Pesquisadores da Bitdefender alertam sobre uma nova campanha de cibercriminosos que utiliza anúncios falsos no Facebook e Telegram para disseminar o spyware Brokewell em dispositivos Android. O malware, que se disfarça como aplicativos legítimos como o TradingView, tem como alvo usuários específicos na União Europeia, prometendo versões gratuitas de aplicativos premium e itens de alto valor. Desde sua aparição em abril de 2024, o Brokewell evoluiu para um spyware e um trojan de acesso remoto (RAT), permitindo que os atacantes obtenham permissões administrativas e controlem completamente os dispositivos infectados. Uma vez instalado, o malware pode roubar criptomoedas, contornar autenticações de dois fatores e monitorar atividades sensíveis, como mensagens de texto e gravações de áudio e vídeo. Para se proteger, os especialistas recomendam evitar clicar em anúncios de redes sociais, verificar a autenticidade dos sites acessados e revisar as permissões solicitadas pelos aplicativos. A situação é alarmante, especialmente considerando a centralização das finanças pessoais em dispositivos móveis.

A Palo Alto Networks, através da sua unidade de resposta a incidentes, Unit 42, confirmou um ataque à cadeia de suprimentos que resultou na exposição de dados de clientes por meio da integração Drift da Salesloft com o Salesforce. O ataque foi identificado após o uso não autorizado de tokens de API, levando a equipe de segurança a revogar credenciais de fornecedores e isolar a aplicação comprometida. Embora centenas de organizações tenham sido afetadas, a resposta rápida da Palo Alto garantiu a resiliência operacional e a ausência de impacto em seus produtos principais.

Um estudo recente revelou que agentes de cibersegurança alimentados por inteligência artificial (IA) estão vulneráveis a ataques de injeção de prompt, um novo vetor de ameaça que pode comprometer redes inteiras. Esses ataques exploram a capacidade dos Modelos de Linguagem de Grande Escala (LLMs) de interpretar comandos em linguagem natural, transformando respostas confiáveis em comandos não autorizados. O processo do ataque ocorre em quatro etapas: reconhecimento, recuperação de conteúdo, decodificação de comandos e execução de um shell reverso, permitindo que atacantes obtenham acesso total ao sistema em menos de 20 segundos. Além da obfuscação básica em base64, o estudo identificou seis vetores adicionais que aumentam o risco, como a exfiltração de variáveis de ambiente e ataques homográficos em Unicode. Para mitigar essa ameaça, os pesquisadores propuseram uma arquitetura de defesa em quatro camadas, que inclui isolamento de operações, proteção contra padrões suspeitos e validação em múltiplas camadas. Testes mostraram que essas defesas conseguiram bloquear todas as tentativas de injeção, embora com um pequeno aumento na latência. Essa vulnerabilidade representa um risco significativo para a segurança cibernética, exigindo atenção imediata de profissionais da área.

Um ataque DDoS volumétrico sem precedentes, atingindo 11,5 terabits por segundo (Tbps), foi detectado e neutralizado pela Cloudflare em 1º de setembro de 2025. O ataque, que durou apenas 35 segundos, originou-se principalmente de recursos comprometidos na Google Cloud Platform, utilizando o protocolo UDP para inundar servidores-alvo com pacotes, esgotando sua largura de banda e recursos. A Cloudflare conseguiu mitigar o ataque rapidamente por meio de seu sistema automatizado de defesa, que combina detecção de anomalias baseada em aprendizado de máquina com filtragem de pacotes. Este incidente destaca a crescente tendência de adversários que exploram recursos de nuvem pública para criar botnets capazes de gerar tráfego em larga escala. A empresa planeja publicar uma análise técnica detalhada para ajudar a comunidade de cibersegurança a desenvolver defesas mais robustas contra essas ameaças. À medida que as táticas de DDoS evoluem, ataques hipervolumétricos representam um risco significativo para serviços online e infraestrutura crítica.

Recentemente, circularam rumores de que o Google havia enviado um alerta de segurança urgente a todos os usuários do Gmail. No entanto, a empresa confirmou que não houve tal notificação em massa. O Gmail utiliza uma estratégia de defesa em camadas, que inclui autenticação de remetente através de protocolos como SPF, DKIM e DMARC, além de análise de conteúdo para detectar anexos maliciosos e URLs embutidos. O sistema de detecção de anomalias, apoiado por modelos de aprendizado de máquina, analisa bilhões de sinais anônimos para identificar comportamentos incomuns. Essa abordagem impede que mais de 99,9% das ameaças de phishing e malware cheguem às caixas de entrada dos usuários. O Google também recomenda que os usuários adotem métodos de autenticação modernos, como Passkeys, que eliminam os riscos associados ao roubo de senhas. Além disso, o Gmail oferece avisos de phishing e incentiva os usuários a reportarem mensagens suspeitas, contribuindo para a melhoria contínua dos algoritmos de detecção. Para aumentar a segurança, o Google sugere que os usuários verifiquem cuidadosamente os endereços dos remetentes e mantenham seus dispositivos atualizados.

Uma vulnerabilidade crítica foi identificada no componente do servidor web ESPHome na plataforma ESP-IDF, permitindo que hackers acessem dispositivos de casa inteligente sem credenciais válidas. O problema decorre do manuseio inadequado do cabeçalho de autenticação HTTP Basic, que anula efetivamente a autenticação nos dispositivos afetados. A falha permite que qualquer prefixo da string de credenciais correta, incluindo uma string vazia, passe na verificação de autenticação. Isso significa que um invasor pode obter acesso completo à interface do servidor web, incluindo a funcionalidade de atualização Over-the-Air (OTA), sem necessidade de conhecimento de usuário ou senha. As implicações de segurança são graves, pois permitem o controle não autenticado de dispositivos como luzes e fechaduras, além da possibilidade de injeção de firmware malicioso. A vulnerabilidade foi corrigida nas versões ESPHome 2025.8.1 e posteriores. Enquanto os dispositivos não forem atualizados, recomenda-se desativar o componente web_server e implementar controles de rede para restringir o acesso. Fabricantes devem incentivar os usuários a aplicar as atualizações imediatamente, uma vez que manter o software atualizado é crucial para a segurança dos ambientes conectados.

Pesquisadores de cibersegurança identificaram uma rede de IPs ucranianos envolvida em campanhas massivas de força bruta e ‘password spraying’ direcionadas a dispositivos SSL VPN e RDP entre junho e julho de 2025. A atividade se originou de um sistema autônomo baseado na Ucrânia, o FDN3 (AS211736), que faz parte de uma infraestrutura abusiva mais ampla, incluindo outras redes ucranianas e um sistema baseado nas Seychelles. Essas redes, alocadas em agosto de 2021, frequentemente trocam prefixos IPv4 para evitar bloqueios e continuar suas atividades maliciosas. Os ataques, que atingiram um pico recorde entre 6 e 8 de julho de 2025, são utilizados por grupos de ransomware como vetor inicial para invadir redes corporativas. A análise também revelou conexões com provedores de hospedagem ‘bulletproof’, que oferecem anonimato e facilitam a continuidade das atividades maliciosas. A situação é preocupante, pois destaca a vulnerabilidade de tecnologias amplamente utilizadas, como VPNs e RDPs, que são alvos frequentes de ataques cibernéticos.

Um relatório do MIT revelou que 40% das organizações adquiriram assinaturas de LLMs empresariais, mas mais de 90% dos funcionários utilizam ferramentas de IA no dia a dia. A pesquisa da Harmonic Security indica que 45,4% das interações sensíveis com IA ocorrem em contas de e-mail pessoais, o que levanta preocupações sobre a chamada ‘Economia de IA Sombra’. Essa situação ocorre porque a adoção de IA é impulsionada pelos funcionários, e não por diretrizes corporativas. Muitas empresas tentam bloquear o acesso a plataformas de IA, mas essa estratégia falha, pois a IA está integrada em quase todos os aplicativos SaaS. Para mitigar riscos, as equipes de segurança precisam entender e governar o uso de IA, tanto em contas autorizadas quanto não autorizadas. A descoberta da IA Sombra é essencial para manter a conformidade regulatória e proteger dados sensíveis. A Harmonic Security oferece soluções para monitorar o uso de IA e aplicar políticas de governança adequadas, permitindo que as empresas se beneficiem da produtividade da IA, enquanto protegem suas informações.

Uma avaliação recente de cibersegurança realizada pela equipe HUNTER da Resecurity revelou uma falha crítica no Azure Active Directory (Azure AD), onde credenciais de aplicativos, como ClientId e ClientSecret, foram expostas em um arquivo appsettings.json acessível publicamente. Essa configuração inadequada permite que atacantes realizem solicitações de token não autorizadas contra os endpoints OAuth 2.0 da Microsoft, possibilitando acesso direto a dados do Microsoft Graph e Microsoft 365.

No cenário revelado, o arquivo appsettings.json continha informações sensíveis que, se acessadas, permitem que um invasor execute o fluxo de credenciais do cliente OAuth 2.0, obtendo um token de acesso que concede acesso programático a endpoints da API Graph. Com isso, os atacantes podem recuperar dados sensíveis de serviços como SharePoint e OneDrive, enumerar usuários e grupos, e até mesmo implantar aplicativos maliciosos sob o inquilino comprometido.

Uma nova campanha de phishing sofisticada está afetando usuários do WhatsApp, onde mensagens enganosas de contatos, como “Oi, encontrei sua foto por acaso!”, são utilizadas para induzir cliques em links maliciosos. Ao clicar, as vítimas são redirecionadas para uma página falsa de login do Facebook, onde, ao inserir suas credenciais, os hackers conseguem explorar a funcionalidade de vinculação de dispositivos do WhatsApp. Isso permite que os atacantes assumam o controle total das conversas, mídias e contatos da vítima.

A HashiCorp divulgou uma vulnerabilidade crítica no Vault, identificada como CVE-2025-6203, que afeta as edições Community e Enterprise entre as versões 1.15.0 e 1.20.2. Essa falha permite que atacantes criem payloads JSON complexos que, embora respeitem o limite de tamanho de requisição padrão (32 MiB), podem causar alocação excessiva de memória e alto consumo de CPU, resultando em negação de serviço (DoS) ao deixar o servidor inoperante. A vulnerabilidade foi detalhada no boletim de segurança HCSEC-2025-24, publicado em 28 de agosto de 2025. Para mitigar os riscos, a HashiCorp recomenda que as organizações atualizem para as versões 1.20.3, 1.19.9, 1.18.14 ou 1.16.25, onde a falha foi corrigida. Além disso, novas configurações de listener podem ser aplicadas para limitar a complexidade dos payloads JSON, como profundidade máxima de JSON e tamanho máximo de strings. As empresas são incentivadas a migrar para o novo HCP Vagrant Registry, que oferece uma solução gerenciada para armazenamento e distribuição de artefatos Vagrant, garantindo maior resiliência operacional e segurança da infraestrutura.

Entre junho e julho de 2025, uma campanha coordenada de ataques de força bruta e password-spraying visou dispositivos SSL VPN e RDP em todo o mundo, com foco em sistemas interconectados registrados na Ucrânia e nas Seychelles. Analistas de segurança identificaram a atividade como sendo atribuída ao FDN3 (AS211736), controlado por Dmytro Nedilskyi, que realizou centenas de milhares de tentativas de login em um curto período. Os ataques utilizaram listas de credenciais conhecidas e visaram portas RDP e SSL VPN, com uma taxa de tentativas de 5.000 a 10.000 por hora. A infraestrutura dos atacantes é altamente evasiva, utilizando trocas de prefixos para evitar bloqueios e manter a pressão sobre os alvos. As organizações são aconselhadas a adotar estratégias proativas de detecção e resposta, utilizando serviços de inteligência de ameaças para mitigar esses ataques antes que ocorram. A situação representa um risco significativo para empresas que utilizam essas tecnologias, especialmente em um cenário onde a proteção de dados é crucial.

Pesquisadores de segurança identificaram uma vulnerabilidade crítica, chamada AR-Slip, na versão 4.4.0 da ferramenta MobSF, que permite a usuários autenticados sobrescrever arquivos arbitrários no sistema de arquivos do host. Essa falha, registrada como GHSA-9gh8-9r95-3fc3, resulta de uma validação insuficiente de nomes de arquivos absolutos durante a extração de bibliotecas estáticas. O problema ocorre quando a função ar_extract não verifica adequadamente se os caminhos são relativos, permitindo que um atacante sobrescreva arquivos críticos, como bancos de dados e arquivos de configuração. Para mitigar os riscos, os usuários devem atualizar para a versão 4.4.1, que corrige essa vulnerabilidade ao normalizar os nomes dos arquivos e garantir que os caminhos de extração permaneçam dentro do diretório designado. A exploração dessa vulnerabilidade pode levar a distorções de integridade, interrupções de serviço e até mesmo escalonamento de privilégios em sistemas mal configurados. Portanto, é crucial que as equipes de segurança implementem práticas de verificação rigorosas para evitar tais falhas no futuro.

Os ataques de ransomware aumentaram em agosto de 2025, subindo de 473 em julho para 506, representando um crescimento de 7%. Este é o segundo mês consecutivo de alta após uma queda de março a junho. Um ataque inédito atingiu o Estado de Nevada, afetando serviços essenciais e deixando cidadãos sem acesso a informações críticas. Embora os ataques a governos continuem a ser uma preocupação, o setor de manufatura registrou um aumento significativo de 57% nos ataques, totalizando 113 incidentes. Em contraste, os setores de saúde e educação tiveram apenas um ataque confirmado cada, mas um número maior de ataques não confirmados. O grupo de ransomware mais ativo foi o Qilin, responsável por 86 ataques, seguido por Akira e Sinobi. No total, 30 ataques foram confirmados, com 17 direcionados a empresas e 11 a entidades governamentais. O impacto financeiro e operacional desses ataques é significativo, exigindo atenção especial dos CISOs, especialmente em setores críticos como saúde e manufatura.

Pesquisadores em cibersegurança descobriram um pacote npm malicioso chamado nodejs-smtp, que se disfarça como uma biblioteca de e-mail legítima (nodemailer) e tem como alvo aplicativos de desktop para carteiras de criptomoedas, como Atomic e Exodus, em sistemas Windows. Desde sua publicação em abril de 2025, o pacote teve 347 downloads antes de ser removido do registro npm. Ao ser importado, ele utiliza ferramentas do Electron para descompactar o arquivo app.asar da Atomic Wallet, substituindo um pacote legítimo por um payload malicioso e reempacotando o aplicativo, eliminando vestígios da operação. O principal objetivo é redirecionar transações de criptomoedas, como Bitcoin e Ethereum, para carteiras controladas pelo atacante, atuando como um ‘clipper’ de criptomoedas. Apesar de sua funcionalidade maliciosa, o pacote ainda opera como um mailer, o que reduz a suspeita dos desenvolvedores. Essa descoberta ressalta os riscos associados a importações rotineiras em estações de trabalho de desenvolvedores, que podem modificar silenciosamente aplicativos de desktop e persistir após reinicializações.

O grupo de cibercriminosos conhecido como Silver Fox tem utilizado um driver vulnerável, o “amsdk.sys”, associado ao WatchDog Anti-malware, em um ataque do tipo Bring Your Own Vulnerable Driver (BYOVD). Este driver, que é um dispositivo do kernel do Windows assinado pela Microsoft, apresenta falhas que permitem a desativação de soluções de segurança em sistemas comprometidos. A campanha, identificada pela Check Point, visa neutralizar produtos de proteção de endpoint, facilitando a instalação de malware sem acionar defesas baseadas em assinatura.

Pesquisadores da ESET, Anton Cherepanov e Peter Strycek, descobriram o PromptLock, o primeiro ransomware desenvolvido com a ajuda de inteligência artificial. Embora ainda não tenha sido visto em ação, a ESET alertou a comunidade de cibersegurança sobre essa nova ameaça. O PromptLock utiliza o modelo gpt-oss-20b da OpenAI, que é uma versão gratuita do ChatGPT, e opera localmente em dispositivos infectados através da API Ollama.

O ransomware é capaz de inspecionar arquivos, extrair dados e criptografá-los, podendo futuramente ser utilizado para extorsão. Ele é compatível com sistemas operacionais Windows, Linux e macOS. O código do malware indica que ele pode até destruir arquivos, embora essa funcionalidade ainda não esteja totalmente implementada. O PromptLock utiliza a encriptação SPECK de 128 bits e é escrito na linguagem Go. A ESET também observou que variantes do malware foram enviadas para a plataforma VirusTotal, que serve como repositório de vírus para especialistas em segurança.

Na madrugada de 29 de agosto de 2025, a Sinqia, empresa brasileira de software financeiro, sofreu um ataque cibernético que comprometeu a infraestrutura do sistema de pagamentos Pix. Os hackers desviaram R$ 420 milhões, sendo R$ 380 milhões do HSBC e R$ 40 milhões da sociedade de crédito Artta. Apesar da gravidade do incidente, R$ 350 milhões foram recuperados. O ataque ocorreu em um contexto de alerta do Banco Central sobre movimentações suspeitas com criptoativos, sugerindo uma preparação para ações maliciosas. A Sinqia isolou o ambiente do Pix e desconectou-o do Banco Central para realizar uma análise interna, garantindo que nenhum dado pessoal foi comprometido e que outros sistemas da empresa não foram afetados. O HSBC também confirmou que as contas dos clientes não foram impactadas, pois as transações ocorreram diretamente no sistema da Sinqia. A empresa está reconstruindo os sistemas afetados, que passarão por revisão antes de serem reativados.

O Google desmentiu rumores sobre um ataque hacker que teria exposto 2,5 bilhões de contas do Gmail. Em uma declaração oficial, a empresa afirmou que suas proteções são robustas e eficazes, bloqueando mais de 99,9% das tentativas de phishing e malware. Os boatos surgiram após a divulgação de dois incidentes de segurança que afetaram apenas alguns clientes corporativos, sem comprometer a segurança das contas do Gmail e do Google Workspace. O primeiro incidente envolveu acesso indevido a dados públicos de clientes na plataforma Salesforce, enquanto o segundo se referiu a uma instância do Salesloft Drift, que não afetou outras contas no domínio do Workspace. O Google enfatizou que continua a investir em segurança e recomenda que os usuários adotem práticas como o uso de chaves de acesso para aumentar a proteção de suas contas.

Pesquisadores de cibersegurança da Trustwave SpiderLabs identificaram um aumento alarmante em ataques de phishing, onde criminosos cibernéticos estão explorando plataformas de marketing por e-mail e serviços em nuvem legítimos para contornar controles de segurança e enganar vítimas. O sistema de escaneamento de URLs da empresa detectou um aumento significativo em campanhas sofisticadas que utilizam a reputação de plataformas populares para evitar detecções e roubar credenciais corporativas.

Os atacantes estão abusando de serviços de marketing por e-mail, como o domínio de rastreamento ‘klclick3.com’, para criar e-mails de phishing que disfarçam URLs maliciosos como notificações de correio de voz. Além disso, a infraestrutura da Amazon Web Services (AWS) está sendo utilizada para hospedar conteúdo malicioso, explorando a confiança inerente à plataforma. As campanhas recentes incluem e-mails com temas de “Pagamento” que redirecionam para sites de phishing que imitam serviços legítimos, como o Roundcube Webmail.

Uma operação de phishing em larga escala está atacando a indústria de hospitalidade por meio de anúncios maliciosos em motores de busca. Os cibercriminosos estão se passando por pelo menos treze provedores de serviços de hotéis e aluguel de férias para roubar credenciais e invadir sistemas de gerenciamento de propriedades baseados em nuvem. A campanha utiliza malvertising, enganando usuários que buscam empresas legítimas. Anúncios patrocinados aparecem acima dos resultados autênticos, direcionando as vítimas para domínios que imitam sites legítimos. As páginas de phishing apresentam formulários de login falsos projetados para coletar nomes de usuário, endereços de e-mail, números de telefone e senhas. Os atacantes demonstram táticas avançadas para contornar a autenticação multifatorial (MFA), solicitando códigos de “senha única” e oferecendo opções de “Login com Código SMS” e “Código de E-mail” para capturar tokens de autenticação em tempo real. A análise técnica sugere que os responsáveis pela campanha têm origens russas, utilizando uma infraestrutura sofisticada para monitorar o engajamento das vítimas. A operação representa riscos significativos para a indústria, expondo informações pessoais e dados de pagamento dos hóspedes. Especialistas recomendam que as organizações priorizem métodos de autenticação resistentes a phishing e monitorem registros de domínios suspeitos.

Uma vulnerabilidade crítica foi identificada no sistema de gerenciamento Fleet da SUSE, que expõe dados sensíveis de configuração do Helm devido ao armazenamento não criptografado. O problema está relacionado ao manuseio de informações sensíveis através de recursos BundleDeployment, que são armazenados em formato de texto simples, permitindo que qualquer usuário com permissões de GET ou LIST acesse valores do Helm que contêm credenciais, chaves de API e senhas. Diferente do Helm v3, que utiliza segredos do Kubernetes para proteger esses dados, a implementação do Fleet não adota essas salvaguardas, deixando os valores vulneráveis tanto no nível de armazenamento quanto nas respostas da API. A SUSE já lançou patches que alteram fundamentalmente a forma como o Fleet lida com dados sensíveis, introduzindo capacidades de armazenamento de segredos dedicadas para cada recurso Bundle e BundleDeployment, garantindo criptografia e controles de acesso adequados. Organizações são aconselhadas a revisar suas implementações do Fleet e a implementar políticas de controle de acesso para mitigar os riscos enquanto os patches são aplicados.

A Microsoft anunciou que, a partir de outubro de 2024, a autenticação multifator (MFA) será obrigatória para todos os acessos ao portal Azure, como parte de um esforço para aumentar a segurança das contas dos usuários. Pesquisas da empresa indicam que a implementação da MFA pode prevenir mais de 99,2% dos ataques de comprometimento de contas, tornando essa medida crucial para a proteção de recursos na nuvem. A primeira fase da implementação exigirá MFA para operações administrativas em portais como o Azure e o Microsoft 365, enquanto a segunda fase, prevista para outubro de 2025, incluirá ferramentas de linha de comando e APIs. Os usuários que já utilizam MFA ou métodos de login sem senha não notarão mudanças, mas aqueles que não configuraram a MFA serão solicitados a fazê-lo ao tentar acessar suas contas. A Microsoft recomenda que as organizações revisem suas políticas de acesso condicional e realizem testes antes da implementação para evitar interrupções. Essa mudança visa reduzir a superfície de ataque e proteger recursos críticos contra acessos não autorizados.

Pesquisadores descobriram vulnerabilidades críticas nos robôs de serviço da Pudu Robotics, como BellaBot e KettyBot, que permitem que atacantes assumam o controle desses dispositivos em restaurantes, hospitais e hotéis. A falha está na autenticação das APIs de gerenciamento dos robôs, que não verificam se o portador do token de autenticação realmente possui autorização para controlar um robô específico. Isso possibilita que invasores criem ou cancelem tarefas, alterem configurações e até redirecionem robôs para locais não autorizados. Embora algumas ações possam parecer brincadeiras, como redirecionar um robô para entregar comida errada, as implicações em ambientes críticos, como hospitais, podem ser graves, colocando em risco a segurança dos pacientes. Após ser notificada sobre as falhas, a Pudu Robotics demorou a responder, o que levanta preocupações sobre a cultura de indiferença em relação à segurança cibernética na empresa. Especialistas alertam que é essencial implementar protocolos de segurança robustos para proteger a integridade dos serviços prestados por esses robôs.

Pesquisadores em cibersegurança alertam para uma nova tendência no cenário de malware para Android, onde aplicativos dropper, tradicionalmente usados para distribuir trojans bancários, agora também estão veiculando malwares mais simples, como ladrões de SMS e spyware básico. Essas campanhas estão sendo disseminadas por aplicativos que se disfarçam de aplicativos governamentais ou bancários, especialmente na Índia e em outras partes da Ásia. A ThreatFabric, empresa de segurança móvel, destacou que essa mudança é impulsionada pelas novas proteções de segurança que o Google implementou em mercados como Brasil, Índia, Singapura e Tailândia, visando bloquear a instalação de aplicativos suspeitos que solicitam permissões perigosas. Apesar das defesas do Google Play Protect, os atacantes estão adaptando suas táticas para contornar essas proteções, criando droppers que não solicitam permissões de alto risco e que exibem apenas uma tela de ‘atualização’ inofensiva. O verdadeiro payload é baixado apenas após o usuário clicar no botão de atualização. Um exemplo de dropper identificado é o RewardDropMiner, que tem sido utilizado para distribuir malwares direcionados a usuários na Índia. Além disso, uma nova campanha de malvertising está utilizando anúncios maliciosos no Facebook para disseminar um trojan bancário, atingindo usuários na União Europeia. Essa situação destaca a constante evolução das táticas dos cibercriminosos e a necessidade de vigilância contínua.

O macOS, apesar de suas robustas proteções nativas, continua sendo um alvo atrativo para cibercriminosos. Este artigo analisa três mecanismos de segurança fundamentais do sistema: Keychain, System Integrity Protection (SIP) e o framework Transparency, Consent, and Control (TCC). O Keychain, gerenciador de senhas do macOS, é vulnerável a ferramentas como Chainbreaker, que podem descriptografar arquivos de chave se o invasor obtiver a senha. O SIP protege diretórios críticos do sistema, mas pode ser desativado por administradores em modo de recuperação, o que não é registrado por monitores padrão, exigindo atenção especial. O TCC controla o acesso de aplicativos a recursos sensíveis, mas ataques de clickjacking podem enganar usuários a conceder permissões indevidas. Além disso, o Gatekeeper, que verifica a assinatura de código, pode ser contornado por técnicas de engenharia social. Para mitigar esses riscos, é essencial que as organizações adotem soluções avançadas de EDR, implementem logs detalhados de criação de processos e utilizem regras Sigma específicas para macOS, visando detectar roubo de credenciais e violações de integridade do sistema. A evolução constante das táticas dos atacantes exige uma resposta rápida e eficaz para proteger os usuários do macOS.

A Salesforce lançou um guia de investigação forense em resposta a uma série de ataques cibernéticos, enfatizando a importância de as organizações que utilizam sua plataforma estarem preparadas para investigar e remediar incidentes de segurança rapidamente. O guia sugere a combinação de logs de atividade, análise de permissões e dados de backup para reconstruir eventos, avaliar impactos e fortalecer a resiliência contra ameaças futuras. Para uma análise forense mais profunda, recomenda-se habilitar o Shield Event Monitoring, que oferece três fontes de log distintas: Real Time Event Monitoring (RTEM), Event Log Objects (ELO) e Event Log Files (ELF). A análise inicial do impacto deve considerar o acesso e as permissões dos usuários comprometidos, utilizando ferramentas como o Who Sees What (WsW) Explorer. Além disso, a automação de respostas em tempo real através de Transaction Security Policies (TSP) é sugerida para bloquear ameaças imediatamente. O guia destaca a importância de monitorar continuamente as permissões e os logs para reduzir o tempo de permanência de incidentes e minimizar a perda de dados, garantindo a recuperação rápida de ambientes críticos da Salesforce.

A MediaTek divulgou seu Boletim de Segurança de Produtos de setembro de 2025, revelando várias vulnerabilidades críticas em seus chipsets e firmware de modem. O boletim classifica sete falhas, sendo três de alta severidade que podem permitir escalonamento de privilégios remoto ou negação de serviço quando um equipamento de usuário se conecta a uma estação base maliciosa. As falhas de alta severidade incluem CVE-2025-20708 e CVE-2025-20703, que envolvem acessos de memória fora dos limites, e CVE-2025-20704, que requer reconexão do usuário a uma rede comprometida. As vulnerabilidades de severidade média, relacionadas ao uso após a liberação de memória, afetam módulos específicos em versões do Android e Linux. A MediaTek já forneceu patches para corrigir essas falhas, e os fabricantes de dispositivos devem garantir que as atualizações de firmware sejam implementadas. A empresa não encontrou evidências de exploração ativa dessas vulnerabilidades até o momento, mas recomenda que os OEMs integrem as correções e realizem testes de segurança para evitar possíveis ataques futuros.

No dia 31 de agosto de 2025, pesquisadores de segurança revelaram a vulnerabilidade CVE-2025-29927, que afeta o framework Next.js. Essa falha permite que atacantes contornem a autenticação ao manipular o cabeçalho x-middleware-subrequest, possibilitando o acesso não autorizado a rotas protegidas. O problema ocorre devido ao tratamento inadequado desse cabeçalho nas middleware do Next.js, que é utilizado para diferenciar subrequisições internas de chamadas HTTP externas. Ao forjar esse cabeçalho, um invasor pode fazer com que o servidor trate uma solicitação externa como uma subrequisição, ignorando as verificações de autorização. A vulnerabilidade se manifesta de maneiras diferentes nas versões do Next.js, sendo mais crítica nas versões anteriores à 12.2, onde a exploração é mais direta. Para mitigar os riscos, recomenda-se a atualização para a versão 13.2.1 ou superior, que corrige a lógica de parsing do cabeçalho e implementa verificações de autorização explícitas. Organizações que utilizam o Next.js devem auditar suas implementações de middleware e aplicar patches imediatamente para proteger suas aplicações contra esse exploit de alto risco.

Um pesquisador de segurança, Bálint Magyar, revelou uma vulnerabilidade crítica no Google Web Designer para Windows, que afeta versões anteriores à 16.4.0.0711. A falha permite a execução remota de código (RCE) através da injeção de CSS no arquivo de configuração gwd_workspace.json. Os atacantes podem inserir regras CSS maliciosas que, quando ativadas, acionam a API interna do Chrome, permitindo que comandos arbitrários sejam executados no computador da vítima. Essa vulnerabilidade é particularmente preocupante, pois requer apenas a interação mínima do usuário, como abrir um documento malicioso e selecionar uma opção no seletor de cores. O Google já lançou uma atualização que corrige essa falha, e os usuários são aconselhados a atualizar imediatamente para evitar possíveis ataques. Além disso, as equipes de segurança devem auditar arquivos gwd_workspace.json personalizados e restringir o acesso a compartilhamentos de arquivos de rede para mitigar riscos adicionais. Essa descoberta ressalta os perigos de misturar componentes nativos e da web em aplicações modernas, enfatizando a necessidade de validação rigorosa de entradas e isolamento de APIs internas.

À medida que as empresas transferem suas operações para navegadores, os desafios de segurança cibernética aumentam. Um estudo recente revela que mais de 80% dos incidentes de segurança têm origem em aplicações web acessadas por navegadores como Chrome, Edge e Firefox. O grupo de hackers conhecido como Scattered Spider, também chamado de UNC3944, tem se destacado por sua abordagem focada em roubar dados sensíveis diretamente dos navegadores. Suas táticas incluem a exploração de credenciais salvas, manipulação do ambiente do navegador e uso de técnicas avançadas como injeção de JavaScript e extensões maliciosas. Para combater essas ameaças, os CISOs devem adotar uma estratégia de segurança em múltiplas camadas, que inclui proteção contra roubo de credenciais, governança de extensões e monitoramento de atividades no navegador. O artigo serve como um alerta para que os líderes de segurança elevem a segurança do navegador a um pilar central de defesa, considerando a crescente sofisticação dos ataques cibernéticos.

O cenário atual da cibersegurança revela que os ataques não se concentram mais em falhas isoladas, mas em uma rede de pequenas vulnerabilidades que, quando combinadas, podem resultar em riscos significativos. Recentemente, o WhatsApp corrigiu uma vulnerabilidade em seus aplicativos para iOS e macOS, que poderia ter sido explorada em conjunto com uma falha da Apple, permitindo que usuários não autorizados acessassem conteúdos de URLs arbitrárias. Além disso, o Departamento do Tesouro dos EUA sancionou uma rede de trabalhadores de TI fraudulentos da Coreia do Norte, que gerou receitas para programas de armas de destruição em massa. Também foi relatada uma falha crítica no Docker Desktop, que poderia permitir que atacantes assumissem o controle do sistema host. Outro ataque notável foi o MixShell, que visou fabricantes e empresas de cadeia de suprimentos nos EUA, utilizando formulários de contato para enganar as vítimas. O grupo UNC6395 comprometeu instâncias do Salesforce, enquanto o Storm-0501 evoluiu suas táticas de ransomware, explorando contas privilegiadas. Esses incidentes destacam a necessidade de uma abordagem proativa na segurança cibernética, onde a interação entre pequenas falhas pode levar a consequências devastadoras.

O uso crescente de ferramentas de inteligência artificial (IA) está transformando o desenvolvimento de aplicativos, mas também facilitando ataques cibernéticos mais sofisticados. Com a previsão de que, até 2028, 90% dos engenheiros de software utilizarão assistentes de código baseados em IA, a velocidade de produção de aplicativos está aumentando. No entanto, essa mesma tecnologia está sendo explorada por cibercriminosos, que agora podem reverter engenharia e analisar aplicativos com facilidade. O relatório de 2025 da Digital.ai revela que 83% dos aplicativos foram atacados em janeiro de 2025, destacando a vulnerabilidade das aplicações, especialmente as móveis, que são frequentemente menos monitoradas. Além disso, novas técnicas de ataque, como o uso de modelos de linguagem para criar malware, estão tornando a detecção de ameaças mais difícil. Para mitigar esses riscos, as empresas devem integrar a segurança diretamente no processo de desenvolvimento, utilizando controles como RASP e criptografia avançada. A proteção de aplicativos em produção é essencial, pois cada aplicativo representa uma superfície de ataque que pode ser explorada. A segurança moderna não é apenas uma necessidade, mas uma prioridade para garantir a inovação sem comprometer a proteção.

A equipe de inteligência de ameaças da Amazon interrompeu recentemente uma campanha sofisticada de watering hole orquestrada pelo grupo de hackers APT29, vinculado ao estado russo e conhecido como Midnight Blizzard. Utilizando sites comprometidos e explorando o fluxo de autenticação de código de dispositivo da Microsoft, a campanha visava coletar credenciais e expandir os esforços de coleta de inteligência global do grupo.

A nova tática do APT29 envolve a injeção de JavaScript ofuscado em sites legítimos, redirecionando cerca de 10% dos visitantes para domínios maliciosos que imitavam páginas de verificação da Cloudflare. A análise técnica revelou truques avançados de evasão, como redirecionamento de apenas uma fração do tráfego e uso de cookies para bloquear redirecionamentos repetidos.

Pesquisadores de segurança da watchTowr Labs revelaram uma cadeia de vulnerabilidades críticas no Sitecore Experience Platform, que afeta mais de 22.000 instâncias globalmente. A principal falha, CVE-2025-53693, permite a manipulação do cache HTML sem autenticação, possibilitando que atacantes injetem conteúdo malicioso em páginas acessadas pelos usuários. A exploração se dá através do endpoint GET /-/xaml/Sitecore.Shell.Xaml.WebControl, onde parâmetros HTTP específicos são utilizados para sobrescrever o conteúdo legítimo do cache.

Além disso, a CVE-2025-53694 expõe a API ItemService, permitindo que atacantes enumerem itens cacheáveis e suas configurações, facilitando ataques de envenenamento de cache. A cadeia culmina na CVE-2025-53691, que permite a execução remota de código através de uma falha de desserialização insegura, onde atacantes com permissões de editor de conteúdo podem injetar código malicioso. A Sitecore lançou patches em junho e julho de 2025, e organizações que utilizam a plataforma devem aplicar as atualizações imediatamente para evitar a exploração dessas falhas.

A Microsoft anunciou a disponibilidade da versão 25H2 do Windows 11 (Build 26200.5074) para os usuários do Release Preview Channel. Esta atualização anual é entregue como um pacote de habilitação (eKB), permitindo que PCs elegíveis atualizem da versão 24H2 sem a necessidade de reinstalação completa do sistema operacional. O pacote simplesmente ativa novos recursos que já estão presentes nos dispositivos. Além disso, a versão 25H2 remove componentes legados como o PowerShell 2.0 e o WMIC, incentivando a migração para ferramentas de gerenciamento mais modernas. Para clientes comerciais, a atualização oferece opções de remoção de aplicativos pré-instalados via políticas de grupo ou MDM. A instalação está disponível para insiders que atendem aos requisitos de hardware, e os clientes comerciais têm caminhos adicionais de implantação, como Windows Update for Business e WSUS. A Microsoft também disponibilizará imagens do Azure Marketplace e ISOs para instalações limpas na próxima semana.

Em uma divulgação crítica datada de 29 de agosto de 2025, a IBM confirmou que certas versões do watsonx Orchestrate Cartridge para Cloud Pak for Data são vulneráveis a uma falha de Blind SQL Injection (CVE-2025-0165). Essa vulnerabilidade permite que atacantes autenticados manipulem registros de banco de dados. A falha está presente nas versões 4.8.4 a 4.8.5 e 5.0.0 a 5.2, onde a sanitização de entrada é inadequada, permitindo a injeção de comandos SQL maliciosos. A IBM classificou a vulnerabilidade com um CVSS 3.1 Base Score de 7.6, indicando um alto impacto em confidencialidade, com consequências limitadas para integridade e disponibilidade. A exploração dessa falha pode resultar na divulgação não autorizada de dados sensíveis, como credenciais e informações pessoais. Para mitigar os riscos, a IBM recomenda uma atualização imediata para a versão 5.2.0.1, que implementa a parametrização de entrada e a aplicação de instruções preparadas. Organizações que não puderem aplicar o patch devem implementar regras de firewall de aplicação web (WAF) para bloquear cargas úteis comuns de SQL injection e restringir o acesso à interface de gerenciamento do IBM Cloud Pak for Data.

Pesquisadores de segurança descobriram o ‘AI Waifu RAT’, um Trojan de Acesso Remoto disfarçado como uma ferramenta de pesquisa em IA. Criado por um entusiasta de criptografia, o malware se apresenta como um personagem virtual, ‘Win11 Waifu’, que promete personalização ao acessar arquivos locais. No entanto, ele oferece uma porta dos fundos para os computadores dos usuários. O RAT opera com uma arquitetura simples de cliente-servidor, escutando comandos em texto simples e permitindo a execução de código arbitrário. O autor utiliza táticas de engenharia social, como sugerir que os usuários desativem suas proteções antivírus, explorando a confiança em comunidades online. A implementação rudimentar do RAT é ofuscada por uma narrativa sofisticada que apela ao desejo dos usuários por experiências inovadoras. Este incidente destaca a necessidade de vigilância em relação a ferramentas que prometem execução de código arbitrário e a importância de educar os usuários sobre engenharia social. A ameaça representa um novo vetor de ataque, utilizando IA como canal de comando e controle, e requer atenção especial de profissionais de segurança.

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

A Engenharia Social é uma técnica de manipulação psicológica utilizada por golpistas para obter informações pessoais e financeiras de suas vítimas. Ao invés de depender de tecnologia complexa, esses criminosos exploram a confiança e a urgência, criando cenários que induzem as pessoas a agir rapidamente, como mensagens que alertam sobre contas bloqueadas ou prêmios inesperados. Os métodos mais comuns incluem phishing, spear phishing, vishing, smishing, baiting e pretexting, cada um com suas particularidades. Para se proteger, é fundamental estar atento a sinais de alerta, como erros de gramática, endereços de e-mail suspeitos e solicitações de informações sensíveis. Além disso, recomenda-se a ativação da autenticação de dois fatores e a verificação de comunicações através de canais oficiais. A conscientização sobre esses golpes é crucial, pois mesmo pessoas experientes em tecnologia podem ser enganadas. Compartilhar informações sobre Engenharia Social pode ajudar a proteger amigos e familiares, especialmente os mais vulneráveis, como crianças e idosos.

O phishing é uma técnica de ataque cibernético que utiliza engenharia social para enganar usuários e roubar informações sensíveis, como dados bancários e pessoais. Os criminosos criam mensagens falsas, geralmente via e-mail ou SMS, que parecem legítimas, induzindo as vítimas a clicar em links ou fornecer informações. Os ataques de phishing podem ser classificados em várias categorias, incluindo phishing tradicional, spear phishing, whaling, smishing e vishing, cada um com diferentes níveis de sofisticação e alvo. Para se proteger, é essencial ativar a autenticação de dois fatores, usar senhas fortes e únicas, e manter softwares atualizados. Além disso, é importante educar amigos e familiares sobre os riscos e sinais de alerta, como remetentes suspeitos e erros de gramática em comunicações. Caso alguém caia em um golpe, é fundamental agir rapidamente para minimizar os danos.

Os golpes de impersonação utilizando inteligência artificial (IA) estão em ascensão alarmante em 2025, com um aumento de 148% em comparação ao ano anterior, segundo especialistas em segurança. Esses golpes se aproveitam de tecnologias como clonagem de voz e deepfake para imitar com precisão a voz e a aparência de pessoas de confiança, como amigos, familiares e executivos de empresas. Os criminosos utilizam essas técnicas para realizar chamadas, reuniões por vídeo e enviar mensagens, criando um senso de urgência que pode levar as vítimas a agir rapidamente sem verificar a identidade do suposto remetente.

A Microsoft anunciou a implementação de um chip de segurança HSM (Hardware Security Module) integrado em todos os servidores Azure, como parte de uma estratégia para enfrentar o crescente problema do cibercrime, que atualmente gera custos estimados em 10,2 trilhões de dólares por ano, tornando-se a terceira maior economia do mundo. O Azure Integrated HSM, revelado no evento Hot Chips 2025, é projetado para atender aos requisitos de segurança FIPS 140-3 Nível 3, oferecendo resistência a violação e proteção local de chaves dentro dos servidores. Essa abordagem descentraliza as funções criptográficas, reduzindo a latência e permitindo a execução de tarefas como AES e detecção de intrusões de forma local. Além disso, a Microsoft apresentou sua arquitetura ‘Secure by Design’, que inclui o Azure Boost e o Datacenter Secure Control Module, visando aumentar a segurança em ambientes multi-inquilinos. A colaboração com empresas como AMD, Google e Nvidia resultou na Caliptra 2.0, que agora incorpora criptografia pós-quântica, reforçando ainda mais a segurança das operações na nuvem.

Pesquisadores da Universidade de Tecnologia e Design de Cingapura (SUTD) descobriram um conjunto de falhas no firmware de modems 5G, denominado 5Ghoul, que permite a hackers rebaixar silenciosamente smartphones de 5G para 4G, expondo-os a riscos de segurança. O ataque utiliza um toolkit chamado SNI5GECT, que explora uma fase vulnerável de comunicação entre o celular e a torre de transmissão, onde mensagens críticas não são criptografadas. Isso permite que atacantes interceptem e injetem mensagens sem precisar das credenciais privadas do dispositivo. Os testes mostraram uma taxa de sucesso entre 70% e 90% a uma distância de cerca de 20 metros, afetando modelos populares de marcas como Samsung, Google, Huawei e OnePlus. Embora os pesquisadores afirmem que o toolkit é destinado a fins de pesquisa e não para uso criminoso, a possibilidade de derrubar dispositivos ou forçá-los a um downgrade levanta preocupações sobre a resiliência das redes atuais. Até o momento, não há relatos de abusos reais, mas a natureza pública e de código aberto do software aumenta o risco de que atores mal-intencionados possam adaptá-lo para fins prejudiciais.

Em 2025, as APIs se tornaram fundamentais para o funcionamento de aplicações modernas, abrangendo desde serviços bancários móveis até arquiteturas de microserviços. No entanto, essa popularidade também as torna alvos preferenciais para ataques cibernéticos, com violações relacionadas a APIs se destacando como uma das principais causas de exfiltração de dados. O artigo destaca a importância de um teste de segurança de API robusto, que vai além das soluções tradicionais, como firewalls de aplicativos web (WAFs) e scanners DAST, que muitas vezes falham em detectar ataques específicos de API, como a autorização de nível de objeto quebrada (BOLA) e abusos de lógica de negócios. As melhores empresas de teste de segurança de API em 2025 são aquelas que oferecem uma abordagem abrangente, cobrindo todo o ciclo de vida da segurança, desde o design até a execução. O artigo analisa empresas como Salt Security, Traceable AI e Wallarm, que se destacam por suas capacidades de descoberta automática de APIs, proteção em tempo real e uso de inteligência artificial para detectar ameaças sofisticadas. A segurança de APIs não é mais um luxo, mas uma necessidade crítica para prevenir violações e manter uma postura de segurança forte.

Pesquisadores em cibersegurança alertaram sobre um ataque cibernético que utiliza a ferramenta de monitoramento e forense digital de código aberto chamada Velociraptor. Os atacantes empregaram essa ferramenta para baixar e executar o Visual Studio Code, possivelmente com a intenção de criar um túnel para um servidor de comando e controle (C2) controlado por eles. O uso do Velociraptor representa uma evolução tática, onde programas de resposta a incidentes são utilizados para obter acesso e reduzir a necessidade de implantar malware próprio. A análise revelou que os atacantes usaram o utilitário msiexec do Windows para baixar um instalador MSI de um domínio da Cloudflare, que serve como base para outras ferramentas, incluindo um utilitário de administração remota. Além disso, a Sophos recomenda que as organizações monitorem o uso não autorizado do Velociraptor, pois isso pode ser um precursor de ataques de ransomware. O artigo também menciona campanhas maliciosas que exploram o Microsoft Teams para acesso inicial, refletindo um padrão crescente de uso de plataformas confiáveis para a implantação de malware. Os ataques se disfarçam como assistência técnica, dificultando a detecção. A situação é preocupante, pois os atacantes estão cada vez mais sofisticados em suas abordagens, utilizando técnicas que burlam as defesas tradicionais.

Recentemente, bancos europeus, especialmente na Alemanha, congelaram bilhões de euros em transações do PayPal devido a uma falha no sistema de detecção de fraudes da plataforma. O problema surgiu quando o PayPal enviou uma quantidade significativa de débitos diretos aos bancos sem passar pelos devidos filtros de segurança, resultando em um aumento suspeito de transações que foram rapidamente sinalizadas pelos sistemas bancários. Instituições como Bayerische Landesbank e DZ-Bank interromperam temporariamente todas as atividades relacionadas ao PayPal, afetando comerciantes que enfrentaram atrasos nos pagamentos, mesmo com os clientes mantendo seus fundos. O total de valores envolvidos pode ultrapassar €10 bilhões. O PayPal confirmou a interrupção, alegando que o problema foi resolvido rapidamente, mas a situação destaca os riscos associados a falhas em sistemas que lidam com uma parte significativa do comércio online. Além disso, a recente associação do PayPal com o vazamento de milhões de dados de contas na dark web levanta preocupações sobre a segurança das contas online dos usuários.

O WhatsApp anunciou a correção de uma vulnerabilidade de segurança em seus aplicativos para iOS e macOS, identificada como CVE-2025-55177, com uma pontuação CVSS de 8.0, indicando um risco elevado. Essa falha está relacionada à autorização insuficiente de mensagens de sincronização de dispositivos vinculados, o que poderia permitir que um usuário não autorizado processasse conteúdo de uma URL arbitrária no dispositivo de um alvo. A vulnerabilidade afeta versões anteriores do WhatsApp para iOS (antes da 2.25.21.73), WhatsApp Business para iOS (2.25.21.78) e WhatsApp para Mac (2.25.21.78). A empresa também alertou que essa falha poderia ser combinada com outra vulnerabilidade da Apple, CVE-2025-43300, que foi utilizada em ataques direcionados a indivíduos específicos. O ataque, descrito como um ‘zero-click’, não requer interação do usuário, aumentando a gravidade da situação. O WhatsApp notificou usuários que acreditam ter sido alvos de uma campanha de spyware avançada e recomendou a realização de um reset de fábrica nos dispositivos afetados, além de manter os aplicativos atualizados. A situação destaca a crescente ameaça de spyware a jornalistas e defensores dos direitos humanos.

O Google anunciou a correção de uma vulnerabilidade crítica no navegador Chrome, identificada como CVE-2025-9478, com o auxílio de sua inteligência artificial interna, chamada Big Sleep. Essa ferramenta, baseada na tecnologia Gemini, foi capaz de detectar a falha sem intervenção humana, destacando a crescente importância da IA na segurança cibernética. As versões corrigidas do Chrome incluem 139.0.7258.154/155 para Windows e macOS, e 139.0.7258.154 para Linux. A vulnerabilidade estava relacionada à galeria de gráficos Angle e foi classificada como crítica, o que significa que poderia ser explorada para comprometer a segurança dos usuários. Embora a Big Sleep tenha demonstrado eficácia na identificação dessa falha, especialistas em segurança ainda são necessários para validar os diagnósticos, uma vez que a precisão das ferramentas de IA pode variar. Além disso, outros navegadores baseados em Chromium, como Brave, Microsoft Edge e Vivaldi, também precisarão aplicar as correções. O Google recomenda que os usuários atualizem seus navegadores para garantir a proteção contra possíveis explorações dessa vulnerabilidade.

Uma vulnerabilidade crítica foi descoberta no AppSuite PDF Editor, um software amplamente utilizado para edição de PDFs, permitindo que atacantes executem comandos remotamente e comprometam sistemas de usuários. Pesquisadores de cibersegurança, Karsten Hahn e Louis Sorita, identificaram que a ameaça vai além de simples adware, expondo dezenas de milhares de usuários a uma campanha sofisticada de backdoor disfarçada em uma ferramenta aparentemente legítima.

Os atacantes manipularam motores de busca e portais de download para promover o AppSuite como uma ferramenta de produtividade. Usuários desavisados baixam um instalador MSI que, ao ser executado, baixa o editor real e o instala em diretórios do sistema, criando entradas de autorun para garantir persistência. O aplicativo, baseado em Electron, apresenta uma interface de edição de PDF que é, na verdade, uma janela de navegador disfarçada, enquanto mais de 99% do código JavaScript é dedicado ao payload malicioso.