaram ocultar suas atividades criminosas, limpando seus laptops e discutindo como evitar a detecção. Sohaib Akhter enfrenta uma pena máxima de 21 anos, enquanto Muneeb pode ser condenado a até 45 anos por múltiplas acusações, incluindo roubo de informações do governo e fraude computacional.

Um ataque cibernético à Zara, varejista espanhola de moda rápida, resultou no roubo de dados de mais de 197 mil clientes, conforme relatado pelo serviço de notificação de vazamentos Have I Been Pwned. A Inditex, grupo proprietário da Zara, confirmou que as informações comprometidas estavam em bancos de dados de um fornecedor de tecnologia anterior e incluíam e-mails únicos, localizações geográficas, compras e tickets de suporte, mas não continham nomes, números de telefone, endereços ou informações de pagamento. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque e divulgou um arquivo de 140GB com documentos supostamente roubados. A Inditex acionou seus protocolos de segurança e notificou as autoridades competentes sobre o incidente. Embora a empresa tenha afirmado que suas operações não foram afetadas, a falta de detalhes sobre o fornecedor hackeado e a atribuição do ataque a um ator específico ainda gera preocupações. Este incidente destaca a vulnerabilidade de empresas que dependem de fornecedores externos e a crescente ameaça de grupos de extorsão cibernética.

Uma nova vulnerabilidade de escalonamento de privilégios local (LPE) chamada Dirty Frag foi identificada no kernel Linux, afetando diversas distribuições populares, como Ubuntu, RHEL e Fedora. Essa falha, que ainda não possui um identificador CVE, permite que usuários não privilegiados obtenham acesso root ao explorar duas vulnerabilidades existentes: xfrm-ESP Page-Cache Write e RxRPC Page-Cache Write. A primeira foi introduzida em 2017 e a segunda em 2023, e juntas formam uma cadeia que pode ser explorada em diferentes ambientes. A vulnerabilidade é considerada de alta gravidade, com um CVSS score de 7.8, e sua exploração não depende de condições de corrida, o que aumenta a taxa de sucesso do ataque. A urgência é acentuada pela divulgação de um proof-of-concept (PoC) que permite a exploração em um único comando. Enquanto os patches não estão disponíveis, recomenda-se bloquear os módulos esp4, esp6 e rxrpc para mitigar o risco. A Dirty Frag representa uma ameaça significativa, pois pode ser explorada independentemente da ativação do módulo algif_aead, que é uma mitigação conhecida para outra vulnerabilidade, Copy Fail.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Linux, chamado PamDOORa, que está sendo comercializado por $1.600 em um fórum de cibercrime russo. Desenvolvido por um ator de ameaças conhecido como ‘darkworm’, o PamDOORa é um módulo de autenticação pluggable (PAM) que permite acesso SSH persistente a sistemas comprometidos. O backdoor utiliza uma combinação de senha mágica e porta TCP específica para garantir o acesso contínuo, além de ser capaz de coletar credenciais de usuários legítimos que se autenticam no sistema afetado.

Um recente relatório revela que as operações de segurança cibernética em empresas têm ignorado sistematicamente alertas de baixa severidade, resultando em brechas significativas. A análise de mais de 25 milhões de alertas mostrou que quase 1% dos incidentes confirmados vieram de alertas inicialmente classificados como informativos ou de baixa severidade. Isso se traduz em cerca de 54 ameaças reais por ano que não são investigadas, o que representa um ataque a cada semana. Além disso, a pesquisa destacou que ferramentas de Detecção e Resposta de Endpoint (EDR) frequentemente marcam máquinas como ‘mitigadas’ mesmo quando estão comprometidas, evidenciando a falha na confiança em tais sistemas. O relatório também aponta uma mudança nas táticas de phishing, onde menos de 6% dos e-mails maliciosos continham anexos, utilizando links e plataformas confiáveis como PayPal para enganar os usuários. A análise sugere que a falta de investigação de alertas de baixa severidade impede a melhoria contínua dos sistemas de detecção, criando um ciclo vicioso de vulnerabilidades não abordadas. Para mitigar esses riscos, é essencial que as empresas adotem uma abordagem de investigação abrangente, analisando todos os alertas, independentemente da severidade.

Uma nova variante de ransomware, chamada VECT 2.0, está causando problemas não apenas para suas vítimas, mas também para os próprios hackers que a utilizam. Identificado pela Check Point Research, esse malware, que opera no modelo ransomware-as-a-service, apresenta uma falha crítica em seu código que resulta na destruição permanente de arquivos ao invés de apenas bloqueá-los para cobrança de resgate. O VECT 2.0 foi lançado em um fórum cibercriminoso russo em 2025 e, ao encriptar arquivos maiores que 128 KB, sobrescreve códigos de desencriptação, tornando impossível a recuperação dos dados. Essa falha não só prejudica as vítimas, mas também os cibercriminosos que dependem do pagamento do resgate para lucrar. A pesquisa revelou que o código contém erros amadores, como funções de evasão de segurança que não estão ativadas e ferramentas que não funcionam. Apesar da ineficiência técnica, o VECT 2.0 tem um alcance significativo, pois está associado ao BreachForums, uma das maiores comunidades de hackers da internet, que oferece acesso gratuito ao kit de ferramentas do ransomware. Essa situação levanta preocupações sobre a evolução dos ataques cibernéticos e suas consequências para a segurança digital.

A Disc Soft Limited, desenvolvedora do Daemon Tools Lite, confirmou que seus sistemas foram invadidos, resultando na transformação de uma versão do aplicativo em um trojan. O ataque foi realizado por meio de exploração da cadeia de suprimento, afetando especificamente as versões 12.5.0.2421 a 12.5.0.2434. Após a identificação do problema, a empresa conseguiu remover o malware em 12 horas e lançou a versão 12.6, que está livre de ameaças. A Kaspersky relatou que o malware, classificado como infostealer, comprometeu usuários em mais de 100 países, incluindo o Brasil, e é capaz de roubar informações do sistema e executar comandos maliciosos. A Disc Soft reforçou sua infraestrutura, mas ainda não identificou os responsáveis pelo ataque. Usuários que instalaram a versão afetada devem desinstalar o aplicativo, realizar uma varredura em seus sistemas e instalar a versão mais recente a partir do site oficial.

O Australian Cyber Security Center (ACSC) emitiu um alerta sobre uma campanha de malware em andamento que utiliza a técnica de engenharia social conhecida como ClickFix para disseminar o malware Vidar Stealer. Essa técnica engana os usuários a executar comandos maliciosos, frequentemente por meio de prompts falsos de CAPTCHA ou verificação de navegador em sites comprometidos. Os ataques têm como alvo organizações australianas, redirecionando usuários de sites WordPress comprometidos para comandos PowerShell maliciosos que resultam em infecções por Vidar Stealer. Este malware, que surgiu em 2018, é conhecido por roubar informações sensíveis, como senhas de navegadores, cookies e dados de carteiras de criptomoedas. O ACSC recomenda que as organizações restrinjam a execução do PowerShell e implementem listas de permissão de aplicativos para mitigar os riscos. Além disso, administradores de sites WordPress devem aplicar atualizações de segurança e remover temas ou plugins não utilizados. O alerta também fornece indicadores de comprometimento (IoCs) para ajudar na detecção de intrusões.

Um novo framework de malware chamado PCPJack está em operação, focando no roubo de credenciais de infraestrutura em nuvem exposta e na remoção do acesso do grupo TeamPCP aos sistemas comprometidos. Os serviços visados incluem Docker, Kubernetes, Redis, MongoDB e aplicações web vulneráveis. Pesquisadores da SentinelLabs indicam que o PCPJack é projetado para roubo de credenciais em larga escala, possivelmente monetizando suas atividades através de fraudes financeiras, operações de spam, revenda de credenciais ou extorsão.

O TCLBanker é um novo trojan que visa 59 plataformas de bancos, fintechs e criptomoedas, utilizando um instalador MSI trojanizado do Logitech AI Prompt Builder para infectar sistemas. Descoberto pelos Elastic Security Labs, o malware é uma evolução significativa da família de malwares Maverick/Sorvepotel. Embora atualmente esteja focado no Brasil, suas características de propagação e a possibilidade de expansão para outros países da América Latina são preocupantes.

O TCLBanker se destaca por suas capacidades de proteção contra análise, utilizando rotinas de descriptografia dependentes do ambiente e um thread de vigilância que busca ferramentas de análise. Ele se carrega no contexto de um aplicativo legítimo, evitando alarmes de segurança. O módulo bancário monitora a barra de endereços do navegador e, ao detectar um site alvo, estabelece uma sessão com o comando e controle (C2), permitindo controle remoto sobre o sistema da vítima.

A gangue de extorsão ShinyHunters comprometeu novamente a Instructure, empresa de tecnologia educacional, explorando uma vulnerabilidade para alterar os portais de login do Canvas de centenas de instituições de ensino. As defacements, que ficaram visíveis por cerca de 30 minutos, continham uma mensagem da gangue reivindicando a responsabilidade pela violação anterior e ameaçando vazar dados roubados caso um resgate não fosse pago. A mensagem estipula um prazo até 12 de maio para que a Instructure e as instituições afetadas entrem em contato para negociar. A Instructure confirmou que dados de aproximadamente 280 milhões de registros de estudantes e funcionários foram roubados, abrangendo 8.809 escolas e universidades. A empresa está investigando o incidente e tomou medidas para desativar temporariamente o Canvas enquanto responde ao ataque. A vulnerabilidade que permitiu a alteração dos portais de login foi identificada, e a Instructure está trabalhando para mitigar os danos. Este ataque destaca a crescente ameaça de grupos de cibercrime que visam instituições educacionais, que frequentemente lidam com grandes volumes de dados sensíveis.

Pesquisadores de cibersegurança revelaram um novo framework de roubo de credenciais chamado PCPJack, que visa infraestruturas em nuvem expostas e elimina artefatos associados ao grupo TeamPCP. O PCPJack coleta credenciais de serviços em nuvem, contêineres e aplicações vulneráveis, exfiltrando dados através de uma infraestrutura controlada pelos atacantes e se espalhando de forma semelhante a um worm. O objetivo final da campanha é gerar receita ilícita por meio de roubo de credenciais, fraudes e extorsão. O PCPJack se destaca por não incluir componentes de mineração de criptomoedas, diferentemente do TeamPCP, sugerindo que pode ser obra de um ex-membro familiarizado com as táticas do grupo. O ataque começa com um script de shell que prepara o ambiente e baixa ferramentas adicionais, enquanto remove processos associados ao TeamPCP. O framework utiliza seis scripts Python para orquestrar o ataque, extrair credenciais e facilitar a movimentação lateral em serviços como Docker e Kubernetes. A análise indica que o PCPJack é uma ameaça significativa, especialmente para empresas que utilizam serviços em nuvem amplamente utilizados no Brasil.

A Ivanti emitiu um alerta sobre uma nova vulnerabilidade de alta severidade, identificada como CVE-2026-6973, que afeta o Endpoint Manager Mobile (EPMM) em versões anteriores a 12.6.1.1, 12.7.0.1 e 12.8.0.1. Essa falha, que possui um score CVSS de 7.2, permite que um usuário autenticado com acesso administrativo execute código remotamente. A empresa informou que, até o momento, há um número muito limitado de clientes que foram explorados devido a essa vulnerabilidade. A exploração bem-sucedida requer autenticação de administrador, e a Ivanti recomenda que os clientes que seguiram suas orientações anteriores sobre a rotação de credenciais estão em menor risco. Além da CVE-2026-6973, a Ivanti também corrigiu outras quatro vulnerabilidades no EPMM, com scores CVSS variando de 7.0 a 8.9, que incluem problemas de controle de acesso e validação de certificados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou essa falha ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas, exigindo que as agências federais apliquem as correções até 10 de maio de 2026. A Ivanti esclareceu que as falhas afetam apenas o produto EPMM on-premises e não impactam suas soluções baseadas em nuvem.

Pesquisadores de cibersegurança alertam sobre um site que promete remover fundos de selfies, mas que na verdade distribui malware. Através de técnicas de SEO, o site malicioso aparece entre os primeiros resultados de busca, enganando usuários que buscam ferramentas legítimas. Ao tentar usar o serviço, os usuários são instruídos a executar um comando no Windows, o que resulta na instalação do CastleLoader, um loader que permite a instalação de outros malwares, como o NetSupport RAT e o CastleStealer. O NetSupport RAT é um trojan de acesso remoto que concede controle total ao atacante, enquanto o CastleStealer é um malware que visa roubar credenciais de navegadores, dados de carteiras de criptomoedas e tokens de aplicativos como Discord e Telegram. A campanha destaca a importância da educação em cibersegurança, pois serviços legítimos não pedem que os usuários realizem atividades locais para verificar sua identidade. Para mitigar esses ataques, recomenda-se que administradores desativem o atalho Win + R e que os usuários estejam cientes dos riscos associados a downloads de ferramentas desconhecidas.

O GrapheneOS, uma distribuição alternativa do Android focada em privacidade, lançou uma atualização para corrigir uma falha de segurança no Android 16, que permite que aplicativos comuns vazem dados fora de um túnel VPN ativo. Essa vulnerabilidade, conhecida como ‘Tiny UDP Cannon’, foi descoberta por um pesquisador de segurança e classificada pela equipe de segurança do Android do Google como ‘Não será corrigida’. O problema reside em uma funcionalidade do Android que não verifica se um aplicativo deve estar restrito a uma conexão VPN, permitindo que dados sejam enviados pela conexão padrão de internet. Embora a exploração exija que um aplicativo malicioso já esteja instalado no dispositivo, a falha representa um risco significativo para usuários que dependem de configurações de privacidade rigorosas, como o ‘Always-On VPN’. O GrapheneOS desativou a funcionalidade vulnerável, eliminando a superfície de ataque, mas isso pode resultar em uma leve perda de eficiência na rede. Para usuários do Android padrão, a solução temporária envolve desativar a função manualmente, mas isso não é permanente. A situação destaca a importância de manter aplicativos atualizados e de usar VPNs confiáveis, mesmo com a vulnerabilidade existente.

A Horizon Media, uma das maiores agências de mídia independentes do mundo, confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em 9 de janeiro de 2026. A violação comprometeu nomes e números de Seguro Social de indivíduos. Segundo a empresa, um ator não autorizado acessou seus sistemas através de um ’evento sofisticado de engenharia social’. No mesmo dia, o grupo de ransomware Chaos reivindicou a responsabilidade pelo ataque, ameaçando divulgar 3,2 TB de dados se suas exigências não fossem atendidas. A Horizon Media não confirmou se pagou o resgate ou quantas pessoas foram notificadas. A investigação interna da empresa foi concluída em 6 de abril de 2026, e a Horizon está oferecendo 24 meses de monitoramento de crédito gratuito para as vítimas. O grupo Chaos, ativo desde 2021, já reivindicou 51 ataques de ransomware, sendo 13 confirmados. Os ataques de ransomware em empresas de serviços, como a Horizon, podem resultar em roubo de dados e paralisação de sistemas, aumentando o risco de fraudes para clientes e funcionários.

Os ciberataques estão evoluindo rapidamente, superando as defesas de muitos provedores de serviços gerenciados (MSPs). O phishing se tornou o principal motor do cibercrime moderno, com ataques cada vez mais sofisticados, utilizando iscas geradas por inteligência artificial e plataformas SaaS legítimas para contornar as defesas tradicionais. Em um webinar agendado para 14 de maio de 2026, especialistas da Kaseya discutirão como a combinação de prevenção, detecção e recuperação rápida é essencial para enfrentar essas ameaças. O evento abordará a importância de não tratar segurança e recuperação como silos separados, destacando que muitas organizações falham em planejar a recuperação após um ataque, resultando em interrupções operacionais e perda de dados. O webinar também enfatizará a necessidade de um plano de recuperação de desastres (BCDR) e backups adequados para fortalecer a resiliência cibernética. Os participantes aprenderão como os MSPs líderes estão adaptando suas estratégias para reduzir o tempo de inatividade e melhorar a recuperação após ataques, tornando-se crucial para a proteção de seus clientes.

Um homem de 20 anos da Califórnia, Marlon Ferro, foi condenado a 78 meses de prisão por seu papel em um esquema criminoso que roubou mais de 250 milhões de dólares em criptomoedas. Ferro, conhecido online como GothFerrari, foi preso em maio de 2025, portando armas e documentos falsos. Ele se declarou culpado em outubro e foi condenado a pagar 2,5 milhões de dólares em restituição, além de três anos de liberdade supervisionada. O grupo criminoso, ativo entre 2023 e 2025, utilizou engenharia social para enganar vítimas e obter acesso a carteiras digitais. Quando as vítimas armazenavam fundos em carteiras de hardware, Ferro realizava invasões residenciais para roubar esses dispositivos. Em um caso, ele roubou uma carteira contendo cerca de 100 Bitcoins, avaliados em mais de 5 milhões de dólares na época. O esquema envolveu também a lavagem de dinheiro por meio de exchanges de criptomoedas e a compra de bens de luxo. Além de Ferro, outros membros do grupo também foram condenados, totalizando 14 suspeitos envolvidos em uma conspiração de RICO, que resultou em perdas significativas para as vítimas. O caso destaca a combinação de fraudes online sofisticadas com métodos tradicionais de roubo, evidenciando a necessidade de vigilância e proteção contra tais ameaças.

Dois cidadãos americanos, Matthew Isaac Knoot e Erick Ntekereze Prince, foram condenados a 18 meses de prisão por operar ‘fazendas de laptops’ que ajudaram trabalhadores de TI da Coreia do Norte a obter empregos remotos fraudulentos em quase 70 empresas americanas. Knoot, que atuou de julho de 2022 a agosto de 2023, usou identidades roubadas para receber laptops de empresas e instalou softwares de acesso remoto, permitindo que os trabalhadores norte-coreanos se passassem por funcionários legítimos. As empresas afetadas pagaram mais de $250.000 a esses trabalhadores. Prince, por sua vez, facilitou a contratação de pelo menos três trabalhadores de TI da Coreia do Norte entre junho de 2020 e agosto de 2024, resultando em pagamentos superiores a $943.000, a maior parte dos quais foi enviada para o exterior. Além das penas de prisão, Knoot foi condenado a pagar $15.100 em restituição, enquanto Prince teve que devolver $89.000. O FBI alerta que a Coreia do Norte mantém uma grande força de trabalhadores de TI que utilizam roubo de identidade para se infiltrar em empresas americanas, representando uma ameaça crescente à segurança cibernética.

Em 2026, as ameaças cibernéticas continuam a ser alimentadas por práticas antigas, como pacotes suspeitos, aplicativos falsos e anúncios fraudulentos. Um novo malware, chamado MicroStealer, tem como alvo os setores de educação e telecomunicações, roubando dados sensíveis através de uma cadeia de entrega sofisticada. Além disso, a FTC e a Kochava chegaram a um acordo para proteger dados de localização, enquanto a Proton Mail introduziu suporte para criptografia pós-quântica, visando aumentar a segurança das comunicações. O lançamento do pnpm 11 trouxe novas medidas de segurança para proteger contra ataques à cadeia de suprimentos, estabelecendo um período de espera para a instalação de pacotes recém-publicados. A Meta anunciou o uso de inteligência artificial para reforçar a verificação de idade em suas plataformas, e um tribunal sul-coreano manteve a pena de prisão para um homem que contratou um hacker norte-coreano para atacar servidores de jogos. Vulnerabilidades críticas também foram identificadas em sistemas industriais e na plataforma MOVEit Automation, exigindo atenção imediata. O cenário atual destaca a necessidade urgente de uma resposta proativa das organizações para mitigar esses riscos.

A Palo Alto Networks revelou que atores de ameaças tentaram explorar uma vulnerabilidade crítica, identificada como CVE-2026-0300, no serviço User-ID Authentication Portal do software PAN-OS. Essa falha, com uma pontuação CVSS de 9.3/8.7, permite que um atacante não autenticado execute código arbitrário com privilégios de root ao enviar pacotes especialmente elaborados. Embora as correções estejam previstas para serem lançadas em 13 de maio de 2026, a empresa recomenda que os clientes restrinjam o acesso ao portal ou o desativem caso não esteja em uso. A Palo Alto Networks também observou tentativas de exploração limitadas desde 9 de abril de 2026, e um grupo de ameaças, identificado como CL-STA-1132, está sendo investigado por sua possível ligação com atividades de espionagem cibernética patrocinadas por estados. Os atacantes conseguiram injetar shellcode em um processo do nginx e realizar atividades pós-exploração, como enumeração do Active Directory e a instalação de malwares adicionais. A dependência de ferramentas de código aberto pelos atacantes dificultou a detecção baseada em assinaturas, permitindo que suas atividades permanecessem abaixo dos limiares de alerta da maioria dos sistemas automatizados.

O artigo destaca que a maior parte das violações de segurança começa com um único funcionário que clica em um e-mail malicioso, conhecido como ‘Patient Zero’. Em 2026, os hackers estão utilizando inteligência artificial para criar ataques de phishing que são quase impossíveis de detectar. O conceito de ‘Patient Zero’ se refere ao primeiro dispositivo comprometido por um atacante, que rapidamente se espalha pela rede em busca de dados sensíveis. O texto enfatiza a importância de ter um plano de resposta a incidentes, especialmente nos primeiros minutos após a infecção, que são cruciais para evitar danos maiores. O webinar proposto oferece um aprofundamento técnico sobre como as violações modernas se iniciam e como neutralizá-las rapidamente, abordando temas como o uso de IA em ataques, a janela crítica de cinco minutos após a infecção e a implementação do modelo de segurança ‘Zero Trust’. A proposta é preparar as empresas para que, mesmo diante de um clique em um link malicioso, a situação não resulte em perdas financeiras significativas.

O uso de biometria, como reconhecimento facial e leitura de digitais, se tornou comum no Brasil, mas poucos percebem os riscos associados. Diferente de senhas, dados biométricos não podem ser alterados se vazarem, o que os torna extremamente sensíveis. Especialistas alertam que a combinação de biometria com inteligência artificial e deepfakes pode facilitar fraudes financeiras e roubo de identidade. Marta Schuh, diretora de Cyber & Tech Insurance da Howden Brasil, destaca que a popularização da biometria ocorreu mais rapidamente do que a conscientização sobre seus riscos. Embora a biometria possa trazer benefícios em contextos como hospitais, sua adoção indiscriminada por empresas pode aumentar a exposição dos usuários sem garantir segurança real. A Lei Geral de Proteção de Dados (LGPD) classifica dados biométricos como sensíveis, permitindo que usuários se recusem a fornecê-los em certas situações. A segurança digital, segundo Marta, depende não apenas de tecnologia, mas também da conscientização dos usuários, sendo crucial que as empresas tratem a segurança cibernética como parte estratégica de seus negócios.

Um estudo recente da Cifas revelou que cerca de 18% dos trabalhadores admitiram ter vendido credenciais de login de suas empresas por dinheiro, evidenciando um comportamento preocupante em relação à segurança cibernética. Além disso, 24% dos entrevistados consideram aceitável trabalhar secretamente para concorrentes, enquanto 13% conhecem alguém que usou fundos da empresa para apostas. Esses dados indicam que a fraude no ambiente de trabalho está se tornando uma prática normalizada, o que representa um risco significativo para a segurança das informações corporativas. O CEO da Cifas, Mike Haley, destacou que esses achados refletem uma mudança mais ampla nas atitudes dos funcionários diante da oportunidade de cometer fraudes. Para mitigar esses riscos, a empresa sugere que as organizações implementem monitoramento de ameaças internas, verificação de identidade mais rigorosa e checagens de antecedentes mais robustas, além de oferecer treinamento adequado aos funcionários para reconhecer e desafiar comportamentos de risco.

Um estudo da Comparitech analisou mais de 447 mil vazamentos de dados em quatro fóruns de cibercrime, revelando uma cadeia de fornecimento em cinco etapas para senhas vazadas. As etapas incluem a origem, onde as senhas são comprometidas, o atacado, onde o acesso é negociado, e o comércio, onde dados são trocados e vendidos. Os resultados mostraram que dados gratuitos são mais comuns do que pagos, e que administradores de fóruns frequentemente atuam como fornecedores principais. O fórum RAMP, por exemplo, destacou-se por vender acesso a redes corporativas, enquanto o BreachForums, mesmo após a prisão de seu administrador, continuou a crescer rapidamente. A pesquisa também revelou que vazamentos de dados de empresas indonésias e chinesas atraíram mais visualizações do que grandes empresas ocidentais. A análise sugere que, apesar de ações de remoção de fóruns, a recuperação é rápida, com novos usuários se inscrevendo em massa. O estudo destaca a importância de entender como as credenciais são utilizadas em campanhas de ataque, como o credential stuffing e o ransomware.

Uma versão falsa do site Claude AI está oferecendo um download malicioso chamado Claude-Pro Relay, que instala uma backdoor para Windows chamada Beagle. O site fraudulento imita o design do site legítimo, mas falha em fornecer links funcionais, redirecionando os usuários para a página inicial. Ao clicar no botão de download, os usuários obtêm um arquivo comprimido de 505MB que contém um instalador MSI. A instalação adiciona arquivos ao diretório de inicialização do sistema, permitindo que os atacantes mantenham acesso remoto. A pesquisa da Sophos revelou que o instalador é uma cópia trojanizada que, embora funcione como esperado, implanta uma cadeia de malware PlugX em segundo plano. O Beagle, uma backdoor com comandos limitados, é carregado através do DonutLoader, que é um injetor em memória. A comunicação da backdoor ocorre com um servidor de comando e controle, utilizando criptografia AES para proteger as trocas. A Sophos sugere que os usuários devem garantir que estão baixando o Claude apenas do portal oficial e que a presença de arquivos ‘NOVupdate’ é um forte indicativo de comprometimento.

A Palo Alto Networks alertou seus clientes sobre a exploração de uma vulnerabilidade crítica em seus firewalls PAN-OS, identificada como CVE-2026-0300. Essa falha de execução remota de código foi descoberta no Portal de Autenticação User-ID do PAN-OS e permite que atacantes não autenticados executem código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. Desde 9 de abril de 2026, foram registradas tentativas de exploração, culminando em um ataque bem-sucedido uma semana depois, onde os invasores conseguiram injetar shellcode e realizar limpeza de logs para evitar detecções. Os atacantes utilizaram ferramentas de tunelamento como Earthworm e ReverseSocks5 para estabelecer comunicação clandestina. A Palo Alto Networks informou que está trabalhando em patches, com a expectativa de que as primeiras correções sejam disponibilizadas em 13 de maio. Enquanto isso, a empresa recomenda que os clientes restrinjam o acesso ao Portal de Autenticação ou o desativem, se necessário. A CISA dos EUA também incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades exploradas conhecidas, exigindo que agências federais tomem medidas imediatas para proteger seus dispositivos vulneráveis.

Pesquisadores de cibersegurança identificaram três pacotes no repositório Python Package Index (PyPI) que têm como objetivo oculto a entrega de uma nova família de malware chamada ZiChatBot, afetando sistemas Windows e Linux. Segundo a Kaspersky, embora os pacotes ‘uuid32-utils’, ‘colorinal’ e ’termncolor’ apresentem funcionalidades legítimas, sua verdadeira intenção é disseminar arquivos maliciosos. O malware ZiChatBot se diferencia por não se comunicar com um servidor de comando e controle (C2) tradicional, utilizando em vez disso APIs REST do aplicativo de chat Zulip. Os pacotes foram carregados entre 16 e 22 de julho de 2025, e, ao serem instalados, extraem um dropper DLL no Windows e um dropper de objeto compartilhado no Linux, que se auto-exclui após a execução. A Kaspersky sugere que a campanha pode estar ligada ao grupo de hackers OceanLotus, que já foi observado utilizando métodos semelhantes para comprometer a comunidade de cibersegurança na China. Essa nova abordagem de ataque representa uma evolução nas táticas do grupo, que busca ampliar seu escopo de alvos.

Pesquisadores da Zimperium identificaram quatro campanhas de trojans bancários para Android, denominadas RecruitRat, SaferRat, Astrinox e Massiv, que visam mais de 800 aplicativos financeiros e de redes sociais. Esses malwares utilizam técnicas de engano e furtividade, como ocultar ícones de aplicativos e sobrepor telas falsas de login, para roubar credenciais financeiras dos usuários. Os atacantes direcionam as vítimas a sites falsos que imitam portais de emprego ou serviços de streaming, levando-as a instalar software malicioso. Uma vez instalado, o malware solicita permissões de acessibilidade, permitindo monitorar ações e capturar informações sem o conhecimento do usuário. Além disso, algumas variantes conseguem se esconder completamente, dificultando a remoção. Os ataques também incluem a transmissão ao vivo da tela do dispositivo para os servidores dos atacantes, permitindo a interceptação em tempo real das etapas de autenticação. A complexidade das técnicas de instalação e a evolução dos métodos de evasão tornam a detecção por ferramentas de segurança tradicionais cada vez mais difícil.

Um estudo realizado pela Infoblox e Confiant revelou a existência de aproximadamente 15.500 domínios maliciosos que utilizam técnicas de cloaking para promover fraudes de investimento relacionadas a inteligência artificial (IA) na internet. Essas fraudes se aproveitam de softwares de rastreamento comercial para escalar operações sem a necessidade de construir uma infraestrutura própria. O cloaking permite que o conteúdo prejudicial seja exibido apenas para vítimas específicas, enquanto páginas benignas são mostradas a scanners de segurança. Os golpistas frequentemente promovem plataformas de negociação automatizadas, utilizando termos como ‘Tecnologia de Negociação Inteligente’ e ‘Soluções de Negociação Inteligente’, e recorrem a imagens geradas por deepfake para aumentar a credibilidade das ofertas. Apesar dos esforços de pesquisadores para desativar esses domínios, as operações continuam ativas, com os golpistas rotacionando domínios e reutilizando a mesma infraestrutura. A dificuldade em detectar essas fraudes se deve ao fato de que o conteúdo malicioso só é revelado sob condições específicas, o que torna os sistemas de proteção tradicionais ineficazes.

Recentemente, foram reveladas doze vulnerabilidades críticas na biblioteca vm2 do Node.js, que podem ser exploradas por atacantes para escapar do sandbox e executar código arbitrário em sistemas vulneráveis. A biblioteca vm2 é amplamente utilizada para executar código JavaScript não confiável em um ambiente seguro, mas as falhas de segurança identificadas, como CVE-2026-24118 e CVE-2026-43997, apresentam riscos significativos. As vulnerabilidades têm pontuações de severidade elevadas, com várias delas atingindo 9.8 ou 10 no CVSS, indicando um risco crítico. As versões afetadas incluem até a 3.10.5, e os desenvolvedores são aconselhados a atualizar para a versão 3.11.2 para garantir a proteção adequada. A complexidade de isolar de forma segura o código não confiável em ambientes de sandbox JavaScript é um desafio reconhecido, e novas falhas podem ser descobertas no futuro. A atualização imediata é essencial para mitigar os riscos associados a essas vulnerabilidades.

Um grupo de hackers da Coreia do Norte, conhecido como APT37 ou ScarCruft, comprometeu uma plataforma de jogos voltada para a comunidade coreana em Yanbian, na China, utilizando um malware chamado BirdCall. Este ataque, que começou em 2024, afeta tanto sistemas Windows quanto Android. No Windows, o malware permite roubo de dados, execução de comandos e captura de telas, enquanto no Android, ele pode extrair contatos, mensagens, arquivos de mídia e até áudio ambiente. A plataforma SQgame, que oferece jogos temáticos da região, continua hospedando jogos maliciosos, especialmente para dispositivos Android. O foco do ataque parece ser a população coreana na China, incluindo refugiados e desertores, o que levanta preocupações sobre a segurança de dados pessoais e a privacidade desses indivíduos. A ESET, empresa de segurança cibernética que reportou o incidente, observa que o malware está sendo ativamente mantido, com atualizações frequentes, o que indica um esforço contínuo dos atacantes para explorar essa vulnerabilidade.

A Cisco lançou atualizações de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) nos sistemas Crosswork Network Controller (CNC) e Network Services Orchestrator (NSO). Essa falha, identificada como CVE-2026-20188, é considerada de alta severidade e resulta de uma limitação inadequada na taxa de conexões de rede recebidas. A vulnerabilidade pode ser explorada remotamente por agentes de ameaça não autenticados, levando à interrupção dos sistemas CNC e NSO não corrigidos. A exploração bem-sucedida pode esgotar os recursos de conexão disponíveis, tornando os sistemas inoperantes e exigindo um reinício manual para recuperação. A Cisco recomenda fortemente que os clientes atualizem para as versões corrigidas mencionadas em seu aviso. Embora a CVE-2026-20188 ainda não tenha sido explorada ativamente, a empresa já enfrentou outras vulnerabilidades de DoS que foram utilizadas em ataques. A situação destaca a importância de manter os sistemas atualizados para evitar possíveis interrupções nos serviços e garantir a continuidade das operações.

Uma vulnerabilidade crítica foi identificada na biblioteca de sandboxing vm2, amplamente utilizada no Node.js, permitindo que atacantes escapem do ambiente seguro e executem código arbitrário no sistema host. A falha, identificada como CVE-2026-26956, afeta a versão 3.10.4 do vm2, embora versões anteriores também possam estar vulneráveis. O problema ocorre em ambientes que utilizam Node.js 25 com suporte a tratamento de exceções do WebAssembly e JSTag. A biblioteca vm2 é projetada para executar código JavaScript não confiável em um ambiente restrito, mas a manipulação inadequada de exceções permite que objetos de erro do host sejam injetados de volta no sandbox, possibilitando o acesso a APIs sensíveis do Node.js, como o objeto process. O mantenedor da biblioteca recomenda que os usuários atualizem para a versão 3.10.5 ou superior para mitigar os riscos. Essa não é a primeira vez que o vm2 enfrenta problemas de segurança, refletindo os desafios de isolar código não confiável em ambientes JavaScript. Com mais de 1,3 milhão de downloads semanais, a vulnerabilidade representa um risco significativo para plataformas que dependem dessa biblioteca.

Uma nova campanha de phishing está direcionando usuários do ManageWP, plataforma da GoDaddy para gerenciamento de sites WordPress, através de resultados patrocinados no Google. Os atacantes utilizam uma abordagem de adversário no meio (AiTM), onde uma página de login falsa atua como um proxy em tempo real entre a vítima e o serviço legítimo do ManageWP. Essa técnica permite que os criminosos capturem credenciais e, em seguida, solicitem o código de autenticação de dois fatores (2FA) para acessar as contas. Pesquisadores da Guardio Labs alertam que o resultado malicioso aparece acima do legítimo na busca por ‘managewp’, enganando usuários que confiam no Google para acessar o serviço. A campanha já afetou 200 vítimas únicas, e os pesquisadores conseguiram infiltrar a infraestrutura de comando e controle dos atacantes, revelando um sistema interativo de phishing. A plataforma ManageWP é amplamente utilizada, com seu plugin ativo em mais de 1 milhão de sites, o que aumenta a gravidade da ameaça. Os pesquisadores também encontraram um acordo em russo no código, indicando que a operação pode ser parte de uma estrutura de phishing privada.

Pesquisadores de cibersegurança revelaram a existência de uma nova botnet chamada xlabs_v1, derivada do Mirai, que se especializa em atacar dispositivos expostos à Internet que utilizam o Android Debug Bridge (ADB). A descoberta foi feita pela Hunt.io, que identificou um diretório exposto em um servidor na Holanda. A botnet é capaz de realizar ataques de negação de serviço distribuído (DDoS) e oferece 21 variantes de ataque, utilizando protocolos TCP, UDP e outros. O foco principal são dispositivos Android, como caixas de TV e roteadores, que têm o ADB habilitado por padrão. Além disso, a botnet é projetada para coletar informações sobre a largura de banda dos dispositivos comprometidos, permitindo que o operador classifique os dispositivos em diferentes faixas de preço para serviços de DDoS. A operação é considerada de médio porte, mais sofisticada que versões anteriores do Mirai, mas ainda assim acessível a criminosos. A situação é alarmante, especialmente para o setor de jogos, que já foi alvo de ataques semelhantes. A Hunt.io recomenda que operadores de servidores de jogos implementem medidas de mitigação adequadas para se proteger contra esses ataques.