Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

Uma investigação sobre a violação de uma infraestrutura hospedada na Amazon Web Services (AWS) revelou um novo rootkit para GNU/Linux, denominado LinkPro, conforme relatado pela empresa de cibersegurança Synacktiv. O ataque começou com a exploração de um servidor Jenkins exposto, vulnerável à CVE-2024–23897, que permitiu a implantação de uma imagem Docker maliciosa chamada ‘kvlnt/vv’ em vários clusters Kubernetes. Essa imagem continha um sistema baseado em Kali Linux e arquivos que permitiam a instalação de um servidor VPN e um downloader que se comunicava com um servidor de comando e controle (C2).

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Uma nova campanha de malware em larga escala foi identificada no Brasil, envolvendo um Trojan bancário chamado Maverick, que se espalha através do WhatsApp. O ataque utiliza arquivos LNK maliciosos enviados em arquivos ZIP, contornando as restrições da plataforma de mensagens. Ao abrir o arquivo, o Trojan executa um comando PowerShell que baixa cargas adicionais de um servidor de comando e controle (C2), utilizando um canal de comunicação que valida rigorosamente o acesso. O Maverick se destaca por sua capacidade de se propagar rapidamente entre contatos do WhatsApp, enviando mensagens de spam com novos arquivos maliciosos. Além disso, o malware monitora navegadores e visa 26 portais bancários brasileiros, além de exchanges de criptomoedas. O componente principal, chamado Maverick Agent, permite que os atacantes tenham controle total do sistema da vítima, incluindo captura de tela e registro de teclas. Nos primeiros dez dias de outubro, mais de 62.000 tentativas de infecção foram bloqueadas, evidenciando a gravidade da ameaça, que é direcionada a usuários brasileiros, utilizando verificação de idioma e fuso horário.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

O cenário da cibersegurança está em constante transformação, com novas fraudes e ataques surgindo a cada semana. Hackers estão se tornando mais sofisticados, utilizando aplicativos confiáveis e sites legítimos para enganar usuários e roubar informações sem que eles percebam. Um exemplo alarmante é a operação do governo dos EUA que apreendeu US$ 15 bilhões em criptomoedas de uma rede de fraudes que operava na Ásia, onde trabalhadores eram forçados a realizar esquemas de investimento fraudulentos. Além disso, um novo trojan bancário chamado Maverick, que utiliza o WhatsApp para roubar dados de usuários brasileiros, foi identificado, destacando a vulnerabilidade de plataformas populares. Pesquisas também revelaram que é possível interceptar comunicações de satélites militares e comerciais com equipamentos comuns, expondo dados sensíveis. Por fim, protocolos legados do Windows continuam a ser explorados para roubo de credenciais, evidenciando a necessidade de atualização e segurança em sistemas. Este artigo destaca a urgência de uma resposta proativa na defesa contra essas ameaças emergentes.

O artigo de Arthur Capella discute a crescente complexidade da cibersegurança em um ambiente de trabalho distribuído e digitalizado, onde a migração para a nuvem e a adoção de inteligência artificial (IA) aumentam tanto o valor quanto o risco. A superfície de ataque se expandiu mais rapidamente do que a capacidade das empresas de medir e responder a essas ameaças. A gestão de exposição é apresentada como uma disciplina estratégica, essencial para priorizar riscos com base no impacto nos negócios, em vez de se concentrar apenas em uma lista de vulnerabilidades. O autor destaca a escassez de profissionais qualificados em cibersegurança e a limitação orçamentária como desafios constantes. Além disso, enfatiza que apenas 3% das vulnerabilidades frequentemente resultam em riscos significativos, tornando a priorização crucial. O artigo conclui que, em vez de tentar eliminar todos os riscos, as empresas devem focar em fechar as portas que realmente importam, equilibrando inovação e segurança.

A Microsoft está investigando uma série de interrupções que afetaram o acesso ao Microsoft 365, com a terceira queda ocorrendo na última semana. O problema, que impactou usuários em diversas regiões, foi classificado como uma falha na central administrativa, uma categorização que indica problemas significativos na experiência do usuário. Durante os incidentes, aplicativos como Microsoft Teams e Exchange Online foram os mais afetados, com dificuldades de autenticação e acesso. Na quarta-feira (8), a interrupção impediu o uso do Teams e do Exchange Online, enquanto na quinta-feira (9), problemas na rede Azure Front Door resultaram em falhas de acesso em regiões como Europa, Ásia e Oriente Médio. Embora os serviços já tenham sido restaurados, a Microsoft ainda está analisando as causas e recomenda que os usuários que enfrentam problemas entrem em contato com o suporte. Este não é o primeiro incidente, já que falhas semelhantes ocorreram em setembro, afetando o acesso a e-mails e calendários devido a bugs no código. A situação levanta preocupações sobre a confiabilidade do serviço e a necessidade de soluções permanentes para evitar novas interrupções.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

Uma análise recente sobre a infraestrutura relacionada à campanha ClickFix revelou a existência de mais de 13.000 domínios maliciosos, utilizados em operações de phishing e entrega de malware. As campanhas ClickFix exploram a capacidade dos navegadores de escrever diretamente na área de transferência do usuário, enganando as vítimas a executar scripts maliciosos sob a aparência de verificação CAPTCHA. Um exemplo é o site greenblock[.]me, que solicita aos usuários que executem um comando PowerShell para baixar e executar um script Visual Basic, frequentemente resultando em infecções por malware.

A F5 Networks revelou um incidente de segurança que afetou seus ambientes internos, onde um ator de ameaça sofisticado, possivelmente um agente estatal, obteve acesso persistente e exfiltrou arquivos de sistemas críticos, incluindo o ambiente de desenvolvimento do produto BIG-IP. A empresa confirmou que ações de contenção foram bem-sucedidas e que não houve atividade não autorizada desde o início da resposta em agosto de 2025. Entre os arquivos acessados estão partes do código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas em desenvolvimento. No entanto, a F5 assegurou que não há evidências de exploração ativa de falhas críticas ou de manipulação da cadeia de suprimentos. A empresa recomenda que seus clientes apliquem imediatamente atualizações de segurança e implementem práticas de endurecimento para mitigar riscos. A F5 também está colaborando com especialistas em segurança e autoridades para investigar o incidente e melhorar suas defesas. A situação destaca a importância de monitoramento contínuo e resposta rápida a incidentes de segurança.

O grupo de ransomware Interlock reivindicou um ataque cibernético às escolas públicas de Kearney, em Nebraska, ocorrido na última sexta-feira. O ataque resultou no roubo de 354 GB de dados, incluindo informações pessoais e financeiras de alunos e seus familiares. Embora a escola tenha restaurado seus sistemas até segunda-feira, a veracidade das alegações do grupo não foi confirmada. A diretora de comunicações da escola, Tori Stofferson, afirmou que a investigação ainda está em andamento e que não houve solicitação de resgate. O superintendente, Dr. Jason Mundorf, mencionou que servidores de câmeras e de telefonia foram comprometidos, mas não se sabe se dados pessoais foram acessados. O Interlock é um grupo que começou a operar em outubro de 2024 e já reivindicou 32 ataques confirmados, sendo 11 direcionados a instituições educacionais. Os ataques de ransomware têm se tornado comuns nas escolas dos EUA, com 38 incidentes confirmados em 2025, comprometendo 184 mil registros. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a fraudes.

A empresa de cibersegurança F5 anunciou que sistemas internos foram comprometidos por um ator de ameaça estatal altamente sofisticado, resultando no roubo de arquivos que incluem código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. A violação foi detectada em 9 de agosto de 2025, e a F5 tomou medidas para conter a ameaça, incluindo a contratação de especialistas da Google Mandiant e CrowdStrike. Embora a empresa não tenha especificado a duração do acesso não autorizado, afirmou que não há evidências de que as vulnerabilidades tenham sido exploradas de forma maliciosa. No entanto, alguns arquivos extraídos continham informações de configuração que podem afetar uma pequena porcentagem de clientes, que serão notificados diretamente. A F5 recomenda que os usuários apliquem as atualizações mais recentes para seus produtos, como BIG-IP e F5OS, para garantir a proteção adequada.

Um grupo de hackers com vínculos à China, identificado como Jewelbug, foi responsável por uma invasão que durou cinco meses, visando um provedor de serviços de TI na Rússia. A atividade ocorreu entre janeiro e maio de 2025 e foi atribuída pela Symantec, que observou que o grupo também está relacionado a outras ameaças cibernéticas conhecidas. A invasão permitiu acesso a repositórios de código e sistemas de construção de software, possibilitando ataques à cadeia de suprimentos que poderiam afetar clientes na Rússia. Os atacantes utilizaram uma versão renomeada do Microsoft Console Debugger para executar código malicioso e contornar medidas de segurança. Além disso, foram observados esforços para exfiltrar dados para o Yandex Cloud. A atividade do Jewelbug destaca a continuidade das operações de espionagem cibernética da China, mesmo com o fortalecimento das relações entre Moscou e Pequim. O grupo também foi associado a uma intrusão em uma organização governamental na América do Sul, utilizando uma nova backdoor em desenvolvimento, o que demonstra suas capacidades em evolução. O uso de ferramentas legítimas e serviços em nuvem para ocultar suas atividades torna a detecção e resposta a esses ataques ainda mais desafiadoras.

Especialistas em segurança da Cleafy identificaram um novo aplicativo malicioso chamado Mbdro Pro IP TV + VPN, que se disfarça como um serviço de VPN e streaming para Android. Este aplicativo não apenas falha em fornecer as funcionalidades prometidas, mas também instala um trojan bancário conhecido como Klopatra, que ainda não foi classificado em uma família de malwares específica. O Klopatra utiliza engenharia social para enganar os usuários e roubar suas credenciais, permitindo que os atacantes realizem transações fraudulentas. O uso de aplicativos falsos de VPN e IPTV está se tornando uma tendência crescente, com riscos ocultos mesmo em aplicativos legítimos disponíveis na Play Store. Um estudo recente da Open Technology Fund revelou que 32 VPNs comerciais, utilizadas por mais de um bilhão de pessoas, apresentam sérios problemas de segurança. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis e verificar as permissões solicitadas. A situação é alarmante, pois muitos usuários, ao buscar serviços clandestinos, ignoram as soluções de segurança disponíveis.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

A ‘Operação Hércules’, realizada pela polícia alemã em colaboração com autoridades da Bulgária e a Europol, resultou na desativação de mais de 1.400 sites fraudulentos que enganavam vítimas com promessas de investimentos em criptomoedas. Os golpistas utilizaram inteligência artificial para criar sites convincentes, simulando retornos financeiros significativos. Após o fechamento das páginas, foram registradas mais de 860.000 tentativas de acesso, evidenciando a popularidade dessas plataformas de investimento falsas. Os usuários eram induzidos a registrar contas e a investir, sendo inicialmente permitidos a retirar pequenas quantias, o que os levava a acreditar na legitimidade dos sites. Quando tentavam retirar valores maiores, eram informados sobre taxas ou impostos, e, em muitos casos, os sites simplesmente saíam do ar. Apesar da magnitude da operação, não houve prisões, o que sugere que os golpistas podem retomar suas atividades rapidamente. Especialistas alertam para a crescente incidência de fraudes relacionadas a criptomoedas, especialmente em um ambiente regulatório fraco, e recomendam cautela ao considerar investimentos em plataformas online.

Uma nova campanha de malware para Android, identificada como GhostBat RAT, está explorando a aparência de aplicativos do Escritório de Transporte Regional (RTO) da Índia para roubar dados bancários e credenciais de UPI de usuários indianos. O malware utiliza técnicas avançadas de ofuscação, dropper em múltiplas etapas e engenharia social para enganar os usuários, sendo distribuído através de aplicativos falsos do mParivahan via WhatsApp, SMS e sites comprometidos.

Após a instalação, o aplicativo falso solicita permissões de SMS sob o pretexto de uma atualização e começa a coletar dados sensíveis. Desde setembro de 2025, foram identificadas mais de 40 amostras de APK maliciosos, que empregam técnicas de evasão como manipulação de cabeçalho ZIP e mecanismos anti-emulação. O malware também realiza phishing, levando os usuários a uma interface falsa de UPI onde são induzidos a inserir seus PINs, que são enviados para um endpoint controlado pelos atacantes.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

Um grande fabricante sofreu um ataque de ransomware devastador após a obtenção de credenciais VPN roubadas. O grupo cibercriminoso Ignoble Scorpius utilizou um ataque de phishing por voz para enganar um funcionário, que forneceu suas informações de login em um site falso. Com essas credenciais, os atacantes conseguiram acesso à rede e rapidamente elevaram seus privilégios, realizando um ataque DCSync para coletar credenciais administrativas adicionais.

Os invasores se moveram lateralmente pela rede, utilizando ferramentas como Advanced IP Scanner para mapear servidores valiosos e instalaram um Trojan de acesso remoto para garantir acesso contínuo. Eles comprometeram um segundo controlador de domínio, extraindo mais de 400 GB de dados sensíveis antes de implantar o ransomware BlackSuit, que criptografou centenas de máquinas virtuais, paralisando as operações da empresa.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

Uma nova pesquisa revelou que mais de 100 extensões do Visual Studio Code (VS Code) vazaram tokens de acesso, permitindo que atacantes atualizassem essas extensões com malware, representando um risco crítico à cadeia de suprimentos de software. Os pesquisadores da Wiz identificaram mais de 550 segredos validados em mais de 500 extensões, incluindo tokens de acesso pessoal do VS Code Marketplace e do Open VSX, que poderiam ser explorados por cibercriminosos. Com uma base de instalação acumulada de 150.000, a possibilidade de distribuição de malware é alarmante. Além disso, um grupo de ameaças conhecido como TigerJack publicou extensões maliciosas que roubam código-fonte e mineram criptomoedas, utilizando uma abordagem de cavalo de Troia para enganar desenvolvedores. A Microsoft respondeu ao problema revogando os tokens vazados e implementando recursos de verificação de segredos. Os usuários do VS Code são aconselhados a limitar o número de extensões instaladas e a revisar cuidadosamente as extensões antes de baixá-las.

A Oracle lançou um patch para a vulnerabilidade crítica CVE-2025-61884, que afeta sua E-Business Suite. Esta falha permite que atacantes não autenticados acessem recursos sensíveis remotamente, sem a necessidade de credenciais. A vulnerabilidade foi supostamente explorada pelo grupo ShinyHunters, que tem um histórico de roubo de dados corporativos de várias organizações. O patch é uma resposta a um aumento nos ataques, incluindo campanhas de extorsão por ransomware. A Oracle já havia lançado um patch anterior para outra vulnerabilidade na mesma suíte, CVE-2025-61882, que permitia a um atacante não autenticado comprometer o componente de Processamento Concorrente da E-Business Suite. A empresa recomenda que os clientes mantenham suas versões atualizadas e apliquem os patches de segurança imediatamente. O aumento das ameaças direcionadas a usuários da E-Business Suite destaca a necessidade de vigilância contínua e atualização de sistemas para evitar compromissos de segurança.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

A SAP lançou correções de segurança para 13 novas vulnerabilidades, incluindo uma falha de alta severidade no SAP NetWeaver AS Java, que pode permitir a execução arbitrária de comandos. Essa vulnerabilidade, identificada como CVE-2025-42944, possui um score CVSS de 10.0 e é classificada como uma falha de deserialização insegura. Um atacante não autenticado pode explorar essa falha através do módulo RMI-P4, enviando um payload malicioso para uma porta aberta, o que compromete a confidencialidade, integridade e disponibilidade do sistema. Além disso, a SAP corrigiu uma falha de travessia de diretório (CVE-2025-42937, CVSS 9.8) no SAP Print Service e uma vulnerabilidade de upload de arquivos não restrito (CVE-2025-42910, CVSS 9.0) no SAP Supplier Relationship Management. Embora não haja evidências de exploração ativa dessas falhas, é crucial que os usuários apliquem as correções o mais rápido possível. A empresa Pathlock destacou que a deserialização continua sendo um risco significativo, e a SAP implementou uma configuração de JVM endurecida para mitigar esses riscos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.

Pesquisadores de cibersegurança revelaram duas falhas críticas que afetam os produtos de unidade terminal remota (RTU) da Red Lion Sixnet. As vulnerabilidades, identificadas como CVE-2023-40151 e CVE-2023-42770, possuem uma pontuação máxima de 10.0 no sistema CVSS, indicando seu alto nível de gravidade. Ambas as falhas permitem que um atacante não autenticado execute comandos com privilégios de root, o que pode levar a uma execução remota de código. A primeira vulnerabilidade, CVE-2023-42770, é um bypass de autenticação que ocorre porque o software RTU escuta na mesma porta (1594) para UDP e TCP, aceitando mensagens TCP sem autenticação. A segunda, CVE-2023-40151, permite a execução de comandos de shell Linux devido ao suporte embutido do driver Universal da Sixnet. Os dispositivos afetados são amplamente utilizados em setores críticos, como energia e tratamento de água, e a exploração dessas falhas pode causar interrupções significativas nos processos industriais. A Red Lion recomenda que os usuários apliquem patches e habilitem a autenticação de usuários para mitigar os riscos. A CISA também emitiu um alerta sobre essas vulnerabilidades, destacando a necessidade urgente de ação por parte dos administradores de sistemas.

O PolarEdge é um novo malware identificado que ataca dispositivos NAS da QNAP, explorando uma vulnerabilidade crítica (CVE-2023-20118) em roteadores Cisco. A equipe de pesquisa da Sekoia.io detectou o malware em fevereiro de 2025, após sua primeira identificação em janeiro do mesmo ano, quando foi observado abusando da infraestrutura IoT de marcas como Asus e Synology. O PolarEdge utiliza um servidor TLS embutido, o que é incomum para malware IoT, permitindo controle autenticado por meio de um protocolo binário proprietário.

Pesquisadores da eSentire identificaram um novo malware chamado ChaosBot, que utiliza a plataforma Discord para roubar dados e criar uma backdoor em sistemas de computadores. O ataque foi inicialmente detectado no final de setembro de 2025, afetando clientes do setor financeiro no Vietnã. O ChaosBot é distribuído por meio de mensagens de phishing que contêm arquivos maliciosos, como atalhos do Windows que executam scripts PowerShell para baixar o malware. Uma das características mais notáveis é o uso do Discord para comando e controle, onde os hackers recebem instruções e podem executar ações como capturas de tela e download de outros agentes maliciosos. Além disso, uma variante em C++ do malware pode encriptar arquivos e realizar ataques de ransomware. O uso de credenciais comprometidas da Cisco VPN e contas com privilégios na Active Directory para a disseminação do vírus destaca a gravidade da ameaça. A situação exige atenção, pois o ChaosBot representa uma nova abordagem de cibercrime que pode ser replicada em outros contextos.

Um novo ataque cibernético atribuído a um grupo de hackers patrocinado pelo Estado chinês, conhecido como Flax Typhoon, comprometeu um sistema ArcGIS, transformando-o em uma porta dos fundos por mais de um ano. De acordo com a ReliaQuest, os atacantes modificaram uma extensão de objeto de servidor Java (SOE) de um aplicativo de geo-mapeamento para criar um shell web, permitindo acesso não autorizado. Essa técnica de ataque, que utiliza métodos de ’living-off-the-land’, permite que os hackers evitem a detecção ao se misturarem ao tráfego normal do servidor. O grupo conseguiu acessar uma conta de administrador de portal público para implantar a SOE maliciosa, que foi ativada através de uma operação REST padrão. Uma vez dentro, os atacantes estabeleceram uma conexão VPN oculta, permitindo que eles se comportassem como parte da rede interna da vítima. O ataque destaca a criatividade dos hackers em usar ferramentas legítimas para contornar medidas de segurança, evidenciando a necessidade de vigilância constante e atualização das práticas de segurança cibernética.

O grupo de hackers Crimson Collective anunciou, no último sábado (11), que invadiu os servidores da Nintendo, alegando ter acessado arquivos confidenciais, incluindo materiais de produção e dados de desenvolvedores. A gigante japonesa, conhecida por sua rigorosa proteção de informações, não se pronunciou sobre o incidente, o que levanta dúvidas sobre a veracidade da alegação. O Crimson Collective também foi responsável por um ataque recente à Red Hat, onde roubaram cerca de 570 GB de dados e tentaram extorquir a empresa. A Red Hat optou por admitir o vazamento e colaborar com as autoridades, enquanto a Nintendo pode não se manifestar a menos que dados de clientes ou funcionários tenham sido comprometidos, o que exigiria uma divulgação legal. Se confirmada, a invasão pode indicar a prática de ransomware, uma técnica crescente em ataques cibernéticos, especialmente na indústria de jogos, que já enfrentou incidentes semelhantes, como os ataques à Rockstar e à Insomniac Games nos últimos anos. A situação destaca a vulnerabilidade das empresas de tecnologia e a necessidade de medidas de segurança robustas para proteger dados sensíveis.

Pesquisadores da Trend Micro identificaram duas vulnerabilidades graves no 7-Zip, um popular aplicativo de compactação de arquivos. As falhas, conhecidas como CVE-2025-11001 e CVE-2025-11002, permitem que cibercriminosos obtenham controle remoto do computador da vítima ao explorar um problema no sistema de análise de links simbólicos em arquivos ZIP. Embora o desenvolvedor Igor Pavlov tenha lançado um patch em julho para corrigir as falhas, o 7-Zip não possui um sistema de atualização automática, o que significa que os usuários precisam atualizar manualmente o software. Isso deixou muitos usuários expostos a ataques por meses, sem saber da necessidade de atualização. A versão corrigida é a 25.00, lançada em 5 de julho, seguida pela versão 25.01 em agosto. Os especialistas recomendam que os usuários baixem a nova versão imediatamente e evitem abrir arquivos ZIP de fontes não confiáveis, especialmente em ambientes corporativos, onde a atualização manual pode escapar de sistemas de gerenciamento de patches.

Uma vulnerabilidade crítica de corrupção de memória foi identificada no SAP NetWeaver AS ABAP e na Plataforma ABAP, classificada como CVE-2025-42902. Essa falha permite que atacantes não autenticados provoquem a queda de processos do servidor ao enviar tickets de logon SAP ou tickets de afirmação SAP malformados. Avaliada como média, com um escore CVSS 3.1 de 5.3, a vulnerabilidade resulta de uma desreferenciação de ponteiro NULL durante a análise dos tickets, levando à corrupção de memória e à terminação do processo. A SAP divulgou um aviso e patches em 14 de outubro de 2025, recomendando que os administradores apliquem as atualizações imediatamente. A falha afeta todas as versões suportadas do SAP NetWeaver, abrangendo desde a versão 7.22 até a 9.16. Embora a confidencialidade e a integridade não sejam comprometidas, a disponibilidade do sistema pode ser severamente afetada por meio de envios repetidos de tickets malformados, resultando em condições de negação de serviço. A SAP também sugere desabilitar a aceitação de tickets de logon externos como uma solução temporária, embora isso possa interromper logins federados legítimos.

O lançamento do Sora 2 AI provocou um aumento nas atividades maliciosas, com cibercriminosos criando domínios falsos que imitam os serviços oficiais da OpenAI para roubar credenciais de usuários e realizar fraudes em criptomoedas. Relatórios de inteligência de ameaças indicam que páginas clonadas do Sora estão sendo utilizadas para coletar dados de login, roubar carteiras de criptomoedas e acessar planos de API pagos sem autorização. Os ataques exploram a empolgação dos usuários em relação ao novo lançamento de IA, distribuindo malware e capturando dados financeiros.

Um novo ataque de phishing, descoberto em outubro de 2025, revela uma evolução preocupante no abuso da cadeia de suprimentos dentro do ecossistema de código aberto. Diferente dos compromissos tradicionais do NPM, que visam infectar desenvolvedores durante a instalação de pacotes, esta campanha utiliza o registro do NPM e a CDN confiável unpkg.com para entregar JavaScript que rouba credenciais através de iscas em HTML com temas empresariais. Pesquisadores da Socket identificaram mais de 175 pacotes NPM descartáveis, cada um com o padrão de nomenclatura redirect-[a-z0-9]{6}, que servem como contêineres para um script de phishing chamado beamglea.js. A campanha, codinome “Beamglea”, afetou mais de 135 organizações nos setores de tecnologia, industrial e energético, principalmente na Europa. A análise da Snyk revelou um novo grupo de pacotes suspeitos que imitam o comportamento da campanha original, indicando uma possível expansão da infraestrutura maliciosa. Este ataque representa um novo tipo de abuso em nível de ecossistema, explorando a confiança entre registros de código aberto e CDNs, o que pode ter implicações sérias para a segurança das identidades empresariais.

Pesquisas da Socket revelaram um aumento no uso de webhooks do Discord como canais de comando e controle (C2) em pacotes maliciosos distribuídos por npm, PyPI e RubyGems. Essa técnica permite que atacantes exfiltratem dados sensíveis para servidores do Discord controlados por eles, sem a necessidade de infraestrutura dedicada, o que torna a detecção e prevenção mais difíceis. Os webhooks do Discord são endpoints HTTPS que aceitam cargas JSON para postar mensagens em canais específicos, permitindo que qualquer pessoa com a URL do webhook envie dados sem revelar o histórico do canal. Exemplos incluem pacotes como mysql-dumpdiscord, que coleta arquivos de configuração e os envia para um webhook, e malinssx, que envia mensagens codificadas durante a instalação. O uso de webhooks reduz os custos e aumenta a furtividade das operações dos atacantes, levando a Socket a recomendar controles rigorosos de saída e análise comportamental para proteger a cadeia de suprimentos de software.

Uma nova campanha de phishing tem se espalhado na América Latina, utilizando notificações judiciais em espanhol para disseminar o trojan de acesso remoto AsyncRAT. Pesquisadores de segurança identificaram que os hackers estão escondendo seus códigos maliciosos dentro de arquivos de imagem SVG, uma técnica que permite que scripts maliciosos evitem a detecção por gateways de e-mail tradicionais e antivírus.

O ataque, que visa especificamente usuários na Colômbia, começa com um e-mail disfarçado como uma comunicação legítima do ‘Juzgado 17 Civil Municipal del Circuito de Bogotá’, que apresenta um arquivo anexo chamado ‘Fiscalia General De La Nacion Juzgado Civil 17.svg’. Ao abrir o arquivo, um script JavaScript malicioso é ativado, levando a uma série de downloads que culminam na instalação do AsyncRAT, que permite controle remoto ao atacante.

O uso crescente da inteligência artificial (IA) está revolucionando a forma como os atacantes realizam a fase de reconhecimento em cibersegurança. Antes de enviar um ataque, os hackers analisam minuciosamente o ambiente da vítima, explorando fluxos de login, arquivos JavaScript, mensagens de erro e documentação de APIs. A IA acelera esse processo, permitindo que os atacantes mapeiem sistemas com maior rapidez e precisão. Embora a IA não execute ataques de forma autônoma, ela otimiza a coleta e análise de informações, ajudando a identificar vulnerabilidades e caminhos de ataque.

Pesquisadores da Universidade da Califórnia e outras instituições descobriram uma vulnerabilidade em dispositivos Android da Google e Samsung, que pode ser explorada por meio de um ataque chamado ‘Pixnapping’. Este ataque permite que aplicativos maliciosos capturem códigos de autenticação de dois fatores (2FA), cronogramas do Google Maps e outros dados sensíveis sem o conhecimento do usuário. O método utiliza APIs do Android e um canal lateral de hardware, permitindo que um aplicativo malicioso intercepte dados de outros aplicativos, mesmo sem permissões especiais. O ataque foi testado em cinco dispositivos com Android entre as versões 13 e 16, mas a metodologia pode ser aplicada a todos os dispositivos Android. O Google já está ciente da vulnerabilidade, identificada como CVE-2025-48561, e lançou patches em setembro de 2025. No entanto, um método alternativo para reativar o ataque foi descoberto, e a empresa está trabalhando em uma solução definitiva. A vulnerabilidade também permite que atacantes verifiquem se aplicativos específicos estão instalados no dispositivo, contornando restrições implementadas nas versões mais recentes do Android.

A fabricante de chips AMD divulgou correções para uma vulnerabilidade de segurança conhecida como RMPocalypse, que pode ser explorada para comprometer as garantias de computação confidencial oferecidas pela Virtualização Segura Encriptada com Paginação Aninhada Segura (SEV-SNP). Pesquisadores da ETH Zürich identificaram que a falha permite a execução de uma única gravação de memória na tabela de Reverse Map Paging (RMP), uma estrutura que armazena metadados de segurança para todas as páginas de DRAM no sistema. A vulnerabilidade, classificada como CVE-2025-0033, resulta de uma condição de corrida durante a inicialização do Processador Seguro da AMD (PSP), que pode permitir que um hipervisor malicioso manipule o conteúdo inicial da RMP, comprometendo a integridade da memória dos convidados SEV-SNP. A exploração bem-sucedida dessa falha pode permitir que atacantes acessem informações sensíveis e manipulem o ambiente de máquinas virtuais. A AMD confirmou que os processadores EPYC 7003, 8004, 9004 e 9005 estão entre os afetados, e atualizações de BIOS estão sendo preparadas para mitigar a vulnerabilidade. A Microsoft e a Supermicro também estão trabalhando em soluções para seus sistemas afetados.

Todo mês de outubro, o Mês de Conscientização em Segurança se destaca, promovido pela CISA e pela National Cybersecurity Alliance desde 2004. O objetivo é tornar a segurança uma responsabilidade compartilhada, ajudando cidadãos, empresas e agências públicas a desenvolver hábitos digitais mais seguros. Embora as iniciativas desse mês aumentem a confiança e a conscientização sobre riscos, a realidade é que a conscientização sozinha não é suficiente para prevenir incidentes de segurança. O artigo destaca que muitas violações de segurança ocorrem devido a falhas que a conscientização não consegue alcançar, como configurações incorretas e senhas fracas. Para enfrentar esses desafios, a caça proativa a ameaças (threat hunting) é apresentada como uma solução eficaz. Essa abordagem busca identificar e corrigir vulnerabilidades antes que possam ser exploradas por atacantes. O conceito de Continuous Threat Exposure Management (CTEM) é introduzido como um modelo que permite uma gestão contínua das ameaças, garantindo que as organizações estejam sempre preparadas. O artigo conclui que a conscientização deve ser acompanhada de ações práticas que garantam a segurança, transformando o conhecimento em prontidão.

No dia 14 de outubro de 2025, o Windows 10 entra na fase de ‘Fim de Vida’ (End of Life), o que significa que a Microsoft não fornecerá mais suporte oficial para este sistema operacional. Isso implica a interrupção de atualizações, correções de bugs e, principalmente, patches de segurança, deixando milhões de usuários vulneráveis a ameaças cibernéticas. Apesar de já ter mais de uma década, o Windows 10 ainda é utilizado por uma grande base de usuários, e a Microsoft está incentivando a migração para o Windows 11. Além disso, empresas concorrentes, como a Apple, estão aproveitando essa transição para atrair usuários do Windows 10. Para ajudar os usuários a entenderem os riscos associados à permanência no Windows 10, a Microsoft disponibiliza ferramentas que permitem verificar a compatibilidade do hardware para a atualização. O artigo também oferece um blog ao vivo com opiniões de especialistas e dicas para facilitar a transição. A falta de suporte pode resultar em um aumento significativo de vulnerabilidades, tornando essencial que os usuários considerem a atualização para garantir a segurança de seus sistemas.

Pesquisadores de segurança revelaram uma vulnerabilidade crítica no framework Guardrails da OpenAI, que pode ser explorada através de métodos simples de injeção de prompt. Essa técnica permite que atacantes manipulem os modelos de linguagem que deveriam garantir a segurança do comportamento da IA, possibilitando a inserção de conteúdo malicioso sem ser detectado. O Guardrails, introduzido em 6 de outubro, utiliza modelos de linguagem como ‘juízes’ para avaliar a segurança de entradas e saídas, mas a pesquisa mostrou que essa abordagem cria um ciclo de segurança ‘cega’. Os atacantes podem enganar esses juízes, manipulando os limiares de confiança e permitindo a execução de instruções perigosas. Os métodos de bypass demonstrados incluem a inserção de instruções maliciosas em templates que imitam avaliações aprovadas e a ocultação de código malicioso em comentários HTML. Essa vulnerabilidade, classificada como ‘composta’, sugere que os juízes baseados em LLM são tão suscetíveis à manipulação quanto os modelos que protegem. Para mitigar esses riscos, as organizações devem implementar defesas em camadas e sistemas de validação independentes, além de monitoramento contínuo.

A Clevo, fabricante de hardware, acidentalmente divulgou chaves privadas utilizadas em sua implementação do Intel Boot Guard, resultando em uma vulnerabilidade crítica. Essa falha, identificada como VU#538470, permite que atacantes assinem e implantem firmware malicioso que é aceito pelo sistema durante as fases iniciais de inicialização. O Intel Boot Guard é projetado para verificar o bloco de inicialização inicial antes da inicialização do UEFI, garantindo que apenas firmware autenticado seja executado. No entanto, a inclusão acidental das chaves de assinatura no pacote de atualização UEFI compromete essa cadeia de confiança. Com acesso ao armazenamento de firmware, um invasor pode manipular e assinar uma imagem de firmware, permitindo que ela passe pela verificação do Boot Guard sem alertas de segurança. Isso compromete todo o processo de inicialização segura, tornando ineficazes outras defesas subsequentes, como verificações de integridade do sistema operacional. A Clevo já removeu o pacote comprometido, mas não forneceu orientações específicas de remediação. Administradores de sistemas devem identificar dispositivos afetados, ativar mecanismos de proteção contra gravação de firmware e garantir que as atualizações sejam obtidas de canais verificados.