A Microsoft anunciou a implementação de novos prompts de permissão em seu sistema operacional Windows 11, semelhante aos utilizados em smartphones, para solicitar consentimento dos usuários antes que aplicativos acessem recursos sensíveis como arquivos, câmeras e microfones. Essa mudança, parte das iniciativas ‘Windows Baseline Security Mode’ e ‘User Transparency and Consent’, visa aumentar a segurança e a transparência, permitindo que os usuários revoguem permissões a qualquer momento. O engenheiro da plataforma Windows, Logan Iyer, destacou que essa nova abordagem foi motivada por aplicativos que frequentemente ignoram configurações de segurança e instalam softwares indesejados sem consentimento. Além disso, a Microsoft está implementando salvaguardas de integridade em tempo de execução, garantindo que apenas aplicativos, serviços e drivers devidamente assinados possam ser executados. Essas mudanças são parte da iniciativa Secure Future Initiative (SFI), que surgiu após um relatório do Cyber Safety Review Board do Departamento de Segurança Interna dos EUA, que classificou a cultura de segurança da Microsoft como ‘inadequada’ após um incidente de violação de dados. O lançamento será gradual e ajustado com base no feedback de desenvolvedores e parceiros.

A Microsoft está investigando uma interrupção que impede alguns administradores com assinaturas empresariais de acessar o centro de administração do Microsoft 365. Embora a empresa não tenha divulgado quais regiões estão afetadas, ela está monitorando a situação em sua página oficial de status de serviço. Relatos iniciais indicam que usuários na região da América do Norte estão enfrentando dificuldades, como problemas de conexão e lentidão no portal administrativo. A Microsoft classificou a situação como um incidente, o que sugere um impacto significativo para os usuários. Além disso, a interrupção também afeta o aplicativo M365, e a empresa está coletando dados de telemetria para identificar a causa raiz do problema. A análise inclui padrões de uso e níveis de utilização da CPU, além de arquivos HTTP Archive (HAR) fornecidos por usuários afetados. Este incidente segue uma série de problemas anteriores enfrentados pela Microsoft, incluindo falhas críticas que impediram o acesso a serviços do Microsoft 365. A situação continua em desenvolvimento, e a empresa promete fornecer mais informações assim que disponíveis.

A SmarterTools confirmou que sua rede foi invadida pelo grupo de ransomware Warlock (também conhecido como Storm-2603) ao explorar uma instância do SmarterMail que não estava atualizada. O incidente ocorreu em 29 de janeiro de 2026, quando um servidor de e-mail, que não recebeu as atualizações necessárias, foi comprometido. A empresa tinha cerca de 30 servidores com SmarterMail, mas um deles, configurado por um funcionário, não estava sendo monitorado. Embora a SmarterTools tenha garantido que a violação não afetou seu site ou dados de clientes, cerca de 12 servidores Windows e um centro de dados secundário foram impactados. O grupo Warlock utilizou vulnerabilidades conhecidas, como CVE-2026-23760 e CVE-2026-24423, para obter acesso não autorizado e implantar ransomware. A CISA confirmou que essas falhas estavam sendo ativamente exploradas em ataques de ransomware. A SmarterTools recomenda que os usuários atualizem para a versão mais recente do SmarterMail para garantir proteção adequada.

A ZAST.AI, uma startup de segurança cibernética, anunciou a conclusão de uma rodada de financiamento pré-A de US$ 6 milhões, totalizando quase US$ 10 milhões em investimentos. A empresa, reconhecida por sua inovação em ferramentas de segurança, visa reduzir drasticamente as altas taxas de falsos positivos que afligem as equipes de segurança. Em 2025, a ZAST.AI identificou centenas de vulnerabilidades zero-day em projetos de código aberto populares, resultando em 119 atribuições de CVE. A abordagem da ZAST.AI combina geração automatizada de Proof-of-Concept (PoC) e validação automatizada, permitindo que as equipes de segurança se concentrem em vulnerabilidades reais, em vez de perder tempo com alertas falsos. A empresa já atende a clientes de grande porte, incluindo empresas da lista Fortune Global 500, e planeja usar os novos fundos para expandir sua tecnologia e presença no mercado global. A ZAST.AI promete transformar a análise de segurança de código, oferecendo uma solução que não apenas identifica vulnerabilidades, mas também as valida de forma eficaz, garantindo que as equipes de segurança possam agir com confiança.

O relatório Red Report 2026 da Picus Labs revela uma mudança significativa nas estratégias de ataque cibernético, onde o foco não está mais em ataques destrutivos, como ransomware, mas sim em acessos prolongados e invisíveis. Embora o ransomware continue a ser uma ameaça, a pesquisa indica que a criptografia de dados para causar impacto caiu 38% em um ano, com os atacantes agora preferindo a extorsão de dados como modelo principal de monetização. Isso permite que os sistemas permaneçam operacionais enquanto os atacantes exfiltram informações sensíveis e coletam credenciais. O relatório destaca que a extração de credenciais de armazenamentos de senhas é uma das táticas mais comuns, representando quase 25% dos ataques. Além disso, 80% das técnicas mais utilizadas pelos atacantes priorizam a evasão e a persistência, com malware se comportando como parasitas digitais, operando silenciosamente e evitando detecções. A evolução do malware, que agora é capaz de evitar ambientes de análise, reflete uma lógica mais sofisticada dos atacantes, que se adaptam rapidamente às defesas. Apesar das expectativas em torno da inteligência artificial, os dados mostram que as técnicas tradicionais ainda dominam, com pouca inovação significativa no uso de IA para ataques.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de ransomware chamada Reynolds, que incorpora um componente de ‘bring your own vulnerable driver’ (BYOVD) para evadir defesas. O BYOVD é uma técnica que explora drivers legítimos, mas vulneráveis, para escalar privilégios e desativar soluções de Detecção e Resposta de Endpoint (EDR), permitindo que atividades maliciosas passem despercebidas. Neste caso, o ransomware inclui um driver vulnerável da NsecSoft, que é utilizado para encerrar processos de programas de segurança como Avast e Symantec. Essa abordagem não é nova, tendo sido observada em ataques anteriores, como o Ryuk em 2020. Além disso, a campanha Reynolds também utilizou um loader suspeito semanas antes do ransomware ser implantado, e um programa de acesso remoto foi instalado um dia após a infecção. A técnica BYOVD é popular entre atacantes devido à sua eficácia e ao uso de arquivos legítimos, que não levantam suspeitas. O aumento da atividade de ransomware, com 4.737 ataques registrados em 2025, destaca a necessidade de vigilância constante e atualização das defesas de segurança.

O início de 2026 foi marcado por um aumento significativo nos ataques de ransomware, totalizando 711 incidentes em janeiro, um número que, embora ligeiramente inferior ao de dezembro de 2025, representa um aumento de 33% em relação ao mesmo mês do ano anterior. Os setores mais afetados incluem finanças e tecnologia, com aumentos de 24% e 12%, respectivamente. O Reino Unido registrou um aumento alarmante de 83% nos ataques, enquanto os Estados Unidos e a Alemanha observaram uma diminuição. Um novo grupo de ransomware, 0APT, reivindicou mais de 80 vítimas, mas muitas de suas alegações não foram verificadas. Entre os ataques confirmados, 34 foram direcionados a empresas, 10 a entidades governamentais e 6 ao setor de saúde. O grupo Qilin liderou em ataques confirmados, seguido por Clop e Akira. O total de dados roubados ultrapassou 104 TB. O setor de saúde viu uma queda de 27% nos ataques, mas o número de ataques confirmados aumentou. A situação exige atenção especial dos profissionais de cibersegurança, especialmente em setores críticos como finanças e saúde.

Daren Li, um cidadão com dupla nacionalidade da China e de São Cristóvão e Nevis, foi condenado a 20 anos de prisão em ausência por seu envolvimento em um esquema internacional de investimento em criptomoedas, conhecido como ‘pig butchering’, que enganou vítimas em mais de $73 milhões. Esses golpes envolvem a construção de confiança com as vítimas por meio de aplicativos de mensagens e redes sociais, antes de apresentar esquemas de investimento fraudulentos. Em vez de investir os fundos, os golpistas esvaziam as carteiras de criptomoedas das vítimas. Li se declarou culpado em novembro de 2024 e foi preso em abril de 2024, mas fugiu antes da sentença. Ele e seus cúmplices operavam a partir de centros no Camboja, utilizando uma rede de lavadores de dinheiro para movimentar os fundos roubados. O Departamento de Justiça dos EUA destacou a gravidade das ações de Li, que causaram perdas devastadoras a vítimas em todo o país. Além de Li, quatro outros suspeitos foram acusados em um esquema semelhante que resultou em perdas superiores a $80 milhões. O relatório de crimes cibernéticos de 2024 do FBI revelou que os golpistas de investimento roubaram mais de $6,5 bilhões de quase 48 mil vítimas, um aumento significativo em relação ao ano anterior.

A Fortinet divulgou atualizações de segurança para corrigir uma falha crítica no FortiClientEMS, identificada como CVE-2026-21643, que pode permitir a execução de código arbitrário em sistemas vulneráveis. Com uma pontuação CVSS de 9.1, a vulnerabilidade é classificada como uma injeção SQL, permitindo que atacantes não autenticados executem comandos não autorizados através de requisições HTTP manipuladas. As versões afetadas incluem FortiClientEMS 7.4.4, que deve ser atualizada para a versão 7.4.5 ou superior. As versões 7.2 e 8.0 não são afetadas. Embora a Fortinet não tenha relatado exploração ativa da falha, é crucial que os usuários apliquem as correções rapidamente. Essa atualização ocorre em um contexto onde a empresa também lidou com outra vulnerabilidade crítica em seus produtos FortiOS, FortiManager, FortiAnalyzer, FortiProxy e FortiWeb, que já está sendo explorada ativamente por atacantes. A rápida aplicação das atualizações é essencial para mitigar riscos de segurança.

As autoridades da Holanda, incluindo a Autoridade de Proteção de Dados (AP) e o Conselho da Judiciária, relataram que seus sistemas foram comprometidos por ataques cibernéticos que exploraram falhas de segurança recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). Em um comunicado ao parlamento, foi informado que dados de funcionários, como nomes e endereços de e-mail corporativos, foram acessados por pessoas não autorizadas. O Centro Nacional de Segurança Cibernética (NCSC) foi notificado sobre as vulnerabilidades em 29 de janeiro de 2026, e a Ivanti lançou patches para corrigir as falhas críticas (CVE-2026-1281 e CVE-2026-1340) no mesmo dia. Além disso, a Comissão Europeia também identificou indícios de um ataque cibernético em sua infraestrutura, embora tenha contido o incidente rapidamente. A empresa de tecnologia Valtori, da Finlândia, também relatou uma violação que expôs dados de até 50.000 funcionários do governo. Especialistas alertam que os ataques são realizados por atores altamente qualificados e bem financiados, e enfatizam a importância da resiliência em sistemas de segurança.

A segunda temporada de ‘The Artful Dodger’, a aclamada série australiana de drama criminal, estreia no dia 10 de fevereiro. A trama segue Jack Dawkins, o famoso Artful Dodger, que agora, aos 30 anos, tenta deixar seu passado de ladrão para trás, trabalhando como cirurgião. No entanto, ele enfrenta novos desafios, incluindo a perseguição do Inspetor Boxer e a pressão de seu antigo mentor, Fagin, que deseja envolvê-lo em um novo golpe. A série também explora a jornada de Lady Belle, que busca uma carreira na medicina, um feito notável para a época. Os oito episódios da nova temporada estarão disponíveis para streaming nos Estados Unidos pelo Hulu e Disney Plus, com uma opção de teste gratuito de 30 dias para novos assinantes. Internacionalmente, a série será transmitida pelo Disney Plus, com preços variando entre £5.99 no Reino Unido, CA$8.99 no Canadá e AU$15.99 na Austrália. A nova temporada promete reviravoltas emocionantes e dilemas morais, colocando Jack em uma encruzilhada entre seu passado e seu futuro.

O grupo de hackers chinês conhecido como UNC3886 comprometeu as quatro maiores operadoras de telecomunicações de Cingapura - Singtel, StarHub, M1 e Simba - pelo menos uma vez no último ano. Embora os invasores tenham conseguido acesso limitado a sistemas críticos, não houve interrupções nos serviços. Em resposta, Cingapura lançou a ‘Operação Cyber Guardian’ para conter a atividade do grupo nas redes das operadoras. A Agência de Cibersegurança de Cingapura (CSA) revelou que os atacantes utilizaram um exploit de zero-day para contornar firewalls e roubar dados técnicos. Além disso, foi identificado o uso de rootkits para manter a furtividade e persistência durante o ataque. Apesar da confirmação de comprometimento, as autoridades não encontraram evidências de acesso ou roubo de dados sensíveis de clientes. A CSA e a Autoridade de Desenvolvimento de Mídia e Telecomunicações (IMDA) mobilizaram mais de cem investigadores de seis agências governamentais para investigar a situação. O Ministro do Desenvolvimento Digital e Informação de Cingapura, Josephine Teo, destacou que, embora o ataque não tenha causado danos significativos, é um lembrete da importância do trabalho dos defensores cibernéticos.

As equipes de Segurança Operacional (SOC) estão enfrentando um aumento no burnout e na dificuldade em cumprir os Acordos de Nível de Serviço (SLAs), mesmo após investimentos significativos em ferramentas de segurança. O problema se agrava com a acumulação de triagens rotineiras e a necessidade de especialistas seniores se envolverem em validações básicas, resultando em um aumento no Tempo Médio de Resposta (MTTR). Para combater essa situação, os principais Diretores de Segurança da Informação (CISOs) estão adotando uma abordagem de investigação que prioriza a execução em sandbox. Essa técnica permite que arquivos e links suspeitos sejam analisados em um ambiente isolado, proporcionando evidências comportamentais claras e rápidas, o que acelera a tomada de decisões. Além disso, a automação da triagem reduz a carga de trabalho manual, permitindo que os analistas júnior resolvam mais alertas de forma independente, o que diminui a pressão sobre os especialistas seniores. Com essas mudanças, as equipes estão reportando um aumento de até três vezes na capacidade de resposta e uma redução de até 50% no MTTR, além de uma diminuição significativa no burnout e na carga de trabalho imprevisível.

O Moltbook, uma rede social exclusiva para agentes de inteligência artificial (IA), enfrenta sérias vulnerabilidades que podem comprometer a segurança dos dados de seus usuários. Especialistas em segurança cibernética identificaram que a exposição de uma API pública permitiu o acesso não autorizado a informações sensíveis armazenadas pela plataforma, resultado de um desenvolvimento inseguro. Embora o Moltbook não permita a participação de humanos, a possibilidade de qualquer pessoa criar um bot e conectá-lo à rede aumenta os riscos de uso malicioso. Com mais de 1 milhão de bots registrados, a estrutura frágil da plataforma expõe dados pessoais e facilita o sequestro de bots. Apesar de correções terem sido implementadas, outras vulnerabilidades, como a injeção de prompts maliciosos, permanecem, podendo afetar todos os bots em uma infecção em cadeia. A situação levanta preocupações sobre a segurança e a privacidade dos dados, especialmente em um cenário onde a IA está se tornando cada vez mais integrada ao cotidiano.

O grupo hacker ShinyHunters, conhecido por suas invasões a grandes empresas, anunciou a violação de sistemas das universidades de Harvard e da Pensilvânia. O ataque resultou no vazamento de mais de 1 milhão de registros da Universidade de Harvard, totalizando 1,1 GB de dados, enquanto a Universidade da Pensilvânia teve 1,2 milhão de registros comprometidos, somando 483 MB. Os dados vazados incluem informações pessoais e dados de doações. O ShinyHunters, ativo desde 2020, tem se destacado por suas táticas silenciosas e pela venda de dados na dark web. Recentemente, o grupo também se envolveu em ataques de vishing contra serviços como Google e Microsoft, roubando contas de login único (SSO). Este incidente ressalta a vulnerabilidade de instituições renomadas e a necessidade de reforço nas medidas de segurança cibernética.

Pesquisadores da Cisco Talos revelaram a existência do DKnife, um spyware ativo desde 2019 que tem como alvo roteadores, permitindo que cibercriminosos monitorem e manipulem dados de dispositivos conectados à rede. O DKnife utiliza a técnica adversary-in-the-middle (AitM) para interceptar atualizações legítimas de aplicativos, substituindo-as por versões maliciosas. Entre suas funcionalidades, destacam-se a capacidade de ler dados trafegados, enviar informações roubadas aos hackers, atualizar arquivos maliciosos em dispositivos Android e desencriptar comunicações seguras para roubar senhas. O malware também consegue monitorar aplicativos de mensagens, como WeChat e Signal, e se oculta de antivírus para evitar detecções. Embora os principais alvos sejam usuários na China, a evolução do DKnife indica uma colaboração com outras ameaças, como a WizardNet, que se espalhou por diversos países. Para mitigar os riscos, recomenda-se atualizar o firmware dos roteadores e desabilitar o gerenciamento remoto, fechando portas de invasão.

O Discord anunciou que, a partir de março de 2026, implementará uma verificação de idade obrigatória para todos os usuários, tanto novos quanto existentes. As contas serão automaticamente configuradas para uma experiência voltada para adolescentes, restringindo o acesso a canais e servidores com conteúdo adulto. Para verificar a idade, o Discord utilizará um método de estimativa facial por inteligência artificial, que analisará um vídeo curto do usuário localmente, sem enviar dados para a nuvem. Além disso, será possível verificar a idade através do envio de documentos de identidade a parceiros do Discord, o que levanta preocupações sobre a privacidade dos dados, especialmente após uma violação de dados em 2025 que afetou 70 mil usuários. A empresa afirma que não armazenará informações pessoais e que o documento enviado será excluído imediatamente. O Discord também usará um sistema de inferência de idade que analisará metadados, como jogos jogados e horários de atividade, para identificar usuários adultos sem a necessidade de documentos. A empresa espera uma possível perda de usuários devido a essas novas políticas, mas está planejando estratégias para reter esses usuários. Essa mudança segue a tendência de regulamentação de segurança online, como a Lei de Segurança Online do Reino Unido, que exige a verificação de idade em plataformas digitais.

O Discord anunciou a implementação de verificações de idade globalmente a partir de março, exigindo que usuários novos e existentes realizem uma verificação facial ou apresentem um documento de identidade para acessar partes restritas da plataforma. Essa decisão gerou uma onda de descontentamento entre os usuários, que expressam preocupações sobre privacidade e segurança, especialmente após um incidente de hack em um fornecedor terceirizado do Discord em outubro de 2025. Muitos usuários se sentem vigiados e desconfiam da capacidade do Discord em proteger seus dados pessoais. A reação nas redes sociais foi intensa, com muitos usuários considerando deixar a plataforma em busca de alternativas, embora não existam opções que ofereçam a mesma escala e funcionalidade do Discord. A verificação de idade é vista por alguns como uma medida necessária para proteger os jovens, mas outros acreditam que ela compromete a privacidade e a liberdade dos usuários. Apesar das promessas do Discord de que os dados não deixarão os dispositivos dos usuários, a confiança na plataforma está em baixa, e muitos já estão buscando outras opções de comunicação.

Dois homens de Connecticut, Amitoj Kapoor e Siddharth Lillaney, enfrentam acusações federais por supostamente fraudar sites de apostas online, como FanDuel, em cerca de 3 milhões de dólares ao longo de vários anos. Eles teriam utilizado identidades roubadas de aproximadamente 3.000 vítimas, adquiridas em mercados da dark web e na plataforma de mensagens Telegram. A acusação, que inclui 45 contagens, alega que os réus criaram contas fraudulentas em plataformas de apostas entre abril de 2021 e 2026, visando bônus promocionais oferecidos a novos usuários. Para facilitar a verificação das contas, eles mantinham assinaturas de serviços de verificação de antecedentes. A fraude foi realizada através da transferência de ganhos para cartões virtuais, que eram utilizados para depósitos e retiradas. As acusações incluem conspiração para cometer fraude de identidade, fraude eletrônica, roubo de identidade e lavagem de dinheiro. As autoridades destacam a gravidade do crime, que causou dificuldades significativas às vítimas. O caso ressalta a vulnerabilidade de plataformas de apostas online e a necessidade de medidas de segurança mais robustas para proteger dados pessoais.

A BeyondTrust emitiu um alerta para que seus clientes apliquem um patch em uma falha de segurança crítica em seu software de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, essa vulnerabilidade permite que atacantes não autenticados executem código arbitrário remotamente, explorando uma fraqueza de injeção de comandos do sistema operacional. A falha afeta versões do BeyondTrust Remote Support 25.3.1 ou anteriores e do Privileged Remote Access 24.3.4 ou anteriores. Os atacantes podem realizar ataques de baixa complexidade sem interação do usuário, o que pode levar a compromissos de sistema, acesso não autorizado e exfiltração de dados. A BeyondTrust já corrigiu seus sistemas em nuvem e recomenda que os clientes locais atualizem para versões mais recentes. Aproximadamente 11.000 instâncias estão expostas à internet, com cerca de 8.500 delas sendo implementações locais que permanecem vulneráveis se os patches não forem aplicados. Embora não haja exploração ativa conhecida da CVE-2026-1731 até o momento, a história recente de falhas na BeyondTrust, incluindo incidentes relacionados a grupos de hackers apoiados pelo estado, destaca a importância de ações rápidas para mitigar riscos.

As senhas continuam sendo um ponto crítico na interseção entre usabilidade e segurança. Embora controles de autenticação sejam implementados para fortalecer a segurança, eles frequentemente introduzem complexidade, levando os usuários a optarem por padrões familiares em vez de credenciais verdadeiramente imprevisíveis. Isso resulta em senhas que muitas vezes derivam da linguagem específica da organização. Os atacantes têm explorado esse comportamento, utilizando ferramentas como o CeWL, que coleta palavras de sites para criar listas de senhas altamente direcionadas. O NIST SP 800-63B recomenda evitar palavras específicas do contexto, mas a implementação dessa orientação exige compreensão sobre como os atacantes operam. A análise de mais de seis bilhões de senhas comprometidas revela que muitas senhas geradas ainda atendem aos requisitos de complexidade, mas permanecem fracas devido à sua construção a partir de termos organizacionais familiares. Para mitigar esses ataques, é essencial bloquear senhas derivadas de contextos conhecidos, exigir frases de senha longas e implementar autenticação multifator (MFA). Essas medidas não apenas melhoram a segurança, mas também refletem a realidade dos ataques a senhas.

A SmarterTools confirmou na semana passada que a gangue de ransomware Warlock invadiu sua rede após comprometer um sistema de e-mail, embora não tenha afetado aplicações comerciais ou dados de contas. O incidente ocorreu em 29 de janeiro, quando uma máquina virtual (VM) do SmarterMail, configurada por um funcionário, foi explorada. A empresa tinha cerca de 30 servidores/VMs com SmarterMail, mas uma delas não estava atualizada, permitindo que os atacantes acessassem a rede. Apesar de a SmarterTools garantir que os dados dos clientes não foram diretamente impactados, 12 servidores Windows na rede de escritório da empresa e um centro de dados secundário foram comprometidos. Os atacantes se moveram lateralmente pela rede usando o Active Directory e ferramentas específicas do Windows. A vulnerabilidade explorada foi a CVE-2026-23760, que permite a redefinição de senhas de administrador. Embora os operadores de ransomware tenham tentado criptografar os sistemas, produtos de segurança da Sentinel One impediram a execução da criptografia, e os dados foram restaurados a partir de backups. A empresa recomenda que os administradores atualizem para a versão Build 9511 ou posterior para corrigir as falhas recentes.

Pesquisadores da Huntress Security identificaram que hackers estão explorando vulnerabilidades no SolarWinds Web Help Desk (WHD) para implantar ferramentas legítimas com fins maliciosos, como o Zoho ManageEngine. O ataque, que afetou pelo menos três organizações, utilizou túneis do Cloudflare para persistência e a ferramenta Velociraptor para comando e controle. As vulnerabilidades exploradas, CVE-2025-40551 e CVE-2025-26399, foram classificadas como críticas e permitem execução remota de código sem autenticação. Após obter acesso inicial, os atacantes instalaram o agente Zoho ManageEngine Assist e configuraram o acesso não supervisionado. Além disso, a versão desatualizada do Velociraptor utilizada apresenta uma falha de escalonamento de privilégios. Os administradores de sistemas são aconselhados a atualizar o SolarWinds WHD para a versão 2026.1 ou superior e a remover o acesso público às interfaces administrativas. A Huntress também disponibilizou regras Sigma e indicadores de comprometimento para ajudar na detecção de atividades maliciosas relacionadas a essas ferramentas.

O grupo de cibercriminosos conhecido como Bloody Wolf está vinculado a uma campanha de ataques direcionados a sistemas na Rússia e no Uzbequistão, utilizando um trojan de acesso remoto chamado NetSupport RAT. A empresa de cibersegurança Kaspersky, que monitora a atividade sob o nome de Stan Ghouls, relata que o grupo tem atuado desde pelo menos 2023, realizando ataques de spear-phishing em setores como manufatura, finanças e TI. Estima-se que cerca de 50 vítimas tenham sido registradas no Uzbequistão, além de 10 dispositivos na Rússia e outras infecções em países como Cazaquistão, Turquia, Sérvia e Bielorrússia. Os ataques são realizados através de e-mails de phishing que contêm PDFs maliciosos, levando à instalação do NetSupport RAT e à configuração de scripts para garantir a persistência do malware. Além disso, a Kaspersky identificou que o grupo pode estar ampliando seu arsenal para incluir payloads da botnet Mirai, visando dispositivos IoT. A campanha destaca a capacidade do grupo em realizar ataques sofisticados e bem-orquestrados, levantando preocupações sobre a segurança cibernética na região.

As ameaças cibernéticas atuais não se limitam mais a malware ou exploits, mas estão se infiltrando nas ferramentas e plataformas que as organizações utilizam diariamente. Com a crescente interconexão de aplicativos de IA, nuvem e sistemas de comunicação, os atacantes estão explorando esses mesmos caminhos. Um padrão alarmante observado é o abuso de confiança em atualizações, marketplaces e aplicativos considerados seguros. A parceria entre a OpenClaw e o VirusTotal, por exemplo, visa melhorar a segurança de um ecossistema de IA, após a descoberta de habilidades maliciosas em sua plataforma. Além disso, um alerta conjunto das agências de segurança da Alemanha destaca campanhas de phishing direcionadas a alvos de alto nível, utilizando o aplicativo Signal. Outro ponto crítico é a botnet AISURU, que foi responsável por um ataque DDoS recorde de 31,4 Tbps. A vulnerabilidade no assistente de IA da Docker, chamada DockerDash, permite a execução remota de código, evidenciando a necessidade de um modelo de segurança baseado em Zero Trust. A Microsoft também desenvolveu um scanner para detectar backdoors em modelos de IA, ressaltando a importância de monitorar e mitigar riscos em ambientes de IA. Esses eventos demonstram que a segurança cibernética precisa evoluir para enfrentar ameaças cada vez mais sofisticadas.

A Microsoft identificou uma intrusão em múltiplas etapas que explorou instâncias expostas do SolarWinds Web Help Desk (WHD) para obter acesso inicial e se mover lateralmente pela rede de organizações. A equipe de pesquisa de segurança da Microsoft não conseguiu confirmar se as falhas exploradas foram as recentemente divulgadas (CVE-2025-40551 e CVE-2025-40536) ou uma vulnerabilidade já corrigida (CVE-2025-26399). As falhas mencionadas têm pontuações CVSS altas, indicando um risco significativo. A CISA dos EUA adicionou a CVE-2025-40551 ao seu catálogo de vulnerabilidades conhecidas exploradas, exigindo que agências federais aplicassem correções até 6 de fevereiro de 2026. Os atacantes conseguiram executar código remotamente e realizar ações como roubo de credenciais e ataques DCSync, simulando um controlador de domínio para extrair hashes de senhas. Para mitigar esses riscos, recomenda-se que as organizações mantenham suas instâncias do WHD atualizadas, removam ferramentas RMM não autorizadas e isolem máquinas comprometidas. A Microsoft enfatiza a importância de um monitoramento eficaz e da aplicação de patches em serviços expostos à internet.

A Agência de Cibersegurança de Cingapura (CSA) revelou que o grupo de espionagem cibernética vinculado à China, conhecido como UNC3886, lançou uma campanha direcionada contra o setor de telecomunicações do país. Todos os quatro principais operadores de telecomunicações de Cingapura – M1, SIMBA Telecom, Singtel e StarHub – foram alvos dos ataques. O grupo, ativo desde pelo menos 2022, utiliza dispositivos de borda e tecnologias de virtualização para obter acesso inicial. Em um incidente, UNC3886 empregou um exploit de zero-day para contornar um firewall e extrair dados técnicos. Além disso, o grupo utilizou rootkits para garantir acesso persistente e ocultar suas atividades. Apesar das invasões, a CSA afirmou que não houve evidências de exfiltração de dados pessoais dos clientes e que as operações de telecomunicações não foram severamente afetadas. Para mitigar a ameaça, a CSA lançou a operação CYBER GUARDIAN, que resultou na implementação de medidas de remediação e no fechamento de pontos de acesso do grupo. A situação destaca a crescente preocupação com a segurança cibernética em setores críticos e a necessidade de vigilância contínua.

As TVs conectadas à internet, especialmente aquelas com sistema Android, tornaram-se alvos preferidos de hackers devido à sua vulnerabilidade e à falta de medidas de segurança adequadas. Diferente de computadores e smartphones, as TVs geralmente não recebem atualizações de segurança regulares, o que as torna um terreno fértil para ataques cibernéticos. Um exemplo alarmante é a botnet Aisuru, que utilizou TVs Android hackeadas para realizar um dos maiores ataques DDoS da história, com 200 milhões de solicitações maliciosas por segundo.

A Comissão Europeia está investigando um ataque cibernético que comprometeu sua plataforma de gestão de dispositivos móveis, identificando vestígios de acesso não autorizado a informações pessoais de alguns funcionários, como nomes e números de telefone. Embora a Comissão tenha agido rapidamente, contendo o incidente em menos de 9 horas e não detectando comprometimento dos dispositivos móveis, a situação levanta preocupações sobre a segurança de infraestruturas críticas. O ataque está possivelmente relacionado a vulnerabilidades conhecidas no software Ivanti Endpoint Manager Mobile (EPMM), que também afetou outras instituições europeias, como a Autoridade de Proteção de Dados da Holanda. A Ivanti havia alertado sobre duas falhas críticas (CVE-2026-1281 e CVE-2026-1340) que permitiam a execução remota de código em dispositivos não corrigidos. A Comissão Europeia, que recentemente propôs novas legislações de cibersegurança, agora enfrenta o desafio de reforçar suas defesas contra ataques de grupos apoiados por estados e cibercriminosos.

A BeyondTrust anunciou atualizações para corrigir uma vulnerabilidade crítica em seus produtos de Suporte Remoto (RS) e Acesso Remoto Privilegiado (PRA). Identificada como CVE-2026-1731, a falha permite que um atacante remoto não autenticado execute comandos do sistema operacional, potencialmente resultando em acesso não autorizado, exfiltração de dados e interrupção de serviços. A vulnerabilidade, classificada com uma pontuação de 9.9 no sistema CVSS, afeta as versões do Remote Support até 25.3.1 e do Privileged Remote Access até 24.3.4. A BeyondTrust recomenda que os clientes que não utilizam atualizações automáticas apliquem manualmente o patch disponível nas versões 25.3.2 e 25.1.1 ou superiores. A falha foi descoberta em 31 de janeiro de 2026, e cerca de 11.000 instâncias estão expostas na internet, com aproximadamente 8.500 delas sendo implementações locais. Dada a gravidade da vulnerabilidade e o histórico de exploração ativa em produtos da BeyondTrust, é crucial que os usuários atualizem para as versões mais recentes o quanto antes.

Pesquisadores em cibersegurança alertaram sobre uma campanha massiva que tem como alvo ambientes nativos de nuvem, estabelecendo infraestrutura maliciosa para exploração subsequente. Observada em 25 de dezembro de 2025, a atividade, descrita como ‘dirigida por worms’, explorou APIs Docker expostas, clusters Kubernetes, painéis Ray e servidores Redis, além da vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0). A campanha foi atribuída ao grupo de ameaças conhecido como TeamPCP, ativo desde pelo menos novembro de 2025. O objetivo da operação é construir uma infraestrutura de proxy distribuído e escalável, comprometendo servidores para exfiltração de dados, implantação de ransomware e mineração de criptomoedas. O TeamPCP utiliza técnicas de ataque já conhecidas, aproveitando vulnerabilidades e configurações inadequadas para criar um ecossistema criminoso autossustentável. A exploração bem-sucedida permite a implantação de cargas úteis adicionais, como scripts em shell e Python, que buscam novos alvos. Os ataques são principalmente direcionados a ambientes da Amazon Web Services (AWS) e Microsoft Azure, afetando organizações que operam essa infraestrutura, tornando-as vítimas colaterais. A campanha PCPcat exemplifica um ciclo completo de exploração e monetização, destacando a necessidade de vigilância e mitigação em ambientes de nuvem.

O Super Bowl 2026, que ocorrerá no Levi’s Stadium, na Califórnia, promete ser um evento emocionante, com os New England Patriots enfrentando o Seattle Seahawks. Para os fãs que desejam assistir ao jogo gratuitamente, várias opções de streaming estão disponíveis. Nos Estados Unidos, a transmissão pode ser acessada pelo Peacock, que oferece um teste gratuito de 30 dias com o Walmart+. No Reino Unido, o Channel 5 permite a visualização com um código postal britânico, enquanto na Austrália, o 7Plus e na Nova Zelândia, o TVNZ Plus também oferecem transmissões gratuitas. Para aqueles que estão fora de seu país de origem e desejam acessar essas transmissões, o uso de uma VPN, como a NordVPN, é recomendado. A NordVPN é destacada como uma das melhores opções do mercado, oferecendo segurança online e a capacidade de desbloquear serviços de streaming. O artigo enfatiza a importância de proteger a privacidade online ao acessar conteúdos de diferentes regiões, comparando a falta de uma VPN a deixar a porta da frente aberta em uma cidade movimentada.

Uma nova ferramenta de código aberto chamada Tirith foi desenvolvida para detectar ataques homoglyph em ambientes de linha de comando, analisando URLs em comandos digitados e interrompendo sua execução. Disponível no GitHub e como pacote npm, Tirith se integra ao shell do usuário (zsh, bash, fish, PowerShell) e inspeciona cada comando antes de sua execução. Os ataques homoglyph utilizam caracteres de diferentes alfabetos que parecem idênticos para os humanos, mas são tratados como diferentes pelos computadores, permitindo que atacantes criem nomes de domínio que imitam marcas legítimas. Embora navegadores tenham abordado essa questão, terminais ainda são vulneráveis a esses ataques. Tirith é capaz de detectar e bloquear uma variedade de ameaças, incluindo ataques homográficos, injeções de terminal e padrões de pipe-to-shell. A ferramenta realiza suas análises localmente, sem chamadas de rede, e não modifica os comandos do usuário. Tirith é compatível com Windows, Linux e macOS, podendo ser instalado através de diversos gerenciadores de pacotes. Embora ainda não tenha sido testada contra os cenários de ataque listados, a ferramenta já conta com uma comunidade ativa no GitHub, com 46 forks e quase 1.600 estrelas em menos de uma semana desde seu lançamento.

A OpenClaw, plataforma de inteligência artificial, anunciou uma parceria com o VirusTotal, pertencente ao Google, para aumentar a segurança de seu marketplace, o ClawHub. Todas as habilidades (skills) publicadas na plataforma agora passam por uma verificação utilizando a inteligência de ameaças do VirusTotal, incluindo a nova funcionalidade Code Insight. Cada skill é convertida em um hash SHA-256 e verificada em um banco de dados. Skills com avaliação ‘benigna’ são aprovadas automaticamente, enquanto as suspeitas recebem um alerta e as maliciosas são bloqueadas. A OpenClaw também reavalia diariamente todas as skills ativas para identificar possíveis mudanças de status. Apesar dessas medidas, os mantenedores alertam que a verificação não é infalível, pois algumas habilidades maliciosas podem escapar da detecção. A plataforma também planeja divulgar um modelo de ameaças abrangente e um roteiro de segurança público, após a descoberta de centenas de skills maliciosas que se disfarçam como ferramentas legítimas. A crescente popularidade do OpenClaw levanta preocupações sobre a segurança, especialmente em ambientes corporativos, onde a falta de controle de TI pode facilitar o acesso não autorizado a dados sensíveis.

Com a aproximação do Super Bowl, muitos fãs de esportes estão buscando maneiras de assistir ao evento mais importante do futebol americano. O artigo destaca a importância de utilizar uma VPN para acessar a transmissão americana, que oferece a melhor experiência, incluindo comerciais icônicos e comentários especializados. O Proton VPN, um serviço suíço, está disponível por apenas $2,99 por mês, um dos preços mais baixos já vistos, proporcionando uma economia significativa em comparação com outros serviços. O Proton VPN se destaca por sua capacidade de streaming, especialmente com a plataforma Peacock, garantindo conexões rápidas e estáveis. Além disso, o aplicativo permite a criação de um ‘Perfil Super Bowl LX’, facilitando o acesso à transmissão com um único clique. Para aqueles que não desejam um compromisso de longo prazo, uma opção mensal está disponível por $10, embora sem a garantia de reembolso. O artigo também menciona que o Proton VPN oferece proteção para até 10 dispositivos e recursos de bloqueio de anúncios e malware, tornando-o uma escolha robusta para quem busca segurança online enquanto assiste ao Super Bowl.

Um grupo de ameaças patrocinado por um Estado comprometeu redes de entidades governamentais e de infraestrutura crítica em 37 países, em operações globais conhecidas como ‘Shadow Campaigns’. Entre novembro e dezembro do ano passado, o grupo realizou atividades de reconhecimento direcionadas a entidades governamentais em 155 países. De acordo com a divisão Unit 42 da Palo Alto Networks, o grupo está ativo desde pelo menos janeiro de 2024 e acredita-se que opere a partir da Ásia. As atividades do ‘Shadow Campaigns’ focam principalmente em ministérios governamentais, agências de segurança, finanças e infraestrutura crítica. O grupo comprometeu pelo menos 70 organizações, incluindo ministérios no Brasil, Bolívia, México e Taiwan. As táticas incluem e-mails de phishing altamente personalizados e a exploração de vulnerabilidades conhecidas em sistemas como SAP e Microsoft Exchange. Além disso, foi identificado um rootkit Linux personalizado chamado ‘ShadowGuard’, que opera de forma discreta no espaço do kernel, dificultando a detecção. A pesquisa destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança nacional.

O Escritório Federal para a Proteção da Constituição da Alemanha (BfV) e o Escritório Federal de Segurança da Informação (BSI) emitiram um alerta conjunto sobre uma campanha de ciberataques, provavelmente patrocinada por um Estado, que utiliza o aplicativo de mensagens Signal para realizar ataques de phishing. O foco principal são alvos de alto escalão na política, nas forças armadas e na diplomacia, além de jornalistas investigativos na Alemanha e na Europa. A campanha se destaca por não utilizar malware ou explorar vulnerabilidades do Signal, mas sim por manipular suas funcionalidades legítimas para obter acesso clandestino às conversas e listas de contatos das vítimas. Os atacantes se passam por suporte do Signal, solicitando que as vítimas forneçam um PIN ou código de verificação recebido via SMS. Se a vítima ceder, os atacantes podem registrar a conta e acessar informações confidenciais. Além disso, a campanha pode se estender ao WhatsApp, que possui características semelhantes. As autoridades alertam que o acesso não autorizado a contas de mensageiros pode comprometer não apenas comunicações individuais, mas também redes inteiras. Os usuários são aconselhados a não interagir com contas de suporte e a habilitar o bloqueio de registro para proteger suas contas.

Um ataque de ransomware afetou gravemente os sistemas da BridgePay Network Solutions, um importante provedor de soluções de pagamento nos Estados Unidos. O incidente, que começou na sexta-feira, resultou em uma interrupção generalizada dos serviços de processamento de cartões, impactando comerciantes em todo o país. A BridgePay confirmou que a causa da interrupção foi um ataque cibernético e que não houve comprometimento de dados de cartões de pagamento, pois os arquivos acessados estavam criptografados. A empresa está colaborando com a polícia federal, incluindo o FBI, e equipes externas de forense e recuperação para investigar o incidente. Os comerciantes afetados relataram que estavam limitados a aceitar apenas pagamentos em dinheiro devido à falha nos sistemas de processamento de cartões. A BridgePay ainda não forneceu uma estimativa para a recuperação total, mas enfatizou que o processo está sendo conduzido de maneira segura e responsável. Este incidente destaca a crescente onda de ataques de ransomware direcionados à infraestrutura de pagamento, que pode rapidamente interromper o comércio no mundo real.

O Flickr, popular plataforma de compartilhamento de fotos, notificou seus usuários sobre um grande vazamento de dados, que ocorreu devido à exposição de informações por um serviço de e-mail de terceiros. Os dados comprometidos incluem nome completo, endereço de e-mail, endereço IP e registros de atividade da conta. Embora a empresa tenha afirmado que não houve vazamento de senhas ou dados de cartões de crédito, a situação ainda é preocupante, pois pode permitir acesso não autorizado a informações sensíveis. O Flickr não revelou qual serviço terceirizado foi responsável pela falha, mas garantiu que o acesso ao sistema afetado foi encerrado rapidamente após a descoberta do problema. A empresa aconselha os usuários a revisar suas configurações de conta e a ficarem atentos a e-mails de phishing que possam explorar os dados vazados. Em um comunicado, o Flickr expressou suas desculpas pelo incidente e destacou que está tomando medidas para fortalecer a segurança de seus sistemas e melhorar o monitoramento de provedores de serviços externos.

O Anna’s Archive, uma biblioteca clandestina, enfrenta uma intensa batalha legal contra o Spotify, que resultou na perda de vários domínios, incluindo o recente .pm, devido à pressão dos EUA. O site, que armazena uma vasta coleção de músicas e outros conteúdos, foi processado pelo Spotify por supostamente obter centenas de terabytes de dados da plataforma. Após a perda do domínio .org, o Anna’s Archive optou por não divulgar mais os metadados do Spotify, mas a pressão legal continua. Em resposta, o repositório registrou um novo domínio na Groenlândia, o annas-archive.gl, utilizando servidores que dificultam o cumprimento de ordens judiciais dos EUA. Essa estratégia geopolítica reflete a tensão entre a Dinamarca e os Estados Unidos, que têm interesse na ilha. Apesar disso, a tática não é infalível, como demonstrado pelo caso do The Pirate Bay, que também foi suspenso na Groenlândia. A situação levanta questões sobre a eficácia das medidas antipirataria e a proteção de conteúdos digitais na era da informação.

Em 2025, grupos hackers associados à China, especialmente o Amaranth-Dragon, realizaram campanhas de espionagem em agências governamentais no sudoeste da Ásia, incluindo Camboja, Laos, Indonésia, Filipinas, Tailândia e Singapura. Pesquisadores da Check Point Research identificaram que esses ataques foram planejados para coincidir com eventos políticos sensíveis, aumentando a probabilidade de que as vítimas interagissem com conteúdos maliciosos. O grupo utiliza a vulnerabilidade CVE-2025-8088 do WinRAR, que permite a execução remota de códigos, e embora já tenha sido corrigida, muitos usuários ainda não atualizaram o software, mantendo a falha em potencial. O vetor de ataque inicial é desconhecido, mas acredita-se que o grupo utilize spear-phishing e plataformas de nuvem como Dropbox para disfarçar suas atividades. O malware, denominado Amaranth Loader, realiza carregamento lateral e se conecta a servidores externos para receber chaves de encriptação, permitindo a execução de um trojan de acesso remoto. A infraestrutura dos hackers é cuidadosamente controlada, aceitando tráfego apenas de IPs de países-alvo, o que demonstra um nível elevado de sofisticação nas técnicas empregadas.

A plataforma de publicação Substack sofreu um vazamento de dados no final de 2025, afetando aproximadamente 697.313 usuários. O incidente, que foi revelado recentemente, ocorreu por meio de scraping, uma técnica de coleta de dados frequentemente utilizada por modelos de linguagem. Os dados expostos incluem informações sensíveis como nome completo, endereços de e-mail, números de telefone, IDs de usuário e Stripe, além de fotos de perfil e biografias. Amostras dessas informações foram encontradas em fóruns da dark web, o que aumenta o risco de ataques de phishing e ransomware direcionados aos usuários afetados. Embora a empresa tenha corrigido rapidamente a vulnerabilidade, os usuários devem permanecer vigilantes quanto a comunicações suspeitas. O Substack, um serviço popular para criadores de conteúdo, oferece ferramentas de publicação e monetização, tornando a proteção de dados ainda mais crítica para seus usuários.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica, identificada como CVE-2026-24423, no SmarterMail, um servidor de e-mail e plataforma de colaboração autogerida. Essa falha permite a execução remota de código sem autenticação, afetando versões anteriores à build 9511 do software. O SmarterMail, amplamente utilizado por provedores de serviços gerenciados (MSPs) e pequenas e médias empresas, possui cerca de 15 milhões de usuários em 120 países. A vulnerabilidade foi descoberta por pesquisadores de segurança e corrigida pela SmarterTools em 15 de janeiro. A CISA incluiu a CVE-2026-24423 em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), destacando que a exploração pode permitir que atacantes direcionem a instância do SmarterMail para servidores HTTP maliciosos, resultando na execução de comandos indesejados. Além disso, foi identificada uma outra falha de bypass de autenticação, que permite a redefinição de senhas de administrador sem verificação. A CISA recomenda que as entidades federais apliquem as atualizações de segurança ou interrompam o uso do produto até 26 de fevereiro de 2026.

O DKnife é um novo toolkit de cibersegurança, descoberto por pesquisadores da Cisco Talos, que tem sido utilizado desde 2019 para sequestrar tráfego em dispositivos de borda e entregar malware em campanhas de espionagem. Este framework atua como uma plataforma pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM), interceptando e manipulando dados destinados a dispositivos finais, como computadores, dispositivos móveis e IoTs.

Composto por sete módulos baseados em Linux, o DKnife é projetado para inspeção profunda de pacotes (DPI), manipulação de tráfego e coleta de credenciais. Os pesquisadores identificaram que o malware possui artefatos em chinês simplificado e visa especificamente serviços chineses, como provedores de e-mail e aplicativos móveis. Embora não tenham conseguido determinar como os equipamentos de rede são comprometidos, o DKnife interage com backdoors conhecidos, como ShadowPad e DarkNimbus, ambos associados a atores de ameaças da China.

A agência de inteligência doméstica da Alemanha emitiu um alerta sobre ataques de phishing direcionados a indivíduos de alto escalão, como políticos e jornalistas, utilizando aplicativos de mensagens como o Signal. Esses ataques, supostamente patrocinados por estados, combinam engenharia social com recursos legítimos para roubar dados. O Federal Office for the Protection of the Constitution (BfV) e o Federal Office for Information Security (BSI) informaram que os atacantes se passam por equipes de suporte do aplicativo, criando um senso de urgência para que as vítimas compartilhem informações sensíveis, como códigos de verificação. Existem duas variantes dos ataques: uma que realiza a tomada total da conta e outra que emparelha a conta com um dispositivo do atacante, permitindo monitorar conversas sem levantar suspeitas. Embora o Signal tenha mecanismos de segurança, como a opção de ‘Registro de Bloqueio’, muitos usuários não revisam regularmente os dispositivos vinculados à sua conta, o que aumenta o risco. O alerta também menciona que o WhatsApp pode ser vulnerável a ataques semelhantes, destacando a necessidade de vigilância constante por parte dos usuários.

O segundo Relatório Internacional de Segurança da IA revela que, embora agentes de inteligência artificial ainda não consigam conduzir ciberataques de forma autônoma, eles têm se tornado ferramentas valiosas para cibercriminosos. O estudo, liderado pelo cientista da computação Yoshua Bengio, analisou a evolução da IA em relação ao ano anterior, destacando sua capacidade de automatizar ataques e identificar vulnerabilidades em softwares. Um exemplo alarmante é o uso da ferramenta Claude Code AI por espiões chineses para automatizar ataques em empresas e órgãos governamentais. Os cibercriminosos utilizam a IA para escanear softwares em busca de falhas e para desenvolver códigos maliciosos, como evidenciado pelo uso da HexStrike AI em ataques a dispositivos Citrix NetScaler. Apesar de os agentes de IA ainda precisarem de intervenção humana para realizar ataques complexos, a evolução contínua da tecnologia levanta preocupações sobre a possibilidade de que, em breve, esses sistemas possam operar de forma independente. O relatório sugere que a preparação para essa eventualidade é crucial, especialmente considerando o aumento da automação em ciberataques.

Pesquisadores da Koi Security descobriram que duas extensões do Visual Studio Code, chamadas ChatGPT - 中文版 e ChatMoss (CodeMoss), coletam dados de 1,5 milhão de desenvolvedores. Embora funcionem como assistentes de programação, essas ferramentas maliciosas têm acesso irrestrito aos arquivos abertos pelos usuários, registrando todas as edições e enviando essas informações para servidores na China. O spyware embutido nas extensões lê todo o documento assim que o arquivo é aberto, sem necessidade de interação do usuário. Além disso, uma backdoor permite que os atacantes coletem até 50 arquivos com um único comando, dependendo do valor da vítima. Para decidir se vale a pena roubar os arquivos, as extensões utilizam SDKs de analytics que monitoram o comportamento do programador e fazem um perfil detalhado do dispositivo. A situação destaca a necessidade de uma verificação mais rigorosa das ferramentas utilizadas por desenvolvedores, especialmente em um cenário onde as extensões maliciosas podem ter avaliações positivas e serem aprovadas em marketplaces.

Um novo tipo de ataque de spear-phishing está utilizando arquivos de proteção de tela do Windows (.scr) para contornar sistemas de segurança e infectar instituições. De acordo com uma pesquisa da ReliaQuest, os cibercriminosos estão enganando usuários ao enviar arquivos maliciosos disfarçados de documentos corporativos, como recibos ou resumos de projetos. Quando a vítima baixa e executa o arquivo .scr, que é um executável, as ferramentas de segurança geralmente não detectam a ameaça, pois essa extensão é menos monitorada em comparação com arquivos mais comuns, como .exe.

O Brasil enfrenta uma nova ameaça cibernética com o surgimento do ransomware Vect, que começou a operar em janeiro de 2026. Este malware, desenvolvido em C++ e sem reaproveitamento de códigos antigos, é parte do modelo Ransomware-as-a-Service (RaaS), permitindo que hackers aluguem suas capacidades por R$ 1.300 em criptomoeda Monero. O Vect se destaca por sua sofisticação técnica, utilizando o algoritmo de encriptação AEAD ChaCha20-Poly1305, que é significativamente mais rápido que o AES-256-GCM. Ele é capaz de afetar sistemas operacionais como Windows e Linux, além de ambientes de virtualização VMware ESXi.

Uma nova onda de e-mails de spam está afetando usuários globalmente, com hackers explorando sistemas de suporte da Zendesk para enviar mensagens fraudulentas que parecem legítimas. Esses e-mails, que solicitam a ativação de contas ou outras ações, têm gerado confusão, pois muitos destinatários não possuem contas nas empresas mencionadas. Pesquisadores de segurança, como Jonathan Leitschuh, alertaram que o volume de mensagens pode estar causando uma sobrecarga no sistema de suporte da Zendesk, semelhante a um ataque DDoS. Em janeiro, um incidente anterior permitiu que hackers enviassem tickets de suporte em nome de terceiros, levando a tentativas de phishing. Embora a Zendesk tenha corrigido algumas vulnerabilidades, a nova onda de ataques sugere que os criminosos encontraram novas brechas. Empresas como Dropbox e 2K já foram afetadas, e os usuários foram aconselhados a ignorar esses e-mails. A Zendesk ainda não se manifestou oficialmente sobre o recente incidente, mas a situação destaca a importância de medidas de segurança robustas para prevenir abusos em plataformas de suporte.