O Google lançou uma atualização para o Chrome, versão 140.0.7339.207/.208, que corrige três vulnerabilidades de alta severidade no motor JavaScript V8. A mais crítica, identificada como CVE-2025-10890, é uma falha de vazamento de informações que permite a um atacante inferir dados sensíveis da memória, como chaves criptográficas e credenciais de usuários, através de diferenças sutis de tempo. Embora a exploração exija uma página ou script malicioso, uma vez ativada, a vulnerabilidade pode exfiltrar dados rapidamente sem causar falhas no processo de renderização.

A Jaguar Land Rover (JLR), pertencente ao grupo Tata, anunciou um novo adiamento na reabertura de suas fábricas no Reino Unido devido a um ciberataque sofisticado que interrompeu suas operações de manufatura. As plantas de Solihull, Castle Bromwich e Halewood permanecerão fechadas até 1º de outubro de 2025, enquanto a empresa intensifica sua investigação e análise forense, além de reforçar suas defesas contra possíveis novas ameaças. O ataque explorou uma vulnerabilidade zero-day em uma ferramenta de acesso remoto de terceiros, permitindo que os invasores penetrassem em sistemas críticos. Embora a JLR não tenha confirmado a violação de dados de clientes, padrões de tráfego anômalos indicam tentativas de exfiltração de dados. Durante a paralisação, equipes de cibersegurança internas e especialistas externos trabalharão para reconstruir a linha do tempo do ataque e validar a integridade dos sistemas. A empresa também está auditando as credenciais de seus fornecedores e reforçando as obrigações contratuais de cibersegurança. Apesar da interrupção, a rede de varejo global da JLR continua operando normalmente, e a empresa garantiu que os serviços de pós-venda e pedidos em andamento não serão afetados.

A SonicWall anunciou uma atualização de segurança urgente para seus dispositivos Secure Mobile Access (SMA) da série 100, visando eliminar um rootkit persistente conhecido como ‘OVERSTEP’. A atualização, identificada como versão 10.2.2.2-92sv, introduz verificações de integridade de arquivos aprimoradas, capazes de detectar e remover componentes maliciosos implantados por essa ameaça. Organizações que utilizam os modelos SMA 210, 410 e 500v são fortemente aconselhadas a aplicar o patch imediatamente para mitigar riscos de exploração. O rootkit OVERSTEP foi identificado pela Google Threat Intelligence Group (GTIG) como uma ameaça sofisticada, capaz de estabelecer acesso encoberto e persistente a redes corporativas, permitindo que atacantes se movam lateralmente, exfiltrando dados e implantando cargas adicionais. A SonicWall enfatiza que a única forma de eliminar a ameaça é atualizar para a versão corrigida, pois não há soluções alternativas viáveis. O não cumprimento dessa recomendação pode expor as redes a acessos não autorizados e vigilância persistente. O patch não afeta as appliances da série SMA1000 e as funcionalidades SSL-VPN em produtos de firewall da SonicWall.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade zero-day no Google Chrome, identificada como CVE-2025-10585. Essa falha, localizada no motor V8 do JavaScript e WebAssembly, representa um risco significativo para usuários em todo o mundo, pois permite que atacantes manipulem estruturas de memória e executem código arbitrário ao visitar páginas da web maliciosas. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas, exigindo que agências federais apliquem correções ou suspendam o uso das versões afetadas até 14 de outubro de 2025. Embora a Google tenha lançado patches para resolver o problema, a CISA recomenda que usuários e administradores verifiquem manualmente a instalação das atualizações. A natureza crítica da falha, que pode ser explorada sem interação adicional do usuário, torna essencial que organizações, tanto públicas quanto privadas, adotem medidas de mitigação, como a aplicação de atualizações e o monitoramento de tráfego de rede para sinais de comprometimento.

A versão 2025.3 do Kali Linux foi lançada, trazendo melhorias significativas e a adição de dez novas ferramentas de segurança. Esta atualização, que segue a versão anterior de junho de 2025, aprimora fluxos de trabalho essenciais e expande as capacidades sem fio, além de preparar o sistema para novas arquiteturas. A equipe de desenvolvimento reformulou a criação de imagens de máquinas virtuais, integrando os padrões mais recentes do Packer e Vagrant, o que garante uma geração consistente de templates de VM. Os pentesters sem fio agora podem contar com o suporte restaurado do Nexmon para chipsets Broadcom e Cypress, estendido ao Raspberry Pi 5. A versão também aposentou a arquitetura ARMel, redirecionando recursos para o suporte ao RISC-V. Entre as novas ferramentas, destacam-se o Caido para auditoria de segurança web e o krbrelayx para ataques de relé Kerberos. No âmbito móvel, o Kali NetHunter recebeu atualizações significativas, incluindo suporte a modo monitor interno em dispositivos de baixo custo. Com essas melhorias, o Kali Linux continua a ser uma escolha relevante para profissionais de segurança.

A Libraesva, empresa italiana de segurança de e-mails, lançou uma atualização crítica para seu Email Security Gateway (ESG) após identificar uma vulnerabilidade, classificada como CVE-2025-59689, que pode ser explorada por agentes de ameaças patrocinados por estados. A falha, que possui uma pontuação CVSS de 6.1, é um erro de injeção de comando que pode ser ativado por e-mails maliciosos contendo anexos comprimidos especialmente elaborados. Essa vulnerabilidade permite a execução de comandos arbitrários por usuários não privilegiados devido à sanitização inadequada durante a remoção de códigos ativos de arquivos em certos formatos de arquivo comprimido. A Libraesva confirmou um incidente de abuso relacionado a essa falha, atribuído a um ator de estado hostil estrangeiro, e destacou a importância de uma rápida implementação de patches, tendo corrigido a falha em menos de 17 horas após a detecção do problema. As versões afetadas vão da 4.5 até a 5.5.x antes da 5.5.7, e os usuários são aconselhados a atualizar suas instâncias imediatamente para mitigar riscos potenciais.

A empresa de segurança em nuvem Wiz revelou a exploração ativa de uma vulnerabilidade no utilitário Linux Pandoc, que pode comprometer o Amazon Web Services (AWS) Instance Metadata Service (IMDS). A falha, identificada como CVE-2025-51591, possui uma pontuação CVSS de 6.5 e se refere a um caso de Server-Side Request Forgery (SSRF). Essa vulnerabilidade permite que atacantes injetem elementos HTML iframe, possibilitando o acesso a credenciais temporárias do IAM associadas a instâncias EC2. O IMDS é crucial para fornecer informações sobre instâncias em execução e credenciais temporárias, que podem ser usadas para interagir com outros serviços da AWS. A Wiz observou tentativas de exploração desde agosto de 2025, embora os ataques tenham sido mitigados pela implementação do IMDSv2, que requer um token para acessar o IMDS. Para mitigar os riscos associados à CVE-2025-51591, recomenda-se o uso de opções específicas no Pandoc para evitar a inclusão de iframes. A Mandiant também alertou que instâncias EC2 que utilizam IMDSv1 e software de terceiros vulnerável estão em risco. A adoção do IMDSv2 e a aplicação do princípio do menor privilégio são essenciais para proteger as infraestruturas na nuvem.

Recentemente, a Marks & Spencer (M&S), uma grande varejista do Reino Unido, sofreu um ataque de ransomware que paralisou seus sistemas internos e impediu que funcionários acessassem arquivos críticos. Este incidente destaca as falhas nas estratégias de backup das empresas, que poderiam ter evitado a criptografia ou exclusão de dados se os backups estivessem isolados. A HyperBUNKER, uma startup de Zagreb, propõe uma solução inovadora com seu cofre offline baseado em tecnologia de diodo, que cria um canal unidirecional para backups, mantendo-os desconectados de redes externas. Embora essa abordagem tenha se mostrado eficaz em ambientes militares e nucleares, sua implementação em empresas comuns levanta questões sobre custo e praticidade. A HyperBUNKER afirma que sua tecnologia evita vulnerabilidades associadas a protocolos de rede, mas a eficácia depende de manuseio cuidadoso e locais seguros. Apesar das promessas, a adoção de soluções de armazenamento offline pode ser vista como um ônus financeiro adicional para empresas que já utilizam múltiplas soluções de backup. As empresas devem avaliar se os custos e riscos de roubo físico superam os benefícios de proteção oferecidos por essa nova tecnologia.

Um aplicativo espião ilegal, conhecido como Celular 007, foi utilizado em mais de 100 mil celulares no Brasil, revelando conversas privadas sem autorização. A invasão do sistema do aplicativo foi realizada por hackers, que entregaram os dados à organização DDoSecrets, em colaboração com o InterSecLab. Embora o aplicativo seja promovido como uma ferramenta para pais monitorarem seus filhos, na prática, ele é utilizado para espionagem, incluindo perseguições e investigações clandestinas. Os dados vazados abrangem um período de quase uma década, com 116.079 celulares espionados por 105.897 usuários, incluindo cidadãos comuns e servidores públicos. Apesar de sua ilegalidade, o Celular 007 é amplamente acessível na internet, custando R$ 209 por um pacote de 15 dias. A instalação requer acesso físico ao celular alvo e permite o rastreamento de microfone, câmera e localização. O uso de aplicativos desse tipo é estritamente regulado no Brasil, sendo permitido apenas em situações específicas, como o monitoramento de menores. A diretora do InterSecLab alerta para a falta de segurança da informação no país e recomenda cautela ao compartilhar senhas de dispositivos móveis.

Um grande vazamento de dados ocorreu na empresa brasileira Maida.health, resultando na suposta perda de 2,3TB de informações sensíveis da polícia militar do Brasil. Os dados expostos incluem registros médicos, cartões de identificação e contratos de saúde, abrangendo serviços de diagnóstico e tratamento em diversas especialidades médicas. Os cibercriminosos estão oferecendo esses dados em fóruns clandestinos, o que levanta preocupações sobre possíveis fraudes médicas e roubo de identidade. Embora a autenticidade das informações ainda não tenha sido confirmada, a situação é alarmante, especialmente considerando que o setor de saúde é um dos mais visados devido à natureza sensível dos dados que manipula. Este incidente não é isolado, já que o Brasil enfrentou outros vazamentos significativos de dados, colocando em risco a privacidade de milhões de cidadãos. A proteção de dados na saúde é crucial, e a conformidade com a Lei Geral de Proteção de Dados (LGPD) deve ser uma prioridade para as organizações do setor.

O Serviço Secreto dos EUA anunciou a desarticulação de uma rede de dispositivos eletrônicos na área metropolitana de Nova York, que eram utilizados para ameaçar oficiais do governo e representavam um risco iminente à segurança nacional. A investigação revelou mais de 300 servidores SIM e 100.000 cartões SIM distribuídos em várias localidades, concentrados em um raio de 56 km da Assembleia Geral da ONU. Os dispositivos não apenas emitiram ameaças anônimas, mas também poderiam ser utilizados para atacar a infraestrutura de telecomunicações, desativando torres de celular e facilitando comunicações criptografadas entre potenciais ameaçadores e organizações criminosas. A investigação, conduzida pela Unidade de Interdição de Ameaças Avançadas do Serviço Secreto, também indicou comunicações celulares entre atores de ameaças de estados-nação e indivíduos conhecidos pelas autoridades federais. Embora os detalhes sobre os oficiais ameaçados e as nações envolvidas não tenham sido divulgados, a situação destaca a vulnerabilidade das telecomunicações e a necessidade de vigilância constante. O diretor do Serviço Secreto enfatizou a importância da prevenção e a determinação da agência em neutralizar ameaças iminentes.

Autoridades de segurança na Europa prenderam cinco suspeitos envolvidos em um esquema de fraude online que desviou mais de €100 milhões (cerca de $118 milhões) de mais de 100 vítimas na França, Alemanha, Itália e Espanha. A operação, coordenada pela Eurojust, incluiu buscas em cinco locais na Espanha e Portugal, além de ações em Itália, Romênia e Bulgária, resultando no congelamento de contas bancárias e ativos financeiros relacionados ao crime. O principal acusado foi denunciado por fraudes em larga escala e lavagem de dinheiro, operando uma plataforma de investimento online que prometia altos retornos em criptomoedas. Após os depósitos, os fundos eram transferidos para contas na Lituânia para lavagem. Vítimas que tentaram retirar seus investimentos foram solicitadas a pagar taxas adicionais, após o que o site desapareceu. A investigação envolveu várias agências judiciais e de segurança de diferentes países europeus e destacou a crescente preocupação com fraudes online, especialmente em investimentos. Em um contexto mais amplo, a Comissão Federal de Comércio dos EUA relatou perdas recordes de $12,5 bilhões em fraudes em 2024, com os esquemas de investimento sendo os mais prejudiciais. Além disso, um ataque de engenharia social em uma plataforma de blockchain resultou na recuperação de $13 milhões, demonstrando a importância da detecção precoce e ação rápida contra fraudes.

Pesquisadores de cibersegurança revelaram duas vulnerabilidades no firmware do Baseboard Management Controller (BMC) da Supermicro, que podem permitir que atacantes contornem etapas de verificação essenciais e atualizem o sistema com imagens maliciosas. As falhas, identificadas como CVE-2025-7937 e CVE-2025-6198, têm severidade média, com pontuações CVSS de 6.6 e 6.4, respectivamente. Ambas resultam de uma verificação inadequada da assinatura criptográfica, permitindo que imagens de firmware manipuladas sejam aceitas pelo sistema. A vulnerabilidade CVE-2025-7937 contorna a lógica de verificação do Root of Trust (RoT) 1.0, enquanto a CVE-2025-6198 faz o mesmo em relação à tabela de assinatura. A empresa Binarly, responsável pela descoberta, alertou que a exploração dessas falhas pode dar controle total e persistente sobre o sistema BMC e o sistema operacional principal do servidor. A análise também destacou que a correção anterior para uma vulnerabilidade relacionada foi insuficiente, permitindo que atacantes inserissem tabelas de firmware personalizadas durante o processo de validação. A situação é preocupante, pois a reutilização de chaves de assinatura pode ter um impacto significativo em toda a indústria, especialmente se houver vazamento dessas chaves.

Analistas de cibersegurança identificaram uma campanha sofisticada que utiliza utilitários do Windows disfarçados como testes de velocidade da Internet, processadores de PDF e interfaces de busca de IA. Esses instaladores, empacotados com Inno-Packer, extraem silenciosamente uma pasta do Node.js e um script JavaScript ofuscado, registrando uma tarefa agendada para executar o script a cada doze horas, enquanto a funcionalidade legítima permanece intacta. Embora os usuários recebam leituras precisas de largura de banda e conversões de PDF, o instalador também implanta um binário do Node.js e um arquivo .js codificado no diretório do aplicativo. A tarefa agendada garante a execução persistente em segundo plano, confirmando que a remoção do componente JavaScript não afeta a funcionalidade principal, evidenciando seu papel como uma porta dos fundos oculta. O script malicioso utiliza uma rotina de decodificação em múltiplas etapas para revelar strings legíveis, realizando consultas ao registro do Windows e enviando dados para um domínio de comando e controle. Organizações devem inspecionar tarefas agendadas e diretórios de instalação para identificar pastas inesperadas do Node.js ou arquivos .js, bloquear domínios conhecidos e implementar assinaturas de detecção para neutralizar esses componentes antes que comandos maliciosos sejam executados.

Em uma operação coordenada na área metropolitana de Nova York, o Serviço Secreto dos EUA desmantelou uma rede clandestina composta por mais de 300 servidores SIM e mais de 100.000 cartões SIM. Esses dispositivos eram utilizados para realizar ameaças anônimas a altos funcionários do governo e representavam um risco iminente à infraestrutura crítica de telecomunicações, incluindo a capacidade de desativar torres de celular e lançar ataques de negação de serviço. A investigação, que começou como um esforço de inteligência protetiva, revelou que os servidores e cartões estavam estrategicamente posicionados a 35 milhas de Nova York, coincidindo com a Assembleia Geral das Nações Unidas. A análise forense inicial sugere que a operação utilizou técnicas sofisticadas de spoofing de SIM e gerenciamento remoto de clusters de servidores para ocultar identidades e localizações dos usuários. A resposta rápida da Unidade de Interdição de Ameaças Avançadas do Serviço Secreto resultou em uma série de operações simultâneas, destacando a importância da inteligência protetiva e da cooperação interagencial na defesa dos sistemas de comunicação nacionais.

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

O cenário atual de redução de pessoal nas grandes empresas, como Wells Fargo e Bank of America, traz à tona um aumento significativo nos riscos de segurança cibernética. Com a diminuição das equipes de segurança, os Chief Information Security Officers (CISOs) enfrentam desafios crescentes, especialmente em relação ao gerenciamento de segredos codificados. Dados da IBM revelam que 86% das violações de segurança envolvem credenciais roubadas, com um tempo médio de 292 dias para identificação e contenção de incidentes. O custo médio de uma violação nos EUA atingiu US$ 10,22 milhões, e incidentes relacionados a segredos codificados podem custar até US$ 11 milhões. Além disso, as organizações perdem cerca de US$ 1,4 milhão anualmente gerenciando segredos manualmente, o que inclui tempo de desenvolvedores e analistas de segurança. A pesquisa da HashiCorp indica que até 40% dos segredos não gerenciados são de alto risco, aumentando a probabilidade de ataques cibernéticos. Para mitigar esses riscos, é essencial que as empresas adotem abordagens proativas e integradas para a detecção e remediação de segredos, reduzindo o tempo de resposta e melhorando a eficiência das equipes de segurança.

A SolarWinds lançou correções para uma vulnerabilidade crítica em seu software Web Help Desk, identificada como CVE-2025-26399, com uma pontuação CVSS de 9.8. Essa falha permite que atacantes executem comandos arbitrários em sistemas vulneráveis, sem necessidade de autenticação. A vulnerabilidade foi descoberta por um pesquisador anônimo da Trend Micro Zero Day Initiative e é uma continuação de problemas anteriores, incluindo CVE-2024-28988 e CVE-2024-28986, que também apresentavam falhas de deserialização de dados não confiáveis. Embora não haja evidências de exploração ativa dessa nova vulnerabilidade, a SolarWinds recomenda que os usuários atualizem para a versão 12.8.7 HF1 para garantir a proteção adequada. A situação é alarmante, considerando o histórico da SolarWinds com ataques, como o incidente de cadeia de suprimentos de 2020, que teve impactos significativos em várias agências governamentais ocidentais. A vulnerabilidade atual destaca a necessidade de vigilância constante e atualização de sistemas, especialmente em um cenário onde a exploração de falhas pode ocorrer rapidamente.

Desde o início de 2025, pesquisadores da Check Point identificaram um aumento nas atividades de espionagem cibernética do grupo Nimbus Manticore, que utiliza portais de recrutamento falsos para disseminar malware sofisticado. Inicialmente focado em alvos do setor aeroespacial e de defesa no Oriente Médio, o grupo agora se expande para a Europa Ocidental, mirando empresas de defesa, telecomunicações e aeroespaciais em países como Dinamarca, Suécia e Portugal.

O malware principal, conhecido como MiniJunk, evoluiu para uma variante avançada que utiliza técnicas inovadoras para evitar a detecção. A infecção começa com e-mails de spear-phishing que se passam por recrutadores de grandes empresas, levando as vítimas a páginas de login falsificadas. Após o login bem-sucedido, um arquivo malicioso é entregue, permitindo que os atacantes monitorem as interações e capturem dados sensíveis.

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

Um novo problema de segurança foi identificado na plataforma de autoria de cursos Lectora, da ELB Learning, que permite a injeção de JavaScript malicioso através de parâmetros de URL manipulados. Essa vulnerabilidade afeta as versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online, expondo usuários a riscos como sequestro de sessão e redirecionamento para sites maliciosos. O CERT Coordination Center (CERT/CC) emitiu uma nota de vulnerabilidade (VU#780141) para alertar sobre a situação e as etapas necessárias para remediação. Embora a falha tenha sido corrigida na versão 21.4 do Lectora Desktop, muitos cursos permanecem vulneráveis, pois a republicação não foi explicitamente exigida nas notas de lançamento. Para mitigar a vulnerabilidade, a ELB Learning recomenda que os usuários do Lectora Desktop atualizem para a versão 21.4 ou posterior e republicem seus cursos. Administradores do Lectora Online devem garantir que o conteúdo publicado antes da atualização automática de 20 de julho de 2025 seja republicado. A ativação das opções de Acessibilidade Web também é aconselhada para reduzir a exposição a essa vulnerabilidade.

A Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, que atingiu picos de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). Este ataque, que mais que dobrou o recorde anterior de 11,5 Tbps, durou apenas 40 segundos e utilizou uma estratégia de múltiplos vetores, combinando inundações volumétricas e exploração de protocolos. A rapidez e a intensidade do ataque destacam a crescente capacidade dos atores maliciosos e suas botnets, levantando questões sobre a resiliência da infraestrutura da internet. A Cloudflare conseguiu neutralizar o ataque sem intervenção humana, utilizando detecção de anomalias baseada em aprendizado de máquina e mecanismos automatizados de filtragem. A magnitude deste evento exige que as organizações reavaliem suas estratégias de segurança, considerando se seus provedores têm a capacidade de suportar ataques em velocidade de máquina. Com a evolução das táticas de ataque, a adoção de defesas automatizadas e entregues na borda se torna essencial para garantir a continuidade dos negócios.

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

Pesquisadores de cibersegurança estão alertando sobre uma campanha de SEO poisoning, conhecida como Operação Rewrite, que parece ser conduzida por um ator de ameaça de língua chinesa. O malware utilizado, chamado BadIIS, tem como alvo principalmente a região do Sudeste Asiático, com foco especial no Vietnã. A técnica de SEO poisoning manipula os resultados de mecanismos de busca para direcionar usuários a sites indesejados, como de jogos de azar e pornografia, visando lucro financeiro. O BadIIS intercepta e modifica o tráfego HTTP, permitindo que os atacantes injetem conteúdo malicioso em sites legítimos. Os atacantes também utilizam uma infraestrutura compartilhada com um grupo identificado como Grupo 9, conforme relatado pela ESET. Além disso, a pesquisa revelou que os atacantes podem criar contas de usuário locais e implantar shells web para acesso remoto persistente. Essa atividade representa um risco significativo, especialmente considerando a possibilidade de comprometer servidores em várias regiões, incluindo o Brasil. A manipulação de resultados de busca pode ter implicações diretas na segurança e na conformidade com a LGPD, tornando essencial que os CISOs brasileiros estejam atentos a essa ameaça.

O GitHub anunciou mudanças significativas em suas opções de autenticação e publicação, em resposta a uma série de ataques à cadeia de suprimentos que afetaram o ecossistema npm, incluindo o ataque Shai-Hulud. As novas medidas visam mitigar ameaças como o abuso de tokens e malware auto-replicante. Entre as alterações, destaca-se a implementação de autenticação de dois fatores (2FA) obrigatória para publicações locais, a limitação da validade de tokens granulares a sete dias e a introdução de uma nova funcionalidade chamada ‘publicação confiável’. Esta última elimina a necessidade de tokens npm, utilizando credenciais específicas de fluxo de trabalho que são criptograficamente autenticadas, garantindo a origem e o ambiente de construção de cada pacote publicado. O ataque Shai-Hulud, que injetou um verme auto-replicante em centenas de pacotes npm, destacou a vulnerabilidade do sistema, ao permitir que segredos sensíveis fossem extraídos de máquinas de desenvolvedores. Além disso, um pacote malicioso chamado fezbox foi identificado, capaz de roubar senhas de navegadores através de uma técnica esteganográfica. Embora o pacote tenha sido removido, ele ilustra a necessidade crescente de ferramentas de verificação de dependências. Essas mudanças são cruciais para aumentar a confiança na cadeia de suprimentos de software e proteger os desenvolvedores contra novas ameaças.

A DigiCert anunciou a aquisição da Valimail, ampliando sua plataforma DigiCert ONE com tecnologia de autenticação de e-mail de confiança zero. Essa aquisição visa fortalecer a segurança contra fraudes por e-mail, como phishing e spoofing, que continuam a ser uma das principais ameaças cibernéticas globalmente. A Valimail é reconhecida por suas soluções DMARC patenteadas, essenciais para autenticar remetentes legítimos e bloquear mensagens falsificadas. O CEO da DigiCert, Amit Sinha, destacou que a autenticação de e-mail é um passo lógico para a expansão da plataforma, enquanto Alex Garcia-Tobar, CEO da Valimail, enfatizou a importância da parceria para acelerar a missão de autenticar comunicações. A integração das capacidades da Valimail permitirá a implementação em larga escala do DMARC, crucial para a proteção de empresas e agências governamentais. No entanto, a eficácia dessas tecnologias depende da adoção completa por parte das empresas e da educação dos usuários sobre as ameaças em evolução. Apesar do fortalecimento da posição da DigiCert, não há garantias de uma redução rápida nos incidentes de phishing e spoofing, que ainda são facilitados por erros humanos e a adoção inconsistente de padrões de segurança.

Recentemente, as empresas de cibersegurança PRODAFT e Netcraft revelaram a existência de serviços de phishing-as-a-service (PhaaS) conhecidos como Lighthouse e Lucid, que estão facilitando a realização de ataques cibernéticos em larga escala. Esses serviços, que podem ser adquiridos por valores que começam em R$ 465, oferecem ferramentas para a criação de campanhas de phishing personalizadas, atingindo 316 marcas em 74 países. Os ataques incluem smishing, que é o phishing realizado via SMS, utilizando plataformas como iMessage e RCS. A plataforma Lucid, por exemplo, permite que hackers montem campanhas direcionadas a setores como pedágios, correios e instituições financeiras, com a capacidade de monitorar as vítimas em tempo real. Além disso, os criminosos estão voltando a usar e-mails para coletar dados roubados, o que torna a detecção mais difícil. Os pesquisadores também identificaram técnicas avançadas, como o uso de caracteres homóglifos para criar URLs enganosas. Esses desenvolvimentos destacam a evolução das táticas de phishing e a necessidade urgente de medidas de segurança mais robustas.

Um ciberataque afetou o sistema de check-in e etiquetagem de bagagens em vários aeroportos da Europa, incluindo Alemanha, Irlanda, Países Baixos e Reino Unido, desde a última sexta-feira (19). O ataque comprometeu o software MUSE, da Collins Aerospace, que é amplamente utilizado para gerenciar o check-in de passageiros. Como resultado, muitos voos foram atrasados ou cancelados, e passageiros enfrentaram longas filas e dificuldades no atendimento. No Aeroporto de Bruxelas, por exemplo, o check-in foi realizado manualmente, com informações anotadas à mão. Embora não haja evidências de que dados pessoais dos passageiros tenham sido roubados, as investigações estão em andamento. A Agência de Cibersegurança da União Europeia sugere que o ataque pode ter sido um ransomware, possivelmente ligado a hackers financiados por estados estrangeiros. Profissionais de cibersegurança alertam que a infraestrutura aeroportuária está cada vez mais vulnerável a tais ataques, o que levanta preocupações sobre a segurança de sistemas críticos de transporte. O impacto do incidente se estendeu até a manhã de segunda-feira (22), afetando a operação de diversos aeroportos europeus.

O grupo de ransomware Kawa4096, que surgiu em junho de 2025, rapidamente ganhou notoriedade ao atacar multinacionais em diversos setores, incluindo finanças, educação e serviços, nos Estados Unidos e Japão. Diferente de outros grupos que se concentram em setores específicos, Kawa4096 não demonstra preferência industrial, o que aumenta seu alcance e potencial de dano. O grupo utiliza um modelo de dupla extorsão, onde os dados das vítimas são não apenas criptografados, mas também ameaçados de divulgação caso o resgate não seja pago.

Recentemente, um novo vetor de ataque tem sido explorado por cibercriminosos, que abusam do Oracle Database Scheduler, um serviço que executa tarefas programadas em servidores de banco de dados Oracle. Os atacantes conseguiram obter acesso remoto ao sistema ao tentar logins repetidamente até conseguir autenticar-se com privilégios SYSDBA, permitindo controle total sobre as operações do banco de dados. Após a infiltração, utilizaram a capacidade do scheduler para executar trabalhos externos, como o processo extjobo.exe, que permite a execução remota de comandos com privilégios elevados. Isso possibilitou a execução de scripts de reconhecimento e o download de cargas úteis de sua infraestrutura de comando e controle (C2). Além disso, os atacantes implementaram túneis criptografados usando Ngrok para manter o acesso sem serem detectados, criando arquivos de configuração que expunham portas de desktop remoto. Durante o movimento lateral, eles escalaram privilégios e implantaram ransomware, que criptografou dados da empresa e deixou notas de resgate. Este incidente destaca a vulnerabilidade crítica do Oracle DBS Job Scheduler, especialmente quando combinado com separação de privilégios fraca e monitoramento insuficiente das atividades agendadas. Para mitigar esses riscos, é essencial que as empresas priorizem a segmentação de rede e monitorem atividades suspeitas no scheduler.

Em 2025, a conformidade em cibersegurança se torna uma prioridade crítica para as organizações, que buscam alinhar suas operações a padrões regulatórios em constante evolução. Com a crescente aplicação de frameworks como SOC 2, ISO 27001, GDPR e HIPAA, as empresas necessitam de soluções robustas de gestão de conformidade que automatizem controles, simplifiquem auditorias e reduzam o risco de penalidades regulatórias. O artigo apresenta uma análise dos 10 melhores softwares de gestão de conformidade em cibersegurança, destacando suas capacidades principais, usabilidade e eficiência para empresas de médio e grande porte.

O popular jogo BlockBlasters foi removido da plataforma Steam após a descoberta de que um patch lançado em agosto continha componentes maliciosos que podem roubar informações sensíveis dos jogadores. Desenvolvido pela Genesis Interactive, o jogo recebeu boas críticas após seu lançamento em julho, mas a atualização de 30 de agosto introduziu um malware que comprometeu a segurança de centenas de usuários. A empresa de segurança G DATA identificou que o patch não apenas corrigia bugs, mas implementava uma operação de roubo de informações em múltiplas etapas. O ataque começa com um arquivo chamado game2.bat, que coleta dados como credenciais de login do Steam e informações sobre antivírus instalados. Esses dados são enviados para um servidor de comando e controle. O malware também executa scripts em Visual Basic que coletam extensões de navegador e dados de carteiras de criptomoedas. A situação se agravou quando o malware alterou as configurações do Microsoft Defender para evitar a detecção. Após a remoção do jogo, especialistas em segurança alertam os jogadores a desinstalarem o BlockBlasters e realizarem varreduras completas em seus sistemas, além de monitorarem suas contas de criptomoedas para atividades suspeitas.

O SafeLine WAF, um firewall de aplicação web gratuito e repleto de recursos, alcançou um marco significativo ao ultrapassar 400 mil implantações em todo o mundo. Com mais de 17.700 estrelas no GitHub, tornou-se o projeto de firewall web mais popular na plataforma, sendo amplamente reconhecido por desenvolvedores, administradores de sistemas e empresas.

Dentre suas principais vantagens, destaca-se a facilidade de instalação, que pode ser realizada com um único comando, permitindo que até mesmo aqueles sem profundo conhecimento em segurança possam implementá-lo. A interface de gerenciamento é limpa e intuitiva, facilitando a configuração de políticas de segurança e a revisão de logs. Além disso, o SafeLine oferece proteção robusta a um custo acessível, com edições gratuitas e pagas para diferentes necessidades.

No final de agosto de 2025, o escritório do Procurador Geral da Pensilvânia (PA AG) anunciou que sofreu um ataque de ransomware em 11 de agosto, que impediu o acesso de funcionários a e-mails arquivados, arquivos e sistemas internos. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque em 20 de setembro, alegando ter roubado 5,7 TB de dados, incluindo documentos do escritório. A PA AG não confirmou a reivindicação, mas afirmou que se recusou a pagar o resgate e notificou indivíduos cujas informações podem ter sido comprometidas. O Procurador Geral, Dave Sunday, declarou que a situação testou a equipe, mas que estão comprometidos em proteger os cidadãos da Pensilvânia. O ataque é parte de uma tendência crescente de ataques de ransomware a entidades governamentais, com 58 ataques confirmados em 2025, sendo 11 apenas em agosto. O grupo Inc, ativo desde julho de 2023, utiliza técnicas como phishing direcionado e exploração de vulnerabilidades conhecidas para realizar seus ataques, afetando setores como saúde, educação e governo.

Desde abril de 2025, um grupo de hackers desconhecido chamado ComicForm tem realizado uma campanha de phishing direcionada a organizações na Bielorrússia, Cazaquistão e Rússia, conforme análise da empresa de cibersegurança F6. Os alvos incluem setores industriais, financeiros, de turismo, biotecnologia, pesquisa e comércio. Os ataques são realizados por meio de e-mails com assuntos como ‘Aguardando documento assinado’ e ‘Fatura para pagamento’, que incentivam os destinatários a abrir arquivos compactados contendo executáveis maliciosos disfarçados de documentos PDF. Esses executáveis, projetados para evitar a detecção, instalam um malware chamado Formbook, que é utilizado para roubo de dados. Além disso, a análise revelou que o grupo também direcionou ataques a uma empresa no Cazaquistão e a um banco bielorrusso. A F6 identificou e bloqueou e-mails de phishing enviados a empresas de manufatura na Rússia, que redirecionavam os usuários para páginas falsas de login, visando roubar credenciais. O uso de e-mails em inglês sugere que o grupo pode estar mirando organizações em outros países, aumentando a preocupação com a segurança cibernética na região.

Pesquisadores da Norton relataram um vazamento massivo de dados pessoais que afetou 252 milhões de pessoas em sete países, incluindo Canadá, México, Egito, Turquia, Arábia Saudita, África do Sul e Emirados Árabes Unidos. O incidente foi causado por uma má configuração em três grandes servidores, resultando na exposição de informações críticas como números de identificação, datas de nascimento, endereços e dados de contato. Esses dados podem ser utilizados por cibercriminosos para roubo de identidade e fraudes financeiras, como a abertura de contas falsas e ataques de phishing direcionados. Embora o Brasil não tenha sido diretamente afetado, é importante que os usuários fiquem atentos a comunicações de serviços online que possam indicar uma brecha de dados. Recomenda-se que os usuários verifiquem remetentes de e-mails, evitem clicar em links desconhecidos e ativem a verificação em duas etapas sempre que possível. O vazamento destaca a necessidade de medidas de segurança robustas para proteger informações pessoais em um mundo cada vez mais digital.

Um incidente alarmante ocorreu com o streamer letão Raivo Plavnieks, conhecido como RastalandTV, que teve mais de R$ 170 mil roubados de sua carteira de criptomoedas após baixar o jogo Block Blasters, disponível na plataforma Steam. O jogo, que estava ativo entre 30 de julho e 21 de setembro de 2025, foi inicialmente considerado seguro, mas em 30 de agosto, recebeu um dropper que instalou um aplicativo malicioso em computadores de jogadores. O malware coletava informações sensíveis, como dados de login do Steam e endereços IP, enviando-os para os golpistas. A investigação revelou que até 478 contas de usuários do Steam foram comprometidas, com perdas totais estimadas em até US$ 150.000. O caso destaca a vulnerabilidade de jogadores que possuem criptomoedas e a necessidade de cautela ao baixar jogos, especialmente aqueles com avaliações positivas, mas que podem esconder malwares. A Valve, responsável pelo Steam, ainda não se pronunciou sobre o incidente. Usuários afetados são aconselhados a trocar suas senhas e transferir seus ativos digitais para carteiras mais seguras.

Um relatório recente da Zimperium revelou que 33% dos aplicativos Android e 20% dos aplicativos iOS apresentam vulnerabilidades que podem expor dados sensíveis dos usuários. O estudo destaca que cerca de 50% dos aplicativos ainda contêm segredos hardcoded, como chaves de API, que podem ser explorados por cibercriminosos. Além disso, 1 em cada 5 dispositivos Android é afetado por malware, e quase 1 em cada 3 aplicativos financeiros no Android é vulnerável a ataques man-in-the-middle, mesmo com defesas SSL. As fraquezas no lado do cliente estão facilitando novas formas de roubo de dados e manipulação de aplicativos. Especialistas sugerem que, para melhorar a segurança, os fabricantes devem atualizar constantemente os aplicativos e criar APIs mais seguras. A mudança de foco deve ser na proteção do próprio trabalho dos aplicativos, em vez de apenas proteger os dispositivos. O relatório alerta para a necessidade urgente de ações para mitigar essas vulnerabilidades e proteger os usuários contra ataques maliciosos.

A Real Polícia Montada do Canadá (RCMP) desmantelou a TradeOgre, uma exchange de criptomoedas, após a maior apreensão de criptomoedas da história do país, totalizando mais de $56 milhões. A operação, anunciada em 18 de setembro de 2025, foi motivada por investigações que começaram em junho de 2024, quando a Europol sinalizou atividades suspeitas na plataforma. A TradeOgre era conhecida por permitir negociações anônimas, sem exigir verificação de identidade, o que a tornava um alvo atrativo para organizações criminosas que buscavam lavar dinheiro. A plataforma não estava registrada no Centro de Análise de Transações Financeiras do Canadá (FINTRAC) e não implementava controles de prevenção à lavagem de dinheiro (AML) ou procedimentos de conhecimento do cliente (KYC), exigidos pela legislação canadense. A análise técnica dos dados de transações em blockchain revelou que a maioria dos ativos digitais movimentados pela TradeOgre tinha origem em atividades criminosas. A operação da RCMP não só resultou na apreensão financeira, mas também na interrupção de uma infraestrutura crítica utilizada por criminosos. A investigação continua, com a possibilidade de novas acusações à medida que os dados da plataforma são analisados.

Em 2025, as ferramentas de gestão de vulnerabilidades tornaram-se essenciais para organizações que buscam fortalecer suas defesas cibernéticas e garantir conformidade regulatória. Este artigo apresenta uma análise detalhada das dez principais soluções disponíveis, destacando suas capacidades de descoberta automatizada de ativos, priorização de riscos e integração com pilhas de TI. Ferramentas como Tenable Nessus e Qualys VMDR se destacam por suas amplas coberturas e inovação contínua, oferecendo recursos como auditorias de conformidade e relatórios acionáveis. A escolha da ferramenta certa impacta diretamente a postura de segurança e a alocação de recursos, especialmente em ambientes de trabalho híbridos e na nuvem. O artigo também discute a importância da priorização baseada em risco, que permite que as equipes de segurança se concentrem nas vulnerabilidades mais críticas. Com a crescente complexidade das infraestruturas de TI, a adoção dessas ferramentas é vital para a resiliência operacional das empresas.

A Stellantis NV, fabricante global de automóveis que inclui marcas como Citroën, FIAT e Jeep, confirmou um vazamento de dados após a violação de um provedor de serviços terceirizado na América do Norte. O incidente, detectado no último domingo, resultou na exposição de informações básicas de contato, como nomes, endereços de e-mail e números de telefone, mas não envolveu dados financeiros ou informações pessoais sensíveis. A empresa está notificando os clientes potencialmente afetados e recomenda que eles fiquem atentos a tentativas de phishing e outros golpes relacionados. A Stellantis ativou imediatamente seus protocolos de resposta a incidentes e está colaborando com especialistas em cibersegurança para analisar a extensão da violação e fortalecer a segurança em sua rede de fornecedores. Este incidente ocorre em um contexto de aumento de ataques cibernéticos no setor automotivo, onde muitos fabricantes dependem de fornecedores terceirizados, tornando-se alvos atraentes para atacantes. A Stellantis enfatiza a importância de investimentos contínuos em medidas de cibersegurança e a conformidade com as leis de proteção de dados, como a LGPD no Brasil.

Pesquisadores da Netcraft revelaram duas grandes campanhas de phishing associadas às plataformas Lucid e Lighthouse, que permitem que cibercriminosos se façam passar por centenas de empresas globais. Desde a identificação dessas campanhas, foram detectados mais de 17.500 domínios de phishing visando 316 marcas em 74 países, evidenciando a crescente industrialização do cibercrime por meio de serviços de phishing baseados em assinatura.

A plataforma Lucid se destaca por seus controles avançados de anti-monitoramento, que dificultam a detecção por ferramentas de segurança. Os ataques utilizam URLs específicas que exigem condições de acesso, como parâmetros de caminho válidos e geolocalização forçada. Por outro lado, a plataforma Lighthouse, focada no roubo de credenciais de múltiplos fatores, oferece kits de phishing que variam de $88 por semana a $1.588 por ano, com templates constantemente atualizados.

O gerenciamento de endpoints é crucial para a segurança e eficiência das empresas, especialmente em um cenário de trabalho híbrido e remoto. Com o aumento das ameaças digitais, as organizações precisam de soluções robustas para monitorar e proteger dispositivos como laptops, tablets e smartphones. O artigo apresenta as 10 melhores plataformas de gerenciamento de endpoints para 2025, destacando a importância de ferramentas que oferecem visibilidade, automação e governança sem sobrecarregar as equipes de TI. As soluções listadas incluem Microsoft Intune, Ivanti Neurons, e Workspace ONE UEM, cada uma com características específicas que atendem a diferentes necessidades empresariais. Por exemplo, o Microsoft Intune se destaca pela integração com o ecossistema Microsoft, enquanto o Ivanti Neurons é ideal para empresas que priorizam automação e experiência do usuário. A escolha do software adequado pode não apenas melhorar a segurança, mas também aumentar a produtividade e reduzir custos operacionais.

O cenário de cibersegurança está em constante evolução, com atacantes adaptando suas táticas rapidamente, muitas vezes em questão de horas. Um exemplo recente é a vulnerabilidade zero-day CVE-2025-10585 no navegador Chrome, que já está sendo explorada ativamente. Essa falha, relacionada ao motor V8 do JavaScript, é a sexta vulnerabilidade desse tipo descoberta em 2025. Além disso, um novo ferramenta de pen testing chamada Villager, que já alcançou 11.000 downloads, levanta preocupações sobre seu uso indevido por cibercriminosos. Pesquisadores também descobriram uma nova técnica de ataque chamada Phoenix, que explora falhas em módulos de memória DDR5. As prisões de membros do grupo Scattered Spider, envolvidos em ataques de ransomware, destacam a crescente atividade de grupos de hackers. Por fim, a colaboração entre grupos de hackers russos, como Turla e Gamaredon, para atacar a Ucrânia, evidencia a complexidade das ameaças atuais. Este artigo destaca a importância de se manter atualizado sobre as vulnerabilidades e as táticas dos atacantes para proteger as infraestruturas digitais.

A cibersegurança está passando por uma transformação acelerada, especialmente no que diz respeito aos testes de penetração, ou pentesting. Nos últimos 12 meses, empresas do Reino Unido enfrentaram cerca de 7,78 milhões de crimes cibernéticos, evidenciando a necessidade de estratégias proativas. A inteligência artificial (IA) está mudando a forma como as organizações avaliam e fortalecem suas defesas, permitindo uma transição de testes periódicos para avaliações contínuas. Isso possibilita que as empresas obtenham insights em tempo real sobre suas vulnerabilidades, permitindo uma resposta mais ágil a ameaças. Além disso, o modelo de Pentesting como Serviço (PTaaS) está se tornando popular, oferecendo flexibilidade e escalabilidade para as empresas que buscam melhorar sua postura de segurança. À medida que mais organizações adotam ambientes híbridos e de nuvem, as práticas de pentesting também precisam evoluir para abranger essas novas infraestruturas. Apesar do avanço da IA, a experiência humana continua sendo essencial, pois profissionais de segurança trazem intuição e pensamento crítico que as máquinas não conseguem replicar. A combinação de serviços aumentados por IA com a expertise humana promete acelerar os testes e melhorar a eficácia na identificação de vulnerabilidades.

Uma nova campanha de cibersegurança está em andamento, visando usuários do macOS através de páginas fraudulentas no GitHub. A equipe de inteligência de ameaças da LastPass identificou repositórios falsos que imitam empresas legítimas, como gerenciadores de senhas e instituições financeiras. Esses sites, que aparecem nas primeiras posições dos resultados de busca, enganam os usuários a instalarem um software malicioso chamado Atomic Stealer, que coleta credenciais e dados sensíveis. Os atacantes utilizam técnicas de SEO agressivas para aumentar a visibilidade de suas páginas, dificultando a detecção. Quando os usuários clicam nos links de download, são redirecionados para um site que instrui a execução de um comando no Terminal do macOS, que baixa e executa um script malicioso. A LastPass recomenda que os usuários instalem aplicativos apenas de fontes verificadas e que as equipes de segurança monitorem URLs suspeitas. A campanha é uma preocupação crescente, especialmente devido à sua capacidade de evadir controles de segurança básicos e à rápida rotação de contas e repositórios utilizados pelos atacantes.

Hackers estão utilizando uma nova técnica chamada LNK Stomping para contornar a funcionalidade de segurança Mark of the Web (MoTW) do Windows. Essa técnica explora arquivos de atalho (LNKs), que, embora tenham sido criados para facilitar a vida do usuário, agora são usados para implantar cargas maliciosas disfarçadas de processos legítimos. Apesar das melhorias na política de bloqueio de macros da Microsoft em 2022, os atacantes continuam a explorar LNKs, frequentemente enviados como anexos de e-mail ou dentro de arquivos compactados. A estrutura dos arquivos LNK contém metadados que, quando manipulados, podem remover a etiqueta MoTW, permitindo que o código malicioso seja executado sem alertar o usuário. A pesquisa da Elastic Security Labs revelou que a normalização de caminhos no Windows pode ser manipulada para eliminar esses metadados de segurança. As organizações devem atualizar suas regras de detecção de endpoint para monitorar eventos de canonização de arquivos LNK e educar os usuários sobre os riscos de executar atalhos não solicitados. A evolução dos ataques exige uma pesquisa contínua sobre as fraquezas dos formatos de arquivo e ajustes proativos nas regras de segurança.