Notícias de Cibersegurança

Notícias de Cibersegurança

Bem-vindo ao centro de notícias do BR Defense Center. Aqui você encontra as últimas notícias, análises e tendências em cibersegurança, com foco no cenário brasileiro e internacional.

Categorias

  • Ransomware: Ataques de sequestro de dados
  • Vulnerabilidades: Falhas de segurança e patches
  • Vazamento de Dados: Incidentes de exposição de dados
  • Phishing: Golpes e engenharia social
  • Malware: Análise de códigos maliciosos
  • Inteligência Artificial: IA aplicada à segurança
  • Cloud Security: Segurança em nuvem
  • Mobile Security: Segurança mobile
  • IoT Security: Segurança em IoT
  • Compliance: Regulamentações e conformidade

IA acelera ataques e obriga empresas a priorizar vulnerabilidades

Em 2026, as vulnerabilidades representam cerca de 40% das exposições críticas em ambientes corporativos, um aumento significativo em relação ao ano anterior. Um estudo da Check Point Software revela que, apesar do crescimento na proporção de vulnerabilidades, apenas 7,8% dos alertas foram classificados como críticos ou de alta prioridade. Isso indica que, embora o número de exposições tenha aumentado, a maioria não exige ação imediata. A pressão sobre as equipes de segurança é intensificada por ferramentas de ataque assistidas por inteligência artificial (IA), que conseguem explorar falhas conhecidas em uma escala e velocidade superiores à capacidade de análise manual das equipes. O conceito de ‘intervalo de exposição’ é crucial, pois refere-se ao tempo entre a identificação de uma vulnerabilidade e sua correção, período em que os atacantes podem agir. As organizações que se destacam são aquelas que conseguem rapidamente identificar e corrigir os riscos realmente exploráveis, priorizando as ações de segurança. O relatório analisou dados de 715 organizações em cinco regiões, incluindo a América Latina, entre janeiro de 2025 e maio de 2026.

Homem de origem armênia se declara culpado por ataque de ransomware nos EUA

Karen Serobovich Vardanyan, um homem armênio de 34 anos, se declarou culpado por invadir empresas nos Estados Unidos e implantar o ransomware Ryuk, que criptografou sistemas de diversas organizações. Ele foi extraditado para os EUA após ser preso em Kyiv em abril de 2025, onde forneceu acesso inicial a redes corporativas. Entre novembro de 2019 e abril de 2020, Vardanyan e seus cúmplices atacaram várias empresas, incluindo uma no Michigan que pagou 200 BTC, equivalente a mais de 1,1 milhão de dólares na época. O Departamento de Justiça dos EUA informou que o grupo recebeu cerca de 1.610 bitcoins em pagamentos de resgate, totalizando aproximadamente 15 milhões de dólares. A operação Ryuk, ativa de 2018 a 2020, era conhecida por atacar setores variados, incluindo prestadores de serviços de saúde durante a pandemia de COVID-19. Após o fechamento do grupo, muitos membros migraram para a operação Conti, que se tornou uma das mais ativas. Vardanyan foi indiciado em fevereiro de 2024 e enfrenta uma pena máxima de 15 anos de prisão, além de multas significativas. Como parte de seu acordo, ele concordou em pagar mais de 1,1 milhão de dólares em restituição.

Seis vulnerabilidades críticas no U-Boot podem permitir ataques de firmware

Seis vulnerabilidades foram descobertas no U-Boot, um dos bootloaders de código aberto mais utilizados globalmente, que podem permitir a execução de código malicioso durante o processo de inicialização de dispositivos. O U-Boot é amplamente encontrado em dispositivos Linux embarcados, como controladores de gerenciamento de placa-mãe (BMCs), equipamentos de rede e dispositivos IoT. As falhas, identificadas pela empresa de segurança Binarly, variam de negação de serviço (DoS) a execução arbitrária de código, comprometendo a segurança antes mesmo do sistema operacional ser carregado. Dentre as vulnerabilidades, duas podem permitir a execução de código arbitrário, enquanto as outras quatro podem causar falhas nos dispositivos. A exploração dessas falhas pode ocorrer sem acesso físico, especialmente em sistemas que suportam atualizações de firmware remotas. Embora a Binarly tenha reportado as vulnerabilidades e enviado patches, a implementação das correções depende dos fabricantes de hardware, o que pode deixar dispositivos mais antigos sem proteção. A natureza crítica dessas falhas exige atenção imediata das equipes de segurança, pois podem resultar em malware persistente e comprometimento de sistemas antes da inicialização do sistema operacional.

Novas falhas de segurança no U-Boot podem comprometer dispositivos

Pesquisadores da Binarly identificaram seis novas vulnerabilidades no U-Boot, um bootloader amplamente utilizado em dispositivos como roteadores, câmeras inteligentes e servidores de data centers. Quatro das falhas podem causar a queda do dispositivo, enquanto duas permitem que um atacante execute código malicioso antes da verificação da autenticidade do software. Essas vulnerabilidades estão presentes no U-Boot desde a versão v2013.07 e afetam mais de 50 versões estáveis. As falhas são categorizadas como BRLY-2026-037 a BRLY-2026-042, sendo que as duas mais críticas podem levar à execução de código malicioso. A exploração dessas falhas requer que uma imagem maliciosa chegue ao caminho de inicialização, o que geralmente exige acesso físico ou um ponto de acesso privilegiado. Embora a Binarly tenha publicado provas de conceito, não há relatos de exploração em ataques reais. A correção das falhas foi integrada ao U-Boot em junho, mas ainda não há uma versão estável disponível com os patches. Para os fabricantes de dispositivos que utilizam U-Boot, é crucial implementar as correções imediatamente, uma vez que a próxima versão está prevista apenas para outubro.

Ameaça de malware compromete repositório do Injective Labs no GitHub

Um ataque cibernético recente comprometeu o repositório do projeto Injective Labs SDK no GitHub, resultando na publicação de um pacote malicioso na npm registry. A versão comprometida, @injectivelabs/sdk-ts@1.20.21, foi lançada em 8 de julho de 2026 e continha uma funcionalidade falsa de telemetria que exfiltrava dados sensíveis de carteiras de criptomoedas, como chaves privadas e frases mnemônicas. O ataque foi realizado por um ator desconhecido que utilizou uma conta de desenvolvedor confiável para introduzir os commits maliciosos. Além disso, a versão comprometida foi publicada em 17 outros pacotes relacionados, aumentando o risco para usuários que não instalaram a biblioteca diretamente. O malware modifica funções legítimas para capturar informações sensíveis sem ser detectado, enviando-as para um servidor remoto. Os usuários que instalaram a versão maliciosa devem atualizar para a versão limpa (1.20.23) e considerar suas chaves como comprometidas. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância constante em ambientes de desenvolvimento.

Progress Software alerta sobre ameaça à segurança do ShareFile

A Progress Software emitiu um alerta para os clientes do ShareFile, recomendando que desliguem os servidores Windows que operam os Controladores de Zona de Armazenamento (Storage Zone Controllers), devido a uma “ameaça externa credível”. A empresa desativou temporariamente o acesso às contas afetadas como medida de precaução enquanto investiga a situação com especialistas em segurança. Embora não haja indícios de acesso não autorizado a contas ou dados do ShareFile, a falta de informações sobre a natureza da ameaça levanta preocupações. O controlador, que permite que empresas mantenham arquivos em seu próprio armazenamento enquanto utilizam a nuvem do ShareFile, está exposto à internet, tornando-se um alvo potencial. A decisão de desligá-lo completamente, em vez de aplicar um patch, sugere que a vulnerabilidade pode ser grave. A situação é semelhante a um incidente anterior em 2023, quando um erro não autenticado foi explorado. Os clientes devem seguir as instruções de desligamento e verificar se suas versões do software estão atualizadas, mas não devem reiniciar os sistemas até que a Progress forneça mais informações.

Microsoft descobre novo pacote de malware GigaWiper

A Microsoft alertou sobre um novo malware chamado GigaWiper, atribuído ao grupo iraniano CyberAv3ngers. Este software malicioso combina várias variantes de malware, permitindo que ele execute funções de espionagem e destruição de dados. O GigaWiper pode apagar drives, criptografar arquivos com uma extensão falsa de ransomware e sobrepor partições do Windows, tornando os dados irrecuperáveis. Além disso, ele pode capturar capturas de tela, gravar a tela do usuário e acessar dados do sistema. O malware se disfarça como tarefas de atualização do OneDrive, o que dificulta sua detecção. A Microsoft não especificou um caminho de recuperação para os dados afetados, o que aumenta a gravidade da ameaça. O uso de técnicas de ofuscação sugere que os atacantes tentaram minimizar a detecção por parte dos usuários e sistemas de segurança. A combinação de espionagem e destruição torna o GigaWiper uma ameaça significativa para empresas e usuários em geral.

A segurança foi feita para pessoas, mas a IA expõe lacunas

O artigo de Grady Summers, CEO da Netwrix, aborda a crescente preocupação com a segurança de identidades não humanas em ambientes corporativos, onde identidades de máquinas já superam as humanas em muitos casos. Essas identidades, que incluem agentes de IA, contas de serviço e aplicações OAuth, não seguem o ciclo de vida típico dos usuários humanos, como mudanças de função ou desligamentos. Isso gera um desafio significativo para as equipes de segurança, que frequentemente não têm visibilidade sobre quem possui essas identidades, quais permissões têm e o que podem acessar. Um exemplo alarmante é o caso do ator de ameaças UNC6395, que explorou um token OAuth confiável para acessar ambientes Salesforce, demonstrando como identidades confiáveis podem ser a porta de entrada para ataques mais amplos. O artigo destaca que, mesmo organizações com boas práticas de governança de identidade, que monitoram identidades não humanas, ainda enfrentam taxas de violação alarmantes. A falta de respostas para perguntas cruciais sobre a propriedade e o gerenciamento dessas identidades pode aumentar a superfície de ataque. Portanto, é essencial que as equipes de segurança desenvolvam uma compreensão clara e contínua das identidades em seus ambientes, especialmente à medida que a adoção de IA se expande.

Búlgaro é acusado de roubar criptomoeda enquanto estava preso

Rossen G. Iossifov, um cidadão búlgaro de 53 anos, foi acusado de roubar $290.000 em criptomoedas que haviam sido apreendidas pelo governo dos EUA, enquanto cumpria uma pena de 121 meses de prisão por lavagem de dinheiro. Iossifov, que já havia sido condenado em 2021 por operar uma exchange de criptomoedas chamada RG Coins, supostamente conspirou com outros para mover os fundos de uma conta apreendida, utilizando várias exchanges e serviços de mistura para evitar a detecção. O agente especial do Serviço Secreto dos EUA, Robert Holman, afirmou que a tentativa de Iossifov de desviar e lavar fundos legalmente apreendidos é um desafio direto ao sistema de justiça e uma desconsideração pelos direitos das vítimas. Iossifov já havia lavado quase $5 milhões para membros de uma rede de fraude que enganou pelo menos 900 americanos, utilizando anúncios falsos para vender produtos inexistentes. Ele foi condenado a pagar mais de $2,6 milhões em restituição às vítimas e, se condenado pelas novas acusações, pode enfrentar até 25 anos de prisão.

Vulnerabilidade crítica no Docker do Gitea permite ataque de impersonação

Hackers estão explorando uma vulnerabilidade crítica na imagem oficial do Docker do Gitea, um serviço de Git auto-hospedado, que permite que atacantes se façam passar por qualquer usuário, incluindo administradores. A falha, conhecida como CVE-2026-20896, é uma vulnerabilidade de bypass de autenticação que afeta implantações com a configuração padrão, onde cabeçalhos de autenticação de proxy reverso, como o X-WEBAUTH-USER, estão habilitados. Michael Clark, pesquisador de segurança da Sysdig, confirmou que a exploração da falha começou menos de duas semanas antes de sua divulgação pública. Atualmente, existem cerca de 6.200 instâncias do Gitea expostas na web, mas não está claro quantas delas são vulneráveis. A configuração padrão do Gitea confia no cabeçalho X-WEBAUTH-USER de qualquer endereço IP, permitindo que um cliente da internet não autenticado se passe por qualquer usuário conhecido. O Gitea lançou versões 1.26.3 e 1.26.4 para corrigir a vulnerabilidade e recomendou que os usuários atualizassem imediatamente. A Agência de Cibersegurança de Cingapura também emitiu um alerta sobre a exploração ativa dessa vulnerabilidade.

Polícia Holandesa investiga hackers em violação de dados da Odido

A Polícia Nacional da Holanda revelou indícios de que hackers holandeses estiveram envolvidos em uma violação de dados ocorrida em fevereiro na operadora de telecomunicações Odido. A investigação apontou que um homem de fala holandesa se passou por funcionário de TI da empresa durante uma ligação com o serviço de atendimento ao cliente, levando a um ataque de phishing que resultou no roubo de dados pessoais de 6,2 milhões de clientes. As informações expostas incluem nome completo, endereço, número de telefone, e dados bancários, mas não incluem detalhes de chamadas ou senhas. O grupo de cibercrime ShinyHunters reivindicou a responsabilidade pelo ataque, divulgando um arquivo de 88GB com mais de 15 milhões de registros. A polícia destacou que, embora as investigações sejam complexas, os criminosos digitais deixam rastros que podem ser utilizados para identificar os responsáveis. A Odido, uma das maiores operadoras de telecomunicações da Holanda, ainda não atribuiu oficialmente a violação, mas o impacto na segurança de dados é significativo, especialmente considerando a legislação de proteção de dados, como a LGPD no Brasil.

Grupo de cibercrime ligado à China lança novo trojan baseado em Rust

O grupo de cibercrime conhecido como Silver Fox, vinculado à China, foi associado a um novo trojan de acesso remoto (RAR) chamado MODBEACON, desenvolvido em Rust. Segundo a empresa de cibersegurança QiAnXin, embora a operação pareça de baixa sofisticação, ela possui uma estrutura organizacional complexa, envolvendo múltiplos distribuidores que propagam malware por meio de instaladores falsificados e técnicas de SEO. Uma campanha observada em junho de 2026 visou empresas de tecnologia, educação e estatais na Ásia, utilizando uma infraestrutura de comando e controle (C2) hospedada na Amazon e na rede de entrega de conteúdo (CDN) da Cloudflare.

Vulnerabilidades críticas no assistente de IA OpenClaw expostas

Recentemente, foram reveladas três vulnerabilidades críticas no assistente de inteligência artificial OpenClaw, que, se exploradas, podem permitir o roubo de credenciais, escalonamento de privilégios e execução de código arbitrário no sistema host. As falhas, identificadas como GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm, ambas com uma pontuação CVSS de 8.8, envolvem injeção de comandos do sistema operacional e uma lista incompleta de entradas não permitidas. A terceira vulnerabilidade, GHSA-575v-8hfq-m3mc, com uma pontuação CVSS de 8.4, refere-se a uma falha de travessia de caminho que pode permitir que montagens de sandbox contornem verificações de autorização. Todas as falhas foram corrigidas na versão 2026.6.6 do OpenClaw. O pesquisador de segurança Chinmohan Nayak, que descobriu as vulnerabilidades, alertou que elas podem ser utilizadas para executar código no host a partir de mensagens externas, como as enviadas pelo WhatsApp. A OpenClaw recomenda que os usuários atualizem para a versão mais recente e adotem medidas de segurança adicionais, como habilitar o modo sandbox e restringir o uso de comandos potencialmente perigosos.

Vulnerabilidade em carteiras Tangem permite reset de senha com laser

Pesquisadores da equipe de segurança Donjon, da Ledger, descobriram uma vulnerabilidade crítica nas carteiras de criptomoedas Tangem. Um ataque físico, utilizando um pulso de laser precisamente cronometrado, pode redefinir a senha de uma carteira Tangem para qualquer valor escolhido pelo atacante. Este ataque exige acesso físico ao cartão e um laboratório especializado, estimado em cerca de 250 mil dólares, além de danificar o cartão de forma visível. A vulnerabilidade reside na função de redefinição de senha, que permite que um novo código seja aceito sem a necessidade da senha antiga, caso o cartão esteja em modo de recuperação. Como as carteiras Tangem não podem receber atualizações de software, a falha é permanente e afeta todos os cartões já vendidos. Embora o ataque não represente uma emergência para a maioria dos usuários, aqueles que perderam ou tiveram seus cartões roubados devem agir rapidamente para proteger seus ativos. A Tangem respondeu afirmando que a vulnerabilidade é uma técnica de laboratório e não exclusiva de seus produtos, além de ressaltar que até o momento, ninguém perdeu fundos devido a esse tipo de ataque.

Ex-funcionário de empresa de cibersegurança é condenado por ransomware

Angelo Martino, ex-funcionário da DigitalMint, foi condenado a 70 meses de prisão por sua participação em ataques de ransomware BlackCat (ALPHV) contra empresas nos EUA. O FBI relaciona o grupo BlackCat a mais de 60 violações de segurança entre novembro de 2021 e março de 2022, com um total de pelo menos 300 milhões de dólares em pagamentos de resgate de mais de 1.000 vítimas até setembro de 2023. Martino, junto com outros dois negociadores de ransomware, Kevin Tyler Martin e Ryan Clifford Goldberg, foi acusado de extorquir empresas, ameaçando vazar dados roubados e exigindo pagamentos de resgate. Os três ex-funcionários da DigitalMint e Sygnia pagaram 20% dos lucros dos resgates aos administradores do BlackCat. Entre as vítimas estão organizações financeiras e instituições educacionais que pagaram resgates significativos, como 25,6 milhões e 26,7 milhões de dólares. A DigitalMint condenou as ações de Martino e Martin, afirmando que foram demitidos assim que suas condutas foram descobertas.

Zimbra alerta sobre vulnerabilidade crítica em cliente web clássico

A equipe de segurança da Zimbra alertou seus clientes sobre uma vulnerabilidade crítica que afeta o Classic Web Client, utilizado para acessar a suíte de colaboração Zimbra. Essa falha de segurança, que ainda não possui um ID CVE, permite que atacantes explorem o cliente através de e-mails maliciosos, executando código malicioso ao abrir as mensagens. A exploração bem-sucedida pode resultar no roubo de dados de sessão, configurações de conta e informações da caixa de entrada. A Zimbra lançou a versão 10.1.19 para corrigir essa vulnerabilidade e recomenda que todos os usuários do Classic Web Client atualizem imediatamente. Embora a vulnerabilidade ainda não tenha sido confirmada como explorada ativamente, foi reportada pelo Google Threat Analysis Group, que frequentemente identifica exploits zero-day usados por grupos de hackers apoiados por estados. Nos últimos anos, hackers patrocinados pelo estado russo têm explorado vulnerabilidades do Zimbra para comprometer servidores vulneráveis, incluindo ataques a organizações alinhadas à OTAN. A situação é crítica, pois a falha pode ser utilizada em ataques direcionados a indivíduos de alto risco, como políticos e jornalistas. Portanto, a atualização é essencial para garantir a segurança dos ambientes que utilizam essa tecnologia.

Grupo de cibercriminosos usa phishing por voz para extorquir dados

Um ator de ameaças, identificado como O-UNC-066, está atacando organizações de diversos setores com solicitações de segurança falsas baseadas em voz, visando usuários do Microsoft 365. O grupo utiliza um kit de phishing controlado por painel que foca no processo de registro de chaves de acesso (passkeys). Os ataques têm como alvo indústrias como alimentos e bebidas, tecnologia, saúde, automotiva, construção e aviação. Os criminosos registram domínios que incluem a palavra ‘passkey’ e fazem chamadas para persuadir os usuários a se inscreverem em uma nova chave de acesso. Ao direcionar os usuários para um kit de phishing que imita o processo legítimo da Microsoft, os atacantes conseguem registrar suas próprias chaves de acesso nas contas das vítimas, obtendo acesso não autorizado. Este tipo de ataque se aproveita da falta de familiaridade dos usuários com a autenticação por chaves de acesso, criando uma sequência de páginas que enganam as vítimas a fornecerem suas credenciais e aprovar o registro de uma chave de acesso maliciosa. A situação é preocupante, pois coincide com a Microsoft incentivando a adoção de chaves de acesso, o que pode ser explorado por criminosos para facilitar ataques de extorsão de dados.

Estudo revela falhas graves em aplicativos de VPN gratuitos

Um estudo recente analisou 281 dos aplicativos de VPN gratuitos mais populares disponíveis na Google Play Store e revelou que muitos deles falham em proteger a privacidade e a segurança dos usuários, que são as principais razões para a instalação de uma VPN. Os pesquisadores, da Universidade de Michigan, da Universidade do Novo México e do IIT Delhi, utilizaram um sistema de teste chamado MVPNalyzer, que identificou que 29 aplicativos permitiram vazamentos de tráfego, incluindo consultas DNS que expõem quais sites os usuários visitam. Além disso, 61 aplicativos enviaram dados em texto claro, acessíveis a qualquer um que monitorasse a rede. O estudo destacou cinco aplicativos que baixam arquivos de configuração sem criptografia, permitindo que atacantes redirecionem conexões para servidores controlados por eles. A pesquisa também revelou que 76 aplicativos rastreiam os usuários, enviando informações como o ID de publicidade do dispositivo. A maioria dos aplicativos analisados não seguiu as melhores práticas de segurança, com 89% utilizando um único método de autenticação e muitos empregando criptografia fraca ou desatualizada. Os resultados levantam preocupações sobre a confiabilidade dos aplicativos de VPN gratuitos, que frequentemente prometem privacidade, mas falham em implementá-la adequadamente.

Grupo de cibercrime expõe 1,4 milhão de sites vulneráveis na internet

Um grupo de cibercrime deixou um servidor exposto na internet por três semanas, revelando suas operações internas, incluindo ferramentas de hacking, logs de atividades e listas de alvos que abrangem mais de 1,4 milhão de sites. A operação, chamada WP-SHELLSTORM, é classificada como uma corretora de acesso a webshells, onde os hackers invadem sites, instalam backdoors e revendem esse acesso. A maioria das invasões ocorreu em sites WordPress com plugins desatualizados, especialmente uma falha no plugin Breeze, que permitiu a instalação de webshells em mais de 17 mil sites. Embora o número total de alvos seja alarmante, a quantidade de sites realmente comprometidos é significativamente menor, com estimativas variando entre 5.700 e 25.195 sites. O grupo utilizou scanners automatizados para explorar vulnerabilidades conhecidas e deixou rastros que podem ser rastreados até sua origem. Especialistas alertam que as falhas identificadas estão sob exploração ativa, exigindo que administradores de sites verifiquem e atualizem seus sistemas imediatamente.

Gestão de Ativos A Importância da Precisão na Cibersegurança

Um estudo recente revelou que apenas 45% das empresas consolidam seus dados de ativos e exposição em uma única visão, o que compromete a eficácia dos programas de segurança. A Lumen Technologies, uma empresa de telecomunicações, exemplificou essa situação ao utilizar a plataforma Axonius para integrar dados de mais de 40 sistemas desconectados, resultando na descoberta de 60 vezes mais dispositivos do que se imaginava. Essa falta de precisão nos inventários de ativos é um problema comum, onde diferentes ferramentas de TI e segurança apresentam informações contraditórias. A Lumen, ao corrigir esses dados, não apenas melhorou sua resposta a vulnerabilidades críticas, mas também conseguiu visibilidade sobre a postura de suas aplicações, permitindo uma gestão de riscos mais inteligente. Com dados confiáveis, a empresa evoluiu de um modelo de “scan and spam” para uma abordagem baseada em riscos, priorizando ações de remediação que realmente reduzem a exposição. A visibilidade gerada pela Axonius também influenciou decisões estratégicas, como a migração para a nuvem, reduzindo o risco em 40%. O artigo alerta que muitas organizações podem estar enfrentando lacunas semelhantes em seus dados de ativos, o que pode comprometer suas operações de segurança.

Vulnerabilidade no XQUIC permite queda de servidores com tráfego legal

Uma vulnerabilidade crítica foi descoberta na biblioteca XQUIC, utilizada pela Alibaba para QUIC e HTTP/3, que permite que qualquer cliente remoto derrube o servidor com um pequeno fluxo de tráfego QPACK legítimo. Nomeada XRING, a falha foi divulgada pelo pesquisador Sébastien Féry da FoxIO em 8 de julho de 2026 e não possui correção disponível até o momento. A vulnerabilidade afeta todas as versões do XQUIC até a v1.9.4 e não requer login ou pacotes malformados, bastando cerca de 260 bytes de tráfego normal para causar a queda do servidor. O problema reside na forma como o HTTP/3 comprime cabeçalhos, utilizando uma tabela dinâmica que, quando redimensionada, pode resultar em uma contagem incorreta de bytes, levando a uma cópia de memória que ultrapassa os limites. Isso pode causar falhas no processo do servidor, embora não tenha sido testado se essa corrupção pode ser explorada para execução de código. A FoxIO tentou contatar a Alibaba várias vezes sem resposta antes de tornar a falha pública. A situação é preocupante, especialmente considerando que a XQUIC é open-source, expondo outros servidores que a utilizam, como o Tengine, a riscos semelhantes.

Câmeras em carros novos da UE geram preocupações sobre privacidade

A Comissão Europeia anunciou que todos os novos veículos registrados na União Europeia deverão ser equipados com sistemas avançados de alerta de distração do motorista (ADDW). Esses sistemas, que incluem câmeras voltadas para o rosto do condutor, visam aumentar a segurança nas estradas, onde o número de mortes e ferimentos ainda é considerado elevado. As câmeras monitoram os olhos e expressões faciais do motorista, emitindo alertas sonoros quando detectam distração. No entanto, críticos levantam preocupações sobre a privacidade dos dados coletados, especialmente considerando que a maioria dos carros será conectada à internet até 2030. Uma análise da Mozilla revelou que todas as marcas de automóveis estudadas falharam em atender seus próprios padrões de privacidade. Além disso, a falta de clareza sobre o tratamento dos dados dos motoristas pode levar a implicações legais, como a determinação de prêmios de seguro ou uso em processos judiciais. A implementação inadequada dessa tecnologia também pode resultar em distrações adicionais para os motoristas, criando um paradoxo em relação à segurança.

Hackers comprometem repositório do Injective Labs e roubam chaves de criptomoedas

Recentemente, hackers comprometeram o repositório do projeto Injective Labs no GitHub, publicando um pacote malicioso no Node Package Manager (npm) que visava roubar chaves privadas e frases mnemônicas de carteiras de criptomoedas. A vulnerabilidade foi detectada por empresas de segurança cibernética, incluindo Socket e Ox Security, através da versão 1.20.21 do pacote @injectivelabs/sdk-ts, que possui 50 mil downloads semanais e é amplamente utilizado por desenvolvedores de carteiras de criptomoedas e aplicações DeFi. O ataque começou em 8 de junho, quando o invasor acessou uma conta de um colaborador legítimo e fez alterações suspeitas. Embora o proprietário da conta tenha revertido as mudanças rapidamente, a versão maliciosa já havia sido baixada 310 vezes antes de ser descontinuada. O malware se ativa ao utilizar funções do SDK que geram ou importam chaves de carteira, capturando informações sensíveis e enviando-as para um endpoint público da Injective Labs. Os desenvolvedores afetados são aconselhados a transferir suas criptomoedas para novas carteiras e a rotacionar segredos em seus ambientes.

Projeto OpenMandriva Linux sofre tentativa de sabotagem interna

O projeto OpenMandriva Linux, uma distribuição independente de Linux, foi alvo de uma tentativa de sabotagem interna após desavenças entre colaboradores. O incidente envolveu a exclusão de repositórios no GitHub e a publicação de um pacote vazio que poderia prejudicar os sistemas dos usuários. A situação se agravou após comportamentos abusivos de um colaborador, levando a uma série de ações destrutivas por parte de Davide Beatrici, um desenvolvedor que tinha privilégios administrativos. Beatrici deletou partes de um repositório que estava em desenvolvimento há quase uma década e publicou um pacote que obsoletou componentes importantes dos ambientes de desktop Gnome e Cosmic. A equipe do OpenMandriva está atualmente restaurando os repositórios e realizando uma auditoria completa do sistema para identificar outras mudanças não autorizadas. Beatrici, por sua vez, negou as alegações de sabotagem, afirmando que suas ações foram motivadas por desentendimentos sobre a direção do projeto. Apesar da gravidade das ações, a equipe do OpenMandriva decidiu não tomar medidas legais contra Beatrici.

Microsoft desmantela malware GigaWiper, uma ameaça cibernética complexa

A Microsoft revelou detalhes sobre o GigaWiper, um malware destrutivo que atua como uma backdoor no Windows. O GigaWiper combina três programas maliciosos antigos, permitindo ao operador escolher entre diferentes métodos de destruição: apagar todo o disco, sobrescrever a unidade do Windows ou executar um ransomware falso que criptografa arquivos sem deixar chave para decriptação. O malware também possui capacidades de espionagem, permitindo que o atacante monitore a atividade do usuário, capture telas e controle remotamente o PC infectado. A origem do GigaWiper está ligada a um grupo de hackers possivelmente iraniano, que visa organizações israelenses. A detecção precoce e a manutenção de backups offline são essenciais para mitigar os danos, uma vez que não há patch disponível para este tipo de malware. A Microsoft recomenda a ativação de proteções contra alterações em antivírus e o bloqueio de servidores de comando conhecidos para proteger sistemas contra essa ameaça.

Campanhas de ciberataques visam organizações no GitHub

Os Datadog Security Labs alertaram sobre várias campanhas de cibersegurança que estão explorando a API do GitHub para enumerar organizações corporativas, repositórios e contas de usuários. Os atacantes utilizam ferramentas automatizadas de scraping, contas ‘fantasmas’ e tokens de acesso pessoal (PATs) comprometidos para coletar informações, principalmente de dados públicos. No entanto, em alguns casos, esses ataques conseguiram clonar repositórios privados. As contas ‘fantasmas’, criadas há anos e deixadas inativas, são utilizadas para evitar detecções. A atividade dos atacantes se disfarça como uso normal da API, permitindo que eles acessem informações como repositórios públicos, listas de seguidores e gists. Embora a maioria das requisições seja inofensiva isoladamente, a coordenação entre as contas e a possibilidade de clonagem de repositórios privados levantam preocupações significativas sobre a segurança das informações corporativas. As empresas devem estar atentas a essas atividades e implementar medidas de segurança para proteger seus dados no GitHub.

China alerta sobre coleta de dados pelo Claude Code da Anthropic

A China emitiu um alerta de segurança contra o Claude Code, uma ferramenta de programação com inteligência artificial desenvolvida pela Anthropic. O Banco Nacional de Dados de Vulnerabilidades da China (CNVDB) identificou que algumas versões do software, especificamente as versões 2.1.91 até 2.1.196, possuem mecanismos que podem coletar dados dos usuários, como identidade, localização geográfica e informações do sistema operacional, enviando-os para os servidores da empresa sem autorização. A Anthropic, por sua vez, nega a existência de qualquer ‘backdoor’ malicioso, mas admite que implementou recursos para prevenir abusos e o uso não autorizado da plataforma. As preocupações levantadas pela China foram reforçadas por engenheiros da Alibaba, que analisaram o funcionamento do Claude Code e encontraram verificações que poderiam comprometer a privacidade dos usuários. Em resposta, a Anthropic afirmou que essas funcionalidades visam proteger sua propriedade intelectual e não monitorar usuários. O CNVDB recomenda que os usuários removam as versões afetadas e atualizem o software para evitar riscos de vazamento de informações confidenciais e exposição de propriedade intelectual.

Roteadores Tenda têm porta dos fundos de segurança não corrigida

Um alerta de segurança foi emitido pelo CERT Coordination Center (CERT/CC) sobre uma vulnerabilidade crítica em diversos modelos de roteadores da marca Tenda, que permite que atacantes acessem o sistema com privilégios de administrador sem conhecer as credenciais. A falha, identificada como CVE-2026-11405, possui uma pontuação de severidade de 9.8/10, o que a classifica como crítica. O problema é causado por uma credencial de acesso hardcoded, ou seja, embutida no firmware do dispositivo, que permite que invasores contornem as verificações normais de login. Mesmo que o nome de usuário e a senha configurados estejam incorretos, a presença dessa senha oculta garante acesso total ao sistema. O CERT/CC tentou contatar a Tenda, mas não obteve resposta. Enquanto isso, recomenda-se que os usuários desativem a gestão remota e limitem a exposição local como medidas paliativas, embora isso não resolva completamente a vulnerabilidade. A falha afeta várias famílias de roteadores, incluindo FH1201, W15E, AC10, AC5 e AC6, e pode ter um número ainda maior de modelos impactados.

Setor de saúde sofre aumento de ataques de ransomware em 2026

Nos primeiros seis meses de 2026, o setor de saúde registrou uma média de 2,3 ataques de ransomware por dia, totalizando 410 incidentes, um aumento de quase 14% em relação ao segundo semestre de 2025. Desses ataques, 247 foram direcionados a hospitais e clínicas, enquanto 163 afetaram empresas do setor, como fabricantes de produtos médicos e provedores de tecnologia em saúde. Os ataques a empresas de saúde aumentaram quase 35%, com os fabricantes enfrentando um aumento de 36% e os varejistas, como distribuidores de dispositivos médicos, apresentando o maior crescimento, de 67%. O ataque mais significativo foi ao Unimed, na Alemanha, que afetou 135 mil pacientes. A demanda média de resgate para provedores de saúde foi de $310 mil, enquanto para empresas do setor foi de $300 mil. Os principais grupos de ransomware identificados foram Qilin e The Gentlemen. A situação sugere um novo ’normal’ em termos de frequência de ataques, refletindo uma tendência preocupante que se estende além do setor de saúde.

Verão e Cibersegurança Oportunidades para Criminosos Virtuais

Durante o verão, muitas organizações enfrentam desafios de segurança cibernética devido à redução de pessoal e à diminuição da vigilância. Os cibercriminosos aproveitam essa oportunidade, aumentando os ataques em até 40% durante períodos de férias. Com equipes de segurança menores, a capacidade de resposta a alertas e incidentes diminui, tornando mais difícil detectar atividades suspeitas, como phishing e comprometimento de e-mails corporativos. A falta de conhecimento institucional, com a ausência de engenheiros seniores, pode atrasar investigações e decisões críticas. Para mitigar esses riscos, as organizações devem adotar soluções de automação e monitoramento contínuo, que permitem a manutenção da segurança mesmo com equipes reduzidas. Ferramentas de automação podem priorizar alertas, executar processos de resposta e aplicar patches automaticamente, garantindo que a segurança não dependa exclusivamente da disponibilidade humana. Assim, é essencial que as empresas desenvolvam operações de segurança resilientes, capazes de detectar e responder a ameaças independentemente da equipe disponível.

Operação de phishing como serviço visa contas do Microsoft 365

Um novo serviço de phishing como serviço (PhaaS) chamado Forg365 tem como alvo contas do Microsoft 365, utilizando métodos de adversário no meio (AiTM) e códigos de dispositivo, além de geração de iscas assistida por inteligência artificial. A plataforma oferece uma extensão de navegador que permite acesso contínuo aos serviços da Microsoft sem necessidade de reautenticação. Pesquisadores da ZeroBEC identificaram que muitos recursos do Forg365 são semelhantes a outras plataformas de PhaaS, como Kali365 e Sneaky2FA. A investigação começou com e-mails de phishing disfarçados de documentos empresariais, utilizando serviços legítimos como Amazon SES e SendGrid para entrega. O Forg365 permite a criação de campanhas de phishing, gerenciamento de links e tokens, e geração de e-mails maliciosos a partir de um painel centralizado. A plataforma também possui um recurso de monitoramento de palavras-chave em caixas de entrada comprometidas e uma extensão chamada ForgCookie, que captura cookies de sessão para acesso persistente. As principais rotas de ataque incluem phishing por código de dispositivo e phishing AiTM, ambos projetados para enganar as vítimas e capturar credenciais sem solicitar diretamente a senha. A ZeroBEC recomenda que as organizações restrinjam a autenticação por código de dispositivo e monitorem logs do Microsoft Entra para eventos suspeitos.

Microsoft aumenta atualizações de segurança no Windows com IA

A Microsoft anunciou que os usuários do Windows devem esperar um aumento nas atualizações de segurança, impulsionado pelo uso crescente de inteligência artificial (IA) para descobrir vulnerabilidades em seu código. Em um post de blog, a empresa destacou que os avanços em IA aceleraram significativamente a descoberta de falhas, permitindo que engenheiros identifiquem mais problemas de segurança antes que possam ser explorados em ataques de dia zero. Para isso, a Microsoft está utilizando um sistema de descoberta de vulnerabilidades chamado MDASH, que realiza varreduras em binários críticos do Windows e valida as descobertas com múltiplos modelos de IA. Além disso, a IA também auxilia os engenheiros a entender falhas mais rapidamente e sugerir correções. A empresa enfatizou que, apesar do uso de IA, engenheiros humanos ainda revisarão todas as propostas de código antes da implementação. Com essa abordagem, os clientes devem observar um volume maior de atualizações de segurança a cada Patch Tuesday. A Microsoft também atualizou suas práticas de Ciclo de Vida de Desenvolvimento Seguro (SDL) para considerar técnicas de ataque habilitadas por IA, visando identificar problemas de segurança antes do lançamento de novas funcionalidades.

Grupo Helix usa táticas de phishing para extorquir dados do SharePoint

Um novo grupo de extorsão de dados, conhecido como Helix, está utilizando táticas focadas em identidade, como vishing (phishing por voz), phishing de código de dispositivo e abuso de autenticação multifatorial (MFA) para roubar dados de ambientes SharePoint. O contato inicial é feito por meio de vishing, onde os atacantes se passam por gerentes das vítimas, utilizando nomes ou técnicas de falsificação de ID para parecerem legítimos. O objetivo é enganar os alvos em esquemas de phishing de código de dispositivo para obter acesso às suas contas. Após a invasão, os operadores do Helix registram rapidamente um novo aplicativo de autenticação multifatorial para garantir a persistência, explorando e enumerando o SharePoint antes de exfiltrar arquivos. Os dados roubados são geralmente utilizados para extorquir as organizações vítimas, ameaçando publicá-los a menos que um resgate seja pago. Pesquisadores da ReliaQuest identificaram que o comportamento de exfiltração do SharePoint é a assinatura técnica mais forte do Helix, com uma coleta automatizada que se mostrou consistente em vários incidentes. Para mitigar esses ataques, recomenda-se desativar a autenticação por código de dispositivo sempre que possível e restringir o acesso ao SharePoint a dispositivos gerenciados.

Ataques impulsionados por IA como se proteger com Zero Trust

O artigo da Hacker News destaca como a inteligência artificial (IA) está acelerando a velocidade dos ataques cibernéticos, permitindo que invasores realizem ações que antes levavam dias em apenas minutos. Utilizando modelos como o Mythos, os atacantes conseguem criar iscas personalizadas, selecionar alvos e testar suas estratégias rapidamente, o que coloca as equipes de segurança em desvantagem. Para enfrentar essa nova realidade, o artigo sugere a adoção de uma abordagem de Zero Trust, que visa restringir o acesso e a movimentação lateral dentro da rede. As três principais recomendações incluem: reduzir o que os atacantes podem acessar, eliminando pontos de entrada expostos e aplicando o princípio do menor privilégio; impedir a movimentação lateral, permitindo apenas conexões necessárias; e detectar ataques precocemente, utilizando ’tripwires’ que acionam contenções automáticas antes que um incidente se concretize. O webinar gratuito oferecido pela Zscaler promete fornecer um guia prático para implementar essas estratégias, ajudando as organizações a se prepararem para ataques impulsionados por IA.

Ameaças cibernéticas fraudes globais e vulnerabilidades críticas

Recentemente, uma operação global contra fraudes resultou na prisão de 5.811 indivíduos e na interceptação de $293 milhões em ativos ilícitos, destacando a gravidade das fraudes de engenharia social. A operação, chamada First Light 2026, envolveu 97 países e revelou mais de 142.000 vítimas em todo o mundo. Além disso, uma campanha de typosquatting afetou pacotes npm e PyPI, visando SDKs de aplicativos de pagamento como Paysafe e Skrill, com o objetivo de roubar informações sensíveis. Outra vulnerabilidade crítica foi identificada no Esri ArcGIS Server, permitindo acesso não autenticado a arquivos sensíveis, com uma pontuação CVSS de 9.8. A pesquisa também revelou técnicas avançadas de injeção de código, como o Process Parameter Poisoning, que evita a detecção de atividades maliciosas. O alerta sobre a coleta de dados sensíveis por versões do Claude Code na China e uma campanha de phishing que utiliza chamadas do Microsoft Teams para disseminar o malware EtherRAT também foram destacados. Esses incidentes ressaltam a necessidade urgente de vigilância e mitigação de riscos em ambientes corporativos.

GitHub desativa scripts de instalação por padrão no npm 12

O GitHub anunciou a versão 12 do npm, que traz mudanças significativas na segurança. A partir dessa versão, os scripts de instalação, como preinstall, install e postinstall, estão desativados por padrão, exigindo que os usuários os ativem explicitamente. Além disso, as dependências de git e URLs remotos também não serão resolvidas automaticamente, aumentando a segurança ao evitar a execução de códigos potencialmente maliciosos sem consentimento. Outra mudança importante é a descontinuação dos tokens de acesso granular (GATs) que permitiam contornar a autenticação de dois fatores (2FA). A partir de agosto de 2026, esses tokens não poderão mais realizar ações sensíveis, como gerenciar contas e pacotes, e a publicação de pacotes será limitada a um processo que requer aprovação humana com 2FA. Essas alterações visam fortalecer a segurança na cadeia de suprimentos de software, um aspecto crítico na era digital atual. O GitHub recomenda que os desenvolvedores atualizem para versões mais recentes do npm e adotem práticas de publicação mais seguras, como a publicação confiável com OIDC ou a publicação em etapas com aprovação humana.

Rússia abandona polêmica taxa de VPN após atrasos e reações negativas

O Ministério do Desenvolvimento Digital da Rússia anunciou a desistência de um plano que previa a cobrança de taxas sobre o tráfego de internet internacional, que visava taxar usuários em 150 rublos por gigabyte adicional após um limite mensal de 15GB. Essa proposta, que tinha como alvo principal os usuários de VPNs, foi abandonada após meses de atrasos técnicos e forte resistência da indústria. A reversão da política foi confirmada pelo vice-ministro Ivan Lebedev durante uma sessão da Duma Estatal, onde ele afirmou que as taxas para tráfego estrangeiro não estão mais sendo consideradas. A ideia inicial surgiu em uma reunião em março, mas enfrentou dificuldades logísticas e pressão de operadoras de telecomunicações que não estavam preparadas para implementar as mudanças. Embora a desistência da taxa represente uma vitória para os defensores da privacidade, a demanda por ferramentas de contorno de censura continua alta, especialmente após o bloqueio de plataformas globais como YouTube e Facebook. A situação reflete um ambiente digital hostil, onde o governo russo intensifica suas tentativas de controlar o acesso à informação na internet.

AssuranceAmerica revela vazamento de dados afetando quase 7 milhões de motoristas

A empresa de seguros americana AssuranceAmerica anunciou um vazamento de dados que impactou cerca de 7 milhões de motoristas. O incidente foi detectado em 17 de março de 2026, quando a empresa identificou atividades suspeitas em seus sistemas, resultantes de um ataque direcionado a um de seus funcionários no dia anterior. Durante a investigação, foi confirmado que um terceiro não autorizado acessou partes do ambiente de tecnologia da informação da empresa e copiou arquivos contendo informações sensíveis. Os dados expostos incluem nomes, informações de contato, detalhes de apólices de seguro, informações sobre veículos e números de carteira de motorista. Após a detecção do ataque, a AssuranceAmerica tomou medidas imediatas, como desativar credenciais comprometidas, isolar sistemas afetados e notificar as autoridades. A empresa também implementou medidas adicionais de segurança e aconselhou os clientes afetados a monitorar suas contas financeiras. Este incidente destaca a vulnerabilidade das empresas de seguros e a importância de uma resposta rápida a ataques cibernéticos.

Operação global contra fraudes resulta em milhares de prisões

A Operação First Light 2026, coordenada pela INTERPOL, resultou na prisão de 5.811 suspeitos e na apreensão de US$ 293 milhões em ativos ilícitos em 97 países. Realizada entre 15 de janeiro e 30 de abril, a operação focou em fraudes de engenharia social, como comprometimento de e-mails empresariais, sextorsão e golpes de investimento, além de atividades de lavagem de dinheiro. Durante a operação, mais de 142.000 vítimas foram identificadas, e 31.014 contas bancárias foram bloqueadas. A INTERPOL utilizou mecanismos como o I-GRIP para interromper fluxos financeiros ilícitos. A operação é um reflexo do aumento das fraudes transnacionais, que afetam indivíduos, empresas e governos. A ação segue outras operações, como a Synergia II, que também resultaram em prisões e na desmantelação de infraestruturas de cibercrime. Tomonobu Kaya, diretor do Centro de Crimes Financeiros e Anticorrupção da INTERPOL, destacou a necessidade de uma estratégia coordenada entre os países para combater esses crimes, que exploram a psicologia humana para manipular as vítimas.

Microsoft desativa OWA Light em atualização do Exchange Server

A Microsoft anunciou que irá desativar o OWA Light, a versão leve do Outlook Web Access, em uma atualização futura do Exchange Server. O OWA Light foi introduzido há cerca de 20 anos como uma alternativa ao OWA Premium, oferecendo uma interface simplificada para sistemas com navegadores mais antigos ou com conexões de internet de baixa largura de banda. No entanto, a empresa argumenta que, com a evolução dos navegadores modernos e a melhoria das condições de rede, o foco deve ser na experiência completa do Outlook na web. A desativação do OWA Light, prevista para agosto de 2026, visa reduzir a superfície de legado e simplificar o trabalho de engenharia contínuo. Os administradores podem desativar o OWA Light imediatamente usando comandos específicos. A mudança é parte de um movimento mais amplo da Microsoft para melhorar a segurança e a experiência do usuário em suas plataformas. A decisão reflete uma adaptação às novas realidades da web e às necessidades dos usuários atuais, que demandam funcionalidades mais robustas e seguras.

Meta lança modelo de IA que utiliza conteúdo público do Instagram

A Meta anunciou o lançamento do Muse Image, um novo modelo de inteligência artificial (IA) que permite aos usuários gerar conteúdo visual a partir de postagens e reels públicos do Instagram. Essa funcionalidade, que está habilitada por padrão, possibilita que os usuários mencionem contas do Instagram no aplicativo Meta AI, integrando perfis específicos nas imagens geradas. O Muse Image, desenvolvido pelos Superintelligence Labs da Meta, utiliza raciocínio avançado para compreender prompts complexos e combinar várias fotos em criações de alta qualidade. Além disso, a IA será incorporada ao WhatsApp e Instagram, permitindo efeitos impulsionados por IA para Stories e geração de imagens em chats diretos. Os usuários têm a opção de desativar a reutilização de seu conteúdo, mas é importante notar que não serão notificados quando suas imagens forem remixadas. Para usuários com contas públicas, o conteúdo pode ser reutilizado por outros, o que levanta preocupações sobre privacidade e controle sobre a própria imagem. A Meta recomenda que usuários com perfis públicos desativem essa configuração para proteger seu conteúdo. Essa iniciativa se alinha a uma tendência crescente de empresas de tecnologia que integram IA em seus produtos, adotando um modelo de opt-out em vez de opt-in.

Microsoft corrige vulnerabilidade RoguePlanet no Defender

A Microsoft lançou atualizações de segurança para uma vulnerabilidade crítica em seu software Defender, conhecida como RoguePlanet, que foi divulgada publicamente há quase um mês. A falha, identificada como CVE-2026-50656, possui uma pontuação CVSS de 7.8 e permite a escalada de privilégios no Microsoft Malware Protection Engine, o que pode permitir que atacantes executem código arbitrário com privilégios de sistema. A vulnerabilidade foi descoberta pelo pesquisador de segurança Chaotic Eclipse, que a descreveu como uma condição de corrida que pode ser explorada independentemente da proteção em tempo real estar ativada. A Microsoft lançou a correção na versão 1.1.26060.3008 do seu motor de proteção, além de atualizações de defesa em profundidade para fortalecer recursos de segurança. A empresa afirmou que não é necessário que os clientes tomem medidas adicionais, pois as atualizações são aplicadas automaticamente. RoguePlanet é a quarta vulnerabilidade do Defender descoberta por Chaotic Eclipse, que já havia identificado outras falhas que também foram corrigidas. A vulnerabilidade afeta sistemas Windows atualizados com os patches de junho de 2026.

Nova família de ransomware GodDamn utiliza driver malicioso PoisonX

Pesquisadores de cibersegurança identificaram uma nova família de ransomware chamada GodDamn, que utiliza o driver malicioso PoisonX para desativar softwares de segurança, dificultando a detecção e resposta a ataques. O ransomware foi avistado pela primeira vez em 21 de maio de 2026 e é considerado uma rebrand do ransomware Beast, que por sua vez era uma versão aprimorada do Monster, surgido em março de 2022. A empresa Broadcom está investigando o grupo por trás dessas ameaças, conhecido como Hyadina.

A Nova Era dos Clearinghouses de Vulnerabilidades em Cibersegurança

Recentemente, diversas empresas anunciaram a criação de clearinghouses para vulnerabilidades, incluindo a Athena, que se destaca por já estar em operação antes do anúncio. No entanto, o artigo enfatiza que a criação de um clearinghouse é a parte menos importante do processo de segurança. O verdadeiro desafio reside na capacidade de transformar dados de vulnerabilidades em correções efetivas e aplicáveis. O autor argumenta que, embora esses clearinghouses reúnam dados sobre vulnerabilidades pré-divulgação, a verdadeira questão é como essas informações são utilizadas para proteger aplicações em tempo real. A crescente quantidade de vulnerabilidades privadas em código aberto é um subproduto de métodos de teste que expõem falhas em dependências de terceiros. Além disso, a velocidade de exploração de vulnerabilidades tem diminuído drasticamente, com ataques ocorrendo antes mesmo da divulgação de patches. O artigo conclui que, para proteger eficazmente as aplicações, é necessário um esforço coordenado e em larga escala, onde a colaboração entre diferentes equipes de segurança se torna essencial.

Microsoft lança patch para vulnerabilidade zero-day do Defender

A Microsoft lançou um patch para corrigir uma vulnerabilidade zero-day no Microsoft Defender, conhecida como ‘RoguePlanet’, que foi divulgada após o Patch Tuesday de junho de 2026. A falha, identificada como CVE-2026-50656, permite que atacantes obtenham privilégios de SYSTEM em dispositivos Windows 10 e 11 totalmente atualizados, explorando uma condição de corrida no Defender. O pesquisador de segurança que revelou a vulnerabilidade, sob o pseudônimo ‘Nightmare Eclipse’, também compartilhou um exploit de prova de conceito em um repositório Git auto-hospedado, alegando que a Microsoft removeu suas postagens anteriores em plataformas como GitHub e GitLab. A empresa confirmou que estava trabalhando em um patch em 16 de junho, mas não reconheceu publicamente o pesquisador. O patch foi disponibilizado através de uma atualização do Microsoft Malware Protection Engine. Nos últimos meses, Nightmare Eclipse divulgou outras vulnerabilidades zero-day relacionadas ao Windows, levando a Microsoft a considerar ações legais contra ele. A situação destaca a importância de monitorar e corrigir vulnerabilidades em sistemas amplamente utilizados, especialmente em um cenário de crescente exploração de falhas de segurança.

Grupo Lurking Lizard opera rede de proxies maliciosos

Pesquisadores de cibersegurança revelaram a atuação de um novo ator de ameaças, denominado Lurking Lizard, que opera um negócio de proxies residenciais maliciosos. Desde agosto de 2022, o grupo tem utilizado mais de 230 domínios semelhantes para recrutar dispositivos comprometidos como nós de proxy. Uma das campanhas observadas envolveu a distribuição de um instalador trojanizado do 7-Zip, hospedado em um domínio que imitava o original. O Lurking Lizard também se faz passar por provedores de proxy renomados e utiliza sites de revisão falsos para direcionar tráfego para suas plataformas fraudulentas. A análise sugere que o grupo é baseado na China e emprega técnicas como o ‘drop-catching’, adquirindo domínios expirados para herdar sua legitimidade. Além disso, a infraestrutura utilizada para a campanha do 7-Zip também serve para distribuir instaladores falsos de outros aplicativos populares. O impacto dessa operação é significativo, pois pode transformar dispositivos comuns em parte de uma botnet, expondo os usuários a riscos de segurança e possíveis ações maliciosas. A situação é agravada pelo fato de que a Google recentemente desmantelou outra rede de proxies residenciais, destacando a gravidade do problema.

Falha em assistentes de codificação AI pode comprometer segurança

Pesquisadores da Wiz descobriram uma vulnerabilidade em seis assistentes de codificação AI populares, que permite que um projeto de código malicioso assuma o controle silenciosamente do computador de um desenvolvedor. A falha, chamada GhostApproval, ocorre quando o assistente solicita permissão para editar um arquivo aparentemente inofensivo, mas na verdade escreve em um arquivo sensível. Os assistentes afetados incluem Amazon Q Developer, Claude Code da Anthropic, Augment, Cursor, Google Antigravity e Windsurf. A vulnerabilidade explora um recurso antigo do Unix chamado link simbólico (symlink), que não é verificado pelos assistentes. Um repositório malicioso pode redirecionar a escrita de um arquivo para o arquivo de login SSH do usuário, permitindo que um invasor acesse o sistema sem senha. Embora não haja evidências de que essa técnica tenha sido usada em ataques reais, a Wiz recomenda que os desenvolvedores adotem práticas de segurança, como executar os assistentes com acesso limitado a arquivos e verificar os arquivos de configuração após trabalhar em repositórios desconhecidos. Três dos seis fornecedores já corrigiram a falha, enquanto dois ainda estão trabalhando em soluções, e a Anthropic contesta a classificação como um bug.

Vulnerabilidade em agentes de IA pode permitir execução de código malicioso

Um novo estudo do AI Now Institute revelou uma vulnerabilidade crítica em agentes de codificação de IA, como Claude Code da Anthropic e Codex da OpenAI, que pode permitir que código malicioso seja executado em máquinas dos usuários. Denominado ‘Friendly Fire’, o ataque ocorre quando esses agentes operam em modo autônomo, onde eles aprovam seus próprios comandos. Os pesquisadores demonstraram que, ao solicitar uma verificação de segurança em código de terceiros, o agente pode inadvertidamente executar um código malicioso disfarçado como um arquivo inofensivo. O ataque se aproveita da confiança que os agentes têm em arquivos README.md, que são comuns em repositórios de código. Embora não haja um patch disponível, a solução proposta envolve mudanças nos fluxos de trabalho para evitar que código não confiável seja analisado por esses agentes. A pesquisa destaca a necessidade urgente de cautela ao utilizar ferramentas de IA para auditoria de segurança, especialmente em ambientes onde a segurança de dados sensíveis é crítica.

Grupo de ameaças ligado à China explora servidores Roundcube em universidades

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.

Pacotes maliciosos no npm e PyPI visam aplicativos de pagamento

Recentemente, pacotes maliciosos foram identificados no Node Package Manager (npm) e no Python Package Index (PyPI), direcionados a desenvolvedores e usuários dos aplicativos de pagamento Paysafe, Skrill e Neteller. Os atacantes publicaram pelo menos 17 pacotes maliciosos simultaneamente, com a finalidade de exfiltrar credenciais e tokens de acesso para um servidor de comando e controle hospedado na Amazon Web Services (AWS). Esses pacotes se disfarçam como SDKs legítimos de pagamento, mas na verdade retornam respostas falsas de sucesso, enquanto buscam por segredos como tokens, senhas e chaves de API. A análise da empresa de segurança Socket revela que os pacotes npm publicaram quatro versões maliciosas, enquanto os pacotes PyPI apresentaram apenas uma. Os dados exfiltrados incluem chaves de API do Paysafe, chaves da AWS e tokens do GitHub. Os desenvolvedores que instalaram esses pacotes são aconselhados a rotacionar imediatamente todas as credenciais em qualquer máquina que tenha importado ou executado esses pacotes. A capacidade do atacante de transitar entre diferentes ecossistemas pode dificultar a defesa, especialmente se houver visibilidade limitada em um único ecossistema.