O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

Um novo malware para Android, denominado NGate, foi descoberto pela CERT Polska, utilizando uma técnica sofisticada de relé NFC para atacar usuários de bancos na Polônia. O ataque permite que criminosos realizem saques em caixas eletrônicos usando os próprios cartões de pagamento das vítimas, sem a necessidade de roubo físico. O processo começa com mensagens de phishing que se disfarçam de alertas bancários, levando as vítimas a instalar um aplicativo malicioso que simula ferramentas legítimas de banco móvel. Após a instalação, os usuários são induzidos a confirmar seus cartões através de NFC, o que resulta na captura de dados sensíveis, como o número do cartão e o PIN, que são enviados em tempo real para os atacantes. A análise técnica revelou que o aplicativo malicioso opera como um serviço de emulação de cartão, interceptando a comunicação NFC e transmitindo os dados para um servidor controlado pelos criminosos. A CERT Polska recomenda que os usuários baixem apenas aplicativos bancários verificados e entrem em contato diretamente com seus bancos ao receber solicitações suspeitas. Este incidente destaca a necessidade de vigilância constante e educação sobre segurança cibernética entre os usuários de serviços financeiros.

O burnout nas equipes de Segurança da Informação (SOC) é um problema crescente, causado principalmente pela sobrecarga de alertas e pela falta de ferramentas adequadas. O artigo apresenta três passos práticos para mitigar esse desgaste e melhorar a eficiência das equipes. O primeiro passo é reduzir a sobrecarga de alertas, utilizando análises em tempo real que oferecem contexto completo sobre as ameaças, permitindo que os analistas priorizem e ajam com confiança. O segundo passo envolve a automação de tarefas repetitivas, liberando os analistas para se concentrarem em investigações mais complexas. A combinação de automação com análise interativa pode aumentar significativamente a eficiência das operações. Por fim, a integração de inteligência de ameaças em tempo real ajuda a minimizar o trabalho manual, permitindo que os analistas acessem dados atualizados sem precisar alternar entre várias ferramentas. Essas melhorias não apenas ajudam a prevenir o burnout, mas também tornam as equipes mais ágeis e focadas em suas atividades principais.

O Departamento do Tesouro dos EUA anunciou sanções contra oito indivíduos e duas entidades ligadas à Coreia do Norte, acusados de lavagem de dinheiro para financiar atividades ilícitas, incluindo cibercrime e fraudes trabalhistas. Segundo John K. Hurley, Subsecretário do Tesouro, hackers patrocinados pelo Estado norte-coreano têm roubado e lavado dinheiro para sustentar o programa de armas nucleares do regime, representando uma ameaça direta à segurança global. Entre os sancionados estão Jang Kuk Chol e Ho Jong Son, que gerenciavam fundos de um banco sancionado anteriormente, e a Korea Mangyongdae Computer Technology Company, que utilizava trabalhadores de TI para ocultar a origem de seus rendimentos. O artigo destaca que, nos últimos três anos, cibercriminosos ligados à Coreia do Norte roubaram mais de US$ 3 bilhões, principalmente em ativos digitais, utilizando malware sofisticado e engenharia social. A atividade criminosa inclui a contratação de programadores estrangeiros para estabelecer parcerias comerciais, com parte da receita sendo enviada de volta à Coreia do Norte. As sanções visam cortar as fontes de receita ilícitas do regime, que utiliza tanto canais tradicionais quanto digitais, como criptomoedas, para financiar suas operações.

Um novo grupo de ciberespionagem, codinome UNK_SmudgedSerpent, foi identificado como responsável por uma série de ataques cibernéticos direcionados a acadêmicos e especialistas em política externa entre junho e agosto de 2025, em meio a tensões geopolíticas entre Irã e Israel. Segundo a Proofpoint, os ataques utilizam iscas políticas, como mudanças sociais no Irã e investigações sobre a militarização do Corpo da Guarda Revolucionária Islâmica (IRGC). As táticas empregadas são semelhantes às de grupos de espionagem cibernética iranianos anteriores, como TA455 e TA453, com e-mails que se assemelham a ataques clássicos de phishing. Os atacantes se envolvem em conversas benignas antes de tentarem roubar credenciais, utilizando URLs maliciosas que disfarçam instaladores de software legítimos, como o PDQ Connect. A operação sugere uma evolução na cooperação entre entidades de inteligência iranianas e unidades cibernéticas, focando na coleta de informações sobre análises de políticas ocidentais e pesquisas acadêmicas. O ataque destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis.

O artigo aborda a segurança dos dispositivos Android, especialmente os da linha Samsung Galaxy, desmistificando a ideia de que o sistema é inerentemente inseguro. Com o aumento do trabalho remoto, a segurança dos dados corporativos se torna uma preocupação central para administradores de TI. A plataforma Samsung Knox é apresentada como uma solução robusta que combina proteções de hardware e software, permitindo um controle mais profundo sobre os dispositivos e dados da empresa. Entre as funcionalidades destacadas, estão a proteção proativa contra malware, com o Google Play Protect e o Samsung Message Guard, que previnem ataques de zero-click. Além disso, a plataforma oferece ferramentas para gerenciar atualizações de forma eficiente, permitindo que administradores controlem o timing e a versão dos updates, minimizando interrupções. O artigo também enfatiza que a maioria das violações de segurança está relacionada a falhas humanas, e não apenas a vulnerabilidades de plataforma. Portanto, a implementação de políticas de segurança e a utilização de soluções como o Samsung Knox são essenciais para garantir a proteção dos dados corporativos.

Pesquisadores de cibersegurança revelaram um conjunto de sete vulnerabilidades que afetam os modelos GPT-4o e GPT-5 da OpenAI, incluindo técnicas de injeção de prompt que podem ser exploradas por atacantes para roubar informações pessoais dos usuários. As falhas permitem que um invasor manipule o comportamento esperado do modelo de linguagem, levando-o a executar ações maliciosas sem o conhecimento do usuário. Entre as vulnerabilidades estão a injeção de prompt indireta via sites confiáveis, a injeção de prompt sem clique e a injeção de memória, que podem comprometer a privacidade dos dados armazenados nas interações do ChatGPT. A OpenAI já tomou medidas para corrigir algumas dessas falhas, mas a pesquisa destaca a necessidade de mecanismos de segurança mais robustos. Além disso, o estudo alerta para a crescente complexidade das ameaças, como ataques de injeção de prompt que podem ser realizados com um número reduzido de documentos maliciosos, tornando esses ataques mais acessíveis para potenciais invasores. A situação exige atenção redobrada de empresas e profissionais de segurança da informação, especialmente em um cenário onde a proteção de dados pessoais é cada vez mais crítica.

O grupo de ameaças FIN7, também conhecido como Savage Ladybug, continua a utilizar um backdoor baseado em SSH específico para Windows, que foi identificado pela primeira vez em 2022. Recentemente, a Prodaft revelou que a campanha mais recente do grupo faz uso de um conjunto de ferramentas OpenSSH personalizadas e um script de instalação chamado install.bat, que estabelece canais de acesso remoto criptografados e facilita a exfiltração de dados.

O malware transforma sistemas Windows em clientes SSH, permitindo a criação de túneis reversos para servidores controlados pelos atacantes, contornando restrições de firewall. Após a ativação, o malware possibilita sessões SFTP seguras para transferências de dados discretas e controle contínuo pelos operadores. A aparência modular e legítima dos componentes OpenSSH torna a detecção difícil, pois imita utilitários administrativos inofensivos.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

Dois ex-profissionais de segurança cibernética, Ryan Clifford Goldberg e Kevin Tyler Martin, foram acusados de liderar uma operação de ransomware sofisticada que visava empresas americanas. Entre maio de 2023 e abril de 2025, eles supostamente utilizaram a variante ALPHV BlackCat para atacar pelo menos cinco grandes corporações em setores como dispositivos médicos e farmacêuticos. As acusações incluem conspiração para extorsão e danos intencionais a computadores protegidos. Os criminosos operavam por meio de um painel na dark web, onde as vítimas podiam negociar pagamentos em criptomoedas. O caso destaca a crescente capacidade das autoridades de rastrear cibercriminosos, mesmo em um ambiente de criptomoedas, e representa um aumento significativo nas ações legais contra operadores de ransomware. Os réus enfrentam penas de até 20 anos de prisão por extorsão e 10 anos por danos a computadores, além de possíveis multas e confisco de ativos relacionados ao esquema de ransomware.

Um recente teste de penetração revelou uma vulnerabilidade crítica de escalonamento de privilégios nas instalações do Jupyter Notebook, uma plataforma amplamente utilizada para ciência de dados. A falha não é decorrente de um erro de código, mas sim de uma combinação perigosa de configurações padrão e padrões de implantação que muitas equipes de segurança frequentemente ignoram. Quando o Jupyter é executado com privilégios de root e a autenticação está desativada, o recurso de API de terminal se torna um acesso direto ao sistema. Os pesquisadores descobriram que, ao acessar o endpoint da API REST /api/terminals, um invasor pode criar sessões de terminal sem autenticação. Utilizando ferramentas compatíveis com WebSocket, como websocat, os atacantes podem interagir com a interface do terminal e obter acesso root sem a necessidade de técnicas tradicionais de escalonamento de privilégios. Uma vez que o acesso root é alcançado, os invasores podem acessar arquivos de configuração do Jupyter, permitindo a criação de shells reversos persistentes e backdoors. Para mitigar essa vulnerabilidade, é crucial que o Jupyter não seja executado como root em ambientes de produção e que medidas de segurança, como autenticação obrigatória e desativação da API de terminal, sejam implementadas.

Um grave vazamento de dados na empresa de TI sueca Miljödata comprometeu informações pessoais de mais de 1,5 milhão de pessoas, levando a Autoridade Sueca de Proteção de Dados (IMY) a abrir uma investigação. O incidente, ocorrido no final de agosto, envolveu o roubo de grandes volumes de dados pessoais, que foram posteriormente publicados na Darknet. A IMY está avaliando se a Miljödata e várias organizações do setor público, como a Cidade de Gotemburgo e a Prefeitura de Älmhult, cumpriram as exigências do Regulamento Geral sobre a Proteção de Dados (GDPR). A investigação busca entender como o ataque ocorreu, quais dados foram afetados e se as medidas de segurança da empresa eram adequadas. A IMY enfatizou a necessidade de examinar as práticas de proteção de dados, especialmente em relação a informações sensíveis, como dados de crianças e indivíduos com identidades protegidas. O incidente levanta questões críticas sobre a segurança cibernética e a gestão responsável de dados na Suécia, refletindo preocupações que também podem ser relevantes para o Brasil, especialmente em relação à conformidade com a LGPD.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As falhas são: CVE-2025-11371, com um escore CVSS de 7.5, que permite a divulgação não intencional de arquivos de sistema em Gladinet CentreStack e Triofox; e CVE-2025-48703, com um escore CVSS de 9.0, que possibilita a execução remota de código não autenticado em Control Web Panel (CWP) através de injeção de comandos. A Huntress, empresa de cibersegurança, já detectou tentativas de exploração da CVE-2025-11371, onde atacantes desconhecidos utilizaram comandos de reconhecimento. Embora não haja relatos públicos sobre a exploração da CVE-2025-48703, detalhes técnicos foram divulgados por um pesquisador de segurança após a correção da falha. As agências do governo federal dos EUA devem aplicar correções até 25 de novembro de 2025. Além disso, foram relatadas vulnerabilidades críticas em plugins e temas do WordPress, com recomendações para que usuários atualizem suas versões e adotem boas práticas de segurança.

Hackers estão colaborando com gangues de crime organizado para roubar cargas diretamente das cadeias de suprimentos, conforme relatado pela ProofPoint. Esses ataques envolvem o envio de links maliciosos para empresas de logística, permitindo que os criminosos acessem sistemas e redirecionem remessas para destinos fraudulentos. Através de engenharia social, os hackers conseguem identificar cargas de alto valor e se passam por representantes legítimos, manipulando motoristas e eliminando notificações de despachantes. Embora não haja relatos de violência, a possibilidade de danos físicos aos motoristas é uma preocupação real. O roubo de cargas já representa um custo anual de aproximadamente 34 bilhões de dólares, e a digitalização das cadeias de suprimentos aumenta a vulnerabilidade a esses ataques. A combinação de habilidades cibernéticas e táticas tradicionais de roubo sugere uma evolução preocupante no crime, exigindo atenção redobrada das empresas de logística e transporte.

Uma pesquisa da Proton revelou que 300 milhões de registros pessoais foram vazados na dark web, com 49% contendo senhas de usuários. O estudo, realizado com a ferramenta Data Breach Observatory, destacou que 71% dos dados expostos pertencem a pequenas e médias empresas. Além das senhas, 72% dos registros incluíam números de telefone e endereços, enquanto 34% continham informações de saúde e dados governamentais. O vazamento de credenciais é um indicativo de falhas graves na segurança digital, expondo os usuários a riscos de fraudes e ataques cibernéticos. A análise da Fortinet aponta que a combinação de contas legítimas com credenciais roubadas dificulta a detecção de fraudes, uma vez que os cibercriminosos podem se infiltrar nas atividades normais das empresas. A pesquisa também alerta que muitos vazamentos ocorrem com logins simples, sem a necessidade de técnicas sofisticadas. Para se proteger, é essencial adotar senhas fortes e únicas, além de implementar a autenticação de dois fatores sempre que possível.

O setor elétrico brasileiro está sob crescente ameaça de ciberataques, com 535 mil tentativas registradas apenas no primeiro semestre de 2025, conforme divulgado pela ANEEL durante um painel sobre segurança online. Apesar de todas as tentativas terem sido bloqueadas, a superintendente de Gestão Técnica da Informação da ANEEL, Adriana Drummond Vivan, alertou para a vulnerabilidade dos sistemas de segurança do setor. Ela destacou a importância de uma regulamentação que, embora sirva como diretriz, não deve limitar a atuação dos profissionais da área. Vivan enfatizou que a regulação deve ser constantemente atualizada para acompanhar as rápidas mudanças no ambiente digital. Além disso, ela mencionou que um ataque cibernético ao setor elétrico pode ter um efeito dominó, afetando outras áreas, como telecomunicações, o que poderia resultar em sérios problemas de segurança de dados. Para mitigar esses riscos, a cooperação entre diferentes setores é essencial, permitindo um compartilhamento eficaz de informações e estratégias de defesa.

No dia 19 de outubro de 2025, o Museu do Louvre, em Paris, foi alvo de um assalto audacioso, resultando no roubo de joias avaliadas em cerca de R$ 543 milhões. Os assaltantes exploraram falhas de segurança, incluindo senhas fracas como ‘Louvre’ para acessar as câmeras de segurança. A invasão foi facilitada por uma combinação de técnicas de OSINT e conhecimento sobre a movimentação de visitantes no museu. Documentos de segurança de 2014 e 2024 já apontavam para vulnerabilidades, como sistemas desatualizados e senhas inadequadas. O incidente expôs a fragilidade das medidas de segurança, mesmo em uma instituição de renome, e levantou questões sobre a gestão de tecnologia e segurança. Apesar de algumas tentativas de distração, como atear fogo em uma escada móvel, a operação dos criminosos foi marcada por amadorismo, evidenciado pela perda de uma coroa durante a fuga. A reputação do Louvre foi severamente afetada, destacando que a tecnologia avançada não é suficiente sem uma administração eficaz das medidas de segurança.

Uma operação coordenada de aplicação da lei resultou na prisão de nove indivíduos envolvidos em uma rede de lavagem de dinheiro com criptomoedas, que enganou vítimas em um total de €600 milhões (aproximadamente $688 milhões). A ação, realizada entre 27 e 29 de outubro, abrangeu países como Chipre, Espanha e Alemanha, com o apoio de agências de outros países europeus, incluindo França e Bélgica. Os suspeitos foram acusados de criar plataformas de investimento em criptomoedas fraudulentas que prometiam altos retornos, atraindo vítimas por meio de publicidade em redes sociais, chamadas frias e depoimentos falsos. Após os investimentos, os ativos eram lavados utilizando tecnologia de blockchain. A investigação começou após reclamações de vítimas que não conseguiam recuperar seus investimentos, levando às prisões e apreensões de €800.000 em contas bancárias, €415.000 em criptomoedas e €300.000 em dinheiro. A Europol destacou que o uso criminoso de criptomoedas está se tornando cada vez mais profissional e organizado, exigindo uma resposta colaborativa e eficaz das autoridades.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

A Google anunciou planos para personalizar suas buscas por meio do novo ‘Modo IA’, que poderá acessar informações pessoais de serviços como Gmail e Drive. O vice-presidente de produtos da empresa, Robby Stein, explicou em um podcast que a ideia é que os usuários forneçam dados pessoais para que a Google possa oferecer respostas mais úteis e personalizadas. Isso inclui a possibilidade de extrair informações de e-mails e documentos para criar resumos e agendas, facilitando a organização de compromissos e viagens. Embora a funcionalidade ainda esteja em fase de testes e não tenha sido implementada, a Google já está experimentando a personalização de compras e recomendações de restaurantes. A empresa não confirmou se o acesso a dados pessoais será padrão, mas enfatizou que a participação dos usuários será voluntária. Essa abordagem levanta preocupações sobre privacidade e segurança, especialmente em relação à proteção de dados pessoais sob a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Com a aproximação das férias de fim de ano, uma pesquisa da Proofpoint revela que mais da metade dos principais sites de turismo no Brasil, como Booking, Airbnb e Tripadvisor, não adotam práticas adequadas de segurança digital. O estudo analisou 20 plataformas populares e constatou que 55% delas não implementam medidas básicas, como o bloqueio de e-mails falsos, o que aumenta o risco de fraudes online. Embora 80% dos sites utilizem o protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance), apenas 45% o fazem de forma avançada, deixando uma brecha para cibercriminosos que podem falsificar identidades e aplicar técnicas de phishing. Para evitar golpes, os usuários devem desconfiar de links suspeitos, verificar a autenticidade de mensagens e evitar senhas fracas. A pesquisa destaca a necessidade urgente de melhorias na segurança digital dessas plataformas, especialmente em um período em que o turismo tende a aumentar.

Uma nova campanha de cibercriminosos tem se aproveitado da popularidade do WhatsApp e de ferramentas de inteligência artificial para roubar dados pessoais dos usuários. Identificada pela empresa de segurança Appknox, a campanha envolve aplicativos falsos que imitam a interface do WhatsApp, ChatGPT e DALL·E, disponíveis em lojas digitais alternativas. Esses aplicativos maliciosos, como o WhatsApp Plus, solicitam permissões excessivas, como acesso a SMS e registros de chamadas, permitindo que os criminosos capturem informações sensíveis sem o consentimento dos usuários. O malware pode operar mesmo quando o aplicativo está fechado, utilizando bibliotecas nativas para monitorar atividades. A Appknox alerta que a falha nos mecanismos de verificação de aplicativos torna a situação ainda mais crítica, exigindo uma vigilância constante nas lojas de aplicativos e a educação dos usuários sobre a instalação de aplicativos apenas em plataformas oficiais. A descoberta dessa campanha é um sinal de alerta para empresas, pois dispositivos comprometidos podem ser usados para roubar códigos de verificação bancária e facilitar fraudes.

O ecossistema de finanças descentralizadas (DeFi) enfrentou uma grave violação de segurança, com hackers explorando vulnerabilidades no protocolo Balancer, resultando em perdas superiores a US$ 100 milhões. O ataque focou nas V2 Composable Stable Pools, que operam em várias blockchains e possuem um recurso de segurança chamado ‘janela de pausa’, destinado a interromper transações em situações de emergência. No entanto, muitas dessas pools estavam ativas além do período em que essa proteção poderia ser acionada, deixando-as vulneráveis ao ataque. Após a descoberta da violação, a equipe de segurança do Balancer trabalhou rapidamente com especialistas em cibersegurança para conter os danos, interrompendo todas as pools elegíveis para pausa de emergência. Apesar das rigorosas práticas de segurança do Balancer, incluindo auditorias e programas de recompensas por bugs, o ataque demonstrou a sofisticação crescente das ameaças no setor DeFi. O Balancer alertou os usuários sobre tentativas de phishing que se aproveitaram da situação, enfatizando a importância de confiar apenas em fontes oficiais para informações. A equipe continua a colaborar com autoridades e especialistas para investigar o ataque e buscar a recuperação dos fundos.

A Microsoft anunciou uma nova medida de segurança que entrará em vigor em fevereiro de 2026, visando proteger as credenciais do Microsoft Entra armazenadas em dispositivos móveis comprometidos. A partir dessa data, o aplicativo Microsoft Authenticator detectará iPhones com jailbreak e dispositivos Android com root, removendo automaticamente todas as credenciais armazenadas. Essa ação visa prevenir o acesso não autorizado e o roubo de credenciais, uma vez que dispositivos modificados desativam as proteções de segurança padrão, permitindo que aplicativos maliciosos acessem dados sensíveis. A remoção das credenciais é uma resposta a um vetor de ataque crítico que cibercriminosos exploram ativamente. Embora a funcionalidade do Authenticator para contas Microsoft Entra seja desativada em dispositivos comprometidos, contas pessoais e métodos de autenticação de terceiros continuarão operando normalmente. As organizações devem comunicar essa mudança aos usuários para evitar interrupções operacionais e desenvolver estratégias de comunicação claras sobre a importância dessa medida de segurança. Essa decisão da Microsoft reflete uma tendência crescente na indústria de priorizar a segurança em dispositivos móveis, especialmente em um cenário onde o trabalho remoto e os serviços baseados em nuvem dependem cada vez mais da autenticação móvel.

Em 3 de novembro de 2025, o Google divulgou seu Boletim de Segurança Android, revelando uma vulnerabilidade crítica de execução remota de código (CVE-2025-48593) que afeta dispositivos Android em todo o mundo. Essa falha, que não requer interação do usuário para ser explorada, representa um risco severo, pois permite que atacantes executem código arbitrário em dispositivos vulneráveis. A vulnerabilidade impacta as versões Android 13, 14, 15 e 16, e a sua gravidade é acentuada pelo fato de que os usuários não podem mitigar o problema através de mudanças de comportamento ou práticas de segurança. O Google recomenda que todos os dispositivos com nível de patch de segurança de 2025-11-01 ou posterior sejam atualizados imediatamente para se proteger contra essa e outras ameaças. Além disso, uma outra vulnerabilidade de elevação de privilégios (CVE-2025-48581) foi identificada, afetando exclusivamente o Android 16. O Google também enfatiza a importância de atualizações regulares e o uso do Google Play Protect para aumentar a segurança dos dispositivos.

A Zscaler anunciou a aquisição da SPLX, uma empresa pioneira em segurança com inteligência artificial (IA), ampliando significativamente sua plataforma Zero Trust Exchange. Esta aquisição é estratégica, pois permite que as organizações protejam todo o ciclo de vida da IA, desde o desenvolvimento até a implantação, em uma única plataforma integrada. Com investimentos em infraestrutura de IA projetados para ultrapassar US$ 250 bilhões até o final de 2025, surgem novos desafios de segurança, como a proliferação de IA não gerenciada e superfícies de ataque emergentes que ferramentas tradicionais não conseguem abordar.

Os ataques de ransomware aumentaram 25% em outubro de 2025, totalizando 684 incidentes, o terceiro maior número mensal do ano. O setor industrial continua sendo o mais atacado, com 19% dos casos, mas o setor de saúde registrou um aumento alarmante de 115%, passando de 26 para 56 ataques. O grupo de ransomware Qilin destacou-se como o mais ativo, reivindicando 186 vítimas em outubro. Dos 684 ataques, 47 foram confirmados, sendo 27 em empresas, 10 em entidades governamentais e 3 em empresas de saúde. Os dados indicam que mais de 162 TB de dados foram supostamente roubados em 315 casos. Os Estados Unidos lideraram o número de ataques, com 374 incidentes, seguidos por aumentos significativos na Austrália e no Japão. O cenário é preocupante, especialmente para o setor de saúde, que já contabiliza 104 ataques confirmados em 2025, o que levanta questões sobre a segurança de dados sensíveis e conformidade com a LGPD.

Recentemente, uma nova campanha de ciberespionagem, chamada Operação SkyCloak, foi identificada, visando o setor de defesa na Rússia e na Bielorrússia. Os atacantes utilizam e-mails de phishing com anexos maliciosos, disfarçados como documentos militares, para implantar um backdoor persistente em sistemas comprometidos. O malware utiliza OpenSSH e um serviço oculto Tor para ofuscação de tráfego, permitindo que os invasores mantenham controle remoto sobre as máquinas infectadas.

O ataque começa com um arquivo ZIP que contém um atalho do Windows (LNK) e um segundo arquivo compactado. Quando o atalho é aberto, comandos PowerShell são executados, iniciando uma cadeia de infecção. O malware realiza verificações para evitar ambientes de análise, como sandboxes, e, uma vez que as condições são atendidas, exibe um documento PDF como isca. Além disso, cria tarefas agendadas para garantir sua persistência e estabelece um serviço SSH que permite a transferência de arquivos e acesso remoto.

O ransomware é um software malicioso que bloqueia o acesso a sistemas ou criptografa dados até que um resgate seja pago. Este tipo de ataque cibernético é uma das ameaças mais comuns e prejudiciais no cenário digital, afetando indivíduos, empresas e infraestruturas críticas em todo o mundo. Os ataques geralmente começam com a infiltração do malware por meio de e-mails de phishing, downloads maliciosos ou exploração de vulnerabilidades de software. Uma vez ativado, o ransomware utiliza algoritmos criptográficos para tornar os arquivos inacessíveis, exigindo pagamento, frequentemente em criptomoedas como Bitcoin, para fornecer a chave de descriptografia.

Pesquisadores de cibersegurança revelaram quatro falhas de segurança no Microsoft Teams que podem ter exposto usuários a ataques de impersonificação e engenharia social. As vulnerabilidades permitiram que atacantes manipulassem conversas, se passassem por colegas e explorassem notificações. Após a divulgação responsável em março de 2024, a Microsoft abordou algumas dessas questões em agosto de 2024, com patches subsequentes lançados em setembro de 2024 e outubro de 2025. As falhas possibilitam a alteração do conteúdo das mensagens sem deixar o rótulo de ‘Editado’ e a modificação de notificações para alterar o remetente aparente, permitindo que atacantes enganem vítimas a abrirem mensagens maliciosas. Além disso, os atacantes podiam alterar nomes de exibição em conversas privadas e durante chamadas, forjando identidades de remetentes. A Check Point destacou que essas vulnerabilidades minam a confiança essencial nas ferramentas de colaboração, transformando o Teams em um vetor de engano. A Microsoft classificou uma das falhas, CVE-2024-38197, como um problema de spoofing de severidade média, afetando o Teams para iOS, o que pode permitir que atacantes enganem usuários a revelarem informações sensíveis. Com a crescente adoção do Teams, a segurança dessas plataformas se torna crítica para a proteção de dados corporativos.

Uma vulnerabilidade crítica foi identificada e corrigida no pacote npm ‘@react-native-community/cli’, utilizado por desenvolvedores para construir aplicações móveis em React Native. A falha, classificada como CVE-2025-11953, possui um score CVSS de 9.8, indicando sua gravidade. Essa vulnerabilidade permite que atacantes remotos não autenticados executem comandos arbitrários no sistema operacional da máquina que roda o servidor de desenvolvimento do React Native, o que representa um risco significativo para os desenvolvedores. O problema surge porque o servidor de desenvolvimento Metro, por padrão, se conecta a interfaces externas e expõe um endpoint ‘/open-url’ vulnerável a injeções de comandos do sistema. Com isso, um atacante pode enviar uma solicitação POST maliciosa para o servidor e executar comandos indesejados. Embora a falha já tenha sido corrigida na versão 20.0.0 do pacote, desenvolvedores que utilizam frameworks que não dependem do Metro não são afetados. Essa situação destaca a importância de uma análise de segurança automatizada e abrangente em toda a cadeia de suprimentos de software para evitar que falhas facilmente exploráveis impactem as organizações.

No episódio mais recente do Podcast Canaltech, especialistas discutem os desafios enfrentados na busca por baterias de celular com maior autonomia. Hudson Zanin, professor da Unicamp, e André Varga, diretor de produto da JOVI, abordam os avanços nas tecnologias de baterias, como as de íon-lítio e silício-carbono, que prometem melhorar a duração das cargas. Apesar dos progressos, a corrida por baterias que durem mais tempo longe da tomada ainda enfrenta barreiras significativas, tanto do ponto de vista técnico quanto de mercado. Os convidados também exploram como a inteligência artificial pode ser uma aliada ou um obstáculo nesse processo. Além disso, o episódio traz atualizações sobre lançamentos de produtos e falhas de segurança que afetam bilhões de usuários, destacando a relevância contínua da cibersegurança no contexto tecnológico atual.

No dia 3 de novembro de 2025, a Apple lançou atualizações de segurança significativas para iOS 26.1 e iPadOS 26.1, abordando várias vulnerabilidades críticas que representavam riscos sérios à segurança dos dispositivos e à privacidade dos usuários. As atualizações estão disponíveis para iPhones a partir do modelo 11 e diversos modelos de iPad, incluindo iPad Pro de terceira geração e posteriores.

Entre as falhas corrigidas, destacam-se vulnerabilidades no Apple Neural Engine, como CVE-2025-43447 e CVE-2025-43462, que permitiam que aplicativos maliciosos causassem falhas no sistema ou corrompessem a memória do kernel. A Apple implementou mecanismos aprimorados de gerenciamento de memória para mitigar esses riscos. Além disso, a vulnerabilidade CVE-2025-43455 no recurso Apple Account foi corrigida, evitando que aplicativos maliciosos capturassem capturas de tela de informações sensíveis.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no sistema de IA Claude, da Anthropic, que permite a atacantes explorar prompts indiretos para roubar dados sensíveis dos usuários através da API de Arquivos da plataforma. A falha foi documentada publicamente em 28 de outubro de 2025 e revela como os criminosos podem manipular o interpretador de código e as funcionalidades da API do Claude para extrair informações confidenciais diretamente dos ambientes de trabalho das vítimas.

A Microsoft reconheceu um erro crítico na distribuição de uma atualização do Windows Server Update Services (WSUS) que afetou sistemas do Windows Server 2025 inscritos no programa Hotpatch. Essa atualização foi distribuída acidentalmente para máquinas que deveriam receber apenas atualizações Hotpatch, resultando em uma interrupção significativa no processo de aplicação de patches sem reinicialização do sistema. Embora a Microsoft tenha corrigido rapidamente o erro, as organizações afetadas enfrentarão um intervalo de três meses na funcionalidade do Hotpatch e precisarão seguir procedimentos específicos para restaurar as operações normais. Os sistemas que instalaram a atualização incorreta não receberão atualizações Hotpatch programadas para novembro e dezembro de 2025, mas sim atualizações mensais padrão que exigem reinicializações. Para mitigar o problema, a Microsoft oferece um procedimento para que administradores que ainda não instalaram a atualização problemática possam reverter para a versão correta. A situação destaca a complexidade da gestão de múltiplos canais de atualização em ambientes corporativos grandes e a importância de um gerenciamento cuidadoso de patches.

Uma campanha de publicidade maliciosa sofisticada está atualmente entregando o malware OysterLoader por meio de anúncios falsos de ferramentas de software populares, como PuTTY, Microsoft Teams e Zoom. Desde junho de 2025, o grupo de ransomware Rhysida, que atua desde 2021, tem explorado um modelo de malvertising eficaz, comprando anúncios no Bing que redirecionam usuários desavisados para páginas de download fraudulentas. Essas páginas imitam sites oficiais e, ao serem acessadas, instalam o OysterLoader, que serve como uma ferramenta de acesso inicial para permitir que hackers mantenham acesso a dispositivos e redes comprometidos. Para evitar a detecção, o grupo utiliza técnicas de compressão e ofuscação do malware, além de certificados de assinatura de código para dar uma falsa legitimidade aos arquivos maliciosos. Apesar da revogação de mais de 200 certificados pela Microsoft, a campanha continua ativa, com o uso de mais de 40 certificados novos. Essa escalada nas operações do grupo demonstra recursos financeiros substanciais e um compromisso com suas atividades maliciosas, diversificando suas táticas com a implementação de outros malwares, como o Latrodectus.

A Microsoft divulgou detalhes sobre um novo backdoor chamado SesameOp, que utiliza a API de Assistentes da OpenAI para comunicações de comando e controle (C2). Em um relatório técnico, a equipe de Resposta a Incidentes da Microsoft (DART) explicou que, em vez de métodos tradicionais, os atacantes abusam da OpenAI como um canal C2 para orquestrar atividades maliciosas de forma furtiva. O backdoor foi descoberto em julho de 2025, após uma intrusão sofisticada que permitiu que os atacantes mantivessem acesso persistente ao ambiente comprometido por vários meses. O malware é projetado para executar comandos recebidos através da API da OpenAI, que serve como um mecanismo de armazenamento ou retransmissão. A cadeia de infecção inclui um componente carregador e um backdoor baseado em .NET, que busca comandos criptografados, os decodifica e os executa localmente. Os resultados são enviados de volta à OpenAI. A Microsoft informou que compartilhou suas descobertas com a OpenAI, que desativou uma chave de API e uma conta associada ao adversário. Este incidente destaca o uso crescente de ferramentas legítimas para fins maliciosos, dificultando a detecção de atividades maliciosas em redes normais.

Três indivíduos foram acusados de invadir redes de cinco empresas nos EUA utilizando o ransomware BlackCat, também conhecido como ALPHV, entre maio e novembro de 2023. Os acusados, Ryan Clifford Goldberg, Kevin Tyler Martin e um co-conspirador não identificado, teriam atacado uma empresa de dispositivos médicos na Flórida, uma farmacêutica em Maryland, um consultório médico na Califórnia, uma empresa de engenharia na Califórnia e um fabricante de drones na Virgínia. Os ataques resultaram em extorsões, com a empresa de dispositivos médicos pagando cerca de 1,27 milhão de dólares em criptomoeda, embora os outros ataques não tenham gerado pagamentos. Os acusados foram identificados como negociadores de ameaças de ransomware e um gerente de resposta a incidentes em empresas de cibersegurança. As acusações incluem conspiração para interferir no comércio interestadual por extorsão e danos intencionais a computadores protegidos, com penas que podem chegar a 50 anos de prisão. O caso destaca a crescente ameaça do ransomware e a necessidade de vigilância constante na segurança cibernética.

O agente de cibersegurança da Google, Big Sleep, foi responsável por identificar cinco vulnerabilidades no WebKit, componente utilizado no navegador Safari da Apple. As falhas, se exploradas, poderiam causar travamentos ou corrupção de memória. As vulnerabilidades identificadas incluem: CVE-2025-43429, uma vulnerabilidade de buffer overflow; CVE-2025-43430, uma falha não especificada que pode levar a um travamento inesperado; CVE-2025-43431 e CVE-2025-43433, que podem resultar em corrupção de memória; e CVE-2025-43434, uma vulnerabilidade de uso após liberação que também pode causar travamentos. A Apple lançou patches para corrigir essas falhas em suas atualizações de software, incluindo iOS 26.1 e macOS Tahoe 26.1. Embora nenhuma das vulnerabilidades tenha sido explorada ativamente até o momento, é recomendável que os usuários mantenham seus dispositivos atualizados para garantir a proteção adequada.

Uma nova campanha de phishing tem como alvo executivos do setor financeiro no LinkedIn, conforme identificado pela Push Security. Os cibercriminosos enviam mensagens diretas com convites falsos para reuniões de diretoria, utilizando a isca de uma oportunidade de trabalho promissora. Ao clicar no link contido na mensagem, a vítima é redirecionada por várias páginas até chegar a um site falso que simula uma plataforma de compartilhamento de dados do LinkedIn. Esse site apresenta documentos falsos e, ao tentar acessá-los, a vítima é levada a uma página que exige autenticação na Microsoft, onde uma técnica chamada Adversary-in-the-Middle (AITM) é utilizada para roubar credenciais de login e cookies do navegador.

Uma nova proposta do Gabinete de Segurança Institucional (GSI) sugere que a Agência Nacional de Telecomunicações (Anatel) assuma a responsabilidade pela cibersegurança no Brasil. Essa iniciativa surge em meio à crescente preocupação com a segurança digital no país, especialmente após a aprovação da Política Nacional de Cibersegurança em 2023. O GSI, em colaboração com a Anatel e o Ministério da Gestão, está revisando um anteprojeto que, após aprovação pela Casa Civil, será enviado ao Parlamento como um Projeto de Lei. O ministro-chefe do GSI, Marcos Antonio Amaro dos Santos, destacou a necessidade de um marco legal mais robusto para a cibersegurança, e a Anatel, já estabelecida e com ampla capilaridade, é vista como uma solução viável. A proposta original de criar uma nova agência, a Agência Nacional de Cibersegurança (ANCiber), foi descartada devido a restrições orçamentárias. A Anatel demonstrou interesse em assumir essa nova missão, o que fortalece a proposta nos bastidores. Essa mudança pode impactar significativamente a forma como a cibersegurança é gerida no Brasil, refletindo a urgência em enfrentar as ameaças digitais atuais.

No Fórum Latinoamericano de Cibersegurança da ESET, a pesquisadora Martina López destacou o uso crescente de deepfakes em campanhas de desinformação médica. A tecnologia, que simula rostos e vozes de forma convincente, tem sido utilizada para criar perfis falsos de médicos, alterando suas credenciais e especializações. Essas campanhas se espalham principalmente em redes sociais menos moderadas, como TikTok e Facebook, e em grupos de aplicativos de mensagens como Telegram e Discord, visando manipular principalmente leigos e pessoas com menor nível educacional. Para combater essa desinformação, iniciativas como o Ato de Inteligência Artificial da União Europeia buscam implementar marca d’água em conteúdos gerados por IA. A especialista recomenda que os usuários verifiquem a fonte das informações e utilizem ferramentas de busca reversa para identificar conteúdos falsos. A crescente sofisticação dos deepfakes exige uma vigilância redobrada, pois a tecnologia pode impactar a percepção pública e a saúde coletiva.

Pesquisadores da Netskope identificaram que a ferramenta de código aberto RedTiger, originalmente desenvolvida para testes de segurança, está sendo utilizada por hackers para criar um infostealer que rouba dados de contas do Discord e informações de pagamento. O malware, que também captura credenciais armazenadas em navegadores, dados de carteiras de criptomoedas e informações de jogos como Roblox, é disseminado através de canais do Discord, sites maliciosos e vídeos no YouTube, disfarçado como mods ou boosters. A RedTiger permite a interceptação de dados do sistema, incluindo senhas e cookies, e injeta JavaScript no Discord para capturar eventos como tentativas de login e compras. Os dados coletados são enviados para os hackers via GoFile, um serviço de armazenamento em nuvem anônimo. A Netskope alerta que usuários franceses do Discord estão sendo os principais alvos, e recomenda que, em caso de suspeita de infecção, os usuários revoguem tokens, troquem senhas e reinstalem o aplicativo a partir do site oficial. A situação destaca a vulnerabilidade de usuários em plataformas populares e a necessidade de medidas de segurança robustas.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

Uma grave vulnerabilidade de segurança, identificada como Brash, foi descoberta no mecanismo de renderização Blink, utilizado por navegadores baseados no Chromium, como Google Chrome e Microsoft Edge. Essa falha permite que um cibercriminoso provoque travamentos em qualquer navegador Chromium em um intervalo de 15 a 60 segundos, explorando a falta de limitação de taxa na API document.title do JavaScript. Com isso, é possível gerar milhões de mutações no DOM por segundo, saturando o sistema e levando ao colapso do navegador. A gravidade da situação é acentuada pelo fato de que o Google Chrome possui cerca de três bilhões de usuários ativos globalmente. O pesquisador Jose Pino, que descobriu a falha, alertou que ela pode ser programada para ser ativada em um momento específico, aumentando ainda mais o risco. O Google e outras empresas de navegadores já foram notificados e estão trabalhando em soluções. Durante os testes, navegadores como Mozilla Firefox e Safari não foram afetados pela vulnerabilidade.

A Polícia Federal (PF) deu início à segunda fase da operação Magna Fraus, que investiga um esquema criminoso responsável pelo desvio de aproximadamente R$ 813 milhões em transações realizadas via Pix. A operação, que conta com o apoio do Cyber GAECO do Ministério Público de São Paulo, está cumprindo 42 mandados de busca e apreensão e 26 mandados de prisão em diversas cidades do Brasil, incluindo Goiânia, Brasília e São Paulo. Além disso, a PF bloqueou bens e valores do grupo investigado que somam até R$ 640 milhões. A investigação se estende além das fronteiras brasileiras, com a colaboração de autoridades internacionais, incluindo a Interpol e polícias de Espanha, Argentina e Portugal. A primeira fase da operação, realizada em janeiro, focou na lavagem de dinheiro proveniente de invasões de dispositivos. Agora, a PF apura crimes como organização criminosa, invasão de dispositivo informático e furto mediante fraude eletrônica. Este caso destaca a vulnerabilidade das transações digitais e a necessidade de medidas de segurança mais robustas para proteger os usuários e instituições financeiras.

Pesquisadores de segurança da Arctic Wolf Labs alertaram sobre um ataque cibernético direcionado a diplomatas europeus, realizado por um grupo de hackers conhecido como Mustang Panda, vinculado ao governo chinês. O ataque utiliza uma vulnerabilidade zero-day no Windows, identificada como CVE-2025-9491, que permite a exploração de arquivos .LNK maliciosos. Esses arquivos foram enviados em e-mails de phishing, disfarçados como convites para eventos diplomáticos, como workshops de defesa da OTAN. Ao serem abertos, os arquivos executam um Trojan de Acesso Remoto (RAT) chamado PlugX, que concede acesso persistente ao sistema comprometido, permitindo a espionagem e a exfiltração de dados. A vulnerabilidade, que é considerada de alta severidade, foi associada a campanhas de espionagem que datam de 2017. A exploração requer interação do usuário, o que a torna menos crítica, mas ainda assim representa um risco significativo para a segurança de informações sensíveis. O ataque destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados diplomáticos e governamentais.

O uso de VPNs gratuitas tem se tornado comum entre usuários que buscam privacidade online, mas essas ferramentas podem apresentar riscos significativos à segurança. Muitas VPNs gratuitas monetizam seus serviços coletando e vendendo dados dos usuários, o que contraria o propósito de proteção da privacidade. Além disso, algumas dessas VPNs podem conter malware ou falhas de segurança que expõem os dados pessoais dos usuários. É essencial que os usuários compreendam que, embora a ideia de uma VPN gratuita seja atraente, a falta de transparência e a possibilidade de exploração de dados podem resultar em consequências graves. Para garantir uma navegação segura, é recomendável optar por serviços de VPN pagos e confiáveis, que oferecem criptografia robusta e políticas claras de privacidade. A escolha de uma VPN deve ser feita com cautela, considerando a reputação do provedor e as práticas de segurança adotadas.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi descoberta no UniFi OS da Ubiquiti, afetando a infraestrutura da API de backup em dispositivos UniFi. Identificada como CVE-2025-52665, a falha resulta de uma validação inadequada de entrada no endpoint de exportação de backup, permitindo que atacantes executem comandos arbitrários com privilégios elevados. A vulnerabilidade foi identificada durante uma avaliação de segurança rotineira e está relacionada a múltiplas APIs não autenticadas no ecossistema do UniFi OS. O endpoint vulnerável aceita um parâmetro de diretório sem a devida sanitização, possibilitando a injeção de comandos maliciosos. Além disso, a configuração incorreta expôs o endpoint a acessos não autenticados, permitindo que atacantes realizem operações sensíveis. Organizações que utilizam o UniFi OS devem priorizar a aplicação de patches e revisar os controles de acesso à rede para restringir a exposição dos endpoints da API. A gravidade da vulnerabilidade é evidenciada pelo CVSS Score de 9.8, classificada como crítica, e a recompensa de $25.000 oferecida pela descoberta.

O Open VSX Registry e a Eclipse Foundation relataram um incidente de segurança envolvendo o vazamento de tokens de desenvolvedores e a publicação de extensões maliciosas que exploraram essas credenciais. A situação foi identificada por pesquisadores de segurança da Wiz, que encontraram tokens expostos em repositórios de código público. Esses tokens pertenciam a usuários do Open VSX e foram utilizados por atacantes para publicar extensões prejudiciais na plataforma. A Eclipse Foundation esclareceu que a exposição dos tokens foi resultado de descuidos dos desenvolvedores, e não de uma violação de infraestrutura. Após a identificação dos tokens comprometidos, a equipe os revogou imediatamente e implementou melhorias significativas na segurança, incluindo a colaboração com o Microsoft Security Response Center para criar um formato de prefixo de token que facilita a detecção de exposições em repositórios públicos. Embora o ataque tenha sido considerado sério, a equipe do Open VSX afirmou que não se tratava de um verme autônomo, mas sim de um malware que exigia intervenção humana para se propagar. Todas as extensões maliciosas foram removidas rapidamente, e o incidente foi declarado totalmente contido em 21 de outubro de 2025, sem evidências de compromissos em andamento.