Pesquisadores em cibersegurança identificaram um caso de infecção por malware que conseguiu exfiltrar dados de configuração do ambiente OpenClaw, uma plataforma de inteligência artificial. Este incidente representa uma evolução significativa no comportamento de infostealers, que agora estão focando na coleta de identidades e informações sensíveis de agentes de IA, em vez de apenas credenciais de navegadores. O malware, possivelmente uma variante do Vidar, utilizou uma rotina de captura de arquivos para acessar dados críticos, incluindo tokens de autenticação e diretrizes operacionais dos agentes. A captura do token de autenticação pode permitir que atacantes se conectem remotamente ao OpenClaw da vítima. Além disso, a plataforma OpenClaw enfrenta problemas de segurança, como a exposição de instâncias que podem levar a riscos de execução remota de código (RCE). A crescente popularidade do OpenClaw, que já conta com mais de 200 mil estrelas no GitHub, torna-o um alvo atraente para ataques de cadeia de suprimentos. A situação é agravada por campanhas de habilidades maliciosas que burlam a detecção de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

O Google lançou um patch para uma vulnerabilidade crítica no navegador Chrome, identificada como CVE-2026-2441, que permite a execução de código arbitrário através de páginas HTML manipuladas. Essa falha, classificada com um índice de severidade de 8.3 em 10, foi ativamente explorada por atacantes antes da correção. O problema está relacionado a um erro de ‘uso após liberação’ em CSS, que afeta versões do Chrome anteriores à 145.0.7632.75 para Windows e Mac, e 144.0.7559.75 para Linux. O Google recomenda que todos os usuários atualizem imediatamente seus navegadores, especialmente aqueles que desativaram as atualizações automáticas. A empresa optou por não divulgar detalhes sobre as vítimas ou os atacantes para evitar que outros exploradores se aproveitem da situação até que a maioria dos usuários esteja protegida. Esta é a primeira vulnerabilidade zero-day do Chrome em 2026, e o Google já havia corrigido oito vulnerabilidades semelhantes no ano anterior, muitas das quais foram exploradas por atores patrocinados por estados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) ainda não incluiu essa vulnerabilidade em seu catálogo de falhas conhecidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do BeyondTrust Remote Support contra uma vulnerabilidade crítica, identificada como CVE-2026-1731, em um prazo de três dias. Essa falha de execução remota de código, resultante de uma injeção de comando do sistema operacional, afeta versões anteriores ao Remote Support 25.3.1 e Privileged Remote Access 24.3.4. Embora a BeyondTrust tenha corrigido suas instâncias SaaS em 2 de fevereiro de 2026, clientes que utilizam versões on-premise precisam aplicar os patches manualmente. A exploração bem-sucedida dessa vulnerabilidade permite que atacantes não autenticados executem comandos do sistema operacional, potencialmente comprometendo sistemas, acessando dados de forma não autorizada e causando interrupções nos serviços. A CISA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e alertou que dispositivos não corrigidos devem ser considerados comprometidos. Este incidente destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas, especialmente em um contexto onde falhas anteriores da BeyondTrust já foram exploradas por grupos de ciberespionagem, como o Silk Typhoon, vinculado ao governo chinês.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, que está sendo promovida no Telegram como uma ferramenta para roubar dados sensíveis e facilitar a vigilância em tempo real em dispositivos Android e iOS. O malware é projetado para suportar versões do Android de 5 a 16 e do iOS até a versão 26, sendo distribuído principalmente por meio de engenharia social e marketplaces de aplicativos falsos.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade de alta severidade no Chrome, identificada como CVE-2026-2441, que está sendo explorada em ataques zero-day. Essa falha, relatada pelo pesquisador de segurança Shaheen Fazim, é uma vulnerabilidade do tipo use-after-free, resultante de um erro de invalidação de iterador no CSSFontFeatureValuesMap, que pode causar falhas no navegador, problemas de renderização, corrupção de dados e comportamentos indefinidos. O patch foi considerado urgente, sendo implementado em versões estáveis do Chrome para Windows, macOS e Linux, com a atualização sendo disponibilizada globalmente nos próximos dias. Embora o Google tenha confirmado a exploração ativa dessa vulnerabilidade, não foram divulgados detalhes adicionais sobre os ataques. A empresa também indicou que o problema imediato foi resolvido, mas que ainda há trabalho a ser feito, sugerindo que a solução pode ser temporária. Essa é a primeira vulnerabilidade do Chrome explorada ativamente a ser corrigida em 2026, após um ano em que o Google tratou de oito zero-days, muitos deles relacionados a ataques de spyware contra indivíduos de alto risco.

Na última sexta-feira, o Google lançou atualizações de segurança para o navegador Chrome, visando uma vulnerabilidade de alta gravidade, identificada como CVE-2026-2441, com uma pontuação CVSS de 8.8. Essa falha, classificada como um erro ‘use-after-free’ em CSS, permite que um atacante remoto execute código arbitrário dentro de um sandbox através de uma página HTML manipulada. O pesquisador de segurança Shaheen Fazim descobriu e reportou a vulnerabilidade em 11 de fevereiro de 2026. Embora o Google não tenha revelado detalhes sobre como a falha está sendo explorada ou quem são os alvos, a empresa confirmou que um exploit para essa vulnerabilidade já está em uso ativo. Essa é a primeira falha zero-day explorada ativamente no Chrome que foi corrigida em 2026, destacando a atratividade das falhas em navegadores para agentes maliciosos, dada sua ampla instalação e superfície de ataque. Para proteção ideal, os usuários devem atualizar para as versões 145.0.7632.75/76 no Windows e macOS, e 144.0.7559.75 no Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

A Microsoft anunciou a resolução de um erro no Windows 11 que impedia alguns sistemas comerciais de inicializar, apresentando a mensagem “UNMOUNTABLE_BOOT_VOLUME” após a instalação de atualizações de segurança recentes. O problema, que afetou dispositivos físicos com as versões 25H2 e 24H2 do Windows 11, foi vinculado a falhas nas atualizações de dezembro de 2025. A correção foi disponibilizada na atualização de segurança KB5077181, lançada em 10 de fevereiro de 2026. Os dispositivos afetados enfrentavam falhas de inicialização após a instalação da atualização de segurança KB5074109, lançada em 13 de janeiro de 2026, resultando em telas pretas e a necessidade de recuperação manual. A Microsoft já havia lançado uma resolução inicial em uma atualização opcional em janeiro, mas a solução completa foi confirmada apenas em fevereiro. A empresa recomenda que clientes empresariais que ainda enfrentam problemas entrem em contato com o suporte da Microsoft para assistência. A falta de um aviso público sobre o problema levanta questões sobre a comunicação da empresa em relação a falhas críticas.

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

O grupo de extorsão de dados ShinyHunters anunciou ter roubado mais de 600 mil registros de clientes da Canada Goose, incluindo informações pessoais e dados de pagamento. A Canada Goose, uma marca canadense de roupas de luxo, afirmou que os dados parecem ser de transações passadas e que não há evidências de uma violação em seus sistemas. O conjunto de dados, com 1,67 GB, foi publicado em formato JSON e contém registros detalhados de pedidos, como nomes, endereços de e-mail, números de telefone, endereços de cobrança e entrega, além de informações parciais de cartões de pagamento. Embora não inclua números completos de cartões, as informações expostas podem ser utilizadas para phishing e fraudes. O grupo ShinyHunters negou que os dados tenham origem em ataques recentes a contas de SSO, afirmando que provêm de uma violação de um processador de pagamentos de terceiros. A empresa está revisando o conjunto de dados para avaliar sua precisão e escopo, mas ainda não se sabe quantos clientes podem ser afetados.

Em tempos de crescente preocupação com a segurança digital, verificar a autenticidade de arquivos baixados é essencial. O artigo do Canaltech apresenta métodos práticos para checar a assinatura digital de instaladores, utilizando tanto abordagens visuais quanto comandos no PowerShell. A verificação visual envolve acessar as propriedades do arquivo e checar a aba ‘Assinaturas Digitais’, onde é possível confirmar o nome do assinante, o status da assinatura e a data de timestamp. Caso o arquivo não possua assinatura ou apresente informações suspeitas, é recomendável excluí-lo. Para usuários mais experientes, o PowerShell oferece um método mais técnico, onde o comando Get-AuthenticodeSignature pode ser utilizado para validar a assinatura. Além disso, o artigo sugere o uso do CertUtil para comparar hashes, garantindo que o arquivo não foi alterado. A recomendação final é sempre baixar arquivos de fontes oficiais, evitando sites de terceiros que podem comprometer a segurança. O alerta sobre o SmartScreen do Windows também é destacado, enfatizando a importância de não ignorar avisos de segurança.

Um novo relatório da CTM360 revela que mais de 4.000 grupos maliciosos do Google e 3.500 URLs hospedadas pelo Google estão sendo utilizados em uma campanha ativa de malware que visa organizações globais. Os atacantes exploram a confiança no ecossistema do Google para distribuir malware que rouba credenciais e estabelece acesso persistente em dispositivos comprometidos. A campanha utiliza engenharia social em fóruns do Google Groups, onde os criminosos postam discussões técnicas que parecem legítimas, incorporando nomes de organizações e palavras-chave relevantes para aumentar a credibilidade. Links de download disfarçados são utilizados para direcionar os usuários a arquivos maliciosos. Para usuários do Windows, o malware Lumma Stealer é entregue em um arquivo compactado protegido por senha, enquanto usuários do Linux são redirecionados para baixar um navegador trojanizado chamado Ninja Browser, que instala extensões maliciosas sem consentimento. A campanha representa um risco significativo para as organizações, incluindo roubo de credenciais e execução remota de comandos. A CTM360 recomenda que as organizações inspecionem URLs encurtadas, bloqueiem indicadores de comprometimento e eduquem os usuários sobre os riscos de downloads de fontes não verificadas.

O roubo e furto de celulares no Brasil são crimes recorrentes, com 917.748 ocorrências registradas em 2024, embora tenha havido uma queda de 13,4% em relação ao ano anterior. O impacto desses crimes vai além do financeiro, pois os aparelhos se tornaram uma porta de entrada para o acesso a dados pessoais e identidade digital dos usuários. Especialistas alertam que, enquanto os furtos são frequentemente realizados com o aparelho desbloqueado, os roubos tendem a ser mais violentos, com criminosos utilizando armas para forçar as vítimas a entregarem senhas. Os celulares roubados geralmente são revendidos com notas fiscais fraudulentas ou exportados para países onde não há acordos de cooperação para bloqueio, dificultando a recuperação. Iniciativas como o programa ‘Protege Celular’ do Governo do Piauí têm mostrado resultados positivos na localização de aparelhos roubados. Para proteger os dados, recomenda-se o uso de gerenciadores de senhas, ocultação de aplicativos bancários e ferramentas que permitam o bloqueio remoto do dispositivo.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

A Microsoft revelou uma nova versão da tática de engenharia social chamada ClickFix, onde atacantes induzem usuários a executar comandos que realizam consultas DNS para obter um payload malicioso. O ataque utiliza o comando ’nslookup’ através do diálogo de execução do Windows, permitindo que os criminosos contornem controles de segurança. O ClickFix é frequentemente disseminado por meio de phishing, malvertising ou downloads automáticos, redirecionando as vítimas para páginas falsas que simulam verificações de CAPTCHA ou instruções para resolver problemas inexistentes. Essa técnica tem se tornado comum nos últimos dois anos, levando os usuários a infectarem suas próprias máquinas. A nova variante usa DNS como um canal leve de sinalização, reduzindo a dependência de requisições web tradicionais e misturando atividades maliciosas ao tráfego normal da rede. O payload baixado inicia uma cadeia de ataque que resulta na execução de um trojan de acesso remoto, ModeloRAT. Além disso, a Bitdefender reportou um aumento na atividade do Lumma Stealer, impulsionado por campanhas de ClickFix que utilizam verificações de CAPTCHA falsas. O artigo destaca a resiliência das operações de Lumma Stealer, que continuam a evoluir apesar de esforços de interrupção por parte das autoridades.

O grupo hacker APT28, também conhecido como Fancy Bear, é uma entidade de ciberespionagem russa associada ao GRU, o serviço de inteligência militar da Rússia. Desde sua formação em 2004, o APT28 tem se destacado por suas campanhas de espionagem e sabotagem, visando organizações governamentais e infraestruturas críticas em diversos países. O grupo é notório por suas táticas sofisticadas, que incluem spear-phishing e exploração de vulnerabilidades de dia zero, como evidenciado em um ataque recente que explorou uma falha no Microsoft Office para atingir instituições ucranianas.

O SSHStalker, uma nova botnet Linux, utiliza o protocolo IRC (Internet Relay Chat) para gerenciar suas operações, explorando servidores em nuvem para fins lucrativos. O protocolo, criado em 1988, foi revitalizado por essa botnet, que se destaca por sua estrutura de múltiplos bots e canais redundantes, permitindo controle eficiente sobre dispositivos infectados. A infecção inicial ocorre por meio de ataques automatizados de força bruta via SSH, com a botnet se espalhando rapidamente por infraestruturas de servidores em nuvem, como as da Oracle. Após comprometer um host, o malware baixa um compilador GCC para construir cargas úteis diretamente no sistema, garantindo a execução confiável dos bots em diversas distribuições Linux. Além disso, a botnet coleta chaves da AWS, realiza varreduras de sites e possui capacidades de mineração de criptomoedas. Embora existam capacidades de DDoS, não foram observados ataques, sugerindo que a botnet pode estar em fase de testes. Para mitigar os riscos, recomenda-se monitorar instalações de compiladores, atividades incomuns em cron e conexões de saída no estilo IRC, além de desabilitar a autenticação por senha SSH e aplicar filtragem rigorosa de saída.

Observações de inteligência de ameaças indicam que um único ator é responsável pela exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-21962 e CVE-2026-24061. Ambas as falhas, que permitem a execução remota de código (RCE) sem autenticação, foram destacadas em um aviso de segurança da Ivanti, que também anunciou correções temporárias. A empresa de inteligência GreyNoise revelou que um único endereço IP, hospedado em uma infraestrutura ‘à prova de balas’, é responsável por mais de 83% das atividades de exploração relacionadas a essas vulnerabilidades. Entre 1 e 9 de fevereiro, foram observadas 417 sessões de exploração, com um pico significativo em 8 de fevereiro, quando 269 sessões foram registradas em um único dia. A maioria das sessões utilizou callbacks DNS do tipo OAST, sugerindo atividade de corretores de acesso inicial. As correções da Ivanti não são permanentes, e a empresa planeja lançar patches completos no primeiro trimestre deste ano. Até lá, recomenda-se a utilização de pacotes RPM específicos para versões vulneráveis do EPMM.

Recentemente, criminosos têm enviado cartas físicas que se passam por comunicações oficiais das empresas Trezor e Ledger, fabricantes de carteiras de hardware para criptomoedas. Essas cartas fraudulentas alertam os usuários sobre a necessidade de completar um ‘Check de Autenticação’ ou ‘Check de Transação’ para evitar a perda de acesso às funcionalidades de suas carteiras. Ao criar um senso de urgência, os golpistas pressionam as vítimas a escanear QR codes que direcionam para sites maliciosos. As cartas, impressas em papel timbrado, têm como alvo usuários que podem ter tido suas informações expostas em vazamentos de dados anteriores. Os sites de phishing imitam páginas legítimas e solicitam que os usuários insiram suas frases de recuperação, permitindo que os atacantes acessem e roubem os fundos das carteiras. É importante ressaltar que tanto a Trezor quanto a Ledger nunca solicitarão que os usuários compartilhem suas frases de recuperação. Este tipo de golpe, embora raro, representa uma ameaça significativa, especialmente considerando o aumento do uso de criptomoedas no Brasil.

Uma nova variação da campanha de recrutamento falso, atribuída a atores de ameaça da Coreia do Norte, está focando em desenvolvedores de JavaScript e Python com tarefas relacionadas a criptomoedas. Desde maio de 2025, essa atividade se caracteriza pela modularidade, permitindo que os atacantes retomem rapidamente as operações após uma possível comprometimento. Os criminosos utilizam pacotes publicados nos repositórios npm e PyPi como downloaders para um trojan de acesso remoto (RAT). Pesquisadores identificaram 192 pacotes maliciosos, nomeados ‘Graphalgo’, que se disfarçam como ofertas de emprego em empresas fictícias do setor de blockchain e comércio de criptomoedas. Os desenvolvedores que se candidatam são induzidos a executar códigos que instalam dependências maliciosas em seus sistemas. Um exemplo notável é o pacote ‘bigmathutils’, que, após 10.000 downloads, introduziu cargas maliciosas em sua versão 1.1.0. A campanha é atribuída ao grupo Lazarus, com base em sua abordagem e no foco em criptomoedas, além de evidências de que os commits no GitHub seguem o fuso horário da Coreia do Norte. Os desenvolvedores que instalaram esses pacotes devem rotacionar tokens e senhas de conta e reinstalar seus sistemas operacionais.

Uma nova campanha de phishing está em circulação no Brasil, utilizando a identidade visual de empresas conhecidas, como a Shopee e a Latam, para enganar usuários e roubar seus dados pessoais, especialmente o CPF. Segundo a ESET, os golpistas criam anúncios falsos em redes sociais e aplicativos de mensagens, oferecendo cartões de crédito com limites altos e isenção de anuidade, atraindo vítimas desavisadas. Ao clicar nos links, os usuários são direcionados para sites fraudulentos que imitam os processos legítimos das empresas.

O grupo de ransomware Akira adicionou a varejista canadense Ardene ao seu site de vazamento de dados, alegando ter roubado 58 GB de informações. Recentemente, Ardene notificou seus clientes sobre um “incidente cibernético” que afetou seus sistemas internos em janeiro, resultando em atrasos nas entregas. Embora a empresa tenha afirmado que não tem conhecimento de comprometimento de dados de clientes até o momento, Akira alega ter acessado informações financeiras, dados de clientes e funcionários, além de informações confidenciais. O grupo Akira, que surgiu em março de 2023, é considerado um dos mais ativos em 2025, com 769 ataques registrados, incluindo outros alvos como Zurflüh-Feller e Travelmarket A/S. No Canadá, dois ataques confirmados foram registrados em 2025, sendo o mais recente o de Ardene. A empresa, que opera mais de 300 lojas, está investigando o incidente e implementou medidas de segurança imediatas. O ataque destaca a crescente ameaça de ransomware no setor varejista canadense e a necessidade de vigilância constante contra tais incidentes.

A Coreia do Sul multou as marcas de moda de luxo Louis Vuitton, Christian Dior Couture e Tiffany em US$ 25 milhões por não implementarem medidas de segurança adequadas, resultando em acesso não autorizado e exposição de dados de mais de 5,5 milhões de clientes. As três marcas, parte do grupo LVMH, sofreram vazamentos de dados após hackers acessarem seu serviço de gerenciamento de clientes baseado em nuvem. O caso da Louis Vuitton envolveu um dispositivo de um funcionário infectado por malware, comprometendo dados de 3,6 milhões de clientes. A Dior foi alvo de um ataque de phishing, onde um funcionário foi enganado a conceder acesso ao sistema, expondo dados de 1,95 milhão de clientes. A Tiffany também enfrentou um ataque semelhante, mas com um impacto menor, afetando 4.600 clientes. A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) destacou que as soluções SaaS não isentam as empresas de sua responsabilidade na gestão segura dos dados dos clientes. As multas foram de US$ 16,4 milhões para a Louis Vuitton, US$ 9,4 milhões para a Dior e US$ 1,85 milhão para a Tiffany.

A recente pesquisa revela que atores de ameaças estão explorando artefatos gerados pelo modelo de linguagem Claude, da Antropic, e anúncios do Google em campanhas ClickFix para distribuir malware infostealer a usuários de macOS. Observou-se pelo menos duas variantes dessa atividade maliciosa, com mais de 10.000 acessos a conteúdos que orientam os usuários a executar comandos perigosos no Terminal. Os artefatos, que podem incluir instruções e guias, não são verificados quanto à precisão, o que aumenta o risco. As campanhas maliciosas direcionam os usuários a executar comandos que baixam um loader de malware, o MacSync, que exfiltra informações sensíveis do sistema. O malware se comunica com a infraestrutura de comando e controle (C2) utilizando um token codificado e um key API, disfarçando-se como atividade normal do macOS. A pesquisa indica que a mesma ameaça pode estar por trás de outras campanhas semelhantes, ampliando a preocupação sobre o uso indevido de modelos de linguagem. Especialistas recomendam que os usuários evitem executar comandos desconhecidos e verifiquem a segurança das instruções antes de qualquer execução.

Um relatório do Google Threat Intelligence Group (GTIG) revela que diversos grupos patrocinados por estados, entidades hacktivistas e organizações criminosas de países como China, Irã, Coreia do Norte e Rússia estão focando suas atividades no setor de defesa industrial (DIB). As táticas observadas incluem a exploração de processos de contratação, ataques a dispositivos de ponta e riscos na cadeia de suprimentos. Os grupos têm demonstrado interesse crescente em veículos autônomos e drones, que são cada vez mais utilizados em conflitos modernos, como a guerra na Ucrânia. Entre os atores notáveis estão o APT44, que tentou extrair informações de aplicativos de mensagens criptografadas, e o UNC5125, que realizou campanhas direcionadas a operadores de drones na Ucrânia. O relatório destaca que o setor de defesa está sob um cerco constante, com intrusões frequentes e ameaças de extorsão, o que exige atenção redobrada dos profissionais de segurança cibernética.

Um novo ator de ameaças, ainda não documentado, foi identificado em ataques direcionados a organizações ucranianas, utilizando um malware chamado CANFAIL. O Google Threat Intelligence Group (GTIG) sugere que esse grupo pode estar associado a serviços de inteligência russos e tem como alvos principais instituições de defesa, governo e energia na Ucrânia. Recentemente, o grupo ampliou seu foco para incluir organizações de aeroespacial, manufatura militar, e até mesmo empresas de pesquisa nuclear e química.

Uma nova campanha de ransomware, identificada pelos especialistas da Forcepoint X-Labs, está causando preocupação global ao sequestrar computadores sem a necessidade de conexão com a internet. O ataque utiliza táticas de phishing, enviando e-mails com anexos que parecem legítimos, mas que na verdade são atalhos do Windows. Quando o usuário clica no arquivo, comandos maliciosos são executados em segundo plano, permitindo que o malware se infiltre no sistema. O ransomware, associado ao grupo Global Group, gera uma chave de criptografia local, bloqueando arquivos e dificultando a recuperação dos dados. O ataque é descrito como ‘silencioso’, pois não requer comunicação com servidores externos, o que aumenta a complexidade da detecção e mitigação. Além disso, um temporizador embutido no malware apaga os arquivos originais após três segundos, tornando a recuperação ainda mais desafiadora. Essa nova abordagem representa uma evolução nas técnicas de ciberataque, exigindo atenção redobrada de usuários e profissionais de segurança da informação.

Um novo relatório da Picus Security, intitulado The Red Report 2026, revela que malwares estão adotando técnicas sofisticadas para se infiltrar em sistemas e evitar detecções. A pesquisa analisou mais de 1,1 milhão de arquivos maliciosos e 15,5 milhões de ações hackers em 2025, destacando uma mudança de foco dos ransomwares para a extração silenciosa de dados. Os hackers estão utilizando serviços confiáveis, como OpenAI e AWS, para ocultar suas atividades, e em 25% dos ataques, senhas roubadas de navegadores são usadas para se passar por usuários legítimos. O cofundador da Picus, Süleyman Özarslan, descreve essa abordagem como a de um ‘parasita digital’, onde a permanência no sistema da vítima é mais lucrativa do que a destruição. Além disso, malwares como o LummaC2 estão utilizando trigonometria para detectar a movimentação do mouse, evitando ataques quando o usuário está em ambientes de segurança. O relatório também aponta que os malwares agora possuem em média 14 capacidades maliciosas e 12 técnicas anti-antivírus, exigindo que as empresas de segurança aprimorem suas defesas.

A plataforma brasileira Repediu, que atua no setor de delivery de alimentos, sofreu um vazamento significativo de dados, com informações de mais de 21,4 milhões de clientes expostas na dark web. Os hackers divulgaram amostras dos dados em fóruns clandestinos, revelando que informações sensíveis, como nomes completos, e-mails, números de telefone e histórico de compras, foram comprometidas. Além disso, 1,2 milhão de leads e dados de mais de 2.600 funcionários também foram afetados. O vazamento inclui arquivos com informações detalhadas que podem facilitar ataques de phishing, tornando as comunicações fraudulentas mais convincentes. O risco é elevado, pois os cibercriminosos podem usar esses dados para realizar ataques direcionados, como spear-phishing, que visam funcionários da empresa. Esse incidente destaca a vulnerabilidade das plataformas digitais e a necessidade de medidas de segurança robustas para proteger dados sensíveis dos usuários.

Grupos de cibercriminosos estão explorando ferramentas do Gemini para realizar ciberataques sofisticados, conforme revela uma análise do Google. Os hackers, que operam com apoio de governos como os da China, Irã, Coreia do Norte e Rússia, utilizam o Gemini para criar iscas de phishing, traduzir textos, programar e testar vulnerabilidades. Um caso notável envolveu o sequestro do perfil de um especialista em cibersegurança, que foi usado para automatizar análises de vulnerabilidades e desenvolver estratégias de ataque. Além disso, hackers iranianos têm utilizado o Gemini para criar ferramentas maliciosas personalizadas rapidamente. A automação de ataques e a personalização de malware são preocupações crescentes, pois permitem que os criminosos ampliem o alcance de suas campanhas, como as que induzem vítimas a executar comandos maliciosos através de anúncios. Embora o Gemini em si não represente uma ameaça direta, a utilização de suas ferramentas por hackers evidencia a evolução das táticas de cibercrime e a necessidade de vigilância constante por parte de usuários e empresas.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus sistemas contra uma vulnerabilidade crítica no Microsoft Configuration Manager (ConfigMgr), identificada como CVE-2024-43468. Essa falha, que foi corrigida em outubro de 2024, permite que atacantes remotos não autenticados executem comandos arbitrários com altos privilégios no servidor e na base de dados do ConfigMgr. A vulnerabilidade foi relatada pela empresa de segurança Synacktiv, que também divulgou um código de exploração em novembro de 2024, indicando que a falha está sendo ativamente explorada. A CISA alertou que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança das agências federais. Embora a ordem se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo o setor privado, tomem medidas para proteger seus sistemas contra essa vulnerabilidade. As agências têm até 5 de março para aplicar os patches necessários, conforme a Diretiva Operacional Vinculativa (BOD) 22-01.

A plataforma Criminal IP, que utiliza inteligência artificial para identificar ameaças cibernéticas, agora está integrada ao IBM QRadar SIEM e QRadar SOAR. Essa integração permite que equipes de segurança acessem informações externas sobre ameaças baseadas em IP diretamente nas operações de detecção, investigação e resposta do QRadar, facilitando a identificação de atividades maliciosas e a priorização de ações de resposta. Com a análise de logs de tráfego de firewall, os endereços IP são classificados em níveis de risco (alto, médio ou baixo), permitindo que as equipes de SOC monitorem o tráfego de forma mais eficaz. Além disso, a funcionalidade de investigação interativa permite que analistas acessem relatórios detalhados sobre IPs suspeitos sem sair do ambiente QRadar, acelerando a tomada de decisões. A integração também se estende ao QRadar SOAR, onde a inteligência do Criminal IP enriquece automaticamente os artefatos de resposta a incidentes. Essa abordagem melhora a precisão da detecção e reduz o tempo de investigação, destacando a importância da inteligência em tempo real em ambientes de SOC modernos.

Em dezembro de 2025, o npm implementou uma reforma significativa em seu sistema de autenticação após o incidente Sha1-Hulud, visando reduzir ataques à cadeia de suprimentos. A mudança mais notável foi a revogação de tokens clássicos, que eram longos e permanentes, substituídos por tokens de sessão de curta duração, geralmente válidos por duas horas. Além disso, o npm agora prioriza a autenticação multifator (MFA) para operações sensíveis, como a publicação de pacotes. Apesar dessas melhorias, o npm ainda enfrenta riscos, como ataques de phishing direcionados a credenciais MFA e a possibilidade de desenvolvedores criarem tokens de 90 dias com bypass de MFA. Isso significa que, se um invasor obtiver acesso ao console de um mantenedor, ele pode publicar pacotes maliciosos. Para mitigar esses riscos, o artigo sugere que o uso de OIDC (OpenID Connect) se torne padrão e que a MFA seja obrigatória para uploads de pacotes. Além disso, construir pacotes a partir de código-fonte verificável, como faz a Chainguard, poderia reduzir significativamente a superfície de ataque, já que 98,5% dos pacotes maliciosos não continham malware no código-fonte original. Portanto, embora o npm tenha dado passos importantes, a segurança da cadeia de suprimentos ainda requer atenção contínua.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Google Chrome chamada CL Suite, projetada para roubar dados do Meta Business Suite e do Facebook Business Manager. Lançada em março de 2025, a extensão, que possui apenas 33 usuários, promete facilitar a coleta de dados e a geração de códigos de autenticação de dois fatores (2FA). No entanto, ela também exfiltra códigos TOTP e informações sensíveis, como listas de contatos e dados analíticos, para servidores controlados por atacantes. A extensão solicita amplo acesso aos sites da Meta e Facebook, alegando que os dados permanecem locais, mas na prática, transmite informações para um backend malicioso. Embora não roube senhas diretamente, os atacantes podem usar códigos roubados de outras fontes para acessar contas. A situação é alarmante, pois mesmo com poucos usuários, a extensão pode identificar alvos valiosos para ataques subsequentes. Além disso, uma campanha separada afetou 500 mil usuários do VKontakte, com extensões que manipulam contas e forçam assinaturas em grupos maliciosos. Outra campanha, chamada AiFrame, envolve 32 extensões de IA que coletam dados sensíveis de mais de 260 mil usuários. Essas ameaças destacam a necessidade urgente de vigilância e proteção contra extensões maliciosas.

Um novo ator de ameaças, identificado como UAT-9921, tem utilizado um framework modular chamado VoidLink em campanhas direcionadas aos setores de tecnologia e serviços financeiros. De acordo com a Cisco Talos, essa ameaça pode estar ativa desde 2019, mas o uso do VoidLink parece ser recente. O malware, escrito em Zig, foi projetado para acesso furtivo a ambientes de nuvem baseados em Linux e é considerado o trabalho de um único desenvolvedor, possivelmente assistido por um modelo de linguagem grande (LLM). O VoidLink permite que os invasores instalem um comando e controle (C2) em hosts comprometidos, facilitando atividades de varredura e movimentação lateral na rede. Além disso, o framework possui mecanismos de furtividade que dificultam a detecção e a remoção. A análise sugere que o UAT-9921 pode ter conhecimento da língua chinesa, o que levanta preocupações sobre suas origens. A Cisco Talos também observou que o VoidLink pode ser utilizado para explorar vulnerabilidades em servidores internos, aumentando o risco para organizações que utilizam tecnologias vulneráveis. Com a capacidade de compilar plugins sob demanda, o VoidLink representa uma nova e significativa ameaça no cenário de cibersegurança.

A ExpressVPN, conhecida por sua política de ’no-logs’, conquistou quatro certificações ISO, incluindo a ISO/IEC 27001, que atesta a gestão de segurança da informação. Essas certificações visam aumentar a confiança dos usuários, demonstrando que a empresa não apenas realiza auditorias independentes, mas também adota um rigoroso framework de governança contínua. Em seu relatório de transparência referente ao segundo semestre de 2025, a ExpressVPN revelou ter recebido mais de 1,38 milhão de solicitações de dados, mas não divulgou nenhuma informação de usuários, reforçando suas alegações de proteção de privacidade. O COO da empresa, Shay Peretz, enfatizou que a segurança deve ser uma prática diária e não um evento isolado, o que é evidenciado pelas certificações obtidas. Além da ISO/IEC 27001, a empresa também recebeu certificações para gestão da qualidade (ISO 9001) e para operações de atendimento ao cliente (ISO 18295-1 e 18295-2), o que é crucial para um serviço que depende de suporte contínuo. Essas iniciativas não alteram a funcionalidade do aplicativo, mas oferecem maior tranquilidade aos usuários em um setor onde a confiança é fundamental.

A Microsoft anunciou a correção de um problema que afetava o serviço de controle parental Family Safety, impedindo usuários do Windows de abrir o Google Chrome e outros navegadores. O bug, identificado em junho de 2025, causava falhas no lançamento do Chrome em dispositivos com Windows 10 e 11, devido a uma ferramenta de filtragem da web que exigia aprovação dos pais para o uso de navegadores alternativos. Essa falha também bloqueava novas versões de navegadores previamente aprovados, resultando em encerramentos inesperados. A empresa confirmou que uma correção foi implementada em fevereiro de 2026, e os usuários afetados devem conectar seus dispositivos à internet para receber a atualização. Para aqueles sem acesso à internet, a ativação do recurso de ‘Relatório de Atividades’ no Family Safety permitirá que os pais aprovem novas versões de navegadores. A Microsoft está trabalhando para adicionar as versões mais recentes dos navegadores à lista de bloqueio, evitando problemas semelhantes no futuro.

Recentemente, um grave problema de segurança foi descoberto nos produtos BeyondTrust Remote Support (RS) e Privileged Remote Access (PRA), com a vulnerabilidade CVE-2026-1731 recebendo uma pontuação de 9.9 no CVSS. Essa falha permite que atacantes não autenticados executem comandos no sistema operacional ao enviar requisições especialmente elaboradas. A exploração dessa vulnerabilidade foi observada em tempo real, com os atacantes utilizando a função get_portal_info para extrair informações antes de estabelecer um canal WebSocket. A BeyondTrust já lançou patches para corrigir a falha nas versões mais recentes de seus produtos. Além disso, a CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou quatro outras vulnerabilidades ao seu catálogo de Exploited Vulnerabilities, incluindo falhas em sistemas da Apple e SolarWinds, que também estão sendo ativamente exploradas. O cenário destaca a rapidez com que as vulnerabilidades podem ser exploradas, exigindo que as organizações implementem correções rapidamente para proteger seus sistemas contra acessos não autorizados e possíveis interrupções de serviço.

Uma vulnerabilidade grave, identificada como CVE-2026-20841, foi descoberta no Bloco de Notas do Windows, permitindo que cibercriminosos assumam o controle total de computadores afetados. A falha, que se relaciona à execução remota de código, foi encontrada durante uma atualização de segurança em fevereiro de 2026, após a Microsoft ter implementado suporte ao Markdown no aplicativo. A exploração da vulnerabilidade ocorre quando um usuário abre um arquivo Markdown comprometido, que contém um link malicioso. Ao clicar nesse link, os hackers conseguem executar comandos não verificados, obtendo acesso a dados pessoais sem que o sistema emita alertas de segurança. A versão clássica do Bloco de Notas não foi afetada, mas as versões mais recentes, que possuem mais funcionalidades, estão em risco. A Microsoft já lançou uma atualização urgente para corrigir a falha, recomendando que os usuários atualizem suas versões para a 11.2510 ou superiores e mantenham cautela ao interagir com mensagens suspeitas.

A operadora de telecomunicações holandesa Odido anunciou que foi alvo de um ataque cibernético que comprometeu os dados pessoais de aproximadamente 6,2 milhões de clientes. O incidente foi detectado no final de semana de 7 de fevereiro, levando a empresa a iniciar uma investigação com especialistas em cibersegurança. Os atacantes conseguiram acessar o sistema de contato com o cliente da Odido, permitindo o download de informações sensíveis, como endereços, números de telefone, e-mails e dados de identificação, como números de passaporte ou carteira de motorista. A empresa garantiu que informações mais críticas, como senhas e dados de cobrança, não foram afetadas. Após a descoberta do ataque, a Odido bloqueou o acesso não autorizado e notificou a Autoridade de Proteção de Dados da Holanda. A empresa está em processo de informar todos os clientes impactados e implementou medidas adicionais de segurança. Até o momento, não há evidências de que os dados tenham sido divulgados publicamente. O incidente destaca a vulnerabilidade das empresas de telecomunicações e a necessidade de robustecer as medidas de segurança para proteger informações sensíveis dos clientes.

A operadora nacional de oleodutos da Romênia, Conpet S.A., confirmou que foi alvo de um ataque do grupo de ransomware Qilin, que resultou no roubo de dados da empresa. Em um comunicado, a Conpet informou que a infraestrutura de TI corporativa foi comprometida, mas as operações não foram afetadas. O grupo Qilin alegou ter extraído quase 1TB de documentos, incluindo informações financeiras e dados pessoais, como nomes e números de contas bancárias. A empresa está colaborando com a Direção Nacional de Segurança Cibernética da Romênia na investigação do incidente. Embora a quantidade exata de dados roubados ainda não tenha sido determinada, a Conpet alertou que as informações comprometidas podem ser utilizadas para fraudes. A empresa aconselha os indivíduos afetados a terem cautela com solicitações urgentes de informações pessoais, recomendando a verificação da legitimidade de tais pedidos através de canais oficiais. A Conpet S.A. é uma empresa estratégica controlada pelo Ministério da Energia da Romênia, responsável pelo transporte de petróleo e gás em uma rede de oleodutos de 3.800 km.

Durante o Wild West Hackin’ Fest, o pesquisador de segurança Wietze Beukema apresentou várias vulnerabilidades em arquivos de atalho (.LNK) do Windows, que permitem a execução de payloads maliciosos. Beukema documentou quatro técnicas desconhecidas que manipulam esses arquivos para ocultar alvos maliciosos, enganando os usuários que verificam as propriedades do arquivo. Os arquivos LNK, introduzidos no Windows 95, utilizam um formato binário complexo que possibilita a criação de arquivos enganosos que parecem legítimos no Windows Explorer, mas que executam programas diferentes ao serem abertos. As falhas exploram inconsistências na priorização de caminhos de destino conflitantes dentro dos arquivos de atalho. A técnica mais poderosa envolve a manipulação da estrutura EnvironmentVariableDataBlock, permitindo que um alvo falso, como “invoice.pdf”, seja exibido, enquanto comandos maliciosos são executados. Apesar da gravidade das falhas, a Microsoft não as classificou como vulnerabilidades de segurança, argumentando que a exploração requer interação do usuário. Beukema, por sua vez, destacou que os usuários frequentemente ignoram avisos de segurança, o que torna esses ataques viáveis. Ele também lançou uma ferramenta de código aberto chamada “lnk-it-up” para testar e identificar arquivos LNK potencialmente maliciosos.

Uma vulnerabilidade crítica de execução remota de código pré-autenticação foi identificada nos aparelhos BeyondTrust Remote Support e Privileged Remote Access, afetando versões 25.3.1 e anteriores do Remote Support e 24.3.4 e anteriores do Privileged Remote Access. A falha, rastreada como CVE-2026-1731 e com uma pontuação CVSS de 9.9, permite que atacantes não autenticados enviem solicitações de cliente especialmente elaboradas, possibilitando a execução de comandos do sistema operacional no contexto do usuário do site. A BeyondTrust divulgou a vulnerabilidade em 6 de fevereiro de 2026, alertando que a exploração bem-sucedida pode levar a compromissos de sistema, acesso não autorizado, exfiltração de dados e interrupção de serviços. Embora a BeyondTrust tenha aplicado patches automaticamente em suas instâncias SaaS, clientes on-premise devem instalar as correções manualmente. A exploração da vulnerabilidade já está em andamento, com cerca de 11.000 instâncias expostas online, das quais aproximadamente 8.500 são implementações on-premise. Especialistas recomendam que as organizações que utilizam essas soluções apliquem as correções disponíveis imediatamente.

A Bitwarden, conhecida por seu gerenciador de senhas de código aberto, lançou uma nova funcionalidade chamada ‘Cupid Vault’. Essa ferramenta permite que usuários da versão gratuita compartilhem senhas de forma segura com endereços de e-mail confiáveis. O Cupid Vault possibilita a criação de um cofre compartilhado entre duas pessoas, denominado ‘Organização’, onde os logins podem ser acessados por um segundo membro convidado pelo proprietário da conta. Para garantir a segurança, os proprietários podem verificar a identidade do membro convidado por meio de uma frase de verificação. O cofre compartilhado é isolado do cofre pessoal do usuário, e o acesso pode ser revogado a qualquer momento. Embora a funcionalidade seja gratuita, existem limitações, como o número de coleções e usuários permitidos. Para usuários dos planos pagos, como Família, Equipes e Empresas, já existem recursos de compartilhamento mais robustos, tornando o Cupid Vault uma opção redundante para esses grupos. A Bitwarden também disponibilizou um guia detalhado sobre como configurar e utilizar essa nova funcionalidade, que foi lançada em um momento estratégico próximo ao Dia dos Namorados.

Pesquisadores em cibersegurança identificaram uma nova campanha maliciosa ligada ao grupo Lazarus, da Coreia do Norte, que utiliza pacotes maliciosos no npm e no PyPI. Nomeada de ‘graphalgo’, a campanha tem como alvo desenvolvedores através de plataformas como LinkedIn e Reddit, oferecendo falsas oportunidades de emprego em uma empresa fictícia de blockchain. Os pacotes, como ‘bigmathutils’, atraíram mais de 10.000 downloads antes de serem atualizados com cargas maliciosas. A estratégia envolve a criação de repositórios no GitHub que parecem legítimos, mas que contêm dependências maliciosas. Uma vez instaladas, essas dependências permitem que um trojan de acesso remoto (RAT) colete informações do sistema e execute comandos. Além disso, outra descoberta revelou um pacote chamado ‘duer-js’, que rouba informações sensíveis e extorque pagamentos em criptomoedas. Essa situação destaca a crescente sofisticação das ameaças cibernéticas, especialmente em ecossistemas de código aberto, e a necessidade de vigilância constante por parte dos desenvolvedores e empresas.

O Google revelou que o grupo de hackers UNC2970, vinculado à Coreia do Norte, está utilizando seu modelo de inteligência artificial generativa, Gemini, para realizar atividades de reconhecimento em alvos estratégicos. De acordo com o relatório do Google Threat Intelligence Group (GTIG), o grupo tem se concentrado em mapear informações sobre empresas de cibersegurança e defesa, além de perfis de cargos técnicos e dados salariais. Essa prática, que mistura pesquisa profissional com reconhecimento malicioso, permite que o grupo crie personas de phishing personalizadas e identifique alvos vulneráveis para compromissos iniciais.

Um novo spyware, conhecido como ZeroDayRAT, está sendo comercializado no Telegram e visa dispositivos Android e iOS, permitindo que hackers tenham acesso remoto completo a câmeras, microfones e dados pessoais dos usuários. De acordo com a pesquisa da iVerify, o malware é capaz de gerenciar aparelhos comprometidos, coletando informações financeiras e espiando em tempo real. O spyware é descrito como um ‘kit de ferramentas completo’ que permite aos cibercriminosos monitorar as vítimas por meio de um painel de controle, que fornece dados sobre o modelo do dispositivo, versão do sistema operacional, status da bateria e localização geográfica. Além disso, o ZeroDayRAT pode ativar câmeras e microfones, registrar senhas e padrões de desbloqueio, e roubar informações de aplicativos financeiros, como Google Pay e Apple Pay. Especialistas alertam que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção por esse tipo de malware.

Uma falha crítica de segurança foi identificada nas extensões do Claude, ferramenta de inteligência artificial da Anthropic, afetando mais de 10 mil usuários. Pesquisadores da LayerX descobriram uma vulnerabilidade de clique zero que permite a execução remota de códigos maliciosos. O problema está relacionado à forma como as extensões interagem com o Google Agenda, onde um evento corrompido pode ser utilizado para executar comandos sem a necessidade de autorização do usuário. Essa falha ocorre devido ao acesso total que as extensões têm ao sistema do dispositivo, permitindo ações automáticas que podem ser exploradas por atacantes. A execução de um simples comando, como a verificação de eventos, pode desencadear uma cadeia de ações prejudiciais, comprometendo a segurança do sistema. Até o momento, a Anthropic não divulgou uma correção para a vulnerabilidade, que é considerada complexa e relacionada à infraestrutura da ferramenta. A situação exige atenção, pois a falta de um patch pode deixar os usuários vulneráveis a ataques.

Com a aproximação do Dia dos Namorados nos Estados Unidos e na Europa, cibercriminosos estão intensificando suas atividades fraudulentas, aproveitando-se do clima romântico para enganar pessoas em busca de relacionamentos. Uma análise da NordVPN revelou que os golpistas estão utilizando redes sociais e aplicativos de namoro, como Tinder e Match, para criar perfis falsos com fotos roubadas ou geradas por inteligência artificial. Após estabelecer contato, os criminosos tentam construir uma relação de confiança, levando as vítimas a migrar a conversa para aplicativos de mensagens privadas. A partir daí, eles criam cenários fictícios que justificam pedidos de dinheiro, como emergências financeiras ou viagens. Além disso, há casos de sextorsão, onde ameaças são feitas para extorquir as vítimas. Embora o Dia dos Namorados no Brasil ocorra apenas em junho, é crucial que os usuários estejam atentos a essas táticas para evitar cair em golpes amorosos. Especialistas recomendam verificar perfis, desconfiar de mensagens urgentes e evitar clicar em links suspeitos.