Notícias de Cibersegurança

Notícias de Cibersegurança

Bem-vindo ao centro de notícias do BR Defense Center. Aqui você encontra as últimas notícias, análises e tendências em cibersegurança, com foco no cenário brasileiro e internacional.

Categorias

  • Ransomware: Ataques de sequestro de dados
  • Vulnerabilidades: Falhas de segurança e patches
  • Vazamento de Dados: Incidentes de exposição de dados
  • Phishing: Golpes e engenharia social
  • Malware: Análise de códigos maliciosos
  • Inteligência Artificial: IA aplicada à segurança
  • Cloud Security: Segurança em nuvem
  • Mobile Security: Segurança mobile
  • IoT Security: Segurança em IoT
  • Compliance: Regulamentações e conformidade

CISA alerta sobre uso de spyware em aplicativos de mensagens móveis

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre o uso crescente de spyware e trojans de acesso remoto (RATs) por atores maliciosos que visam usuários de aplicativos de mensagens móveis. Esses ataques utilizam técnicas avançadas de engenharia social e direcionamento para comprometer dispositivos móveis, permitindo o acesso não autorizado a aplicativos de mensagens e a instalação de cargas maliciosas adicionais. Entre os exemplos citados estão campanhas que visam o aplicativo Signal, além de spyware para Android que se disfarça como aplicativos populares, como WhatsApp e TikTok, para roubar dados. A CISA recomenda que indivíduos em risco adotem práticas de segurança, como o uso de comunicações criptografadas de ponta a ponta, autenticação resistente a phishing e a atualização periódica de software. O alerta destaca a importância de proteger informações sensíveis, especialmente para indivíduos de alto valor, como oficiais do governo e organizações da sociedade civil, em regiões como os EUA, Oriente Médio e Europa.

Google revela malware que espionou usuários por 3 anos sem ser notado

Um relatório do Google Threat Intelligence Group (GTIG) revelou que um grupo hacker chinês, conhecido como APT24, utilizou um malware chamado BadAudio para ciberespionagem durante três anos sem ser detectado. O ataque começou em novembro de 2022 e envolveu a modificação de mais de 20 sites legítimos com a injeção de código malicioso em JavaScript. O malware se disfarçava como uma atualização de software, enganando as vítimas para que o instalassem sem perceber a verdadeira intenção. Uma técnica sofisticada chamada ‘control flow flattening’ foi utilizada para ofuscar o código, dificultando a engenharia reversa e a detecção do malware. Após a infecção, o BadAudio coletava informações do sistema e criptografava dados sensíveis para enviá-los a um centro de comando. O grupo também implementou campanhas de spearphishing, enviando e-mails que se passavam por organizações legítimas, e utilizou serviços como Google Drive e OneDrive para distribuir o malware. Apesar de algumas tentativas terem sido bloqueadas, a maioria das amostras analisadas permaneceu indetectada por mais de 25 plataformas de antivírus, evidenciando a eficácia das técnicas de invisibilidade empregadas pelo APT24.

Vulnerabilidade crítica no 7-Zip pode dar controle total do computador a hackers

Uma vulnerabilidade crítica foi identificada no 7-Zip, um popular software de compressão de arquivos, que pode permitir que hackers assumam o controle total de computadores. A falha, classificada como CVE-2025-11001, foi descoberta por Ryota Shiga da GMO Flatt Security Inc. e envolve a manipulação de links simbólicos em arquivos ZIP. Essa vulnerabilidade permite que um arquivo ZIP malicioso redirecione a extração para diretórios não autorizados, possibilitando a execução de códigos arbitrários com privilégios elevados. Embora até o momento não tenham sido registrados casos de exploração ativa, o NHS England Digital emitiu um alerta de alto risco, destacando a facilidade de exploração, que requer apenas que o usuário abra o arquivo ZIP comprometido. A 7-Zip lançou uma correção na versão 25.00, mas a falta de um sistema de atualização automática significa que os usuários devem atualizar manualmente. A situação é preocupante, especialmente considerando que o score de risco CVSS da falha é de 7,0, indicando um alto nível de severidade.

Grupo de ransomware Devman ataca Autoridade de Tribunais da Geórgia

O grupo de ransomware conhecido como Devman reivindicou um ataque cibernético contra a Georgia Superior Court Clerks’ Cooperative Authority (GSCCCA), que resultou na interrupção do acesso ao seu site. O ataque ocorreu no final de semana, e o grupo afirmou ter roubado 500 GB de dados, exigindo um pagamento de resgate em um prazo de três dias, que já expirou. A GSCCCA, em sua página no Facebook, confirmou a ameaça cibernética e ativou protocolos de segurança defensiva, restringindo temporariamente o acesso aos seus serviços. Embora a GSCCCA não tenha confirmado a reivindicação de Devman, o grupo é conhecido por operar um modelo de ransomware como serviço, permitindo que afiliados lancem ataques utilizando sua infraestrutura. Desde abril de 2025, Devman já atacou mais de 50 organizações, incluindo agências governamentais. Em 2025, foram registrados 71 ataques de ransomware em entidades governamentais dos EUA, com um resgate médio de 1,2 milhão de dólares. O impacto desses ataques pode ser severo, resultando em perda de dados e interrupção de serviços essenciais, o que levanta preocupações sobre a segurança cibernética em instituições públicas.

Vulnerabilidades no Fluent Bit podem comprometer infraestrutura em nuvem

Pesquisadores de cibersegurança identificaram cinco vulnerabilidades críticas no Fluent Bit, um agente de telemetria leve e de código aberto, que podem ser exploradas para comprometer infraestruturas em nuvem. As falhas incluem a possibilidade de contornar autenticação, execução remota de código, manipulação de dados e negação de serviço. As vulnerabilidades são: CVE-2025-12972, que permite a travessia de caminho e execução remota de código; CVE-2025-12970, que envolve um estouro de buffer no plugin de métricas do Docker; CVE-2025-12978, que permite a falsificação de tags confiáveis; CVE-2025-12977, que permite a injeção de caracteres de controle em logs; e CVE-2025-12969, que permite a injeção de logs falsos devido à falta de autenticação. A exploração bem-sucedida dessas falhas pode permitir que atacantes manipulem dados e ocultem suas atividades. As versões 4.1.1 e 4.0.12 já corrigiram essas vulnerabilidades, e a AWS recomenda que os usuários atualizem imediatamente. A situação é crítica, pois o Fluent Bit é amplamente utilizado em ambientes corporativos, e as falhas podem impactar diretamente a segurança e a integridade dos serviços em nuvem.

Brasil é vice-campeão mundial em ciberataques com 28 milhões de golpes no Pix

O Brasil enfrenta um alarmante aumento nas fraudes digitais, com 28 milhões de golpes via Pix registrados entre janeiro e setembro de 2025. O país ocupa o segundo lugar no ranking global de ciberataques, com 700 milhões de tentativas anuais, o que equivale a 1.379 ataques por minuto. A pesquisa da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP) revela que a maioria das fraudes ocorre em compras online, com 2,7 milhões de casos, seguidos por 1,6 milhão de golpes via WhatsApp e 1,5 milhão relacionados a phishing. Os golpes financeiros, especialmente os que envolvem o Pix, representam 47% das fraudes totais, enquanto 15% estão ligados ao roubo de identidade. O estudo também destaca que pessoas acima de 50 anos são as mais afetadas, representando 53% das vítimas. Além disso, a utilização de tecnologias avançadas, como deepfakes e inteligência artificial, tem contribuído para a sofisticação dos golpes. O presidente da ADDP, Francisco Gomes Junior, alerta que a falta de educação digital e a popularização do Pix têm facilitado a atuação de quadrilhas organizadas, resultando em prejuízos estimados entre R$ 10 bilhões e R$ 112 bilhões, muitos dos quais não são reportados.

AGU derruba site que vendia deepfakes com pornografia infantil

A Advocacia Geral da União (AGU) tomou medidas para desativar um site estrangeiro que comercializava deepfakes utilizados na produção de pornografia infantil. A ação foi desencadeada após uma notificação extrajudicial da Procuradoria Nacional da União de Defesa da Democracia (PNDD). A investigação, realizada em parceria com o Pulitzer Center, revelou que o site utilizava inteligência artificial para criar imagens falsas a partir de fotos reais de crianças, que eram então vendidas na dark web. A tecnologia de deepfake, baseada em deep learning, permite a criação de conteúdos visuais extremamente realistas, o que representa um risco significativo, especialmente quando utilizada para fins ilícitos como a exploração sexual infantil. A AGU conseguiu que o site reconhecesse a ilegalidade de suas atividades e o retirasse do ar. Este incidente destaca a crescente preocupação com o uso de IA em crimes online, especialmente em um contexto onde a identificação de conteúdos falsificados se torna cada vez mais difícil. Além disso, o Brasil está em processo de regulamentação do uso de IA, com o Marco Legal da IA em análise na Câmara dos Deputados, visando aumentar a segurança e a transparência no uso dessas tecnologias.

Geração Z cria senhas menos seguras do que as dos pais

Uma análise da empresa de cibersegurança NordPass revelou que a Geração Z, composta por indivíduos nascidos entre 1997 e 2012, está criando senhas menos seguras do que as gerações anteriores. A pesquisa identificou que a sequência ‘12345’ foi a mais utilizada por esses jovens, enquanto os Millennials e as gerações mais velhas, como Gen X e Boomers, optaram por senhas ligeiramente mais complexas, como ‘123456’. Apesar de campanhas de conscientização sobre cibersegurança, os hábitos de criação de senhas não melhoraram significativamente ao longo dos anos. O estudo também apontou que, embora a inclusão de caracteres especiais em senhas esteja se tornando mais comum, isso ainda não é suficiente para garantir a segurança digital necessária em um cenário de crimes cibernéticos cada vez mais sofisticados. Especialistas recomendam o uso de autenticação de dois fatores e gerenciadores de senhas como medidas eficazes para melhorar a segurança das contas online.

Modelo de IA DeepSeek-R1 gera vulnerabilidades em temas sensíveis

Uma pesquisa da CrowdStrike revelou que o modelo de inteligência artificial (IA) DeepSeek-R1, desenvolvido pela empresa chinesa DeepSeek, produz um número significativamente maior de vulnerabilidades de segurança quando recebe prompts relacionados a temas considerados politicamente sensíveis pela China. A análise indicou que a probabilidade de gerar código com vulnerabilidades graves aumenta em até 50% ao incluir tais tópicos. O modelo, que já enfrentou preocupações de segurança nacional e foi banido em vários países, também censura questões sensíveis, como a Grande Muralha da China e o status político de Taiwan. O Bureau de Segurança Nacional de Taiwan alertou os cidadãos sobre o uso de modelos de IA generativa chineses, que podem distorcer narrativas históricas e amplificar desinformação. A pesquisa da CrowdStrike destacou que, ao solicitar a criação de código para sistemas de controle industrial em regiões sensíveis, a qualidade do código gerado se deteriora, apresentando falhas de segurança significativas. Além disso, o modelo possui um ‘kill switch’ intrínseco, recusando-se a gerar código para temas como o Falun Gong em 45% das tentativas. As descobertas ressaltam a necessidade de cautela ao utilizar ferramentas de IA que podem ser influenciadas por diretrizes políticas.

Novas vulnerabilidades e ataques cibernéticos afetam grandes empresas

Nesta semana, o cenário de cibersegurança foi marcado por diversas vulnerabilidades e ataques significativos. A Fortinet alertou sobre uma nova falha no FortiWeb, identificada como CVE-2025-58034, que permite a execução de código não autorizado por atacantes autenticados, com um CVSS de 6.7. Essa vulnerabilidade foi explorada ativamente, e a empresa já havia corrigido outra falha crítica, CVE-2025-64446, com CVSS de 9.1, apenas dias antes.

Além disso, o Google lançou atualizações de segurança para o navegador Chrome, corrigindo duas falhas, incluindo uma de tipo confusão (CVE-2025-13223) com CVSS de 8.8, que estava sendo explorada ativamente. A empresa não divulgou detalhes sobre os atacantes ou o alcance dos ataques.

Segunda onda de ataques compromete pacotes do npm com malware

Recentemente, múltiplos fornecedores de segurança alertaram sobre uma nova onda de ataques direcionados ao registro npm, denominada Sha1-Hulud, que comprometeu centenas de pacotes. Os pacotes infectados foram carregados entre 21 e 23 de novembro de 2025 e introduzem um novo vetor de ataque que executa código malicioso durante a fase de pré-instalação, aumentando a exposição em ambientes de construção e execução. Os pesquisadores da Wiz identificaram mais de 25.000 repositórios afetados, com 1.000 novos repositórios sendo adicionados a cada 30 minutos. O malware é capaz de registrar a máquina infectada como um runner auto-hospedado e exfiltrar segredos do GitHub, como tokens e credenciais de serviços em nuvem. Se o malware não conseguir autenticar ou estabelecer persistência, ele pode destruir dados no diretório inicial do usuário. A situação é considerada mais agressiva do que a onda anterior de ataques, que já havia mostrado um padrão de comprometimento de pacotes legítimos. Organizações são aconselhadas a escanear seus endpoints, remover versões comprometidas e auditar repositórios para mitigar riscos.

Cuidado com a privacidade ao usar apps de compras na Black Friday

Nesta Black Friday, cerca de 50% dos consumidores utilizarão smartphones para aproveitar as ofertas, com 27% preferindo aplicativos de varejistas. No entanto, uma análise de 101 aplicativos populares para Android revelou que, em média, cada app solicita quase 29 permissões, sendo 8 delas consideradas ‘perigosas’ pelo Android. Essas permissões incluem acesso à câmera, microfone, localização e armazenamento. Embora algumas permissões sejam necessárias para o funcionamento do aplicativo, muitas delas são solicitadas sem justificativa clara nas políticas de privacidade. Em 27 casos, aplicativos pediram acesso à câmera e/ou arquivos de mídia sem mencionar isso em suas políticas. Além disso, 23% dos aplicativos analisados podem violar os padrões de privacidade do Google. A média de rastreadores por aplicativo é de 7, com um aplicativo apresentando 17 rastreadores. A falta de transparência sobre o uso de dados pessoais levanta preocupações sobre a privacidade dos usuários, especialmente em um contexto onde a proteção de dados é cada vez mais relevante, como na Lei Geral de Proteção de Dados (LGPD) no Brasil.

Vulnerabilidade no WSUS permite distribuição de malware ShadowPad

Uma falha de segurança recentemente corrigida no Microsoft Windows Server Update Services (WSUS) foi explorada por atacantes para distribuir o malware conhecido como ShadowPad. A vulnerabilidade, identificada como CVE-2025-59287, é uma falha crítica de desserialização que permite a execução remota de código com privilégios de sistema. Os atacantes inicialmente acessaram servidores Windows com WSUS habilitado e utilizaram ferramentas como PowerCat, um utilitário baseado em PowerShell, para obter um shell do sistema. Em seguida, eles baixaram e instalaram o ShadowPad usando comandos como certutil e curl.

Nações hostis podem usar computadores quânticos em breve, alerta Palo Alto

A Palo Alto Networks alertou que o avanço da computação quântica pode tornar obsoletas as atuais normas de criptografia e dispositivos de segurança, como firewalls, em um futuro próximo. O CEO da empresa, Nikesh Arora, prevê que nações hostis poderão ter acesso a computadores quânticos armados até 2029, o que exigirá que organizações substituam seus dispositivos que dependem de criptografia para garantir a proteção de dados sensíveis. Além disso, a empresa destacou as vulnerabilidades de navegadores corporativos, especialmente com a integração de inteligência artificial, que pode aumentar a exposição a ataques. A Palo Alto está se preparando para oferecer uma gama de produtos resistentes à computação quântica e está em processo de aquisição da CyberArk, além de integrar a Chronosphere. Arora enfatizou a necessidade de inspeção e monitoramento mais rigorosos dos fluxos de dados, à medida que a computação quântica e a IA aumentam o volume de tráfego. As organizações devem manter softwares antivírus atualizados e implementar medidas de proteção contra roubo de identidade, enquanto se preparam para um futuro onde tecnologias emergentes exigem medidas de segurança proativas.

Como assistir Fake Friend O Golpista de Ingressos online - é GRÁTIS

O documentário Fake Friend: The Ticket Scammer, da BBC, estreia no dia 24 de novembro de 2025, e revela a história de Miles Hart, um golpista de ingressos que enganou amigos e estranhos, vendendo ingressos falsificados para eventos como o Glastonbury Festival. Com 59 minutos de duração, o filme apresenta depoimentos impactantes de vítimas e especialistas da indústria de eventos, mostrando como Hart utilizou seu carisma para manter um estilo de vida luxuoso enquanto enganava centenas de pessoas. A produção faz parte da Scam Safe Week 2025 e está disponível gratuitamente no BBC iPlayer, acessível apenas para residentes do Reino Unido. Para quem está fora do país, a utilização de uma VPN, como a NordVPN, é recomendada para desbloquear o serviço. O documentário não apenas expõe a fraude, mas também investiga as consequências emocionais e financeiras enfrentadas pelas vítimas, destacando a cultura de influência que permitiu que Hart prosperasse em suas mentiras. Com um enredo envolvente, o filme promete ser uma reflexão sobre confiança e engano na era digital.

Como assistir TV britânica de Natal no exterior em 2025

O artigo da TechRadar apresenta a programação da TV britânica para o Natal de 2025, destacando produções como ‘A Ghost Story for Christmas: The Room in the Tower’, com Joanna Lumley, e ‘Dear Father Christmas’, que promete uma abordagem divertida sobre a figura do Papai Noel. Além disso, menciona o retorno de personagens icônicos como Pat Butcher em ‘EastEnders’ e a animação ‘The Scarecrows’ Wedding’. Para quem estiver fora do Reino Unido durante as festividades, o texto sugere o uso de VPNs, como a NordVPN, para acessar serviços de streaming como BBC iPlayer e ITVX, que são restritos geograficamente. O uso de uma VPN não só facilita o acesso a esses conteúdos, mas também oferece proteção contra ameaças online. O artigo também lista uma série de especiais de Natal programados, que incluem desde comédias até dramas e animações, prometendo uma variedade de entretenimento para todos os gostos.

Microsoft muda exibição de falhas em telas públicas e melhora ferramentas

A Microsoft anunciou uma nova funcionalidade para telas de sinalização digital, que visa minimizar a exibição prolongada de erros do sistema, como a famosa Tela Azul da Morte (BSOD). Com o novo modo de Sinalização Digital, os erros serão exibidos por apenas quinze segundos antes que a tela seja apagada, exigindo interação física para reativação. Essa mudança é especialmente relevante para ambientes públicos, como painéis de transporte e exibições comerciais, onde a presença de mensagens de erro pode causar constrangimento. Além disso, a Microsoft está introduzindo ferramentas de recuperação, como a recuperação de ponto no tempo, permitindo que os usuários revertam sistemas para configurações anteriores. As opções de restauração podem ser agendadas em intervalos de quatro a vinte e quatro horas, com períodos de retenção de seis a setenta e duas horas. A empresa também está implementando a reconstrução em nuvem para o Windows 11, facilitando a reinstalação e configuração remota de dispositivos. Outras melhorias incluem a criptografia BitLocker acelerada por hardware e suporte a algoritmos de criptografia pós-quântica, visando reforçar a proteção de dados em ambientes corporativos.

Grupo APT31 vinculado à China ataca setor de TI da Rússia

O grupo de ameaças persistentes avançadas (APT) conhecido como APT31, vinculado à China, tem sido responsável por uma série de ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025. De acordo com pesquisadores da Positive Technologies, as empresas russas, especialmente aquelas que atuam como contratantes para agências governamentais, foram alvos frequentes. O APT31, ativo desde pelo menos 2010, utiliza serviços de nuvem legítimos, como o Yandex Cloud, para ocultar suas atividades de comando e controle (C2) e exfiltração de dados, misturando-se ao tráfego normal. Os ataques incluem técnicas sofisticadas, como phishing direcionado e o uso de ferramentas personalizadas para manter a persistência na rede das vítimas. Um dos métodos identificados foi o envio de e-mails com arquivos RAR que continham atalhos do Windows, permitindo a instalação de um loader chamado CloudyLoader. A utilização de ferramentas como SharpADUserIP e Tailscale VPN demonstra a adaptabilidade do grupo em explorar tanto recursos públicos quanto personalizados para suas operações. A capacidade do APT31 de permanecer indetectado por longos períodos representa um risco significativo para a segurança cibernética, especialmente em um contexto onde a coleta de informações pode oferecer vantagens políticas e econômicas para a China.

Falha crítica no Oracle Identity Manager expõe riscos de segurança

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade crítica no Oracle Identity Manager em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A falha, identificada como CVE-2025-61757, possui uma pontuação CVSS de 9.8 e permite a execução remota de código sem autenticação, afetando as versões 12.2.1.4.0 e 14.1.2.1.0 do software. Pesquisadores da Searchlight Cyber descobriram que a vulnerabilidade resulta de um bypass de um filtro de segurança, permitindo que atacantes não autenticados acessem endpoints de API e manipulem fluxos de autenticação. O ataque pode ser realizado ao adicionar parâmetros específicos a uma URI, levando à execução de código Groovy em um endpoint que deveria apenas verificar a sintaxe do código. A CISA alertou que houve tentativas de exploração ativa entre agosto e setembro de 2025, com múltiplos IPs tentando acessar a vulnerabilidade. Diante disso, agências federais dos EUA devem aplicar patches até 12 de dezembro de 2025 para proteger suas redes.

Cibercriminosos usam notificações de navegador para ataques de phishing

Cibercriminosos estão explorando notificações de navegador como um novo vetor para ataques de phishing, utilizando uma plataforma chamada Matrix Push C2. Essa estrutura, que não requer arquivos, aproveita notificações push, alertas falsos e redirecionamentos de links para enganar vítimas em diferentes sistemas operacionais. Os atacantes induzem os usuários a permitir notificações de sites maliciosos ou comprometidos, enviando alertas que parecem ser do sistema operacional ou do próprio navegador, utilizando marcas confiáveis e linguagem convincente. Uma vez que a vítima clica em um botão de ‘Verificar’ ou ‘Atualizar’, é redirecionada para um site falso.

Quase 50 dos ataques de ransomware começam pela sua VPN

Um estudo da Beazley Security revelou que 48% dos ataques de ransomware têm início com o roubo de credenciais de VPN, um aumento alarmante de 38% em relação ao trimestre anterior. Os cibercriminosos utilizam técnicas como o credential stuffing para acessar redes privadas virtuais, explorando vulnerabilidades como a falta de Autenticação Multifator (MFA). Além disso, 23% dos ataques foram realizados através da exploração de serviços externos. A pesquisa também destacou que 65% dos sequestros digitais foram perpetrados por três grupos criminosos notórios. O aumento nos vazamentos de dados sensíveis, que subiu 11% em comparação ao trimestre anterior, gera preocupação entre especialistas em segurança. É fundamental que as empresas escolham cuidadosamente seus provedores de VPN e implementem medidas de segurança adicionais, como antivírus e políticas de proteção de dados, para mitigar esses riscos. O uso de VPNs, embora ofereça uma navegação mais segura, não garante proteção contra ataques de phishing e ransomware, exigindo uma abordagem holística de segurança digital.

Hackers ameaçam expor segredos da Petrobras após invasão

O grupo cibercriminoso Everest, especializado em ransomware, anunciou ter invadido a Petrobras, uma das maiores empresas do Brasil, e sua parceira SAExploration. Os hackers afirmam ter roubado mais de 176 gigabytes de dados, dos quais mais de 90 GB pertencem diretamente à Petrobras. Esses dados incluem informações críticas sobre navegação sísmica, como posicionamento de navios e medições de profundidade, essenciais para a indústria de petróleo e gás. O grupo deu um prazo de quatro dias para que a Petrobras inicie negociações de resgate, sob a ameaça de divulgar os dados ao público. A divulgação dessas informações poderia permitir que concorrentes replicassem métodos da Petrobras, reduzindo custos e aumentando a competitividade. A invasão foi confirmada por capturas de tela publicadas pelos hackers, que também se comunicaram com a empresa através de uma mensagem encriptada. Este incidente destaca a crescente ameaça de ransomware e a vulnerabilidade de grandes corporações a ataques cibernéticos.

Polícia do Rio realiza a maior operação contra roubo de celulares

A Polícia Civil do Rio de Janeiro liderou uma operação histórica contra o roubo e a venda de celulares, resultando na prisão de mais de 700 suspeitos e na devolução de 2,8 mil aparelhos aos seus donos. A Operação Rastreio, que começou em maio de 2025 com a prisão de Alan Gonçalves, um especialista em desbloqueio de celulares, revelou uma rede criminosa que não apenas desbloqueava dispositivos furtados, mas também tentava acessar dados bancários das vítimas. Durante a operação, foram cumpridos 132 mandados de busca e apreensão em 11 estados, incluindo São Paulo e Minas Gerais, e recuperados 10 mil celulares. A ação contou com o apoio do Ministério da Justiça e Segurança Pública e de polícias civis de outros estados. A operação destaca a crescente preocupação com a segurança dos dados dos usuários e a necessidade de medidas mais rigorosas para combater o furto e a receptação de celulares no Brasil.

Malware para Android monitora mensagens no WhatsApp e Telegram

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Hackers ameaçam expor 343 GB de dados da Under Armour

O grupo cibercriminoso Everest reivindicou um ataque à Under Armour, afirmando ter roubado 343 GB de dados sensíveis da empresa. Os hackers publicaram um comunicado na dark web, incluindo informações pessoais e corporativas de clientes e funcionários, como histórico de compras, dados de identificação, e-mails e até passaportes. Além disso, documentos internos, catálogos de produtos e análises de comportamento de consumidores também foram supostamente comprometidos. O Everest não exigiu resgate, mas deu um ultimato à Under Armour, solicitando contato em até sete dias para evitar a divulgação de mais dados. Este ataque destaca o risco elevado de fraudes e roubo de identidade, especialmente considerando a natureza dos dados expostos. O grupo já atacou outras grandes empresas, como AT&T e Coca-Cola, o que evidencia um padrão de comportamento focado em extorsão ao invés de criptografia de dados. A Under Armour, que já enfrentou um incidente de segurança em 2018, agora se vê em uma situação crítica que pode afetar sua reputação e a confiança dos consumidores.

Milhares de roteadores ASUS são hackeados para espionagem

Uma nova campanha de hackers chineses, identificada como Operação WrtHug, comprometeu milhares de roteadores ASUS WRT globalmente, visando criar uma rede de espionagem. Pesquisadores da SecurityScorecard relataram que a operação explora seis vulnerabilidades específicas, incluindo CVE-2023-41345 a CVE-2025-2492, relacionadas ao serviço ASUS AiCLOUD e a falhas de OS Injection. Os atacantes conseguiram obter privilégios elevados em dispositivos SOHO considerados ‘fim de vida’, que são frequentemente utilizados por provedores de internet. A maioria dos dispositivos afetados compartilha um certificado TLS auto-assinado com uma data de expiração de 100 anos, facilitando a persistência dos hackers. Aproximadamente 50% das vítimas estão localizadas em Taiwan, levantando suspeitas sobre a origem chinesa dos atacantes. O incidente destaca a importância de monitorar serviços desatualizados e a necessidade de vigilância constante contra campanhas de intrusão patrocinadas por estados, que estão em evolução contínua para ampliar suas capacidades de espionagem.

Clientes de bancos brasileiros são alvos de novo malware no WhatsApp

Um novo trojan bancário, denominado “Eternidade Stealer”, está atacando usuários de WhatsApp no Brasil, conforme análise da Trustwave SpiderLabs. O malware é disseminado por hackers através do aplicativo de mensagens e possui a capacidade de se autorreplicar, facilitando sua propagação. O Eternidade Stealer combina um stealer baseado em Delphi e um dropper MSI, que permite o roubo de informações sensíveis, como dados bancários e listas de contatos. O ataque utiliza um VBScript, com um worm escrito em Python, que se instala silenciosamente no dispositivo da vítima, realizando uma varredura em busca de ferramentas antivírus e coletando dados críticos. Os bancos mais afetados incluem Itaú, Santander, Bradesco e Caixa, além de serviços como MercadoPago e Binance. Os especialistas alertam que o malware é mais difícil de remover do que outros trojans comuns e que mensagens personalizadas são enviadas para enganar as vítimas. Diante desse cenário, é crucial que os usuários permaneçam atentos a atividades suspeitas no WhatsApp para evitar golpes financeiros.

Hacker que invadiu conta de Obama é condenado a pagar R 28,8 milhões

Joseph James O’Connor, um hacker britânico de 26 anos, foi condenado a pagar aproximadamente R$ 28,8 milhões em Bitcoin por sua participação em um ataque ao Twitter (atualmente X) em 2020. O ataque comprometeu contas de várias figuras públicas, incluindo Barack Obama, Joe Biden e Elon Musk, e envolveu fraudes com criptomoedas. O’Connor foi extraditado da Espanha para os Estados Unidos, onde já cumpria uma pena de cinco anos de prisão por crimes como invasão de computadores e extorsão. O Serviço de Promotoria da Coroa Britânica obteve uma ordem de recuperação civil para apreender 42 bitcoins e outros ativos relacionados ao crime. O promotor Adrian Foster destacou a importância de garantir que criminosos não se beneficiem de suas ações, mesmo que não sejam condenados no Reino Unido. O incidente levantou preocupações sobre a segurança das contas verificadas no Twitter, levando a plataforma a restringir o acesso a essas contas até que a situação fosse resolvida.

FCC dos EUA revoga regras de cibersegurança para telecomunicações

A Comissão Federal de Comunicações dos EUA (FCC) decidiu revogar regulamentações de cibersegurança que foram implementadas após os ataques do grupo de ameaças cibernéticas conhecido como Salt Typhoon, que infiltrou redes de telecomunicações americanas por mais de um ano. As regras exigiam que as empresas de telecomunicações adotassem controles básicos de segurança e colaborassem para proteger consumidores e a segurança nacional. A FCC argumentou que as regulamentações eram ineficazes e impunham um ônus legal desnecessário, já que as empresas estariam voluntariamente fortalecendo suas defesas cibernéticas. A decisão reflete uma tendência da administração Trump de desregulamentar o setor tecnológico, priorizando a liberdade das empresas em detrimento de proteções robustas contra ameaças cibernéticas. A revogação das regras pode aumentar a vulnerabilidade das redes de telecomunicações, especialmente em um cenário onde ataques cibernéticos estão se tornando cada vez mais sofisticados e frequentes.

Grupo APT24 da China usa malware BADAUDIO em campanha de espionagem

O grupo de ameaças APT24, vinculado à China, tem utilizado um malware inédito chamado BADAUDIO para obter acesso remoto persistente a redes comprometidas, em uma campanha que já dura quase três anos. Inicialmente, o grupo se concentrava em compromissos estratégicos de sites legítimos, mas recentemente mudou sua abordagem para alvos mais sofisticados, especialmente em Taiwan. APT24, também conhecido como Pitty Tiger, tem atacado setores como governo, saúde e telecomunicações nos EUA e em Taiwan. O malware BADAUDIO, escrito em C++, é altamente ofuscado e atua como um downloader que pode baixar e executar cargas úteis criptografadas. Desde novembro de 2022, o grupo comprometeu mais de 20 sites legítimos, injetando código JavaScript malicioso para enganar usuários e forçá-los a baixar o malware disfarçado de atualização do Google Chrome. Além disso, a partir de julho de 2024, o grupo orquestrou um ataque à cadeia de suprimentos ao comprometer uma empresa de marketing digital em Taiwan, permitindo que mais de 1.000 domínios fossem afetados. A complexidade das técnicas utilizadas, como engenharia social e comprometimento de serviços em nuvem, demonstra a capacidade do grupo para espionagem persistente e adaptativa.

Como a Samsung garante segurança em dispositivos móveis corporativos

O uso de dispositivos móveis no ambiente corporativo traz benefícios, mas também riscos significativos à segurança de dados. Para mitigar esses riscos, muitas empresas estão adotando soluções da Samsung, especialmente os dispositivos Galaxy e o Knox Suite. O Knox é uma plataforma de segurança integrada que combina proteção em hardware e software, oferecendo uma defesa em múltiplas camadas contra ataques de malware. Além disso, os dispositivos Galaxy são projetados para atender aos rigorosos padrões de segurança exigidos por empresas, incluindo funcionalidades como inicialização segura e ambientes de execução confiáveis.

Google atualiza Quick Share para funcionar com AirDrop da Apple

Em uma atualização significativa, o Google anunciou que seu serviço de transferência de arquivos Quick Share agora é compatível com o AirDrop da Apple, permitindo que usuários de dispositivos Android e iOS compartilhem arquivos e fotos de forma mais fácil. Inicialmente, essa funcionalidade está disponível apenas para a linha Pixel 10, mas há planos para expandi-la a outros dispositivos Android no futuro. Para realizar a transferência, o dispositivo Apple deve estar configurado como ‘descoberto’ por um período de 10 minutos, enquanto os usuários do Android precisam ajustar as configurações de visibilidade do Quick Share.

Atualização de segurança do Grafana corrige falha crítica de privilégio

A Grafana lançou atualizações de segurança para corrigir uma falha crítica, classificada com um CVSS de 10.0, que pode permitir a escalada de privilégios ou a impersonação de usuários em configurações específicas. A vulnerabilidade, identificada como CVE-2025-41115, reside no componente SCIM (System for Cross-domain Identity Management), que facilita o provisionamento e gerenciamento automatizado de usuários. A falha afeta as versões do Grafana Enterprise de 12.0.0 a 12.2.1, quando o provisionamento SCIM está habilitado e configurado. Um cliente SCIM malicioso pode provisionar um usuário com um ’externalId’ numérico, que pode ser interpretado como um ID de usuário interno, possibilitando a impersonação de contas existentes, como a de um administrador. A vulnerabilidade foi descoberta internamente em 4 de novembro de 2025, e a Grafana recomenda que os usuários apliquem os patches disponíveis imediatamente para mitigar os riscos potenciais. As versões corrigidas incluem Grafana Enterprise 12.0.6+security-01, 12.1.3+security-01, 12.2.1+security-01 e 12.3.0.

Salesforce alerta sobre acesso não autorizado a dados de clientes

A Salesforce emitiu um alerta sobre atividades incomuns relacionadas a aplicativos publicados pela Gainsight que estão conectados à sua plataforma. A investigação preliminar sugere que essa atividade pode ter possibilitado o acesso não autorizado a dados de clientes da Salesforce através da conexão com esses aplicativos. Como medida de precaução, a empresa revogou todos os tokens de acesso e atualização associados a esses aplicativos e os removeu temporariamente do AppExchange. Embora a Salesforce não tenha revelado quantos clientes foram afetados, informou que todos foram notificados. A empresa enfatizou que não há indícios de que a vulnerabilidade tenha origem na plataforma Salesforce, mas sim na conexão externa dos aplicativos. O analista Austin Larsen, do Google Threat Intelligence Group, classificou a situação como uma campanha emergente, possivelmente ligada ao grupo de ameaças ShinyHunters, que já havia realizado ataques semelhantes anteriormente. Organizações são aconselhadas a revisar aplicativos de terceiros conectados à Salesforce e a revogar tokens de acesso para aplicações suspeitas.

SEC desiste de processo contra SolarWinds por ataque cibernético

A Comissão de Valores Mobiliários dos EUA (SEC) decidiu abandonar o processo judicial contra a SolarWinds e seu diretor de segurança da informação, Timothy G. Brown, que alegavam que a empresa havia enganado investidores sobre suas práticas de segurança cibernética, levando ao ataque à cadeia de suprimentos em 2020. A SEC havia acusado a SolarWinds de ‘fraude e falhas de controle interno’, afirmando que a empresa exagerou suas práticas de cibersegurança e não divulgou adequadamente os riscos conhecidos. O ataque, atribuído ao grupo APT29, patrocinado pelo Estado russo, expôs vulnerabilidades significativas. Em julho de 2024, o tribunal descartou várias alegações, afirmando que não havia evidências suficientes para sustentar as acusações. O CEO da SolarWinds, Sudhakar Ramakrishna, declarou que a empresa emerge mais forte e preparada após esse desafio. A decisão da SEC não reflete sua posição em outros casos relacionados, e a empresa continua a ser um ponto focal em discussões sobre segurança cibernética e conformidade regulatória.

WEL Companies confirma vazamento de dados de 122 mil pessoas

A WEL Companies, fornecedora de transporte, notificou 122.960 pessoas sobre um vazamento de dados ocorrido em janeiro de 2025. Informações pessoais comprometidas incluem números de Seguro Social e identificações emitidas pelo estado. O grupo de ransomware RansomHub reivindicou a responsabilidade pelo ataque, alegando ter roubado 189 GB de dados, incluindo documentos sensíveis como passaportes e relatórios de acidentes. Embora a WEL tenha identificado atividade incomum em sua rede no dia 31 de janeiro, a empresa ainda não confirmou se pagou um resgate ou como a violação ocorreu. Para mitigar os danos, a WEL está oferecendo monitoramento de identidade gratuito através da Kroll. Este ataque é um dos maiores registrados contra empresas de transporte nos EUA, destacando a crescente ameaça de ransomware nesse setor. Em 2025, já foram registrados seis ataques confirmados a empresas de transporte nos EUA, com 99 alegações adicionais ainda não verificadas. Os ataques de ransomware não apenas comprometem dados, mas também podem paralisar sistemas, resultando em perdas financeiras significativas e riscos de fraude para os clientes.

Botnet Tsundere ataca usuários do Windows com malware em expansão

Pesquisadores de cibersegurança alertaram sobre a botnet Tsundere, que está em expansão e visa usuários do Windows. Desde meados de 2025, essa ameaça é capaz de executar código JavaScript arbitrário a partir de um servidor de comando e controle (C2). Embora os detalhes sobre a propagação do malware ainda sejam escassos, há indícios de que os atacantes tenham utilizado uma ferramenta legítima de Monitoramento e Gerenciamento Remoto (RMM) para baixar um arquivo MSI de um site comprometido. Os nomes dos artefatos de malware, como Valorant e cs2, sugerem que a botnet pode estar sendo disseminada através de iscas relacionadas a jogos, possivelmente visando usuários em busca de versões piratas. O instalador falso é projetado para instalar o Node.js e executar um script que decifra e executa o payload principal da botnet. A análise também revelou que a botnet utiliza a blockchain Ethereum para obter detalhes do servidor C2, permitindo uma infraestrutura resiliente. Embora a origem exata dos atacantes não seja clara, a presença do idioma russo no código sugere que eles são falantes dessa língua. A botnet Tsundere representa uma ameaça significativa, com a capacidade de se adaptar a várias ações maliciosas.

Ataques exploram falha no framework Ray para mineração de criptomoedas

A Oligo Security alertou sobre ataques em andamento que exploram uma vulnerabilidade de dois anos no framework de inteligência artificial (IA) open-source Ray, transformando clusters infectados com GPUs da NVIDIA em uma botnet de mineração de criptomoedas autossustentável. Denominada ShadowRay 2.0, a campanha se baseia em uma falha crítica de autenticação (CVE-2023-48022, pontuação CVSS: 9.8) que permite o controle de instâncias vulneráveis para mineração ilícita usando o XMRig. Os atacantes submetem trabalhos maliciosos a uma API de submissão de trabalhos do Ray, criando um worm que se espalha entre dashboards expostos. A campanha utiliza repositórios no GitLab e GitHub para distribuir o malware, e os atacantes têm demonstrado resiliência ao criar novas contas após a remoção de contas anteriores. Além disso, a infecção é projetada para eliminar concorrentes, terminando processos de mineração em execução. A Oligo também observou que os clusters comprometidos estão sendo usados para ataques de negação de serviço (DDoS), ampliando o escopo da operação. Com mais de 230.500 servidores Ray acessíveis publicamente, a exposição à internet representa um risco significativo, e a Anyscale, desenvolvedora do Ray, lançou ferramentas para ajudar na configuração adequada dos clusters.

Novo trojan bancário para Android chamado Sturnus é descoberto

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Sturnus, que permite o roubo de credenciais e a tomada total do dispositivo para fraudes financeiras. Uma das características mais notáveis do Sturnus é sua capacidade de contornar mensagens criptografadas, capturando conteúdo diretamente da tela do dispositivo após a descriptografia. Isso permite que o malware monitore comunicações em aplicativos como WhatsApp, Telegram e Signal. Além disso, o Sturnus realiza ataques de sobreposição, exibindo telas de login falsas sobre aplicativos bancários para roubar credenciais dos usuários. O malware é direcionado a instituições financeiras na Europa Central e do Sul, utilizando sobreposições específicas para cada região. Após ser ativado, o Sturnus se conecta a um servidor remoto via WebSocket e HTTP, recebendo cargas úteis criptografadas. Ele também pode abusar dos serviços de acessibilidade do Android para capturar pressionamentos de tecla e registrar interações da interface do usuário. O Sturnus é projetado para evitar a detecção, bloqueando tentativas de desinstalação e monitorando continuamente a atividade do dispositivo. Embora sua disseminação ainda seja limitada, a combinação de geografia-alvo e foco em aplicativos de alto valor sugere que os atacantes estão refinando suas ferramentas para operações mais amplas no futuro.

Campanha de Hacking do WhatsApp Alerta Usuários no Brasil

A CTM360 identificou uma campanha de hacking de contas do WhatsApp, chamada HackOnChat, que está se espalhando rapidamente pelo mundo. Os atacantes utilizam portais de autenticação enganosos e páginas de impersonação para enganar os usuários e comprometer suas contas. A campanha se destaca pelo uso de URLs maliciosas hospedadas em domínios de baixo custo, geradas por plataformas modernas de criação de sites, permitindo que os hackers criem novas páginas em grande escala. As técnicas de ataque incluem o sequestro de sessão, onde os criminosos aproveitam a funcionalidade de dispositivos vinculados para assumir sessões ativas do WhatsApp Web, e a tomada de conta, que envolve enganar as vítimas para que entreguem chaves de autenticação. Uma vez que os atacantes controlam uma conta, eles a utilizam para atingir os contatos da vítima, solicitando dinheiro ou informações sensíveis. A campanha tem mostrado um aumento significativo de atividades, especialmente no Oriente Médio e na Ásia, e destaca a eficácia das táticas de engenharia social, que exploram interfaces familiares e a confiança humana.

Atualizações sobre cibersegurança espionagem, vulnerabilidades e fraudes

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos. O MI5, agência de inteligência do Reino Unido, alertou sobre espiões chineses que utilizam o LinkedIn para recrutar parlamentares e coletar informações. Além disso, a Comissão Europeia propôs mudanças no Regulamento Geral sobre a Proteção de Dados (GDPR), permitindo que empresas processem dados pessoais para treinamento de IA sem consentimento prévio, o que gerou críticas por reduzir a proteção de dados. No campo das ameaças, extensões de navegador maliciosas têm sido usadas para roubar dados de usuários, com cerca de 31 mil instalações registradas. Um caso notável de lavagem de dinheiro em criptomoedas também foi reportado, onde um homem da Califórnia se declarou culpado por lavar 25 milhões de dólares de um golpe de 230 milhões. Por fim, vulnerabilidades críticas foram descobertas em produtos da Oracle e em dispositivos inteligentes, que podem permitir o controle total dos sistemas afetados. Esses eventos destacam a necessidade de vigilância constante e atualização das medidas de segurança.

Como navegar nas restrições da internet no Oriente Médio com VPN

Em 2025, pelo menos sete países do Oriente Médio, incluindo Turquia, Síria, Jordânia e Catar, impuseram restrições à internet, afetando o acesso de cidadãos e turistas a conteúdos online. Essas restrições variam de bloqueios temporários, como o ocorrido na Turquia, onde o acesso a redes sociais foi limitado por 42 horas, a bloqueios prolongados, como o do jogo Roblox no Catar, que permanece inacessível devido a preocupações com a segurança infantil. A resposta a essas limitações tem sido um aumento significativo no uso de VPNs, sendo o Proton VPN uma das opções mais populares. Com sede na Suíça, o Proton VPN se destaca por suas características avançadas de anti-censura, prometendo contornar bloqueios severos. A empresa oferece um serviço gratuito, essencial para aqueles que não podem pagar por opções premium, mas também disponibiliza uma versão paga com recursos adicionais, como uma rede de servidores em 127 países e uma política rigorosa de não registro. O Proton VPN também introduziu o protocolo Stealth e um recurso de ícone discreto para evitar a detecção em ambientes de censura. Essa ferramenta é especialmente relevante em países com alta vigilância e censura, tornando-se uma solução viável para quem busca privacidade e liberdade online.

Campanha de malvertising usa instaladores falsos para espalhar malware

A campanha de malvertising chamada TamperedChef está em andamento, utilizando instaladores falsos que se disfarçam como softwares populares para enganar usuários e instalar malware. O objetivo principal é estabelecer persistência e entregar um malware em JavaScript que permite acesso remoto e controle. Os atacantes empregam engenharia social, utilizando nomes de aplicativos comuns, malvertising e certificados digitais abusados para aumentar a confiança do usuário e evitar a detecção de segurança. Os instaladores falsos são assinados com certificados de empresas de fachada registradas em países como EUA, Panamá e Malásia. A campanha, que faz parte de um conjunto mais amplo de ataques denominado EvilAI, tem como alvo usuários que buscam editores de PDF ou manuais de produtos, levando-os a domínios maliciosos. Após a instalação, um backdoor em JavaScript é ativado, conectando-se a servidores externos e enviando informações básicas sobre o sistema infectado. A campanha já afetou setores como saúde, construção e manufatura, com uma concentração significativa de infecções nos EUA e em menor grau em países como Israel e Alemanha. Os dados indicam que os atacantes podem estar buscando monetizar o acesso a outros cibercriminosos ou coletar dados sensíveis para venda em fóruns clandestinos.

Ciberataques iranianos conectam guerra cibernética a ataques físicos

Um recente relatório da equipe de inteligência de ameaças da Amazon revela que atores de ameaças ligados ao Irã estão utilizando operações cibernéticas para facilitar ataques físicos, uma prática que a empresa chama de ‘alvo cinético habilitado por ciber’. O relatório destaca que as linhas entre ataques cibernéticos patrocinados por estados e a guerra cinética estão se tornando cada vez mais tênues. O CISO da Amazon, CJ Moses, afirma que essas operações não são meros ataques cibernéticos que causam danos físicos, mas sim campanhas coordenadas onde operações digitais são projetadas para apoiar objetivos militares físicos. Exemplos incluem o grupo Imperial Kitten, que realizou reconhecimento digital de sistemas de identificação automática de navios, e o grupo MuddyWater, que acessou câmeras de vigilância em tempo real para coletar inteligência visual. Esses casos demonstram como a espionagem cibernética pode servir como um trampolim para ataques físicos direcionados, ressaltando a necessidade de uma nova abordagem na segurança cibernética que integre ameaças digitais e físicas. A Amazon alerta que essa evolução na guerra representa um desafio significativo para a segurança global e a infraestrutura crítica.

Polícia derruba mais de 6 mil links extremistas escondidos em games

Uma operação da Europol resultou na remoção de mais de 6 mil links que continham conteúdos extremistas em plataformas de jogos, com a colaboração de oito países. Dentre os links removidos, 5.408 estavam relacionados a conteúdos jihadistas, 1.070 a materiais de extrema-direita e 105 a publicações racistas e xenofóbicas. Os especialistas apontam que os criadores desses conteúdos utilizam plataformas de jogos e transmissões ao vivo para disseminar suas mensagens, aproveitando chats em tempo real e fóruns de discussão. A dificuldade em identificar contas extremistas nessas plataformas é um desafio, pois muitas não apresentam ligações visíveis com esse tipo de conteúdo. A ação da Europol visa coibir a propagação de materiais extremistas na internet, especialmente entre jovens, e reflete uma preocupação crescente com a segurança online e a influência de conteúdos nocivos em ambientes populares entre os usuários de jogos.

Golpistas usam e-mail oficial do Facebook para roubar contas

Pesquisadores da Check Point Research alertam sobre uma nova onda de e-mails de phishing que utilizam o domínio legítimo @facebookmail.com para enganar administradores de contas do Facebook Ads. Esses e-mails, que aparentam ser comunicações oficiais da Meta, têm como objetivo roubar credenciais de acesso. Aproximadamente 40 mil e-mails foram enviados a cerca de 5 mil usuários em várias regiões, incluindo Austrália, Canadá, Europa e Estados Unidos. Os assuntos das mensagens incluem ‘Verificação de Conta Necessária’ e ‘Convite para parceria Meta Agency’. Ao clicar nos links, as vítimas são direcionadas a páginas fraudulentas que imitam o branding da Meta, hospedadas em domínios como vercel.app. A campanha é massiva e visa empresas que dependem da Meta para marketing, como setores automotivo, educacional e financeiro. Para se proteger, recomenda-se a ativação da autenticação em duas etapas e a verificação de convites diretamente na plataforma do Facebook Business antes de clicar em links suspeitos.

Google sinaliza apps que consomem muita bateria na Play Store

O Google anunciou que começará a sinalizar aplicativos na Play Store que apresentam consumo excessivo de bateria em dispositivos Android. Essa iniciativa visa informar os usuários sobre o impacto que determinados aplicativos podem ter na performance da bateria de seus dispositivos. A sinalização será feita na página do aplicativo, destacando um aviso para aqueles que ultrapassarem um limite de 5% de consumo em segundo plano, medido ao longo de 28 dias. Essa medida é parte de um esforço maior do Google para aprimorar a experiência do usuário e a qualidade técnica dos aplicativos disponíveis na loja. Embora a empresa tenha sido questionada sobre a possibilidade de a nova métrica detectar spyware e malware, ela esclareceu que o foco é apenas na performance da bateria. No entanto, o consumo excessivo de bateria pode ser um indicativo de que um dispositivo está infectado por software malicioso, já que esses programas frequentemente operam em segundo plano, drenando a energia do aparelho. Essa nova diretriz pode servir como um alerta para os usuários sobre a segurança de seus dispositivos, especialmente em um cenário onde o cibercrime está em ascensão.

Cuidado Hackers criam 4 mil sites de viagens falsos para roubar dados

Uma nova campanha de phishing foi identificada, envolvendo a criação de aproximadamente 4.300 sites fraudulentos de reservas de hotéis, com o objetivo de roubar dados de usuários. A pesquisa, conduzida por Andrew Brandt da Netcraft, revelou que hackers russos estão por trás dessa ação, que começou em fevereiro de 2025. Entre os sites falsos, 685 imitam o Booking.com, um dos portais de viagens mais populares. Os ataques ocorrem quando os usuários recebem e-mails que solicitam a confirmação de reservas em um curto prazo, levando-os a clicar em links que redirecionam para páginas fraudulentas. Essas páginas, que se apresentam como legítimas, solicitam informações de cartão de crédito sob a falsa premissa de que é necessário pagar uma taxa de reserva. O uso de um CAPTCHA falso e suporte em 43 idiomas amplia o alcance do golpe, tornando-o uma ameaça global. Os especialistas alertam que a campanha pode impactar significativamente a segurança dos dados pessoais e financeiros dos viajantes, exigindo atenção redobrada ao realizar reservas online.

Como uma ferramenta Unix antiga ressurgiu para executar comandos ocultos

O comando ‘finger’, uma ferramenta de consulta de usuários em sistemas Unix, voltou a ser explorado por atacantes para executar comandos remotos e roubar dados sem que os usuários percebam. Embora tenha caído em desuso, o método atual utiliza scripts em lote que fazem requisições a servidores ‘finger’ remotos, canalizando as respostas diretamente para sessões de comando do Windows. Um exemplo notável envolveu um usuário que, acreditando estar completando uma verificação humana, na verdade executou um comando que se conectava a um endereço ‘finger’, permitindo que um script malicioso fosse executado localmente.

Grupo de ransomware Sinobi ataca Heywood Healthcare em Massachusetts

O grupo de ransomware Sinobi reivindicou um ataque cibernético contra o Heywood Healthcare, localizado em Massachusetts, que resultou na paralisação dos sistemas de TI em suas duas unidades: Heywood Hospital em Gardner e Athol Hospital em Athol. O ataque, que começou em 12 de outubro, levou à interrupção de serviços essenciais, embora a maioria tenha sido restaurada até 31 de outubro. Sinobi afirmou ter roubado 550 GB de dados e exigiu um resgate não revelado. Até o momento, Heywood não confirmou a veracidade da reivindicação do grupo, e detalhes sobre o número de pessoas afetadas e a natureza dos dados comprometidos permanecem desconhecidos. O Sinobi é conhecido por operar um esquema de ransomware como serviço, permitindo que afiliados utilizem sua infraestrutura para realizar ataques. Em 2025, foram registrados 75 ataques confirmados de ransomware em provedores de saúde nos EUA, comprometendo cerca de 7,6 milhões de registros. A situação ressalta a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem comprometer a segurança e a privacidade dos pacientes.