A Elastic lançou uma atualização de segurança urgente para o Elastic Cloud Enterprise (ECE) devido a uma vulnerabilidade crítica de injeção no motor de templates Jinjava, identificada como CVE-2025-37729, com uma pontuação CVSSv3.1 de 9.1. Essa falha afeta as versões 2.5.0 a 3.8.1 e 4.0.0 a 4.0.1 do ECE, permitindo que administradores autenticados executem comandos arbitrários e exfiltratem dados sensíveis. A vulnerabilidade ocorre quando um administrador submete um plano de implantação com variáveis Jinjava manipuladas, que são avaliadas e executadas pela plataforma. Se o recurso de Logging+Metrics estiver ativado, a saída dos comandos injetados é registrada, criando um canal de feedback para os atacantes. A Elastic recomenda que os clientes atualizem para as versões 3.8.2 ou 4.0.2 imediatamente, pois não existem alternativas de mitigação. Além disso, sugere que os administradores monitorem os logs de requisições em busca de nomes de payloads suspeitos e revisem os pipelines de Logging+Metrics para identificar atividades incomuns. A falha representa um risco significativo, pois permite controle total sobre o processo de interpretação de templates, comprometendo a confidencialidade, integridade e disponibilidade dos dados.

A Ivanti divulgou a correção de treze vulnerabilidades críticas em sua linha de produtos Endpoint Manager (EPM), que incluem falhas de desserialização insegura, travessia de caminho e uma série de vulnerabilidades de injeção SQL. Embora não haja relatos de exploração ativa, duas falhas foram classificadas como de alta severidade, sendo a mais crítica a CVE-2025-11622, que permite a escalada de privilégios por um usuário local autenticado. A segunda, CVE-2025-9713, é uma vulnerabilidade de travessia de caminho que pode ser explorada por um atacante não autenticado para execução remota de código, desde que um arquivo de configuração malicioso seja importado. As demais falhas são relacionadas à injeção SQL, permitindo que usuários autenticados recuperem registros arbitrários do banco de dados. A Ivanti recomenda que os clientes migrem do EPM 2022, que chegou ao fim da vida útil, para o EPM 2024 e implementem medidas provisórias até que os patches completos sejam disponibilizados. As atualizações estão programadas para serem lançadas em novembro de 2025 e no primeiro trimestre de 2026.

Pesquisadores de cibersegurança identificaram um novo ator de ameaças, chamado TA585, que tem utilizado o malware MonsterV2 em campanhas de phishing. O TA585 se destaca por controlar toda a cadeia de ataque, desde a entrega até a instalação do malware, sem depender de outros atores. O MonsterV2, um trojan de acesso remoto (RAT), é capaz de roubar dados sensíveis, manipular criptomoedas e estabelecer controle remoto sobre sistemas infectados. As campanhas de phishing têm utilizado iscas relacionadas ao IRS dos EUA para enganar usuários e direcioná-los a URLs maliciosas. Uma técnica chamada ClickFix é empregada para ativar a infecção através de comandos maliciosos no terminal do Windows. Além disso, o TA585 também tem utilizado injeções de JavaScript em sites legítimos e notificações falsas do GitHub para disseminar o malware. O MonsterV2 é comercializado por até $2.000 mensais e é projetado para evitar a detecção por meio de técnicas de ofuscação. A ameaça é particularmente relevante para o Brasil, dado o uso crescente de tecnologias digitais e a necessidade de proteção contra ataques cibernéticos.

Pesquisadores de cibersegurança identificaram pacotes maliciosos nas plataformas npm, Python e Ruby que utilizam o Discord como canal de comando e controle (C2) para transmitir dados roubados. Os webhooks do Discord, que permitem postar mensagens em canais sem autenticação, são explorados por atacantes para exfiltrar informações. Por exemplo, pacotes como mysql-dumpdiscord e sqlcommenter_rails enviam dados sensíveis, como arquivos de configuração e informações do sistema, para webhooks controlados por criminosos. Além disso, uma campanha associada a atores de ameaças da Coreia do Norte resultou na publicação de 338 pacotes maliciosos, que foram baixados mais de 50.000 vezes. Esses pacotes, que muitas vezes são variações de nomes legítimos (typosquatting), visam desenvolvedores de Web3 e criptomoedas, utilizando técnicas de engenharia social para comprometer sistemas. A pesquisa destaca a facilidade com que os atacantes podem operar sem a necessidade de infraestrutura própria, tornando a detecção e mitigação mais desafiadoras.

Um novo malware chamado Stealerium está causando preocupação no mundo da cibersegurança. Diferente de golpes anteriores que apenas ameaçavam as vítimas com chantagens, este vírus realmente grava imagens da webcam e faz capturas de tela quando o usuário acessa conteúdo pornográfico online. Pesquisadores da Proofpoint identificaram que o Stealerium utiliza táticas de phishing para infectar os computadores, disfarçando mensagens maliciosas como comunicações de bancos ou serviços conhecidos. O código-fonte do malware está disponível na internet há anos, mas sua utilização em ataques reais é recente. O vírus não só realiza extorsão, mas também coleta dados sensíveis, como senhas e informações de cartões de crédito. As vítimas, muitas vezes constrangidas, hesitam em denunciar os crimes, o que facilita a ação dos cibercriminosos. Para se proteger, é recomendado manter antivírus atualizados, evitar clicar em links suspeitos e cobrir fisicamente a webcam. A situação é alarmante, pois o risco de detecção para os hackers é baixo, e a quantidade de vítimas pode ser significativa.

Com a crescente sofisticação das operações cibernéticas, as organizações precisam de estratégias robustas de defesa que vão além do firewall corporativo. O uso do dark web por cibercriminosos para negociar credenciais roubadas e planejar ataques torna essencial a adoção de ferramentas de monitoramento avançadas. O artigo destaca as dez melhores ferramentas de monitoramento da dark web para 2025, enfatizando a importância da Inteligência de Ameaças Cibernéticas (CTI) e da Proteção de Riscos Digitais (DRP). A seleção das ferramentas foi baseada em critérios como cobertura de dados, capacidade de análise, integração com fluxos de trabalho de segurança e especialização. Entre as ferramentas destacadas estão Recorded Future, DarkOwl, Digital Shadows e Flashpoint, cada uma oferecendo características únicas, como alertas em tempo real, análise humana e serviços de remediação automatizados. A evolução do mercado é impulsionada pela integração de análises baseadas em IA e pela necessidade de alertas de ameaças contextualizados e de alta fidelidade, tornando a escolha da plataforma certa crucial para os profissionais de segurança em 2025.

Recentemente, a equipe de segurança do Microsoft Edge revelou que cibercriminosos estão explorando vulnerabilidades não corrigidas no modo legado do Internet Explorer (IE) dentro do navegador Edge para comprometer ambientes Windows. Essa exploração, identificada em agosto de 2025, ocorre devido à combinação de compatibilidade com tecnologias legadas e fluxos de trabalho modernos de navegação. Muitas empresas ainda dependem de sistemas desatualizados, como controles ActiveX e Flash, que o Edge mantém para garantir a funcionalidade durante a modernização. Os atacantes utilizam táticas de engenharia social, como phishing, para direcionar as vítimas a sites falsos que parecem oficiais. Ao ativar o modo IE, eles conseguem executar código malicioso através de uma vulnerabilidade zero-day no motor JavaScript Chakra. A Microsoft respondeu removendo pontos de acesso fáceis para reativar o modo IE, exigindo que os usuários ativem manualmente essa funcionalidade. A empresa recomenda a transição para tecnologias modernas para melhorar a segurança e o desempenho, uma vez que o Internet Explorer 11 atingiu o fim da vida útil em junho de 2022.

Pesquisadores da Trend Micro descobriram uma vulnerabilidade grave na Axis Communications, que resultou na exposição de credenciais de contas do Azure Storage. Essa falha estava presente em múltiplos DLLs assinados utilizados em um plugin oficial da Axis para o Autodesk® Revit®. As credenciais, que estavam hardcoded, permitiam acesso total aos conteúdos armazenados, incluindo instaladores e arquivos de modelo utilizados por clientes para integrar dispositivos Axis ao Revit. A descoberta levantou preocupações sobre riscos na cadeia de suprimentos, uma vez que atacantes poderiam modificar ou carregar instaladores maliciosos. Embora a Axis tenha lançado versões subsequentes do plugin para mitigar a vulnerabilidade, as correções iniciais foram insuficientes, permitindo que as credenciais expostas ainda fossem acessíveis. A situação foi finalmente resolvida na versão 25.3.718, quando as credenciais legadas foram invalidadas. Além disso, foram identificadas falhas de execução remota de código no parser de arquivos RFA do Revit, que poderiam ser exploradas caso arquivos maliciosos fossem carregados. A Axis confirmou que todas as vulnerabilidades foram corrigidas e que não houve acesso não autorizado.

Um grupo hacktivista pró-russo, conhecido como TwoNet, foi identificado atacando uma instalação de tratamento de água durante uma operação de honeypot realizada pelos laboratórios Vedere da Forescout em setembro de 2025. O ataque destacou uma mudança nas táticas de hacktivistas, que estão se afastando da simples desfiguração de sites para intrusões mais sofisticadas em sistemas de tecnologia operacional (OT) e controle industrial (ICS). Os atacantes exploraram a autenticação fraca em uma interface homem-máquina (HMI), utilizando credenciais padrão para obter acesso. Após a invasão, eles realizaram consultas SQL para mapear dados e injetaram JavaScript malicioso, alterando a página de login. Além disso, criaram uma conta separada para realizar ações persistentes, como manipulação de dados e desativação de logs de alarmes. A análise revelou que o ataque foi manual, com IPs associados a entidades sancionadas pela UE, e que houve atividades correlacionadas de grupos aliados, aumentando a escalabilidade da ameaça. Especialistas recomendam medidas de endurecimento, como a eliminação de senhas padrão e a segmentação de redes, para mitigar riscos semelhantes.

No final de semana, o grupo de ransomware Obscura reivindicou um ataque cibernético ocorrido em setembro de 2025 contra Michigan City, Indiana. Em 9 de outubro de 2025, autoridades da cidade confirmaram que um ataque comprometeu dados municipais e interrompeu o acesso online e telefônico dos funcionários. Obscura afirmou ter roubado 450 GB de dados e que o prazo para pagamento do resgate já havia expirado. Embora a cidade não tenha confirmado a reivindicação do grupo, a situação está sob investigação policial, limitando as informações disponíveis ao público. O ataque é o primeiro reconhecido por Obscura, que também alegou ter atacado uma entidade governamental na Alemanha e uma loja de suprimentos na Irlanda. Os ataques de ransomware em entidades governamentais dos EUA têm aumentado, com 64 incidentes confirmados em 2025 até agora. Esses ataques podem resultar em perda de dados, interrupções em serviços essenciais e riscos de fraude para os cidadãos. A cidade de Michigan City, que abriga mais de 32.000 pessoas, está focada em restaurar seus sistemas de forma segura.

Uma pesquisa da Zimperium revelou uma nova campanha de spyware chamada ClayRat, que se disfarça de aplicativos populares como WhatsApp, TikTok e YouTube para infectar dispositivos Android. O malware, que já afetou mais de 600 usuários, principalmente na Rússia, é disseminado por meio de canais do Telegram e sites maliciosos que imitam serviços legítimos. Os hackers utilizam técnicas de phishing para criar domínios que se assemelham aos originais, levando os usuários a baixar APKs sem o seu conhecimento. Uma vez instalado, o spyware consegue acessar SMS, histórico de chamadas, tirar fotos e até fazer ligações. O malware se comunica com um servidor de comando e controle de forma encriptada, coletando informações do dispositivo e enviando-as aos cibercriminosos. A Zimperium já notificou o Google, que implementou bloqueios no Play Protect, mas a empresa alerta que a campanha é massiva e recomenda cautela ao instalar aplicativos fora da loja oficial. Os usuários devem evitar burlar as configurações de segurança do Android e sempre optar por fontes confiáveis para downloads.

Recentemente, o FBI, em colaboração com autoridades francesas, desativou domínios utilizados pelo grupo de hackers Scattered Lapsus$ Hunters, que estavam prestes a vazar dados roubados da violação de segurança envolvendo a Salesforce e a Salesloft. Apesar da ação, os vazamentos continuaram, com informações de mais de 40 empresas, incluindo grandes nomes como Qantas, Toyota e Disney, sendo expostas. O domínio breachforums.hn, que servia como um fórum de troca de informações entre cibercriminosos, foi um dos alvos da operação, sendo substituído rapidamente por um novo site no Tor. O grupo de hackers declarou que a era dos fóruns está chegando ao fim, sugerindo uma migração para grupos no Telegram, que oferecem maior resistência a ações de desmantelamento. Além disso, afirmaram que novos fóruns devem ser vistos como armadilhas criadas por pesquisadores de segurança e autoridades. A operação do FBI não resultou em prisões, permitindo que o grupo continuasse suas atividades. Essa situação destaca a evolução das táticas de grupos de hackers e a necessidade de vigilância constante por parte das empresas.

O Astaroth, um conhecido trojan bancário, voltou a ser uma ameaça significativa ao abusar de plataformas de nuvem confiáveis, como o GitHub, para manter sua operação. O processo de infecção começa com e-mails de phishing altamente direcionados, que induzem os usuários a baixar um arquivo ZIP contendo um atalho do Windows ofuscado. Ao ser executado, esse atalho ativa um script JavaScript que baixa scripts adicionais, projetados para evitar análise e detecção. O malware é capaz de injetar código na memória, permitindo que ele opere sem deixar rastros no disco. Uma vez instalado, o Astaroth monitora as atividades bancárias e de criptomoedas do usuário, capturando credenciais através de eventos de teclado. O uso do GitHub para armazenar configurações do malware, disfarçadas em imagens PNG, permite que os atacantes atualizem suas operações mesmo após interrupções em seus servidores de comando e controle. A campanha destaca a crescente sofisticação das táticas de cibercriminosos, especialmente em regiões da América do Sul, como o Brasil, onde as instituições financeiras são alvos frequentes. Para se proteger, é crucial que organizações e indivíduos adotem medidas robustas de segurança, como autenticação multifator e monitoramento contínuo de endpoints.

O EDR-Freeze é uma ferramenta de prova de conceito que incapacita motores de detecção e resposta em endpoints (EDR) ou antivírus, utilizando componentes legítimos do Windows, como o WerFaultSecure.exe e a API MiniDumpWriteDump. Ao ser executado, o EDR-Freeze_1.0.exe se disfarça como um manipulador de falhas, suspendendo temporariamente processos de segurança, como o MsMpEng.exe (serviço do Windows Defender), sem acionar alertas. Durante a criação de dumps de falha, o EDR-Freeze consegue pausar a coleta de telemetria, mantendo o estado do processo intacto. Após um intervalo configurável, os processos suspensos são retomados, permitindo que os atacantes operem sem serem detectados. Para a investigação, é crucial preservar vestígios do arquivo temporário gerado, t.txt, e analisar a tabela de endereços de importação do WerFaultSecure.exe. A implementação de regras YARA pode ajudar a identificar atividades do EDR-Freeze, destacando a necessidade de análises forenses de memória e caça comportamental em fluxos de resposta a incidentes. Essa técnica demonstra como componentes confiáveis do sistema operacional podem ser explorados para desativar controles de segurança, exigindo uma resposta proativa dos profissionais de cibersegurança.

Um novo grupo de cibercrime, denominado Scattered Lapsus$ Hunters, lançou uma campanha de extorsão visando inquilinos corporativos da Salesforce em todo o mundo. Este grupo, associado a uma aliança chamada ‘Trinity of Chaos’, afirma ter roubado mais de um bilhão de registros da Salesforce entre maio e setembro de 2025, afetando grandes organizações como Toyota, FedEx e Disney. A campanha utiliza um modelo de extorsão como serviço (EaaS), onde os atacantes não criptografam dados, mas ameaçam divulgar informações sensíveis se o resgate não for pago. A técnica de phishing por voz (vishing) foi uma das principais táticas utilizadas, enganando as vítimas para que autorizassem integrações maliciosas em seus portais Salesforce. Embora o FBI tenha conseguido apreender a infraestrutura do grupo na superfície da web, a operação ainda está ativa no darknet. Especialistas em segurança alertam que essa mudança de foco para a monetização de dados representa um novo desafio para as organizações, que devem adotar controles de acesso rigorosos e monitorar continuamente suas credenciais expostas.

Pesquisadores de segurança da Dell e da Sophos descobriram uma campanha ativa de malware que explora a plataforma WhatsApp Web para disseminar um worm auto-replicante. Iniciada em 29 de setembro de 2025, a campanha visa principalmente usuários brasileiros, utilizando mensagens enganosas e anexos ZIP maliciosos para comprometer sistemas. Os usuários recebem mensagens de contatos infectados contendo arquivos ZIP que aparentam ser documentos financeiros legítimos, mas que, ao serem abertos, executam comandos PowerShell ocultos. Esses comandos baixam scripts adicionais de um servidor de comando e controle, desativando mecanismos de segurança do Windows e permitindo a instalação de trojans bancários e ladrões de credenciais de criptomoedas. Entre os malwares identificados estão um trojan bancário conhecido como Maverick e um módulo de automação de navegador que utiliza o Selenium para controlar sessões do WhatsApp Web. A campanha já afetou mais de 1.000 endpoints em 400 ambientes na primeira semana, destacando a necessidade urgente de conscientização e proteção contra anexos ZIP recebidos por plataformas de mensagens.

Uma nova onda de ataques de cadeia de suprimentos, denominada “Contagious Interview”, foi identificada, envolvendo mais de 338 pacotes JavaScript maliciosos no registro npm, atribuídos a hackers norte-coreanos. Esses atacantes utilizam perfis falsos de recrutadores e dependências com nomes semelhantes para enganar desenvolvedores de Web3, blockchain e criptomoedas. A operação já acumulou mais de 50.000 downloads. Os ataques seguem um modelo repetível que se alinha ao modelo Lockheed Martin Cyber Kill Chain, começando com a pesquisa no LinkedIn e culminando na instalação de pacotes infectados. Um exemplo notável é o pacote chamado eslint-detector, que executa cargas úteis de roubo de informações durante a instalação. Os atacantes também utilizam técnicas de typosquatting para camuflar módulos maliciosos, imitando bibliotecas npm populares. Apesar de algumas contas de atacantes terem sido removidas, pelo menos 25 pacotes ainda estão ativos. Especialistas em segurança recomendam que os registros adotem defesas em camadas e que as equipes de desenvolvimento tratem cada instalação do npm como uma execução de código, implementando varreduras de segurança e bloqueando uploads de alto risco.

No final de semana, a SimonMed Imaging confirmou que 1.275.669 pessoas foram afetadas por uma violação de dados em janeiro de 2025, atribuída ao grupo de ransomware Medusa, que exigiu um resgate de US$ 1 milhão. Este incidente se torna a segunda maior violação de dados do ano no setor de saúde e a sexta em todos os setores. A SimonMed foi alertada por um de seus fornecedores sobre um incidente de segurança em 27 de janeiro, e, após uma revisão, identificou atividades suspeitas em sua rede no dia seguinte. Os dados comprometidos incluem informações pessoais e médicas, como nomes, endereços, números de registro médico e informações de seguro de saúde. Medusa reivindicou a responsabilidade pelo ataque e listou a SimonMed em seu site, exigindo o resgate. Até agora, 140 ataques confirmados do grupo resultaram na violação de mais de 4,5 milhões de registros, com um foco crescente em organizações de saúde. Em 2025, já foram registrados 65 ataques a provedores de saúde nos EUA, totalizando mais de 7,5 milhões de registros comprometidos. O ataque à SimonMed é o maior até agora, superando outros incidentes significativos no setor de saúde.

A Microsoft anunciou uma atualização significativa no modo Internet Explorer (IE) de seu navegador Edge, em resposta a relatos de que atores de ameaças estavam explorando essa funcionalidade para acessar dispositivos de usuários de forma não autorizada. Segundo a equipe de Pesquisa de Vulnerabilidades de Navegadores da Microsoft, os atacantes utilizavam técnicas de engenharia social e exploits não corrigidos no motor JavaScript do Internet Explorer, chamado Chakra, para comprometer dispositivos.

A campanha de malware RondoDox tem se expandido, visando mais de 50 vulnerabilidades em mais de 30 fornecedores, incluindo dispositivos como roteadores, DVRs e NVRs. A Trend Micro identificou uma tentativa de invasão em 15 de junho de 2025, explorando uma falha de segurança em roteadores TP-Link. O RondoDox, documentado pela Fortinet em julho de 2025, utiliza uma abordagem de ’loader-as-a-service’, combinando suas cargas com as de outros malwares como Mirai e Morte, o que torna a detecção mais desafiadora. As vulnerabilidades abrangem marcas conhecidas como D-Link, NETGEAR e Cisco, com 18 delas sem identificador CVE. A campanha representa uma evolução significativa na exploração automatizada de redes, passando de ataques a dispositivos únicos para operações multivetoriais. Além disso, um botnet chamado AISURU, que opera principalmente a partir de dispositivos IoT comprometidos nos EUA, também está em ascensão, controlando cerca de 300.000 hosts globalmente. A atividade de botnets está crescendo, com um ataque coordenado envolvendo mais de 100.000 endereços IP de 100 países, com foco em serviços RDP nos EUA, a maioria dos quais se origina de países como Brasil e Argentina.

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

O cenário de cibersegurança continua a se deteriorar, com ataques cada vez mais sofisticados e coordenados. Um dos principais incidentes recentes envolve a exploração de uma falha crítica no Oracle E-Business Suite, afetando diversas organizações desde agosto de 2025. A falha, identificada como CVE-2025-61882, possui uma pontuação CVSS de 9.8 e foi utilizada por grupos como o Cl0p para exfiltrar dados sensíveis. Além disso, o grupo Storm-1175 explorou uma vulnerabilidade no GoAnywhere MFT, resultando em ataques em setores variados, como transporte e educação.

O episódio mais recente do Podcast Canaltech, gravado durante o Festival Curicaca em Brasília, aborda a transformação da indústria brasileira sob a perspectiva de Ricardo Cappelli, presidente da Agência Brasileira de Desenvolvimento Industrial (ABDI). Cappelli enfatiza que o Brasil está passando por uma ‘mudança de era’, impulsionada pela educação, tecnologia e o surgimento de startups. Ele destaca a importância do programa Brasil Mais Produtivo, que visa aumentar a eficiência de pequenas e médias empresas, facilitando sua transformação digital com suporte do Sebrae e do Senai. O podcast também discute como essas iniciativas podem ajudar o setor produtivo a se adaptar às novas demandas do mercado, promovendo inovação e competitividade. A conversa é enriquecida por reportagens de diversos colaboradores e apresenta uma trilha sonora envolvente, tornando o conteúdo acessível e informativo para o público interessado em tecnologia e desenvolvimento industrial no Brasil.

Uma campanha massiva e coordenada de botnets está atacando serviços de Protocolo de Área de Trabalho Remota (RDP) nos Estados Unidos. Desde 8 de outubro de 2025, a empresa de cibersegurança GreyNoise identificou mais de 100.000 endereços IP únicos envolvidos nos ataques, que se estendem por mais de 100 países. Os vetores de ataque principais incluem ataques de temporização de autenticação anônima do Microsoft RD Web Access e verificações de enumeração de login do Microsoft RDP Web Client. A análise revelou que a maioria dos IPs participantes compartilha impressões digitais TCP semelhantes, indicando uma infraestrutura centralizada de comando e controle. Os ataques focam especificamente em serviços RDP baseados nos EUA, com nós da botnet distribuídos em regiões como Brasil, Argentina, Irã, China, México, Rússia, África do Sul e Equador. Para se proteger, as organizações devem implementar configurações robustas de segurança RDP, como autenticação em nível de rede e autenticação multifatorial, além de monitorar tentativas de acesso e considerar restringir o acesso RDP através de VPNs.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

Pesquisadores de cibersegurança revelaram um novo backdoor baseado em Rust chamado ChaosBot, que permite a operadores realizar reconhecimento e executar comandos arbitrários em sistemas comprometidos. O malware foi detectado pela primeira vez em setembro de 2025 em um ambiente de serviços financeiros. Os atacantes utilizaram credenciais comprometidas de uma conta do Active Directory e do Cisco VPN para implantar o ChaosBot, que se comunica via Discord, utilizando perfis como ‘chaos_00019’ para emitir comandos. O malware também pode ser distribuído através de mensagens de phishing que contêm arquivos de atalho maliciosos. Uma vez instalado, o ChaosBot realiza reconhecimento do sistema e estabelece um proxy reverso para manter acesso persistente. Além disso, uma variante do ransomware Chaos, escrita em C++, foi identificada, introduzindo capacidades destrutivas que excluem arquivos em vez de criptografá-los, além de manipular o conteúdo da área de transferência para fraudes financeiras. Essa combinação de extorsão destrutiva e roubo financeiro torna o Chaos uma ameaça multifacetada e agressiva.

Pesquisadores de cibersegurança alertam sobre uma nova campanha que utiliza o trojan bancário Astaroth, que se aproveita do GitHub como infraestrutura para suas operações. Em vez de depender apenas de servidores de comando e controle (C2) que podem ser desativados, os atacantes hospedam configurações de malware em repositórios do GitHub. Isso permite que o Astaroth continue funcionando mesmo após a desativação de suas infraestruturas principais. O foco principal da campanha é o Brasil, embora o malware também atinja outros países da América Latina. O ataque começa com um e-mail de phishing que simula um documento do DocuSign, levando o usuário a baixar um arquivo que, ao ser aberto, instala o Astaroth. O malware é projetado para monitorar acessos a sites de bancos e criptomoedas, capturando credenciais por meio de keylogging. Além disso, o Astaroth possui mecanismos para resistir à análise e se autodestruir ao detectar ferramentas de depuração. A McAfee, em colaboração com o GitHub, conseguiu remover alguns repositórios utilizados pelo malware, mas a ameaça permanece ativa.

No último sábado, a Oracle emitiu um alerta de segurança sobre uma nova vulnerabilidade em seu E-Business Suite, identificada como CVE-2025-61884, que pode permitir acesso não autorizado a dados sensíveis. Com uma pontuação CVSS de 7.5, a falha afeta versões do software que vão de 12.2.3 a 12.2.14. Segundo a descrição na base de dados de vulnerabilidades do NIST, a vulnerabilidade é facilmente explorável por um atacante não autenticado que tenha acesso à rede via HTTP, comprometendo o Oracle Configurator. Embora a Oracle não tenha relatado que a falha esteja sendo explorada ativamente, a empresa enfatizou a importância de aplicar a atualização de segurança o mais rápido possível. O Chief Security Officer da Oracle, Rob Duhart, destacou que a vulnerabilidade pode ser utilizada para acessar recursos sensíveis. O alerta surge após a divulgação de que várias organizações podem ter sido afetadas por uma exploração de zero-day em outra vulnerabilidade do E-Business Suite, CVE-2025-61882, que permitiu a instalação de malwares como GOLDVEIN.JAVA e SAGEGIFT. A situação é preocupante, especialmente considerando a possibilidade de que os ataques estejam ligados a um grupo de hackers associado ao ransomware Cl0p.

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

A empresa de cibersegurança Huntress alertou sobre um comprometimento generalizado de dispositivos SonicWall SSL VPN, que permitiu o acesso a múltiplos ambientes de clientes. Os atacantes estão autenticando rapidamente em várias contas, sugerindo que possuem credenciais válidas, em vez de utilizar força bruta. Desde 4 de outubro de 2025, mais de 100 contas SonicWall em 16 clientes foram afetadas, com autenticações originadas do IP 202.155.8[.]73. Embora alguns atacantes tenham se desconectado rapidamente, outros realizaram atividades de varredura de rede e tentativas de acesso a contas locais do Windows. Este incidente segue a revelação de que arquivos de configuração de firewall armazenados em contas MySonicWall foram expostos de forma não autorizada, afetando todos os clientes que utilizam o serviço de backup em nuvem da SonicWall. A Huntress recomenda que as organizações redefinam suas credenciais e implementem autenticação multifator (MFA) para proteger suas contas administrativas e remotas. O aumento das atividades de ransomware, como a campanha Akira, que explora falhas conhecidas, destaca a importância de manter práticas de atualização de segurança rigorosas.

A LG Electronics anunciou um investimento significativo de R$1,5 bilhão na construção de uma nova fábrica de eletrodomésticos em Fazenda Rio Grande, Paraná. O vice-presidente comercial da empresa, Roberto Barboza, destacou que a nova planta visa fortalecer a produção local e aumentar a competitividade da marca no mercado brasileiro de linha branca. A expectativa é que a fábrica comece a operar em 2026, trazendo benefícios logísticos e econômicos, além de potencialmente gerar novos empregos na região. Este movimento é parte da estratégia da LG para se posicionar como líder no setor, especialmente em um mercado que tem visto um aumento na demanda por produtos fabricados localmente. O investimento também reflete uma tendência crescente de empresas internacionais em expandir suas operações no Brasil, buscando atender melhor às necessidades dos consumidores locais e otimizar a cadeia de suprimentos. Além disso, o podcast Canaltech, que apresentou a entrevista com Barboza, também abordou outros temas relevantes, como a segurança aérea na Alemanha e ataques cibernéticos que afetaram plataformas de jogos populares.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

Na última terça-feira (7), diversas plataformas de jogos online, incluindo Steam, PlayStation Network, Xbox Live, e títulos populares como Fortnite e League of Legends, enfrentaram lentidão e quedas simultâneas, sugerindo um ataque DDoS. O Downdetector registrou mais de 36.000 reclamações de usuários do Steam, com a Epic Games Store e PlayStation também reportando problemas significativos. A Riot Games, responsável por LoL e Valorant, confirmou sobrecarga em seus servidores, coincidindo com os problemas enfrentados por outras plataformas. Embora não haja confirmação oficial, especula-se que a botnet Aisuru esteja por trás do ataque, que visa grandes plataformas para demonstrar sua capacidade de causar interrupções. A Epic Games reconheceu as instabilidades, mas não forneceu detalhes sobre as causas ou possíveis responsáveis. Este incidente destaca a vulnerabilidade das infraestruturas de jogos online e a necessidade de medidas de segurança mais robustas para proteger os usuários e as plataformas.

O grupo de ransomware Qilin reivindicou um ataque cibernético ao Uvalde Consolidated Independent School District, ocorrido entre 15 e 18 de setembro de 2025. Durante o ataque, as escolas do distrito foram fechadas devido à interrupção de serviços essenciais, como telefonia, ar-condicionado e câmeras de segurança. Embora o distrito tenha afirmado que não houve acesso não autorizado a dados sensíveis, Qilin alegou ter roubado informações pessoais de funcionários e alunos, além de dados financeiros. Para corroborar sua afirmação, o grupo publicou imagens de documentos que afirmam ter sido extraídos dos servidores do distrito. Até o momento, o Uvalde CISD não confirmou a veracidade das alegações do grupo. O Qilin é um grupo de ransomware que opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Em 2025, foram confirmados 106 ataques atribuídos ao Qilin, com o grupo já tendo atacado diversas instituições educacionais nos Estados Unidos. Os ataques de ransomware têm se tornado cada vez mais comuns no setor educacional, com 34 incidentes confirmados em 2025, impactando operações diárias e colocando em risco a segurança de dados de alunos e funcionários.

Pesquisadores da Trend Micro Research identificaram uma nova campanha de malware chamada Water Saci, que utiliza o WhatsApp Web para infectar computadores no Brasil. O vírus, conhecido como SORVEPOTEL, não se limita a roubar dados, mas foi projetado para se espalhar rapidamente, explorando a confiança dos usuários. A campanha utiliza mensagens de phishing que contêm arquivos ZIP maliciosos, persuadindo as vítimas a abrir anexos que parecem legítimos, como comprovantes de pagamento. Após a instalação, o malware se propaga automaticamente para todos os contatos do usuário no WhatsApp Web.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.

A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.

No contexto da economia digital do Reino Unido, a confiança é fundamental para operações como bancos online e comunicações do NHS. No entanto, essa confiança está sendo ameaçada por domínios semelhantes, que imitam endereços legítimos e são usados em ataques de impersonação via e-mail. Um exemplo notável envolve um domínio falso que se assemelhava a uma plataforma de logística conhecida, resultando em perdas financeiras significativas, estimadas entre £40.000 e £160.000 por incidente. Os atacantes exploram variações sutis nos nomes de domínio, como troca de caracteres ou alteração de domínios de nível superior, para contornar defesas tradicionais. Esses ataques são particularmente perigosos em setores como logística e finanças, onde a comunicação por e-mail é comum e urgente. Além disso, os domínios semelhantes são utilizados em fraudes de faturas e na impersonação de executivos, levando a transferências de fundos não autorizadas. A detecção desses domínios é desafiadora, pois muitas vezes não acionam filtros de segurança convencionais. Para mitigar esses riscos, as empresas precisam adotar uma postura proativa, investindo em inteligência de ameaças e promovendo a conscientização entre os funcionários sobre a verificação de solicitações inesperadas.

Pesquisadores de segurança estão alertando sobre a nova botnet RondoDox, que explora 56 vulnerabilidades em mais de 30 tipos de dispositivos conectados à internet. Diferente de botnets tradicionais que costumam focar em uma única vulnerabilidade, RondoDox adota uma abordagem chamada ’exploit shotgun’, atacando múltiplas falhas simultaneamente, o que a torna barulhenta e facilmente detectável por defensores. Os dispositivos afetados incluem roteadores, câmeras de segurança e sistemas de DVR de marcas conhecidas como QNAP, D-Link e Netgear. A maioria das vulnerabilidades já possui patches disponíveis, o que facilita a defesa. As recomendações incluem manter o firmware atualizado, isolar redes e usar senhas fortes. A campanha ainda está ativa, e a rápida evolução das táticas de cibercriminosos indica um futuro preocupante para a segurança cibernética, com a exploração automatizada de infraestruturas antigas em larga escala.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-11371, foi descoberta no software Gladinet CentreStack e Triofox, permitindo a execução remota de código (RCE) por atacantes. Apesar de a versão mais recente do software, posterior à 16.4.10315.56368, ser considerada segura contra a vulnerabilidade CVE-2025-30406, a exploração de uma falha de Inclusão de Arquivo Local (LFI) está em andamento. Os atacantes conseguiram extrair uma chave de máquina do arquivo Web.config da aplicação, o que possibilitou a execução de código malicioso com privilégios de sistema. A Huntress, responsável pela detecção, alertou que a exploração ocorre rapidamente, com a transição de acesso não autorizado para a execução de código em questão de minutos. Embora a Gladinet tenha sido informada sobre a vulnerabilidade, ainda não há um patch oficial para a CVE-2025-11371. A Huntress recomenda que as organizações desativem o manipulador temporário no arquivo Web.config como uma medida imediata de mitigação, a fim de evitar a exploração. A situação é crítica, pois três casos de comprometimento real já foram documentados, e a falta de um patch oficial aumenta o risco para as empresas que utilizam essas soluções.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Em setembro de 2025, a unidade de resposta a ameaças da eSentire, conhecida como TRU, identificou um sofisticado backdoor em Rust, chamado ‘ChaosBot’, que visa ambientes de serviços financeiros. Este malware inova ao utilizar credenciais comprometidas do CiscoVPN e uma conta de Active Directory com privilégios excessivos para implantar e controlar sistemas infectados. O ataque se inicia com a obtenção de credenciais válidas ou por meio de arquivos de atalho maliciosos que executam comandos PowerShell para baixar o payload principal. O ChaosBot se esconde utilizando componentes legítimos do Microsoft Edge para evitar detecções iniciais e se comunica com os atacantes via Discord, demonstrando técnicas avançadas de evasão e persistência. As recomendações incluem a implementação de autenticação multifatorial e a limitação de privilégios de contas de serviço, além de manter patches atualizados e soluções de EDR/NGAV para detectar atividades suspeitas. A análise da TRU isolou a máquina infectada para conter a violação e orientar os esforços de remediação.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

Pesquisadores de cibersegurança identificaram 175 pacotes maliciosos no registro npm, utilizados em uma campanha de coleta de credenciais chamada Beamglea. Esses pacotes, que foram baixados 26.000 vezes, servem como infraestrutura para um ataque de phishing direcionado a mais de 135 empresas dos setores industrial, tecnológico e energético ao redor do mundo. Os pacotes, com nomes aleatórios, dificultam a instalação acidental por desenvolvedores, mas as contagens de download incluem pesquisadores de segurança e scanners automáticos. Os pacotes hospedam scripts de redirecionamento que levam as vítimas a páginas de captura de credenciais. Um arquivo Python, chamado “redirect_generator.py”, é utilizado para criar pacotes npm com URLs de phishing personalizadas. Quando as vítimas abrem arquivos HTML maliciosos, o JavaScript redireciona automaticamente para páginas de phishing, preenchendo o campo de e-mail com o endereço da vítima, aumentando assim a credibilidade do ataque. Essa situação destaca a evolução das táticas de cibercriminosos, que abusam de infraestruturas legítimas para realizar ataques em larga escala.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

Pesquisadores de cibersegurança revelaram uma campanha ativa de malware chamada Stealit, que utiliza a funcionalidade Single Executable Application (SEA) do Node.js para distribuir seus payloads. De acordo com o Fortinet FortiGuard Labs, o malware é propagado por meio de instaladores falsos de jogos e aplicativos de VPN, frequentemente carregados em sites de compartilhamento de arquivos como Mediafire e Discord. A SEA permite que aplicações Node.js sejam empacotadas como executáveis independentes, facilitando a execução em sistemas sem o Node.js instalado.

A Microsoft emitiu um alerta sobre um grupo de hackers, conhecido como Storm-2657, que está realizando campanhas de roubo de salários em organizações dos Estados Unidos, especialmente no setor de educação superior. Esses ataques ocorrem através da violação de contas de funcionários, permitindo acesso não autorizado a plataformas de recursos humanos como o Workday. Os hackers utilizam e-mails de phishing altamente personalizados para enganar os alvos, muitas vezes se passando por autoridades de saúde do campus. Uma vez que as credenciais e os códigos de autenticação multifator (MFA) são coletados, os atacantes conseguem redirecionar os pagamentos salariais para contas bancárias controladas por eles. A falta de controles de autenticação robustos, como MFA resistente a phishing, é um fator crítico que facilita esses ataques. Para mitigar esses riscos, as organizações são aconselhadas a adotar métodos de autenticação sem senha e a monitorar logs de auditoria de sistemas como o Exchange Online e o Workday para detectar atividades suspeitas. A situação destaca a necessidade urgente de fortalecer as defesas contra engenharia social e melhorar a segurança das informações financeiras dos funcionários.

Uma nova campanha de ciberataque envolvendo o SnakeKeylogger foi identificada, utilizando e-mails fraudulentos que se passam por comunicações da CPA Global e Clarivate. Os atacantes enviam anexos maliciosos em formatos ISO e ZIP, que, ao serem extraídos, revelam um script BAT que executa um comando PowerShell para baixar um segundo payload. O SnakeKeylogger, uma Trojan que rouba informações, registra as teclas digitadas, credenciais de navegadores e dados do sistema, enviando essas informações para um servidor de comando e controle (C2) via requisições HTTP disfarçadas. Para se proteger, as organizações devem implementar regras rigorosas de filtragem de e-mails, restringir a execução de scripts PowerShell e monitorar atividades anômalas em suas redes. Essa campanha destaca a evolução das ameaças de roubo de informações, que combinam engenharia social com scripts nativos do Windows, exigindo defesas em múltiplas camadas para mitigar riscos.