O FBI emitiu um alerta sobre o Kali365, uma plataforma de phishing como serviço (PhaaS) que visa usuários do Microsoft 365. Identificada em abril de 2026, essa nova técnica não requer que as vítimas forneçam suas senhas, mas sim que autorizem o acesso dos cibercriminosos a suas contas. O ataque utiliza um mecanismo legítimo de autenticação da Microsoft, o OAuth, onde a vítima recebe um e-mail que simula ser de um serviço confiável, solicitando que insira um código em uma página legítima da Microsoft. Ao fazer isso, o usuário inadvertidamente concede acesso ao atacante, que pode então capturar tokens de acesso e explorar serviços como Outlook, OneDrive e Teams. O Kali365 é oferecido como um serviço por assinatura no Telegram, com recursos que incluem modelos de campanha automatizados e monitoramento em tempo real das vítimas. Para se proteger, especialistas recomendam não compartilhar códigos de autenticação não solicitados e reportar e-mails suspeitos. Empresas devem restringir o fluxo de autenticação e treinar suas equipes sobre esses tipos de ataques.

A Charter Communications, uma das maiores operadoras de telecomunicações dos EUA, confirmou ter sofrido um vazamento de dados após o grupo de extorsão ShinyHunters ameaçar divulgar informações roubadas caso um resgate não fosse pago. A empresa, que atende milhões de clientes residenciais e comerciais sob a marca Spectrum, informou que está seguindo seus protocolos de segurança e notificando as autoridades sobre o incidente. Segundo a ShinyHunters, o ataque ocorreu em 1º de abril, por meio de um golpe de phishing por voz (vishing), que comprometeu a conta de um funcionário no Microsoft Entra. Os atacantes alegam ter extraído 40 milhões de registros, incluindo nomes, endereços de e-mail, números de telefone e informações de planos de clientes. Embora a Charter tenha afirmado que nenhuma informação pessoal sensível foi exfiltrada, a situação levanta preocupações sobre a segurança de dados e a eficácia das medidas de proteção em empresas que utilizam plataformas de SaaS, como Salesforce. O grupo ShinyHunters tem se destacado por suas campanhas de engenharia social, visando contas de SSO corporativas, e já realizou ataques a outras empresas, incluindo a Instructure, que também teve que negociar com os extorcionistas para evitar a divulgação de dados roubados.

Um grupo de hackers explorou uma vulnerabilidade crítica de zero-day no servidor do sistema de gestão de aprendizagem KnowledgeDeliver, permitindo a implantação de um web shell conhecido como Godzilla. A falha, identificada como CVE-2026-5426, é um problema de deserialização que pode ser explorado sem autenticação, devido ao uso de uma chave de máquina compartilhada e hardcoded na configuração do portal web. Os atacantes conseguiram obter essa chave e realizar ataques de deserialização em ViewState, permitindo a execução remota de código no nível do sistema operacional. A Mandiant, que respondeu ao ataque no final de 2025, destacou que a vulnerabilidade foi inicialmente utilizada para injetar um script malicioso na plataforma web. O código malicioso induziu os usuários a baixar um instalador falso, resultando na infecção com um beacon do Cobalt Strike, criando uma porta dos fundos. Além disso, o Godzilla, um web shell baseado em .NET, foi utilizado para escalar o controle sobre o sistema de arquivos do servidor web. Este incidente ressalta a crescente preocupação com a segurança em plataformas web, especialmente aquelas que utilizam chaves de máquina inadequadamente protegidas.

Nos últimos dias, diversos usuários relataram ter recebido e-mails da Microsoft contendo códigos de uso único para acesso a suas contas, mesmo sem terem solicitado. As mensagens, que têm como remetente ‘account-security-noreply@accountprotection.microsoft.com’, alertam sobre tentativas de acesso indevido. A Microsoft confirmou que esses códigos podem ser gerados automaticamente quando há tentativas de login com credenciais corretas, mas de locais ou dispositivos desconhecidos. Especialistas acreditam que isso pode ser um indicativo de um ataque em larga escala conhecido como ‘credential stuffing’, onde atacantes utilizam combinações de e-mails e senhas obtidas em vazamentos de dados para tentar acessar contas. Embora o envio dos códigos não signifique que a conta foi comprometida, é um alerta de que as credenciais estão sendo testadas ativamente. A Microsoft recomenda que os usuários não respondam a códigos não solicitados e sugere a troca de senhas e a ativação da autenticação em múltiplos fatores como medidas de segurança adicionais.

Em um cenário onde a privacidade online é constantemente ameaçada por empresas de publicidade e agências governamentais, o uso de uma VPN (Rede Privada Virtual) se torna essencial para proteger dados pessoais. O artigo destaca o Mullvad VPN, que se diferencia por permitir pagamentos em dinheiro, garantindo um nível elevado de anonimato. Com uma taxa mensal fixa de 5 euros, o Mullvad não exige informações pessoais para a assinatura, o que o torna uma opção atraente para aqueles que priorizam a privacidade. Além de aceitar pagamentos em criptomoedas, o serviço também oferece funcionalidades como um ‘kill switch’, conexões ofuscadas e uma política rigorosa de não registro de dados. Embora o Mullvad não possua recursos adicionais como monitoramento da dark web ou antivírus, sua transparência em relação à localização e propriedade dos servidores é um ponto positivo. O software é de código aberto, permitindo que usuários verifiquem a seriedade das alegações de privacidade da empresa. Para quem busca uma solução focada em segurança e anonimato, o Mullvad se destaca como uma escolha viável.

A Microsoft confirmou um novo problema conhecido que afeta sistemas Windows Server 2016, resultando em falhas nas buscas de controladores de domínio após a instalação da atualização de segurança KB5087537, lançada em maio de 2026. Embora o Windows Server 2016 tenha atingido o fim do suporte mainstream em janeiro de 2022, a Microsoft estendeu o suporte por mais cinco anos para facilitar a migração dos clientes para versões mais recentes. O problema ocorre especificamente em dispositivos cujo nome do host possui exatamente 15 caracteres, levando a chamadas DCLocator a falharem e retornarem o erro ERROR_INVALID_PARAMETER. Isso impede que aplicações e ferramentas administrativas localizem um controlador de domínio, impactando operações administrativas que dependem dessa funcionalidade, como a gestão de namespaces DFS. A Microsoft está investigando a situação, mas ainda não forneceu um cronograma para a resolução. Além disso, a empresa também relatou falhas em atualizações do Windows e problemas de implantação de atualizações de segurança no Windows 11, destacando uma série de desafios recentes enfrentados pelos administradores de sistemas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou que agências governamentais têm até a noite de quarta-feira para corrigir uma vulnerabilidade de injeção SQL no sistema de gerenciamento de conteúdo Drupal, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi, permite que atacantes realizem injeções SQL arbitrárias em sites que utilizam PostgreSQL, sem necessidade de autenticação. A exploração bem-sucedida pode resultar em divulgação de informações, escalonamento de privilégios e execução remota de código. A equipe de segurança do Drupal classificou a vulnerabilidade como “altamente crítica” e já foram detectadas tentativas de exploração em mais de 15.000 sites em 65 países, com foco em setores como jogos e serviços financeiros. A CISA incluiu a falha em seu Catálogo de Vulnerabilidades Conhecidas (KEV) e recomendou que todas as organizações, incluindo as do setor privado, apliquem os patches o mais rápido possível. A CISA enfatizou a importância de mitigar essa vulnerabilidade, que representa um vetor de ataque frequente para cibercriminosos.

O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, que ocorrerá em 2 de junho de 2026, abordará as dificuldades enfrentadas pelas equipes de TI durante incidentes de rede. Muitas vezes, essas equipes precisam navegar por múltiplas plataformas, como painéis de monitoramento, ferramentas de infraestrutura e sistemas de comunicação, o que pode atrasar a resposta e aumentar o risco de interrupções nos serviços. O evento contará com a participação de Edgar Ortiz, líder em Engenharia de Soluções na Tines, que discutirá como a automação e os fluxos de trabalho assistidos por IA podem otimizar a coordenação operacional em ambientes complexos.

A Microsoft está testando uma nova funcionalidade no Defender for Endpoint que isola automaticamente endpoints comprometidos, visando impedir que atacantes se movam lateralmente pela rede. Disponível em modo de pré-visualização, essa capacidade faz parte da interrupção automática de ataques, uma característica que busca conter incidentes de segurança e limitar seu impacto, permitindo que as equipes de segurança tenham mais tempo para remediação. Quando um dispositivo é suspeito de estar comprometido, ele é desconectado da rede, mas mantém a conectividade com o serviço Microsoft Defender for Endpoint, que continua a monitorar o dispositivo. A funcionalidade de isolamento automático é aplicável apenas a estações de trabalho gerenciadas pelo Defender for Endpoint. Além disso, a Microsoft anunciou que os dispositivos podem ser liberados do isolamento a qualquer momento após a investigação do incidente. A empresa também está testando suporte para isolamento de dispositivos Linux e bloqueio automático de tráfego para endpoints não descobertos, além de permitir agendamento de varreduras antivírus em sistemas Linux. Essas inovações visam fortalecer a segurança das redes corporativas e proteger dados sensíveis contra exfiltração e propagação de ransomware.

A Varonis anunciou uma nova integração com a API de Compliance do Claude, que traz atividades do Claude Enterprise e Claude Platform para a plataforma de segurança Varonis Atlas. Essa integração visa oferecer maior visibilidade e controle para as equipes de segurança e governança, permitindo monitorar o uso do Claude Enterprise, investigar possíveis abusos e avaliar riscos relacionados à inteligência artificial. O Claude Enterprise é amplamente utilizado em diversas áreas, como jurídico, engenharia e marketing, para tarefas que vão desde a análise de documentos até a geração de código. Com a Varonis Atlas, as organizações podem monitorar continuamente o conteúdo das conversas, detectar exposições de dados sensíveis e realizar investigações em nível de sessão. Além disso, a plataforma oferece visibilidade em eventos administrativos e alertas em tempo real sobre comportamentos de risco. A Varonis Atlas conecta a atividade de IA aos dados subjacentes, permitindo que as equipes de segurança compreendam quais dados estão acessíveis e se esse acesso é seguro. A solução está disponível para testes gratuitos, permitindo que as empresas experimentem suas funcionalidades de gerenciamento de postura, testes de segurança e relatórios de conformidade.

O Indian Computer Emergency Response Team (CERT-In) divulgou novas diretrizes que exigem que organizações corrijam vulnerabilidades críticas em sistemas expostos à internet em até 12 horas após serem identificadas. Essa medida visa proteger contra ameaças emergentes, especialmente com o uso crescente de ferramentas de inteligência artificial (IA) por atacantes para automatizar a descoberta e exploração de vulnerabilidades. O CERT-In destaca que a exploração assistida por IA pode reduzir significativamente o tempo necessário para que adversários identifiquem e explorem falhas de segurança, aumentando a velocidade e a escala dos ataques cibernéticos. As diretrizes incluem a adoção de uma abordagem de Zero Trust, implementação de estratégias de defesa em profundidade e a necessidade de monitoramento contínuo das vulnerabilidades. Além disso, recomenda-se que as organizações mantenham a continuidade operacional durante incidentes cibernéticos e protejam dados sensíveis ao longo de seu ciclo de vida. O CERT-In também enfatiza a importância de práticas contínuas de gerenciamento de vulnerabilidades e correções, especialmente para sistemas críticos e serviços acessíveis publicamente.

A autenticação multifator (MFA) foi criada para aumentar a segurança das contas, mas um novo ataque conhecido como ‘bombardeio de prompts MFA’ está se tornando uma ameaça real. Nesse ataque, os invasores não precisam roubar o segundo fator de autenticação; eles apenas precisam que o usuário o forneça. O ataque envolve três elementos principais: credenciais de conta válidas, um portal de login que utiliza MFA baseada em push e uma vítima que recebe repetidamente solicitações de login. Os atacantes tentam enganar ou cansar a vítima até que ela aprove a solicitação. Um exemplo notável desse ataque ocorreu na Cisco em 2022, onde um invasor conseguiu acessar a rede da empresa após enganar um funcionário para aceitar um prompt de MFA. Para mitigar esses riscos, as organizações devem considerar fatores de MFA mais resistentes ao phishing, bloquear senhas comprometidas e adicionar sinais de risco ao processo de login. Embora o MFA continue sendo uma ferramenta importante, é crucial revisar as práticas atuais para garantir uma proteção eficaz contra essas novas táticas de ataque.

A Microsoft lançou atualizações para corrigir uma vulnerabilidade de execução remota de código que afeta o SharePoint, identificada como CVE-2026-45659, com uma pontuação CVSS de 8.8, indicando severidade alta. Essa falha permite que um atacante autenticado execute código remotamente no servidor SharePoint, sem necessidade de privilégios elevados. A vulnerabilidade pode ser explorada por qualquer usuário com permissões mínimas de membro do site, tornando-a uma preocupação significativa para as organizações que utilizam essa plataforma. A Microsoft reconheceu o pesquisador MEOW por descobrir e relatar a falha, e atualizações estão disponíveis para as versões SharePoint Server Subscription Edition, SharePoint Server 2019 e SharePoint Enterprise Server 2016. Embora a empresa tenha indicado que a exploração dessa vulnerabilidade é menos provável, é crucial que os usuários apliquem as correções necessárias para garantir a proteção adequada, especialmente considerando que falhas anteriores no SharePoint foram frequentemente exploradas por atacantes. A atualização é uma resposta a um cenário de segurança em constante evolução, onde a proteção de dados e sistemas é essencial.

A cibersegurança enfrenta um novo desafio com a utilização de ferramentas de Inteligência Artificial (IA) por hackers, que tornam os ataques mais rápidos e eficazes. De acordo com informações recentes do The Hacker News, esses criminosos estão explorando vulnerabilidades em sistemas para realizar ataques DDoS em larga escala, que podem derrubar sites em questão de segundos. A abordagem tradicional de proteção, que incluía firewalls e atualizações de software, já não é suficiente, pois os ataques assistidos por IA são capazes de identificar pontos fracos e adaptar suas estratégias rapidamente.

O grupo de hackers iraniano MuddyWater está vinculado a uma nova campanha de espionagem cibernética que afetou pelo menos nove organizações em quatro continentes no primeiro trimestre de 2026. Os alvos incluem setores de manufatura industrial e eletrônica, educação, serviços públicos, serviços financeiros e profissionais. Um dos ataques mais significativos ocorreu contra um grande fabricante de eletrônicos da Coreia do Sul, onde os invasores permaneceram na rede por uma semana. Os hackers utilizaram técnicas de DLL side-loading, empregando binários legítimos para executar códigos maliciosos, o que lhes permitiu contornar detecções de segurança. Além disso, foram utilizados scripts Node.js para lançar códigos PowerShell que realizavam operações de reconhecimento e coleta de informações. A campanha também está associada a um aumento nas operações de higiene cibernética do grupo, que agora opera de forma mais discreta e disciplinada. O artigo destaca a importância de monitorar e proteger redes contra essas táticas, especialmente considerando as sanções impostas pela União Europeia a uma empresa iraniana envolvida em atividades de hacking.

Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

A gangue de extorsão ShinyHunters comprometeu os sistemas da rede de lojas de conveniência 7-Eleven, resultando no roubo de informações pessoais de mais de 183 mil indivíduos. O ataque ocorreu em abril de 2026, quando um terceiro não autorizado acessou sistemas utilizados para armazenar documentos de franqueados. A 7-Eleven confirmou a violação em cartas enviadas aos clientes afetados em 1º de maio, mas não atribuiu o ataque a um grupo específico. No entanto, os ShinyHunters reivindicaram a responsabilidade em 17 de abril, alegando ter roubado mais de 600 mil registros, incluindo dados corporativos e informações pessoais identificáveis. Após a recusa da empresa em pagar um resgate, os criminosos vazaram um arquivo de 9,4 GB em seu site na dark web. A análise do serviço Have I Been Pwned revelou que os dados expostos incluíam nomes, endereços, datas de nascimento, e-mails e números de telefone. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam grandes empresas e a importância de medidas de segurança robustas para proteger informações sensíveis.

Uma falha de segurança de alta gravidade, agora corrigida, afetou o sistema de gestão de aprendizagem Digital Knowledge KnowledgeDeliver, amplamente utilizado no Japão. A vulnerabilidade, identificada como CVE-2026-5426, possui uma pontuação CVSS de 7.5 e permite a execução remota de código não autenticado através de um ataque de desserialização do ViewState, devido ao uso de chaves de máquina ASP.NET codificadas. A exploração dessa falha possibilitou que um ator malicioso injetasse código malicioso na plataforma, visando infectar usuários que acessavam o site. O ataque resultou na implantação do shell web Godzilla e na execução de comandos que comprometeram o sistema de arquivos do servidor, além de manipulações que induziram os usuários a instalar um plugin de segurança falso, culminando na infecção por Cobalt Strike Beacon. A situação ressalta os riscos associados ao uso de segredos compartilhados em templates de implantação, onde uma única chave vazada pode comprometer múltiplas instâncias do sistema. A implementação de segredos únicos e monitoramento robusto de endpoints é recomendada para prevenir tais ataques.

Desde o início de 2026, uma nova onda de fraudes digitais, conhecida como CypherLoc, tem enganado milhões de usuários na internet. Pesquisadores de segurança da Barracuda alertaram que cerca de 2,8 milhões de pessoas foram alvo dessa campanha, que utiliza e-mails de phishing e manipulação psicológica para induzir os usuários a acreditar que seus navegadores estão completamente bloqueados. Ao clicar em links maliciosos ou anexos infectados, as vítimas são redirecionadas para páginas que parecem inofensivas, mas que na verdade são armadilhas. Uma vez ativado, o ataque transforma o navegador em uma ‘prisão digital’, desativando menus e ocultando o cursor, enquanto exibe mensagens alarmantes de segurança. Um número de suporte falso aparece como a única solução, levando os usuários a fornecer informações sensíveis a golpistas que se passam por funcionários de suporte técnico. Para se proteger, os usuários devem ser cautelosos com e-mails desconhecidos, evitar clicar em links suspeitos e instalar softwares antivírus confiáveis. Alertas de segurança legítimos nunca bloqueiam navegadores ou exigem ações imediatas através de janelas pop-up.

Uma grave vulnerabilidade de injeção de comandos foi identificada no sistema operacional PolyScope 5, da Universal Robots, que afeta milhares de robôs industriais. A falha, classificada como CVE-2026-8153, possui uma pontuação CVSS de 9.8, indicando um risco crítico. Um atacante não autenticado que consiga acessar a porta de rede do Dashboard Server pode injetar comandos diretamente no sistema operacional do robô, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A Universal Robots lançou um patch na versão 5.25.1, mas a instalação é necessária para mitigar a vulnerabilidade. A empresa alerta que a segurança da rede é crucial, pois a exploração remota requer que o Dashboard Server esteja habilitado e acessível na rede. Embora não haja relatos de exploração pública até o momento, a falta de segmentação adequada da rede pode permitir que esta vulnerabilidade seja explorada facilmente em ambientes industriais. A presença de robôs colaborativos, que trabalham ao lado de humanos, torna essa ameaça ainda mais preocupante, pois um robô comprometido pode causar danos físicos aos trabalhadores nas proximidades.

O FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing-as-a-service (PhaaS) que visa contas Microsoft 365. Essa plataforma, que surgiu em abril de 2026, utiliza a autenticação via código de dispositivo OAuth para roubar tokens de sessão e contornar a autenticação multifator (MFA). Kali365 é distribuída por canais do Telegram e permite que até mesmo atacantes com pouca habilidade comprometam contas sem precisar roubar senhas ou interceptar códigos MFA. O método de phishing por código de dispositivo explora um fluxo legítimo de autorização do OAuth 2.0, permitindo que dispositivos com capacidades limitadas se autentiquem por meio de um código gerado. Os atacantes induzem as vítimas a inserir esse código na página de login da Microsoft, obtendo acesso total às contas após a conclusão da MFA. O FBI recomenda que as empresas restrinjam ou bloqueiem esses fluxos de autenticação e auditem seu uso. A plataforma Kali365 também oferece funcionalidades avançadas, como iscas de phishing geradas por IA e painéis de rastreamento em tempo real. A adoção generalizada desse método de phishing representa uma ameaça crescente, com outros grupos cibernéticos, como EvilTokens e Tycoon2FA, também explorando essa técnica.

A Anthropic está se preparando para o lançamento público do modelo ‘Mythos’, anunciado em abril como um modelo restrito que apresenta riscos significativos à segurança de softwares privados e públicos. O Mythos promete avanços notáveis em tarefas de segurança cibernética, superando seu modelo anterior, Opus 4.7, em raciocínio de código e autonomia. A empresa alertou que o modelo pode desenvolver automaticamente ciberataques em um nível profissional, o que representa uma ameaça à infraestrutura digital global. Para mitigar esses riscos, a Anthropic decidiu adiar o lançamento até que um sistema de proteção robusto estivesse em vigor. O modelo Mythos já foi referenciado em versões públicas de Claude Code e Claude Security, indicando que a empresa está próxima de disponibilizá-lo. Além disso, a Anthropic está colaborando com outras empresas no projeto ‘Glasswing’, que visa proteger softwares críticos contra explorações impulsionadas por IA, utilizando o Mythos Preview. Nos primeiros 30 dias, o modelo identificou 10.000 vulnerabilidades de alta ou crítica severidade, o que justifica a cautela em seu lançamento.

Na última semana, o cenário de cibersegurança apresentou incidentes significativos, incluindo a violação do GitHub, que resultou na exfiltração de cerca de 3.800 repositórios devido a uma versão comprometida da extensão Nx Console do Visual Studio Code. O grupo TeamPCP foi identificado como responsável pelo ataque, que se insere em uma série de compromissos relacionados à cadeia de suprimentos de software. Além disso, uma vulnerabilidade crítica no núcleo do Linux, que permaneceu oculta por nove anos, foi divulgada, permitindo a execução de comandos como root em várias distribuições. A Microsoft também alertou sobre falhas ativas no Defender, que estão sendo exploradas, e lançou mitigações para uma vulnerabilidade de bypass do BitLocker. A situação é preocupante, com um aumento nas tentativas de exploração de falhas, como uma vulnerabilidade SQL no Drupal Core, que já está sendo atacada ativamente. A crescente sofisticação das campanhas de phishing e a exploração de botnets para atacar sistemas expostos à internet também foram destacadas, evidenciando a necessidade urgente de atualização e monitoramento contínuo das infraestruturas de segurança.

Pesquisadores de cibersegurança identificaram um malware multiplataforma conhecido como RemotePE, utilizado pelo grupo Lazarus, vinculado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas. O RemotePE faz parte de uma cadeia de ataque em múltiplas etapas que começa com o DPAPILoader, que descriptografa e carrega o RemotePELoader, que por sua vez se conecta a um servidor de comando e controle (C2) para receber o módulo principal, o RemotePE. Este malware, executado inteiramente na memória, não deixa rastros no sistema de arquivos, dificultando a detecção. A sequência de infecção inicia-se com engenharia social, onde um funcionário é abordado por um criminoso disfarçado de colega em plataformas como Telegram. O RemotePE permite uma variedade de comandos, incluindo operações de arquivos e gerenciamento de processos, e é projetado para manter acesso a longo prazo, visando furtos de dados ou grandes roubos financeiros. A análise indica que o RemotePE está em desenvolvimento ativo desde 2023, com um foco claro em alvos de alto valor, como instituições financeiras e de criptomoedas.

Recentemente, um grave problema de segurança foi identificado no Ghost CMS, uma plataforma popular de gerenciamento de conteúdo. A vulnerabilidade, classificada como CVE-2026-26980, apresenta uma pontuação de 9.4 no CVSS e permite que atacantes não autenticados realizem injeções SQL, acessando dados arbitrários do banco de dados. Essa falha foi corrigida na versão 6.19.1, lançada em fevereiro de 2026, após ser descoberta pela Anthropic.

Os atacantes estão utilizando essa vulnerabilidade para obter a chave da API de administração do site, o que lhes permite injetar código JavaScript malicioso em artigos, facilitando ataques de ClickFix. Desde sua detecção em 7 de maio de 2026, mais de 700 sites foram comprometidos, incluindo instituições de ensino, empresas de tecnologia e fintechs. O código injetado atua como um carregador de dois estágios, que busca um payload malicioso de um domínio externo, permitindo que os atacantes adaptem suas ações conforme necessário.

O NymVPN, um provedor de serviços de VPN focado em privacidade, anunciou uma série de atualizações significativas em um período de dois meses, incluindo a introdução do split-tunneling e um bloqueador de anúncios em versão beta. Essas funcionalidades permitem que os usuários escolham quais aplicativos usarão a rede mixnet, enquanto outros podem se conectar normalmente. Além disso, a primeira fase da segurança pós-quântica foi implementada, utilizando um protocolo inovador chamado Lewes Protocol, que visa proteger dados contra a ameaça de futuros computadores quânticos. Outra novidade é o modelo de pagamento ‘Pay as You Go’, que permite acesso à rede sem a necessidade de criar uma conta ou fornecer informações pessoais. O NymVPN também está se preparando para lançar um aplicativo redesenhado, prometendo uma interface mais limpa e simples. Essas melhorias visam atender às expectativas dos usuários e reforçar a posição do NymVPN como uma opção de VPN que prioriza a privacidade, especialmente em um cenário de crescente vigilância digital.

A Surfshark lançou uma promoção exclusiva para leitores do TechRadar, oferecendo cartões presentes da Amazon de até $30 e três meses adicionais de proteção ao adquirir um plano de dois anos. Essa oferta é válida até 2 de junho de 2026 e proporciona um total de 27 meses de proteção com um dos VPNs mais recomendados do mercado. Os planos começam a partir de $1,99 por mês, com pagamento inicial de $53,73. Para obter o melhor valor, o plano One, que custa $2,49 por mês (totalizando $67,23), inclui um voucher de $20 e oferece recursos adicionais como proteção contra vírus e alertas de vazamento de dados. Todos os planos contam com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. A promoção é uma oportunidade interessante para quem busca melhorar sua privacidade online e, ao mesmo tempo, obter um benefício adicional com o cartão presente da Amazon.

Uma nova campanha de ataque coordenada, chamada TrapDoor, tem como alvo as plataformas npm, PyPI e Crates.io, distribuindo malware que rouba credenciais. Desde 22 de maio de 2026, mais de 34 pacotes maliciosos foram identificados, com 384 versões diferentes. O foco principal do ataque são desenvolvedores nas comunidades de criptomoedas, DeFi, Solana e IA. Os pacotes maliciosos visam roubar segredos de desenvolvedores, carteiras de criptomoedas, chaves SSH e credenciais de nuvem. A operação utiliza métodos sofisticados, como hooks de pós-instalação e scripts de construção maliciosos, para se infiltrar em ambientes de desenvolvimento. Um aspecto notável é a inclusão de instruções ocultas em arquivos que enganam assistentes de IA para realizar varreduras de segurança, resultando na descoberta e exfiltração de segredos. A campanha destaca a crescente tendência de atacantes que visam fluxos de trabalho de desenvolvedores, utilizando técnicas de typosquatting e caminhos de ataque específicos do ecossistema.

Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL (CVE-2026-26980) no Ghost CMS, permitindo que atacantes injetem código JavaScript malicioso em mais de 700 domínios, incluindo portais universitários e empresas de tecnologia. A vulnerabilidade afeta as versões do Ghost CMS entre 3.24.0 e 6.19.0, permitindo que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves da API de administração. O código malicioso injetado é um carregador leve que busca scripts adicionais da infraestrutura do atacante, levando a um ataque ClickFix que engana os visitantes a executarem comandos prejudiciais em seus sistemas. Embora um patch tenha sido disponibilizado em 19 de fevereiro de 2023, muitos sites ainda não o aplicaram, expondo-se a riscos significativos. Os administradores de sites são aconselhados a atualizar para a versão 6.19.1 ou superior e a revisar minuciosamente seus sistemas em busca de scripts injetados.

O artigo da TechRadar destaca a importância de utilizar uma VPN, como a ExpressVPN, especialmente durante viagens, como o feriado do Memorial Day. Conectar-se a redes Wi-Fi públicas, comuns em cafés e postos de gasolina, pode expor os usuários a riscos de segurança, como monitoramento de atividades online e interceptação de dados não criptografados. A ExpressVPN se destaca por oferecer servidores em todos os 50 estados dos EUA, além de chaves de criptografia seguras e ferramentas adicionais, como um gerenciador de senhas, dependendo do plano escolhido. Com um preço inicial de apenas $2,79 por mês, a ExpressVPN se posiciona como uma das opções mais acessíveis no mercado, superando concorrentes como NordVPN e ProtonVPN. O artigo também menciona que, embora a ExpressVPN tenha credenciais de segurança robustas, outras opções podem ser mais adequadas dependendo das necessidades específicas do usuário, como streaming ou privacidade. A ExpressVPN também oferece o Aircove, um roteador que integra a segurança da VPN de forma simplificada. Essa análise é relevante para usuários que buscam segurança online, especialmente em um cenário de crescente vigilância digital.

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.

As autoridades italianas desmantelaram uma rede de pirataria que operava através do aplicativo CINEMAGOAL, que oferecia acesso a plataformas de streaming como Netflix, Disney+ e Spotify. A operação, chamada ‘Tutto Chiaro’, resultou em 100 buscas e na apreensão de materiais que podem ajudar a identificar os envolvidos e os lucros obtidos ilegalmente. A Guardia di Finanza revelou que os operadores do CINEMAGOAL teriam gerado milhões de euros em lucros por meio de pirataria audiovisual e fraudes. O aplicativo se conectava diretamente a plataformas legítimas, utilizando códigos de decriptação válidos obtidos de servidores estrangeiros. O sistema capturava esses códigos a cada três minutos e os redistribuía aos usuários, que se beneficiavam de uma qualidade de streaming superior. Durante a operação, servidores do CINEMAGOAL foram apreendidos na França e na Alemanha, e mais de 70 revendedores foram identificados, vendendo assinaturas anuais entre €40 e €130. Estima-se que a operação tenha causado danos de cerca de €300 milhões em receitas não pagas. As autoridades estão analisando o material apreendido para identificar todos os envolvidos, incluindo usuários finais, e já aplicaram multas a alguns assinantes.

No último mês, a Anthropic anunciou que seu projeto de cibersegurança, denominado Glasswing, identificou mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares essenciais globalmente. Dentre essas, 6.202 foram classificadas como falhas impactantes em mais de 1.000 projetos de código aberto, com 1.726 sendo confirmadas como verdadeiros positivos. Um exemplo crítico é a vulnerabilidade no WolfSSL (CVE-2026-5194), que permite a falsificação de certificados. A iniciativa, que oferece acesso antecipado ao modelo Claude Mythos Preview para cerca de 50 parceiros, visa fortalecer a infraestrutura de software global. A Anthropic destaca a necessidade urgente de que desenvolvedores reduzam seus ciclos de correção e implementem medidas de segurança, como autenticação multifatorial. Além disso, a empresa lançou um Programa de Verificação Cibernética, permitindo que profissionais de segurança utilizem seus modelos para pesquisa de vulnerabilidades e testes de penetração. Com a crescente descoberta de vulnerabilidades assistida por IA, a pressão sobre os fornecedores de software para corrigir falhas está aumentando.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha crítica de segurança no Drupal Core em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2026-9082, possui uma pontuação CVSS de 6.5 e é uma falha de injeção SQL que afeta todas as versões suportadas do Drupal Core. Essa falha pode permitir a escalada de privilégios e execução remota de código através de requisições especialmente elaboradas. Menos de dois dias após a liberação de correções, a Drupal confirmou que tentativas de exploração estão sendo detectadas, com mais de 15.000 tentativas de ataque em quase 6.000 sites em 65 países, principalmente em sites de serviços financeiros e de jogos. As agências do governo federal dos EUA foram aconselhadas a aplicar as correções até 27 de maio de 2026 para garantir proteção adequada. A natureza da vulnerabilidade sugere que, embora a atividade atual seja predominantemente de reconhecimento, a exploração bem-sucedida pode rapidamente evoluir para extração de dados ou escalada de privilégios.

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Uma vulnerabilidade crítica no sistema operacional Linux, identificada como CVE-2026-46333, foi revelada pela Qualys. Essa falha, que existe desde 2016, permite que usuários comuns ou atacantes maliciosos obtenham acesso administrativo em sistemas vulneráveis. A vulnerabilidade afeta distribuições populares como Debian, Ubuntu e Fedora, e ocorre durante um breve intervalo em que um processo privilegiado está encerrando, permitindo que usuários não privilegiados acessem arquivos e conexões abertas. A Qualys demonstrou a exploração da falha em instalações padrão dessas distribuições. A pontuação de severidade da vulnerabilidade é de 5.5/10, considerada média. Os administradores devem aplicar atualizações de segurança imediatamente, e aqueles que não puderem fazê-lo devem aumentar a proteção do sistema. A falha foi reportada à equipe de segurança do kernel do Linux, que lançou um patch rapidamente. É aconselhável que sistemas com usuários locais não confiáveis tratem chaves SSH e credenciais como comprometidas e as rotacionem o mais rápido possível.

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

O Drupal, um popular sistema de gerenciamento de conteúdo, emitiu um alerta sobre uma vulnerabilidade de injeção SQL considerada ‘altamente crítica’, identificada como CVE-2026-9082. Essa falha, descoberta pelo pesquisador Michael Maturi da Google/Mandiant, afeta a API de abstração de banco de dados do Drupal e permite que atacantes executem comandos SQL maliciosos em sites que utilizam PostgreSQL. A exploração dessa vulnerabilidade não requer autenticação, o que aumenta significativamente os riscos, podendo levar à execução remota de código, escalonamento de privilégios e divulgação de informações sensíveis. Desde a publicação do alerta, tentativas de exploração já foram detectadas, levando o Drupal a atualizar a pontuação de risco para 23 em 25, embora o NIST a classifique como de severidade média, com uma pontuação CVSS de 6.5. O Drupal recomenda que todos os administradores atualizem imediatamente para as versões mais recentes de suas ramificações, uma vez que a falha impacta diversas versões do sistema. Além disso, mesmo aqueles que não utilizam PostgreSQL devem realizar a atualização, pois as correções incluem melhorias em dependências críticas como Symfony e Twig. O uso contínuo das versões 8 e 9 do Drupal, que estão no fim de sua vida útil, é considerado arriscado devido a outras vulnerabilidades conhecidas.

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

Dois ex-executivos de uma empresa de rastreamento e análise de chamadas, Adam Young e Harrison Gevirtz, se declararam culpados por ocultar um esquema de fraude em suporte técnico que afetou vítimas em todo o mundo. Entre 2017 e 2022, eles operaram a C.A. Cloud Attribution, Ltd., fornecendo serviços a clientes envolvidos em fraudes de telemarketing e suporte técnico. Os golpistas enganavam usuários com anúncios falsos, alegando que seus sistemas estavam infectados, e direcionavam as vítimas a centros de atendimento que cobravam altas quantias por serviços técnicos fictícios, muitas vezes se passando por empresas como Microsoft e Apple. Young e Gevirtz não apenas ignoraram as atividades fraudulentas de seus clientes, mas também aconselharam a utilização de números de telefone rotativos para evitar reclamações. Além disso, eles operaram um call center na Tunísia, onde alguns funcionários participaram de fraudes semelhantes. O FBI relatou que os americanos perderam pelo menos $2,1 bilhões para fraudes de suporte técnico em 2025, destacando a gravidade do problema. Os executivos enfrentam uma pena máxima de três anos de prisão e multas de até $250 mil, com a sentença marcada para 16 de junho.

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.