Uma pesquisa realizada pelo Reclame AQUI revelou que 63% dos consumidores brasileiros não conseguem identificar golpes digitais que utilizam inteligência artificial (IA), uma vulnerabilidade preocupante especialmente com a aproximação da Black Friday. O estudo, que ouviu mais de 3.300 pessoas, destaca que 79% dos entrevistados planejam comprar online durante a Black Friday, mas apenas 43% verificam links e ofertas com ferramentas de segurança. A pesquisa também aponta que 20% dos consumidores já foram vítimas de fraudes em edições anteriores do evento. O uso crescente de IA por cibercriminosos para criar campanhas de phishing mais sofisticadas torna essencial que os consumidores estejam informados e preparados. O relatório, intitulado “Black Friday na era da Inteligência Artificial”, serve como um guia tanto para consumidores quanto para marcas, enfatizando a importância da segurança nas compras online.

Na madrugada de 20 de outubro de 2025, a Amazon Web Services (AWS) sofreu uma queda massiva que afetou a infraestrutura digital global. O problema começou por volta de 12h11 PDT, com falhas no serviço de banco de dados DynamoDB, que rapidamente se espalharam para outros serviços essenciais como EC2 e S3. Isso resultou em interrupções em plataformas populares como Snapchat, Amazon Prime Video e Canva, deixando milhões de usuários sem acesso a seus aplicativos e serviços. A AWS, que detém cerca de um terço do mercado global de nuvem, enfrentou críticas sobre a fragilidade da centralização de sua infraestrutura. Embora a empresa tenha declarado que o problema foi resolvido ao meio-dia, o impacto da queda ainda era sentido, com usuários relatando lentidão em serviços e gerando discussões sobre a necessidade de diversificação entre provedores de nuvem. A falha foi atribuída a um problema de resolução de DNS, que cortou a conexão entre os clientes e os gateways da AWS, evidenciando a vulnerabilidade de depender de um único provedor para operações críticas. O incidente levantou preocupações sobre a segurança e a resiliência das infraestruturas digitais, especialmente em setores críticos como saúde e finanças.

Pesquisadores de cibersegurança descobriram uma campanha coordenada que utiliza 131 extensões clonadas do WhatsApp Web para Google Chrome, visando usuários brasileiros. Essas extensões, que compartilham o mesmo código e design, têm cerca de 20.905 usuários ativos e funcionam como spamware, automatizando o envio de mensagens em massa para contornar as regras de anti-spam do WhatsApp. A campanha está em andamento há pelo menos nove meses, com atualizações recentes observadas em outubro de 2025. As extensões, que se apresentam como ferramentas de gerenciamento de relacionamento com clientes (CRM), são publicadas principalmente por uma entidade chamada ‘WL Extensão’. A prática viola as políticas do Chrome Web Store, que proíbem a submissão de múltiplas extensões com funcionalidades duplicadas. Além disso, a empresa DBX Tecnologia, responsável pela extensão original, promove um programa de revenda que permite a rebranding das extensões, incentivando a proliferação de clones. Essa situação levanta preocupações sobre a segurança e a privacidade dos usuários, especialmente em um contexto onde o WhatsApp é amplamente utilizado no Brasil.

Os ataques ClickFix, que envolvem a interação do usuário com scripts maliciosos no navegador, estão se tornando uma fonte crescente de violações de segurança. Esses ataques geralmente solicitam que os usuários resolvam um problema, como um CAPTCHA, mas na verdade induzem a execução de comandos maliciosos ao copiar código da página para o dispositivo do usuário. Grupos de ransomware, como o Interlock, têm utilizado essas táticas, que já estão ligadas a várias violações de dados em instituições como Kettering Health e Texas Tech University.

Recentes incidentes de cibersegurança revelam que brechas silenciosas estão se tornando comuns, com atacantes permanecendo nas redes por longos períodos sem serem detectados. Um dos casos mais alarmantes envolve a F5, que anunciou a violação de seus sistemas por atores desconhecidos, resultando no roubo de códigos fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. Acredita-se que os atacantes, associados a um grupo de espionagem da China, estavam ativos na rede da F5 por pelo menos 12 meses.

A NordVPN realizou uma ação impactante em Times Square, onde três hackers éticos interagiram com o público para desmistificar a segurança online. A campanha surgiu após uma pesquisa alarmante que revelou que 73% dos americanos acreditam que seus softwares antivírus os protegem de roubo de identidade e garantem privacidade online. No entanto, os especialistas destacaram que o papel principal dos antivírus é proteger dispositivos contra malware, e não garantir segurança total na internet. Durante a ação, os hackers mostraram aos participantes como seus dados pessoais, como senhas e endereços, estavam expostos online, gerando surpresa e choque. A NordVPN enfatizou que, embora uma VPN não seja uma solução mágica, é uma ferramenta essencial para minimizar a pegada digital e aumentar a segurança, especialmente ao usar redes Wi-Fi públicas. A empresa também disponibiliza um monitor de dark web para ajudar os usuários a verificar se seus dados estão expostos. A campanha visa alertar sobre a falsa sensação de segurança que muitos têm em relação à proteção online.

No último domingo, a China acusou a Agência de Segurança Nacional dos EUA (NSA) de realizar um ataque cibernético premeditado contra o Centro Nacional de Serviço de Tempo (NTSC), descrevendo os EUA como um “império hacker”. O Ministério da Segurança do Estado (MSS) afirmou ter encontrado “provas irrefutáveis” da participação da NSA em uma intrusão que teria ocorrido em 25 de março de 2022, embora o ataque tenha sido frustrado. O NTSC, responsável pela manutenção do horário padrão nacional, poderia ter sofrido consequências severas, como falhas em comunicações e interrupções em sistemas financeiros, caso o ataque tivesse sucesso. Segundo o MSS, a NSA teria explorado falhas de segurança em um serviço de SMS de uma marca estrangeira para comprometer dispositivos móveis de funcionários do NTSC, resultando no roubo de dados sensíveis. Além disso, a agência americana teria utilizado credenciais de login roubadas para acessar os computadores do NTSC e implementar uma nova plataforma de “guerra cibernética” entre agosto de 2023 e junho de 2024, ativando 42 ferramentas especializadas para ataques intensos. O MSS também acusou os EUA de realizar ataques cibernéticos persistentes contra diversos países, incluindo a China, e de distorcer a narrativa sobre a “ameaça cibernética chinesa”.

O Grupo Volkswagen confirmou que está investigando alegações do grupo de ransomware 8Base, que afirma ter roubado e vazado dados sensíveis da montadora alemã. Embora a empresa assegure que sua infraestrutura de TI principal permanece segura, a natureza vaga da resposta gerou preocupações sobre uma possível violação de dados de terceiros. O grupo 8Base, conhecido por suas táticas de extorsão dupla, alegou ter exfiltrado arquivos confidenciais em 23 de setembro de 2024, ameaçando divulgar os dados até 26 de setembro. Embora o prazo inicial tenha passado sem vazamentos, 8Base listou as informações roubadas em sua plataforma na dark web. Os dados comprometidos incluem faturas, documentos contábeis, arquivos pessoais de funcionários e contratos de trabalho. Se confirmada, essa violação pode expor informações financeiras e pessoais sensíveis em operações globais da Volkswagen, afetando marcas renomadas como Audi e Porsche. Especialistas em cibersegurança destacam a necessidade urgente de aprimorar a gestão de riscos de terceiros, uma vez que ataques modernos frequentemente exploram vulnerabilidades em parceiros da cadeia de suprimentos.

No dia 19 de outubro de 2025, a Europol anunciou a desarticulação de uma plataforma sofisticada de cibercrime como serviço (CaaS), conhecida como Operation SIMCARTEL. A operação resultou em 26 buscas e na prisão de sete suspeitos, incluindo cinco cidadãos letões. Foram apreendidos 1.200 dispositivos de SIM box, que continham 40.000 cartões SIM ativos, além de cinco servidores e dois sites que promoviam o serviço. A operação envolveu autoridades de países como Áustria, Estônia, Finlândia e Letônia, e revelou que a rede criminosa estava ligada a mais de 1.700 casos de fraudes cibernéticas na Áustria e 1.500 na Letônia, totalizando perdas de cerca de €4,5 milhões e €420.000, respectivamente. A infraestrutura da plataforma permitia a criação de números de telefone registrados em mais de 80 países, facilitando atividades criminosas como phishing, fraudes financeiras e extorsão. Além disso, a plataforma promovia a monetização de cartões SIM, atraindo usuários com promessas de renda passiva. A operação destaca a crescente complexidade e sofisticação das redes de cibercrime, que utilizam tecnologias avançadas para ocultar identidades e realizar fraudes em larga escala.

O spoofing é uma técnica de ciberataque que consiste em imitar a identidade de uma pessoa ou sistema para enganar vítimas. Essa prática é comumente utilizada em ataques de phishing e engenharia social, onde hackers se passam por indivíduos confiáveis, como superiores ou instituições conhecidas, para roubar dados pessoais e financeiros. Existem várias modalidades de spoofing, incluindo spoofing de e-mail, IP, DNS, ARP e URL. Cada uma dessas táticas tem suas particularidades, mas todas visam enganar a vítima e facilitar o acesso a informações sensíveis ou a instalação de malwares. Para se proteger, é essencial que os usuários verifiquem cuidadosamente os remetentes de e-mails, evitem clicar em links suspeitos e utilizem autenticação de dois fatores sempre que possível. Além disso, empresas devem implementar políticas de segurança, como SPF, DKIM e DMARC, e treinar seus funcionários para reconhecer tentativas de spoofing. Casos reais, como a fraude do CEO que resultou na perda de milhões pela Ubiquiti, demonstram a gravidade e o impacto potencial desses ataques. Portanto, a conscientização e a adoção de medidas preventivas são fundamentais para mitigar os riscos associados ao spoofing.

Pesquisadores de cibersegurança identificaram uma nova campanha maliciosa que visa os setores automotivo e de e-commerce na Rússia, utilizando um malware .NET inédito chamado CAPI Backdoor. A análise da Seqrite Labs revela que a infecção é desencadeada por e-mails de phishing que contêm um arquivo ZIP. Dentro deste arquivo, há um documento em russo que finge ser uma notificação sobre legislação tributária e um arquivo de atalho do Windows (LNK) que executa o malware.

O grupo de cibercrime conhecido como Silver Fox, associado ao malware Winos 4.0, ampliou suas operações, agora mirando Japão e Malásia, além de China e Taiwan. A nova variante, chamada HoldingHands RAT, é distribuída por meio de e-mails de phishing que contêm PDFs com links maliciosos, disfarçados como documentos oficiais do Ministério das Finanças. O Winos 4.0 é frequentemente disseminado via phishing e técnicas de SEO, levando usuários a sites falsos que imitam softwares populares. Recentemente, a Fortinet identificou campanhas que utilizam documentos de Excel relacionados a impostos como isca para infectar sistemas. O HoldingHands RAT é projetado para se conectar a servidores remotos, capturar informações sensíveis e executar comandos do atacante. A complexidade do ataque é aumentada por técnicas de evasão que dificultam a detecção, como a desativação de softwares de segurança. A situação é preocupante, pois a exfiltração de dados pode resultar em espionagem cibernética e roubo de identidade, representando uma ameaça significativa para a infraestrutura organizacional e a privacidade individual.

Pesquisadores da FortiGuard Labs alertam sobre um novo malware chamado Stealit, que opera como um serviço comercial de roubo de dados. Este vírus, direcionado principalmente a usuários do Windows, é capaz de assumir o controle do computador da vítima, capturando informações sensíveis, como senhas e dados pessoais. O Stealit utiliza uma ferramenta chamada Single Executable Application (SEA), que permite que todos os arquivos maliciosos sejam compactados em um único programa, facilitando sua execução mesmo em sistemas sem Node.js instalado.

Em 14 de outubro de 2025, a Microsoft lançou um patch abrangente que corrige 183 falhas de segurança em seus produtos relacionados ao Windows, incluindo três vulnerabilidades zero-day que estavam sendo ativamente exploradas. Este lançamento ocorre após o término do suporte ao Windows 10, exceto para usuários do programa de Atualizações de Segurança Estendidas (ESU). Das 183 correções, 165 foram classificadas como ‘importantes’, 17 como ‘críticas’ e apenas uma como ‘moderada’. As vulnerabilidades abordadas incluem elevação de privilégios, execução remota de código e vazamento de informações. As falhas zero-day mais preocupantes são CVE-2025-24990 e CVE-2025-59230, ambas permitindo que hackers executem códigos com privilégios elevados. A primeira será resolvida com a remoção do driver afetado, enquanto a segunda é a primeira vulnerabilidade no gerenciamento de conexão de acesso remoto a ser explorada dessa forma. Além disso, a CVE-2025-47827, que contorna o Secure Boot, apresenta um risco baixo, pois requer acesso físico ao dispositivo. A correção dessas vulnerabilidades é crucial para proteger usuários e empresas que ainda utilizam o Windows 10.

Pesquisadores identificaram um aumento nas táticas sofisticadas de cadeia de suprimentos do grupo WaterPlum, vinculado à Coreia do Norte, especificamente sua Cluster B, que ampliou a distribuição do malware OtterCandy por meio da campanha ClickFake Interview no Japão e em outras regiões. Desde julho de 2025, a Cluster B mudou seu foco para um RAT (Remote Access Trojan) baseado em Node.js, chamado OtterCandy, que combina recursos de ferramentas anteriores e permite a exfiltração de dados de forma mais eficiente. O malware se conecta a um servidor de comando e controle (C2) via Socket.IO, transmitindo informações do sistema e coletando credenciais de navegadores, arquivos de carteiras de criptomoedas e documentos do usuário. A versão 2 do OtterCandy introduziu melhorias significativas, como a coleta de dados completos de perfis de navegadores e um comando que apaga vestígios de sua presença. Organizações no Japão e em regiões afetadas devem reforçar suas regras de detecção de endpoints e monitorar atividades suspeitas relacionadas ao Node.js. A evolução do OtterCandy representa um ponto crítico nas operações de atores de ameaças da Coreia do Norte, exigindo vigilância reforçada em controles de segurança de cadeia de suprimentos e endpoints.

Cibercriminosos estão utilizando vídeos do TikTok para disseminar malware sofisticado através de uma campanha de engenharia social que promete ativação gratuita de softwares, como o Photoshop. Pesquisadores de segurança identificaram diversos vídeos na plataforma, alguns com mais de 500 curtidas, que atraem vítimas com promessas de ativação gratuita. O ataque utiliza uma cadeia de infecção em múltiplas etapas, entregando o AuroStealer, um malware projetado para roubar informações sensíveis. A campanha instrui as vítimas a executar um comando PowerShell que baixa e executa um script malicioso. Este script, com uma pontuação de detecção de 17/63 no VirusTotal, baixa um segundo payload, o updater.exe, que é identificado como AuroStealer. O malware se torna persistente através de tarefas agendadas que se disfarçam como serviços legítimos do Windows. Além disso, uma técnica avançada de auto-compilação é utilizada, onde o código malicioso é compilado diretamente na máquina da vítima, dificultando a detecção por soluções antivírus. Pesquisadores descobriram vídeos adicionais promovendo ferramentas de ativação falsas para outros softwares populares, alertando os usuários a não executarem comandos PowerShell de fontes não confiáveis e a manterem suas proteções atualizadas.

O novo trojan bancário chamado Maverick está atacando usuários brasileiros, infectando computadores através de arquivos de atalho do Windows e se espalhando pelo WhatsApp Web. A Kaspersky, que identificou a ameaça, bloqueou mais de 62 mil tentativas de ataque apenas em outubro de 2025. O vírus verifica se a vítima está no Brasil, utilizando informações como fuso horário e idioma do sistema, antes de prosseguir com a infecção. Uma vez instalado, o Maverick tem a capacidade de monitorar o que o usuário digita, tirar capturas de tela e acessar informações de 26 bancos e 6 corretoras de criptomoedas. A infecção ocorre na memória do computador, dificultando a detecção por ferramentas de segurança. O trojan utiliza criptografia AES-256 para ocultar suas operações, indicando uma possível continuidade de campanhas maliciosas anteriores. Para se proteger, recomenda-se desconfiar de arquivos recebidos pelo WhatsApp, evitar clicar em arquivos de atalho de fontes não confiáveis e utilizar aplicativos de segurança.

Em outubro de 2025, a Nintendo confirmou que seus servidores foram alvo de um ataque do grupo cibercriminoso Crimson Collective, que resultou no vazamento de informações sobre projetos em desenvolvimento, incluindo detalhes da franquia Pokémon. A empresa declarou que a brecha foi ‘mínima’ e se limitou a servidores que hospedam seus sites oficiais, sem a exposição de dados pessoais ou informações sensíveis. No entanto, o vazamento inclui arquivos e vídeos de gameplay de versões iniciais de Pokémon Legends Z-A, que teriam origem em uma invasão anterior aos servidores da desenvolvedora Game Freak. Este incidente é parte de uma série de ataques que a Nintendo tem enfrentado, incluindo o notório Teraleak, que já havia exposto dados de projetos passados. A empresa continua a investigar esses incidentes, mas não conseguiu identificar os responsáveis até o momento. A situação levanta preocupações sobre a segurança dos dados e a proteção de informações sensíveis no setor de jogos, especialmente em um contexto onde a privacidade e a conformidade com legislações como a LGPD são cada vez mais relevantes.

Pesquisadores do Centro de Defesa Contra Phishing Cofense alertam sobre um novo golpe que simula ser o suporte da Microsoft, bloqueando o acesso ao navegador e solicitando que a vítima entre em contato com um número de telefone. O ataque começa com um e-mail de phishing que oferece um reembolso falso, levando a um CAPTCHA para evitar detecções automáticas. Em seguida, uma página pop-up imita alertas de segurança da Microsoft, fazendo o usuário acreditar que seu computador foi comprometido. Para resolver a situação, é solicitado que a vítima ligue para um número, onde um falso técnico de suporte pode solicitar credenciais ou induzir a instalação de ferramentas de acesso remoto. Este golpe é um exemplo claro de engenharia social, utilizando a confiança que os usuários têm em grandes marcas. É importante que os usuários estejam cientes de que a Microsoft nunca trancaria um navegador ou pediria que ligassem para um suporte através de um pop-up. A recomendação é sempre desconfiar de comunicações desse tipo.

Um recente relatório do Google Threat Intelligence Group (GTIG) revelou que mais de 14.000 sites WordPress foram comprometidos por um grupo de hackers conhecido como UNC5142, que operou entre o final de 2023 e julho de 2025. Este grupo utilizou vulnerabilidades em plugins e temas para implantar um downloader JavaScript chamado CLEARSHOT, que facilitava a distribuição de malware. O uso de tecnologia blockchain para armazenar partes da infraestrutura do ataque aumentou a resiliência do grupo e dificultou as operações de remoção. O malware era distribuído através de páginas de phishing que induziam os usuários a executar comandos maliciosos em seus sistemas, utilizando a técnica de engenharia social chamada ClickFix. As páginas de destino eram frequentemente hospedadas em servidores da Cloudflare e acessadas em formato criptografado, complicando ainda mais a detecção e mitigação do ataque. A combinação de técnicas de ofuscação e a utilização de blockchain tornam este incidente um alerta significativo para a segurança cibernética, especialmente para organizações que utilizam WordPress.

O relatório Digital Defense Report 2025 da Microsoft revela que a motivação financeira continua a dominar o cenário global de ameaças cibernéticas, com 52% dos ataques analisados relacionados a extorsão e ransomware. O documento, assinado pelo Chief Information Security Officer da Microsoft, Igor Tsyganskiy, destaca que 80% dos incidentes investigados estavam ligados ao roubo de dados, evidenciando que os cibercriminosos priorizam o lucro em vez da espionagem. A pesquisa também enfatiza o uso crescente de inteligência artificial (IA) em ciberataques, permitindo que até mesmo atores de baixo nível escalem operações maliciosas. A Microsoft processa mais de 100 trilhões de sinais de segurança diariamente, bloqueando cerca de 4,5 milhões de tentativas de malware e analisando 5 bilhões de e-mails para detectar phishing. A automação e a IA mudaram drasticamente a dinâmica dos ataques, com criminosos utilizando modelos de aprendizado de máquina para descobrir vulnerabilidades rapidamente e gerar malware polimórfico. O relatório também menciona o aumento das ameaças de atores estatais, especialmente da China, Irã, Rússia e Coreia do Norte, que estão explorando vulnerabilidades recém-divulgadas com rapidez. A Microsoft recomenda que as organizações integrem a segurança em suas estratégias de negócios e adotem modelos de defesa impulsionados por IA para enfrentar essas ameaças.

Um novo golpe de phishing, analisado pelo Cofense Phishing Defense Center, explora a confiança dos usuários na marca Microsoft para aplicar fraudes de suporte técnico. O ataque começa com um e-mail que se passa por uma empresa chamada ‘Syria Rent a Car’, prometendo um reembolso em troca da verificação do e-mail do usuário. Ao clicar no link, a vítima é direcionada a um desafio CAPTCHA falso, que visa enganar tanto o usuário quanto ferramentas de detecção de phishing. Após essa etapa, a vítima é levada a uma página que simula mensagens de segurança da Microsoft, criando uma falsa sensação de urgência ao afirmar que o sistema foi comprometido. O navegador parece travado, e pop-ups insistem que o usuário entre em contato com um número de suporte que, na verdade, conecta a engenheiros sociais que tentam obter credenciais ou instalar ferramentas de acesso remoto. Este golpe destaca como a confiança nas marcas pode ser manipulada para intensificar os métodos tradicionais de phishing, exigindo que as empresas adotem treinamentos de conscientização e respostas integradas a tentativas de phishing.

Uma vulnerabilidade crítica nos dispositivos de segurança de rede Firebox da WatchGuard pode permitir que um atacante remoto e não autenticado execute código arbitrário, comprometendo redes corporativas. A falha, identificada como CVE-2025-9242, está relacionada ao gerenciamento de conexões VPN IKEv2 e recebeu uma pontuação de severidade crítica de 9.3 em 10. Essa vulnerabilidade é um problema de escrita fora dos limites dentro do processo iked do sistema operacional Fireware, que gerencia trocas de chaves IKEv2 para VPNs. Os atacantes podem explorar essa falha enviando um pacote especialmente elaborado a um dispositivo afetado, provocando um estouro de buffer baseado em pilha. A WatchGuard recomenda que os clientes atualizem seus sistemas imediatamente, com versões corrigidas já disponíveis. A vulnerabilidade afeta uma ampla gama de modelos Firebox, incluindo dispositivos de pequeno escritório e unidades empresariais maiores, com um potencial de ataque significativo, dado que a empresa protege mais de 250.000 negócios e 10 milhões de endpoints. Administradores são aconselhados a priorizar a aplicação de patches para evitar possíveis explorações, especialmente por grupos de ransomware.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

Um grupo de hackers da Coreia do Norte, associado à campanha Contagious Interview, está aprimorando suas ferramentas de malware, conforme revelado por novas investigações da Cisco Talos. As funcionalidades dos malwares BeaverTail e OtterCookie estão se aproximando, com o OtterCookie agora incorporando um módulo para keylogging e captura de telas. Essa atividade é parte de uma campanha de recrutamento fraudulenta que começou em 2022, onde os atacantes se passam por empresas para enganar candidatos a emprego e instalar malware que rouba informações. Recentemente, o grupo também começou a usar uma técnica chamada EtherHiding para buscar cargas úteis em blockchains como BNB Smart Chain e Ethereum, transformando essas infraestruturas descentralizadas em servidores de comando e controle. A campanha tem como alvo usuários que caem em ofertas de emprego falsas, levando à infecção de sistemas. Um exemplo recente envolve um aplicativo Node.js malicioso chamado Chessfi, que foi distribuído através do repositório Bitbucket. O malware evoluiu para incluir módulos que monitoram o clipboard e roubam dados de extensões de criptomoedas, aumentando o risco de roubo de informações sensíveis e acesso remoto. Essa situação destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados sensíveis.

O Google Threat Intelligence Group (GTIG) revelou que o grupo de hackers norte-coreano UNC5342 está utilizando uma técnica inovadora chamada EtherHiding para realizar roubos em larga escala de criptomoedas. Essa técnica, que foi inicialmente associada a grupos motivados financeiramente, envolve a inserção de códigos maliciosos em contratos inteligentes de blockchains, como BNB Smart Chain e Ethereum, transformando esses registros descentralizados em servidores de comando e controle à prova de desativação.

Um novo rootkit para Linux, chamado LinkPro, foi descoberto utilizando a tecnologia eBPF (Extended Berkeley Packet Filter) para ocultar sua presença e garantir persistência em sistemas comprometidos. A equipe de resposta a incidentes da Synacktiv (CSIRT) identificou o malware durante uma investigação em uma infraestrutura AWS comprometida. O LinkPro atuou como um backdoor discreto em clusters do Elastic Kubernetes Service (EKS) após a exploração de um servidor Jenkins exposto (CVE-2024-238976).

A VMware anunciou a atualização 25H2 para seus produtos Workstation e Fusion, introduzindo um novo sistema de versionamento baseado em calendário que facilita o gerenciamento do ciclo de vida do software. Essa mudança, que combina o ano e o semestre na nomenclatura, visa proporcionar maior clareza sobre os lançamentos, permitindo que administradores planejem atualizações com mais confiança.

Entre as principais novidades está o ‘dictTool’, uma ferramenta de linha de comando que permite inspecionar e editar arquivos de configuração do VMware diretamente de scripts ou terminais, atendendo a um pedido frequente da comunidade. Além disso, a versão 25H2 amplia a compatibilidade com os mais recentes processadores da Intel, como Lunar Lake e Meteor Lake, e suporta uma variedade de sistemas operacionais convidados, incluindo Red Hat Enterprise Linux 10 e macOS Tahoe.

Um recente incidente de segurança deixou mais de 269.000 dispositivos de rede da F5 expostos na internet, conforme dados da Shadowserver Foundation. Esses dispositivos, que incluem controladores de entrega de aplicativos (ADCs) e balanceadores de carga, desempenham funções críticas nas redes corporativas, como a terminação de SSL/TLS e mitigação de DDoS. A exposição resulta de uma violação de rede reconhecida pela F5 em um aviso de segurança recente. A Shadowserver Foundation detecta cerca de 269.000 endereços IP expostos diariamente, com quase metade localizada nos Estados Unidos, o que indica um impacto potencial significativo para empresas e infraestruturas americanas. A F5 publicou um artigo de base de conhecimento para orientar as organizações afetadas. A falta de configuração adequada ou sistemas não atualizados pode permitir acesso administrativo total aos atacantes, que podem explorar esses sistemas para obter dados sensíveis ou lançar ataques adicionais. As organizações que utilizam produtos da F5 são fortemente aconselhadas a revisar as orientações de segurança da empresa e verificar os relatórios da Shadowserver para identificar se seus dispositivos estão entre os expostos.

A Microsoft anunciou a revogação de mais de 200 certificados utilizados pelo grupo de cibercriminosos conhecido como Vanilla Tempest, que assina fraudulentamente binários maliciosos em ataques de ransomware. Esses certificados foram empregados em arquivos de instalação falsos do Microsoft Teams para entregar o backdoor Oyster e, por fim, implantar o ransomware Rhysida. A atividade foi detectada no final de setembro de 2025, e a Microsoft já atualizou suas soluções de segurança para sinalizar as assinaturas associadas a esses arquivos maliciosos. O grupo Vanilla Tempest, que opera desde julho de 2022, é conhecido por distribuir diversas variantes de ransomware, incluindo BlackCat e Quantum Locker. O backdoor Oyster é frequentemente disseminado por meio de instaladores trojanizados de softwares populares, utilizando domínios maliciosos que imitam sites legítimos. A Microsoft alerta que os usuários são frequentemente direcionados a esses sites por meio de técnicas de SEO, que manipulam resultados de busca. Para se proteger, é recomendado baixar softwares apenas de fontes verificadas e evitar clicar em links suspeitos.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no WatchGuard Fireware, identificada como CVE-2025-9242, com uma pontuação CVSS de 9.3. Essa falha, que afeta versões do Fireware OS de 11.10.2 até 12.11.3 e 2025.1, permite que atacantes não autenticados executem código arbitrário. A vulnerabilidade está relacionada ao processo ‘ike2_ProcessPayload_CERT’, que não verifica corretamente o comprimento do buffer de identificação do cliente, possibilitando um estouro de buffer durante a fase de autenticação do IKE_SA_AUTH, essencial para a criação de um túnel VPN. Embora a validação do certificado ocorra, ela acontece após a execução do código vulnerável, permitindo que o ataque seja realizado antes da autenticação. A WatchGuard já lançou patches para corrigir a falha em várias versões do Fireware. A análise da WatchTowr Labs destaca que essa vulnerabilidade é atraente para grupos de ransomware, pois permite a execução de código em um serviço exposto à internet. A falta de um shell interativo não impede que um invasor obtenha controle sobre o sistema, podendo escalar privilégios e acessar um shell Linux completo. Dada a gravidade da falha, é crucial que as organizações que utilizam o Fireware atualizem seus sistemas imediatamente.

O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.

Um incidente de segurança envolvendo o Discord resultou no vazamento de dados de até 70 mil usuários, incluindo informações sensíveis como passaportes e números de cartões de crédito. O problema foi inicialmente atribuído à 5CA, uma empresa de suporte ao cliente, que negou qualquer envolvimento direto, alegando que o incidente foi causado por ’erro humano’. A 5CA também afirmou que não tratou de documentos de identificação governamentais para o Discord e que seus sistemas permanecem seguros. Por outro lado, hackers alegaram que a invasão ocorreu através da Zendesk, onde uma conta de suporte teria sido comprometida. A Zendesk, assim como o Discord, negou qualquer envolvimento no incidente. Até o momento, o Discord não se manifestou sobre as alegações da 5CA, deixando a responsabilidade pelo vazamento em aberto. Este caso destaca a importância da segurança em plataformas de comunicação e a necessidade de uma abordagem rigorosa para proteger dados sensíveis dos usuários.

Uma pesquisa realizada por cientistas das Universidades da Califórnia e Maryland revelou que quase 50% dos satélites geoestacionários estão vulneráveis a vazamentos de dados. Utilizando uma antena comercial de baixo custo, os pesquisadores conseguiram interceptar comunicações que incluíam dados de operadoras telefônicas, informações governamentais e militares. O estudo, que durou três anos, expôs a falta de criptografia em muitos sinais de satélite, permitindo o acesso não autorizado a informações sensíveis. Entre os dados interceptados estavam comunicações de empresas de eletricidade e plataformas de petróleo, além de conversas de militares e policiais. Apesar de alertar várias empresas, como a T-Mobile, sobre a vulnerabilidade, muitas não tomaram medidas adequadas para proteger suas comunicações. A pesquisa destaca a necessidade urgente de criptografia em sistemas de satélites, especialmente em áreas remotas onde a dependência de sinais de satélite é maior. Os cientistas planejam apresentar suas descobertas em uma conferência em Taiwan e disponibilizar a ferramenta de software utilizada para análise no GitHub, visando ajudar na proteção de dados sensíveis.

Pesquisadores da Sublime Security alertaram sobre um novo golpe de phishing que utiliza falsas ofertas de emprego no Google para roubar credenciais de usuários do Microsoft 365 e Google Workspace. Os e-mails fraudulentos, que imitam comunicações do Google Careers, começam com mensagens que perguntam se a vítima está disponível para uma conversa sobre uma vaga. Os golpistas têm como alvo especialmente contas de e-mail corporativas, filtrando alvos que não pertencem ao ambiente profissional.

O fim do suporte ao Windows 10 traz à tona a necessidade de cautela na compra de novos ou usados computadores. A partir de agora, apenas hardware compatível com o Windows 11 receberá atualizações de segurança e compatibilidade, expondo sistemas mais antigos a riscos. O Windows 11 impõe requisitos de hardware mais rigorosos, como suporte a TPM 2.0 e compatibilidade com Secure Boot, o que significa que muitos processadores Intel de 7ª geração e chips AMD mais antigos não poderão rodar o novo sistema operacional. Para garantir a compatibilidade, é essencial verificar a geração do processador antes da compra. Processadores Intel compatíveis começam na 8ª geração, enquanto apenas os Ryzen 2000 da AMD e posteriores atendem aos novos critérios. Embora seja possível instalar o Windows 11 em sistemas não suportados, a Microsoft não recomenda essa prática. Portanto, ao considerar a compra de um PC, especialmente se for usado, é crucial confirmar se o hardware atende aos requisitos do Windows 11 para evitar problemas futuros de segurança e compatibilidade.

A Seqrite Labs revelou uma operação de ciberespionagem sofisticada, denominada Operação Silk Lure, que utiliza uma campanha de aplicação de emprego enganosa para comprometer organizações na China. O ataque começa com e-mails de spear-phishing que se disfarçam de candidatos a vagas técnicas em setores como FinTech e criptomoedas. Os e-mails contêm arquivos .LNK maliciosos disfarçados de currículos, que, ao serem executados, lançam um script PowerShell que baixa o malware ValleyRAT de um domínio controlado por hackers. O script abusa do Agendador de Tarefas do Windows para criar uma tarefa recorrente que ativa o malware diariamente, ocultando suas atividades. O ValleyRAT é um backdoor modular que realiza vigilância extensiva, captura dados sensíveis e se adapta para evitar detecção por softwares antivírus. A pesquisa da Seqrite identificou mais de 20 domínios relacionados ao ataque, que se assemelham a portais de emprego legítimos, aumentando a credibilidade do golpe. A Seqrite recomenda que as organizações monitorem execuções suspeitas do PowerShell e bloqueiem conexões com os domínios maliciosos identificados.

Uma nova campanha de phishing está atacando usuários do LastPass, disfarçando-se como alertas de segurança urgentes para disseminar malware. Especialistas em segurança identificaram e-mails fraudulentos enviados de domínios como ‘hello@lastpasspulse[.]blog’ e ‘hello@lastpassgazette[.]blog’, com linhas de assunto alarmantes como ‘Fomos Hackeados - Atualize Seu Aplicativo LastPass Desktop para Manter a Segurança do Cofre’. Apesar das alegações, a equipe de segurança do LastPass confirmou que não houve violação. Os e-mails direcionam os usuários a domínios maliciosos, como ’lastpassdesktop[.]com’, que foram sinalizados como sites de phishing ativos. A análise técnica dos cabeçalhos dos e-mails revela táticas de ofuscação agressivas, reforçando a ilusão de legitimidade. A campanha coincide com um feriado nos EUA, um momento estratégico em que as equipes de segurança podem estar menos atentas. O LastPass enfatiza que nunca solicitará a senha mestra ou exigirá atualizações imediatas por meio de links enviados por e-mail. Os usuários são aconselhados a verificar todas as comunicações inesperadas e a encaminhar e-mails suspeitos para investigação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

Pesquisadores das Universidades da Califórnia, Carnegie Mellon e Washington identificaram um novo tipo de ataque chamado Pixnapping, que explora vulnerabilidades em dispositivos Android para roubar códigos de autenticação em duas etapas (2FA) e outros dados sensíveis. O ataque é classificado como um ataque de canal lateral, onde o malware consegue contornar as ferramentas de segurança dos navegadores e acessar informações através da API do Android e do hardware do dispositivo. O método utilizado permite que o malware capture dados em apenas 30 segundos, afetando diversos modelos de celulares, incluindo os da Google e Samsung, com versões do Android variando da 13 à 16.

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

A Capita, uma das maiores empresas de terceirização e serviços digitais do Reino Unido, foi multada em £14 milhões (cerca de R$ 90 milhões) pela Information Commissioner’s Office (ICO) devido a falhas de segurança que resultaram em um vazamento de dados. O incidente, ocorrido em 2023, comprometeu informações pessoais de mais de 6 milhões de pessoas, incluindo nomes, datas de nascimento, endereços e dados financeiros, como números de cartões e CVVs. A ICO destacou que a Capita não implementou medidas de segurança adequadas para prevenir a escalada de privilégios e o movimento lateral não autorizado em suas redes. Além disso, a resposta da empresa a alertas de segurança foi considerada ineficaz. Embora a Capita tenha inicialmente afirmado que não havia evidências de comprometimento de dados, posteriormente foi revelado que informações de funcionários, clientes e parceiros foram expostas. A multa representa uma redução significativa em relação à penalidade inicial proposta de £45 milhões, refletindo um acordo voluntário com o regulador. O caso ressalta a necessidade urgente de que todas as organizações adotem medidas proativas para proteger os dados pessoais sob sua responsabilidade.

Uma nova campanha de phishing está atacando clientes do GMO Aozora Bank, no Japão, utilizando uma técnica antiga chamada Autenticação Básica para disfarçar URLs maliciosas. Pesquisadores da Netcraft identificaram várias URLs de phishing que imitam sites bancários legítimos, redirecionando os usuários para domínios maliciosos que coletam credenciais de login. A Autenticação Básica, um protocolo web obsoleto, permite que atacantes insiram o nome de um domínio confiável na seção de nome de usuário, fazendo com que o verdadeiro destino do link apareça após o símbolo ‘@’. Essa manobra engana os usuários, especialmente em dispositivos móveis, onde os URLs podem ser truncados. Durante a investigação, foram encontrados 214 URLs de phishing únicas, com 71,5% direcionadas a usuários ou empresas japonesas. A campanha destaca como a compatibilidade com recursos web desatualizados pode ser explorada por grupos de phishing modernos. A Netcraft recomenda que as organizações eduquem os usuários sobre os riscos de URLs com credenciais embutidas e implementem políticas de inspeção de URLs para sinalizar a presença do símbolo ‘@’.

O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.

Um novo ataque de ciberespionagem foi identificado na região Ásia-Pacífico, com o grupo Mysterious Elephant, classificado como uma ameaça avançada persistente (APT), atacando agências governamentais e de política externa. Desde sua descoberta em 2023, o grupo tem se destacado por suas táticas adaptáveis, especialmente ao explorar plataformas de mensagens como o WhatsApp para roubar documentos e arquivos.

A campanha mais recente, iniciada em 2025, mostra uma evolução significativa nas técnicas operacionais do grupo, que agora utiliza malware desenvolvido sob medida e utilitários de código aberto modificados, como BabShell e MemLoader. Os ataques geralmente começam com e-mails de spear-phishing que imitam correspondências oficiais, utilizando temas diplomáticos para enganar as vítimas. Uma vez que o sistema é comprometido, o BabShell estabelece uma conexão de shell reverso, permitindo que os atacantes mantenham controle e executem comandos.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

As autoridades do Condado de Grand Traverse, em Michigan, confirmaram a notificação de 782 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu seus nomes e números de Seguro Social. O condado detectou atividades não autorizadas em sua rede e uma investigação forense digital de terceiros revelou que informações pessoais estavam em locais da rede que foram comprometidos. Notavelmente, a notificação aos afetados ocorreu mais de 15 meses após a violação, enquanto o tempo médio de notificação após uma violação de dados é de cerca de 4 meses. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O condado está oferecendo 12 meses de monitoramento de crédito gratuito através da Cyberscout para as vítimas, com um prazo de 90 dias para inscrição. Em 2024, pesquisadores registraram 95 ataques de ransomware confirmados a entidades governamentais nos EUA, comprometendo mais de 2,5 milhões de registros. Esses ataques podem não apenas roubar dados, mas também bloquear sistemas, exigindo resgates para a recuperação. O Condado de Grand Traverse, que abriga quase 100 mil pessoas, é o mais populoso do norte de Michigan.

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.