O FBI alertou sobre um aumento alarmante nos incidentes de jackpotting em caixas eletrônicos nos Estados Unidos, resultando em perdas superiores a 20 milhões de dólares em 2025. Desde 2020, foram registrados cerca de 1.900 casos, com 700 ocorrendo apenas no último ano. Os ataques de jackpotting envolvem o uso de malware especializado, como o Ploutus, que permite que criminosos cibernéticos dispensem dinheiro sem a necessidade de uma transação legítima. Esses ataques geralmente ocorrem quando os invasores acessam fisicamente os caixas eletrônicos, utilizando chaves genéricas disponíveis no mercado. Uma vez dentro, eles podem infectar o dispositivo com malware, que interage diretamente com o hardware do caixa eletrônico, contornando as medidas de segurança do software original. O FBI recomenda que as organizações adotem medidas de segurança rigorosas, como a instalação de sensores de ameaça, câmeras de segurança e a troca de fechaduras padrão, além de auditorias regulares e a configuração de modos de desligamento automático em caso de comprometimento. A crescente incidência desses ataques destaca a necessidade urgente de reforçar a segurança dos caixas eletrônicos, especialmente considerando o impacto financeiro significativo que esses crimes podem causar.

A CarGurus, plataforma de venda de automóveis, foi alvo de um ataque cibernético realizado pelo grupo ShinyHunters, resultando no roubo de 1,7 milhão de registros corporativos. Os hackers utilizaram ataques de vishing, onde se passam por funcionários de TI para enganar colaboradores e obter informações sensíveis. A abordagem envolve ligações telefônicas para funcionários, alegando a necessidade de atualização nas configurações de autenticação multifator (MFA). Após a coleta de credenciais, os atacantes acessam dashboards de serviços como Okta, Entra ou Google SSO, permitindo o roubo de dados de plataformas como Salesforce e Microsoft 365. A CarGurus ainda não se pronunciou sobre o incidente, mas o grupo de hackers ameaçou divulgar os dados na dark web caso a empresa não tome medidas até 20 de fevereiro de 2026. Este ataque representa mais um caso na lista crescente de vítimas do ShinyHunters, que já comprometeu diversas organizações em um curto espaço de tempo.

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

A Microsoft divulgou uma vulnerabilidade crítica no Windows Admin Center, identificada como CVE-2026-26119, que permite a um atacante autorizado elevar seus privilégios em uma rede. Com uma pontuação CVSS de 8.8, essa falha foi descoberta pelo pesquisador Andrea Pierini e corrigida na versão 2511 do software, lançada em dezembro de 2025. A vulnerabilidade se origina de uma autenticação inadequada, que possibilita que um usuário padrão obtenha os direitos do usuário que está executando a aplicação afetada. Embora a Microsoft não tenha relatado a exploração ativa dessa falha, ela foi classificada como ‘Exploitation More Likely’, indicando um risco elevado. Pierini alertou que, sob certas condições, essa vulnerabilidade poderia levar a uma comprometimento total do domínio a partir de um usuário padrão. Dada a importância do Windows Admin Center em ambientes corporativos, a correção imediata é essencial para evitar possíveis ataques e garantir a segurança da rede.

Um alerta recente da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) revelou que várias câmeras de segurança da Honeywell apresentam uma falha crítica de segurança, classificada com um escore de 9.8/10. Essa vulnerabilidade, identificada como CVE-2026-1670, permite que atacantes não autenticados acessem feeds de vídeo e até assumam contas de usuários. A falha é caracterizada pela ‘falta de autenticação para funções críticas’, o que significa que um invasor pode alterar o endereço de e-mail de recuperação e comprometer ainda mais a rede alvo. A lista de modelos afetados inclui câmeras utilizadas em ambientes empresariais de médio porte, que são comuns em operações industriais e de infraestrutura crítica. A CISA recomenda que os proprietários das câmeras apliquem patches de segurança imediatamente e adotem medidas adicionais, como isolar redes de controle e utilizar VPNs seguras para acesso remoto. Embora a falha ainda não tenha sido explorada ativamente, a divulgação pode incentivar cibercriminosos a buscar sistemas vulneráveis. Portanto, a situação exige atenção urgente dos responsáveis pela segurança cibernética.

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Uma vulnerabilidade crítica nos telefones VoIP da série GXP1600 da Grandstream permite que um atacante remoto e não autenticado obtenha privilégios de root e escute comunicações de forma silenciosa. Essa falha, identificada como CVE-2026-2329, possui um escore de severidade de 9.3 e afeta seis modelos da série que utilizam versões de firmware anteriores à 1.0.7.81. Mesmo que o dispositivo vulnerável não esteja acessível diretamente pela internet, um invasor pode explorá-lo a partir de outro host na mesma rede. A falha reside no serviço API baseado na web do dispositivo, que aceita parâmetros sem autenticação, permitindo que um atacante cause um estouro de pilha e ganhe controle sobre os registros da CPU. A exploração possibilita a execução de comandos arbitrários, extração de credenciais de usuários locais e reconfiguração do dispositivo para usar um proxy SIP malicioso, permitindo a escuta de chamadas. A Grandstream lançou uma atualização de firmware em 3 de fevereiro para corrigir a vulnerabilidade. Usuários de produtos vulneráveis são fortemente aconselhados a aplicar as atualizações de segurança disponíveis o mais rápido possível.

Uma operação internacional contra fraudes online, chamada Operação Red Card 2.0, resultou na prisão de 651 pessoas e na recuperação de mais de 4,3 milhões de dólares. A ação, liderada por agências de segurança de 16 países africanos, ocorreu entre 8 de dezembro de 2025 e 30 de janeiro de 2026, e teve como alvo fraudes em investimentos de alto rendimento, fraudes com dinheiro móvel e aplicações de empréstimos fraudulentas. Durante a operação, foram identificadas 1.247 vítimas, com perdas financeiras estimadas em mais de 45 milhões de dólares. As autoridades confiscavam 2.341 dispositivos e desmantelaram 1.442 IPs, domínios e servidores maliciosos. Casos notáveis incluem a desarticulação de uma rede de fraudes na Nigéria que recrutava jovens para cometer crimes cibernéticos e a prisão de 27 indivíduos no Quênia envolvidos em um esquema de investimento falso. A INTERPOL destacou a importância da colaboração internacional no combate ao cibercrime e incentivou as vítimas a procurarem ajuda das autoridades.

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Um bug no Copilot do Microsoft 365, que começou a ser identificado no final de janeiro de 2026, está permitindo que o assistente de inteligência artificial resuma e-mails confidenciais e exiba dados sigilosos inadvertidamente. O problema, que afeta a ferramenta de resumo de e-mails, ignora as políticas de prevenção de perda de dados que normalmente protegem comunicações sensíveis. O erro foi detectado pela primeira vez em 21 de janeiro e está relacionado ao código CW1226324. A Microsoft confirmou que a falha faz com que o Copilot comece a ler itens enviados e rascunhos, além de mensagens com selo confidencial, o que não era esperado. A empresa está trabalhando na correção do problema e já começou a implementar soluções desde o início de fevereiro, embora não tenha fornecido uma previsão para a resolução total. A Microsoft está monitorando a situação e contatando os usuários afetados para garantir que a funcionalidade retorne ao normal. Este incidente é tratado como um alerta, indicando um impacto potencialmente limitado, mas que ainda assim levanta preocupações sobre a segurança de dados sensíveis.

O Procurador-Geral do Texas, Ken Paxton, processou a TP-Link, uma gigante de roteadores e redes, alegando que a empresa enganou consumidores sobre a origem de seus produtos e suas promessas de segurança. Segundo a ação, a TP-Link afirma que seus produtos destinados aos EUA são fabricados no Vietnã, mas a maioria dos componentes é importada da China, o que, segundo Paxton, configura uma designação geográfica enganosa. Além disso, o processo menciona a plataforma HomeShield da TP-Link, que promete proteção total contra ameaças cibernéticas, mas que tem sido associada a várias vulnerabilidades, como as campanhas Volt Typhoon e Salt Typhoon. O Texas busca penalidades civis que podem ultrapassar US$ 1 milhão, além de um julgamento por júri. A TP-Link, por sua vez, defende sua posição, afirmando que a ação é infundada e que suas operações são independentes e seguras nos EUA. Este caso levanta preocupações sobre a segurança de dispositivos de rede amplamente utilizados, especialmente em um cenário onde a privacidade e a proteção de dados são cada vez mais cruciais.

Recentemente, grupos de ameaças têm direcionado ataques a organizações de tecnologia, manufatura e finanças, utilizando uma combinação de phishing por código de dispositivo e vishing para comprometer contas do Microsoft Entra. Ao contrário de ataques anteriores que usavam aplicativos OAuth maliciosos, essas campanhas aproveitam IDs de cliente OAuth legítimos e o fluxo de autorização de dispositivo para enganar as vítimas a autenticarem-se. Isso permite que os atacantes obtenham tokens de autenticação válidos, acessando contas sem depender de sites de phishing tradicionais que roubam senhas ou interceptam códigos de autenticação multifator. O grupo ShinyHunters, conhecido por extorsões, foi associado a esses novos ataques. Os atacantes utilizam engenharia social para convencer os funcionários a inserir códigos gerados em páginas de autenticação da Microsoft, o que resulta em acesso não autorizado a serviços corporativos, como Microsoft 365 e Salesforce. Especialistas recomendam que as organizações bloqueiem domínios maliciosos, auditem consentimentos de aplicativos OAuth e revisem logs de autenticação. A situação é preocupante, pois o fluxo de autenticação foi projetado para facilitar a conexão de dispositivos com opções de entrada limitadas, tornando-o vulnerável a abusos.

O estado do Texas processou a TP-Link Systems, acusando a empresa de marketing enganoso ao promover seus roteadores como seguros, enquanto permitia que hackers apoiados pelo governo chinês explorassem vulnerabilidades de firmware. A ação judicial, iniciada após uma investigação em outubro, alega que a TP-Link enganou os consumidores ao rotular seus produtos como ‘Feito no Vietnã’, apesar de quase todos os componentes serem originários da China. O procurador-geral do Texas, Ken Paxton, destacou que a legislação chinesa pode obrigar empresas a cooperar com solicitações de inteligência do governo, colocando em risco a segurança dos dados dos usuários. O processo menciona falhas de segurança anteriores, incluindo a utilização de roteadores TP-Link em uma botnet de roubo de credenciais, que foi ligada a ataques cibernéticos contra os Estados Unidos. A TP-Link, por sua vez, negou as acusações, afirmando que é uma empresa americana independente e que todos os dados dos usuários nos EUA são armazenados em servidores da Amazon Web Services. O caso levanta preocupações sobre a segurança de dispositivos conectados e a proteção de dados dos consumidores, especialmente em um contexto onde a vigilância e a exploração de dados são temas cada vez mais relevantes.

Matthew Abiodun Akande, um cidadão nigeriano de 37 anos, foi condenado a oito anos de prisão por hackear várias empresas de preparação de impostos em Massachusetts e apresentar declarações fiscais fraudulentas que buscavam mais de US$ 8,1 milhões em reembolsos. Akande foi preso em outubro de 2024 no Aeroporto de Heathrow, em Londres, e extraditado para os Estados Unidos em março de 2025. Ele foi indiciado em julho de 2022, enquanto residia no México.

Os infostealers modernos têm ampliado o roubo de credenciais, coletando não apenas nomes de usuário e senhas, mas também dados de sessão e atividades dos usuários. Um estudo da Specops analisou mais de 90.000 vazamentos de infostealers, totalizando mais de 800 milhões de registros, que incluem credenciais, cookies de navegador e histórico de navegação. Essa coleta de dados permite que atacantes associem informações técnicas a usuários reais, tornando uma única infecção valiosa mesmo após a violação inicial. O maior risco é a facilidade com que os dados roubados conectam múltiplas contas e comportamentos a uma única pessoa, desmoronando a barreira entre identidade pessoal e profissional. A política de senhas da Specops ajuda a mitigar esse risco, bloqueando credenciais já comprometidas. Os dados vazados incluem informações de serviços profissionais como LinkedIn e GitHub, além de plataformas pessoais como Facebook e YouTube, facilitando ataques direcionados. A exposição de credenciais em dispositivos pessoais pode rapidamente escalar para riscos em ambientes corporativos, especialmente devido à reutilização de senhas. Portanto, a implementação de políticas de senhas mais robustas e a conscientização sobre a segurança são essenciais para proteger tanto identidades pessoais quanto corporativas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais corrijam uma vulnerabilidade crítica da Dell em seus sistemas em um prazo de três dias. A falha, identificada como CVE-2026-22769, está sendo explorada ativamente por um grupo de hackers suspeito de ser ligado à China, conhecido como UNC6201. Essa vulnerabilidade, que envolve credenciais hardcoded no Dell RecoverPoint, uma solução para backup e recuperação de máquinas virtuais VMware, permite que os atacantes acessem redes de vítimas e implantem malwares, incluindo uma nova backdoor chamada Grimbolt. A CISA incluiu essa falha em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV), destacando a urgência de mitigações. Além disso, a CISA também alertou sobre outra vulnerabilidade crítica em instâncias do BeyondTrust Remote Support, exigindo ações rápidas para proteger as redes. A situação ressalta a importância de uma resposta ágil a vulnerabilidades críticas, especialmente em um cenário onde grupos de hackers estão cada vez mais sofisticados e ativos.

O cenário de cibersegurança continua a evoluir rapidamente, com novas ameaças e táticas emergindo constantemente. O Google lançou a versão beta do Android 17, que inclui melhorias significativas em privacidade e segurança, como a descontinuação do tráfego em texto claro e suporte à criptografia híbrida HPKE. Por outro lado, o ransomware LockBit 5.0 se destaca por suas técnicas avançadas de evasão e suporte a múltiplas plataformas, incluindo Proxmox, um alvo crescente entre empresas. Além disso, novas campanhas de engenharia social, como ClickFix, estão explorando usuários de macOS através de técnicas de obfuscação, levando à instalação de malware e roubo de credenciais. A detenção de um suspeito na Polônia, ligado ao grupo de ransomware Phobos, e o aumento de ataques a organizações industriais, com um crescimento de 49% em grupos de ransomware focados nesse setor, destacam a gravidade da situação. A Microsoft também enfrentou um problema de segurança com o Copilot, que resumiu e-mails confidenciais sem permissão, violando políticas de proteção de dados. Esses eventos ressaltam a necessidade urgente de que as organizações reavaliem suas estratégias de segurança e resposta a incidentes.

Com o aumento das ameaças digitais, a proteção básica já não é suficiente. O ESET Home Security Ultimate, disponível por $89,99 (50% de desconto), oferece uma solução abrangente de segurança digital. Este pacote inclui proteção avançada contra malware, detecção de ameaças baseada em IA, um firewall robusto e uma rede de proteção para dispositivos inteligentes. Além disso, oferece uma VPN ilimitada, proteção de identidade com monitoramento da dark web, alertas de ameaças à identidade e assistência para recuperação de carteiras perdidas, tudo isso com um seguro de até $1 milhão. O plano Ultimate é ideal para quem busca a melhor proteção, superando as opções Essential e Premium. A oferta é válida até 21 de março, destacando a urgência em garantir a segurança digital. Com ferramentas como modos de navegação e banco seguros, o ESET Home Security Ultimate se posiciona como uma solução completa para proteger a vida online dos usuários.

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha CRESCENTHARVEST, que parece ter como alvo apoiadores dos protestos no Irã, visando roubo de informações e espionagem a longo prazo. A Acronis Threat Research Unit (TRU) observou atividades suspeitas a partir de 9 de janeiro, onde ataques foram projetados para entregar um trojan de acesso remoto (RAT) e um ladrão de informações. Os ataques utilizam arquivos .LNK disfarçados como imagens ou vídeos relacionados aos protestos, aumentando a credibilidade para atrair iranianos que falam farsi. Embora a origem da campanha não tenha sido atribuída, acredita-se que seja obra de um grupo de ameaças alinhado ao Irã. O vetor de acesso inicial ainda não é conhecido, mas suspeita-se do uso de spear-phishing e engenharia social. Os arquivos maliciosos contêm código PowerShell que baixa um arquivo ZIP com um executável legítimo da Google, que é utilizado para realizar atividades maliciosas, como roubo de credenciais e dados do sistema. A campanha CRESCENTHARVEST representa uma continuidade de operações de espionagem cibernética de estado-nação, refletindo táticas bem estabelecidas de acesso inicial e coleta de dados.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

Uma nova botnet chamada SSHStalker tem sido utilizada por hackers para controlar sistemas Linux, utilizando o protocolo Internet Relay Chat (IRC) para comunicação. De acordo com a empresa de cibersegurança Flare, a botnet explora vulnerabilidades do kernel do Linux, permitindo o comprometimento em massa de dispositivos. O ataque é automatizado e visa servidores com SSH aberto na porta 22, permitindo que os hackers invadam os sistemas de maneira semelhante a um worm. Uma vez dentro, a botnet pode realizar ataques de negação de serviço distribuídos (DDoS), mineração de criptomoedas e proxyjacking, além de manter acesso persistente ao sistema sem ser detectada. O SSHStalker também utiliza um scanner em Golang para localizar servidores vulneráveis e executa arquivos em C para apagar registros de conexão SSH, dificultando a detecção de suas atividades. Pesquisadores suspeitam que a operação tenha origem romena, com base em gírias e nomenclaturas encontradas nos canais de IRC. A botnet é capaz de comprometer até versões antigas do Linux, datadas de 2009, e possui um catálogo extenso de malware e ferramentas maliciosas de código aberto.

Pesquisadores da LayerX identificaram 30 extensões maliciosas para o Google Chrome que se disfarçam como assistentes de inteligência artificial (IA) com o objetivo de roubar informações sensíveis dos usuários, especialmente via Gmail. Mais de 300 mil pessoas já instalaram pelo menos uma dessas extensões, que ainda estão disponíveis na Chrome Web Store, apesar de suas atividades maliciosas. As extensões, como AI Sidebar e ChatGPT Translate, conectam-se a uma infraestrutura de domínio único, permitindo que os hackers coletem credenciais, conteúdos de e-mails e dados de navegação. Ao serem instaladas, essas ferramentas não oferecem a funcionalidade prometida, mas injetam scripts maliciosos que extraem informações em segundo plano, incluindo senhas e textos de conversas. A integração com o Gmail permite que os atacantes leiam e-mails e rascunhos, aproveitando-se da interação entre assistentes de IA e a plataforma. Essa situação representa um risco significativo para a segurança dos dados dos usuários, especialmente em um cenário onde a privacidade e a proteção de informações pessoais são cruciais.

Especialistas da empresa de cibersegurança Irregular emitiram um alerta sobre as vulnerabilidades das senhas geradas por ferramentas de inteligência artificial, como ChatGPT, Gemini e Claude. A análise revelou que, embora essas senhas pareçam complexas e seguras, na realidade, elas podem ser facilmente decifradas por cibercriminosos. Durante os testes, foram solicitadas senhas de 16 caracteres que incluíssem letras maiúsculas, minúsculas, números e caracteres especiais. Apesar de muitos verificadores online indicarem que essas senhas eram robustas, os pesquisadores descobriram que as senhas apresentavam padrões comuns, tornando-as previsíveis. Por exemplo, ao solicitar 50 senhas ao Claude, apenas 30 eram únicas, e muitas começavam e terminavam com os mesmos caracteres. O Gemini 3 Pro se destacou ao gerar senhas menos padronizadas, mas ainda assim alertou que essas senhas não deveriam ser usadas em contas sensíveis. O estudo destaca a necessidade de cautela ao utilizar senhas geradas por IA, especialmente em contas que lidam com informações críticas.

A ascensão da Inteligência Artificial Generativa (GenAI) está transformando o cenário da cibersegurança, permitindo que hackers desenvolvam malware de forma mais rápida e complexa. Um relatório da Palo Alto, intitulado ‘Unit 42 Global Incident Response Report’, revela que o tempo necessário para exfiltração de dados caiu de cinco horas para apenas 72 minutos, um aumento significativo na eficiência dos ataques. O navegador continua sendo o principal alvo, com 48% dos incidentes ocorrendo nesse ambiente, mas a complexidade dos ataques está crescendo, com 87% das intrusões abrangendo múltiplas superfícies de ataque. Além disso, fraquezas de identidade e ataques à cadeia de suprimentos estão se tornando comuns, com 65% dos acessos iniciais resultantes de engenharia social. Os ataques a aplicações SaaS aumentaram quase quatro vezes desde 2022, representando 23% de todos os ataques. Os operadores de ransomware estão mudando seu foco de criptografia para a extração de dados, o que torna a detecção mais difícil para os defensores. Essa evolução no uso da IA pelos atacantes representa um desafio crescente para a comunidade de cibersegurança, exigindo uma resposta mais robusta e ágil das organizações.

O grupo de ransomware Rhysida reivindicou a responsabilidade por um ataque cibernético ocorrido em 8 de dezembro de 2025, que afetou os sistemas de TI das Tribos Cheyenne e Arapaho. A liderança tribal anunciou publicamente o incidente em 7 de janeiro de 2026, informando que 80% de seus sistemas estavam operacionais um mês após o ataque. Rhysida exigiu um resgate de 10 bitcoins, equivalente a cerca de R$ 700 mil, em troca da recuperação dos dados. Embora a tribo tenha tomado medidas imediatas para proteger as informações dos membros e a infraestrutura crítica, não está claro se houve perda de dados ou se o resgate foi pago. Este não é o primeiro incidente de ransomware enfrentado pelas Tribos Cheyenne e Arapaho, que já haviam sido atacadas em 2021. Rhysida, que opera um modelo de ransomware como serviço, já reivindicou 104 ataques confirmados, sendo 21 contra entidades governamentais. Em 2025, foram registrados 83 ataques de ransomware a entidades governamentais nos EUA, com um impacto significativo na segurança de dados e operações governamentais.

Pesquisadores da Check Point, uma empresa de cibersegurança, descobriram que assistentes de IA como Grok e Microsoft Copilot podem ser explorados para intermediar atividades de comando e controle (C2) em ataques cibernéticos. A técnica envolve o uso de uma interface web de IA para relatar comunicações entre um servidor C2 e a máquina alvo, permitindo que atacantes enviem comandos e recuperem dados roubados sem serem detectados. O malware se comunica com o assistente de IA através do componente WebView2 do Windows 11, que pode ser embutido no próprio malware caso não esteja presente no sistema da vítima. A pesquisa demonstrou que essa abordagem cria um canal de comunicação bidirecional, confiável para ferramentas de segurança da internet, dificultando a detecção. O uso de serviços de IA para C2 elimina a necessidade de contas ou chaves de API, tornando a rastreabilidade e a aplicação de bloqueios mais complicadas. Embora existam salvaguardas para bloquear trocas maliciosas, os pesquisadores afirmam que essas podem ser facilmente contornadas através da criptografia de dados. A Check Point alertou a Microsoft e a xAI sobre suas descobertas, mas ainda não houve resposta sobre a vulnerabilidade do Copilot.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade crítica em diversos produtos de CCTV da Honeywell, que pode permitir acesso não autorizado a feeds de câmeras e sequestro de contas. Identificada pelo pesquisador Souvik Kanda e classificada como CVE-2026-1670, a falha é categorizada como ‘falta de autenticação para função crítica’ e recebeu uma pontuação de severidade crítica de 9.8. A vulnerabilidade permite que um atacante não autenticado altere o endereço de e-mail de recuperação associado a uma conta de dispositivo, possibilitando o sequestro da conta e o acesso não autorizado às imagens das câmeras. A CISA recomenda que os usuários minimizem a exposição de dispositivos de controle em suas redes, utilizando firewalls e métodos seguros de acesso remoto, como VPNs atualizadas. Embora a Honeywell ainda não tenha publicado um aviso sobre a CVE-2026-1670, os usuários são aconselhados a entrar em contato com a equipe de suporte da empresa para orientações sobre correções. Até o momento, não há relatos conhecidos de exploração pública dessa vulnerabilidade.

Pesquisadores de cibersegurança revelaram uma falha crítica nos telefones VoIP da série GXP1600 da Grandstream, identificada como CVE-2026-2329, com uma pontuação CVSS de 9.3. Essa vulnerabilidade permite que um atacante remoto execute código malicioso com privilégios de root, explorando um buffer overflow baseado em pilha. O problema está na API web do dispositivo, acessível sem autenticação em configurações padrão. Um parâmetro de ‘request’ malicioso pode causar um estouro de buffer, permitindo a execução remota de código e a possibilidade de reconfigurar o dispositivo para usar um proxy SIP malicioso, comprometendo a privacidade das chamadas VoIP. Modelos afetados incluem GXP1610, GXP1615, GXP1620, GXP1625, GXP1628 e GXP1630. A vulnerabilidade foi corrigida em uma atualização de firmware lançada no mês passado. A Rapid7 demonstrou que a exploração pode levar à extração de credenciais armazenadas no dispositivo comprometido. A situação é preocupante para organizações que utilizam esses dispositivos em ambientes expostos, onde a segurança pode ser facilmente comprometida.

Uma nova pesquisa do Citizen Lab revelou que autoridades quenianas utilizaram uma ferramenta forense comercial da empresa israelense Cellebrite para acessar o telefone de Boniface Mwangi, um ativista pro-democracia, durante sua detenção em julho de 2025. O telefone, que foi devolvido a Mwangi em setembro, não estava mais protegido por senha, indicando que a tecnologia da Cellebrite foi empregada para extrair dados sensíveis, como mensagens e informações pessoais. Este caso se junta a um relatório anterior que indicava o uso da mesma tecnologia por autoridades jordanianas para acessar dispositivos de ativistas críticos ao governo. A Cellebrite defendeu sua tecnologia, afirmando que é utilizada em conformidade com processos legais. Além disso, um relatório da Anistia Internacional destacou o uso do spyware Predator em Angola, que comprometeu o iPhone de um jornalista. O spyware permite acesso irrestrito a dispositivos e possui mecanismos sofisticados para evitar detecção. Esses incidentes refletem um padrão crescente de abusos de vigilância por governos, levantando preocupações sobre a privacidade e os direitos humanos.

O grupo de ransomware conhecido como Crazy está explorando softwares legítimos de monitoramento de funcionários, como o Net Monitor for Employees Professional e a plataforma de suporte SimpleHelp, para realizar invasões em redes corporativas. Segundo um estudo da empresa de segurança Huntress, os cibercriminosos utilizam esses aplicativos para se infiltrar nas máquinas das vítimas, aproveitando-se de redes vulneráveis e disfarçando suas atividades como ações administrativas normais. Uma vez dentro do sistema, os hackers conseguem transferir arquivos, executar comandos e obter permissões de administrador, além de instalar ferramentas adicionais para garantir o acesso contínuo. Um dos métodos utilizados inclui a desativação do Windows Defender e a configuração de alertas em caso de acesso a carteiras de criptomoeda. Essa abordagem de usar ferramentas legítimas para realizar ataques de ransomware representa uma nova tática que dificulta a detecção por parte das equipes de segurança. A Huntress recomenda que as organizações monitorem de perto a instalação não autorizada de aplicativos de suporte para proteger dados sensíveis contra roubo.

O Google identificou que um grupo hacker da Coreia do Norte, denominado UNC2970, está utilizando a ferramenta de inteligência artificial Gemini para realizar ciberataques, especialmente focados em campanhas de phishing relacionadas a ofertas de emprego falsas. A equipe de inteligência de ameaças do Google relatou que os hackers estão empregando a IA para traçar perfis de potenciais vítimas, coletando dados sensíveis através da técnica de OSINT (Open Source Intelligence). O grupo tem como alvo principal empresas de cibersegurança, onde mapeiam funções técnicas e informações salariais para criar campanhas de phishing personalizadas. Embora os detalhes dos ataques não tenham sido amplamente divulgados, a utilização de ferramentas de IA por hackers levanta preocupações sobre a segurança cibernética em escala global. O Google alerta que, embora os usuários das ferramentas de IA não sejam diretamente impactados, a forma como essas tecnologias podem ser exploradas para fins maliciosos é alarmante. O UNC2970 tem se mostrado cada vez mais ativo, enganando sistemas e se passando por recrutadores em busca de profissionais para vagas que não existem.

Davit Avalyan, um homem de 36 anos de Glendale, foi condenado a quase cinco anos de prisão federal por seu envolvimento em uma operação de tráfico de drogas na dark web, que vendia substâncias como cocaína, metanfetamina, MDMA e cetamina para clientes em todo os Estados Unidos. Avalyan recebeu uma sentença de 57 meses do juiz federal Percy Anderson, após se declarar culpado em outubro de 2025 por conspiração para distribuir narcóticos. Ele foi o último dos quatro réus a ser sentenciado, com seus cúmplices recebendo penas que variam de 24 a 10 anos. A operação, que funcionou de setembro de 2018 a fevereiro de 2025, utilizava uma extensa rede de contas de vendedores na dark web, incluindo nomes como JoyInc e PlanetHollywood, e enviava drogas através do Serviço Postal dos EUA. O FBI, em colaboração com outras agências, liderou a investigação, que destaca a crescente preocupação com o tráfico de drogas online e a utilização de criptomoedas para transações ilícitas. Este caso é um exemplo da eficácia das forças de segurança em desmantelar redes criminosas que operam na dark web.

A Microsoft confirmou um erro no Microsoft 365 Copilot que tem causado a exposição de e-mails confidenciais desde janeiro de 2023. O bug, identificado como CW1226324, afeta a funcionalidade de chat da aba de trabalho do Copilot, que resume incorretamente e-mails armazenados nas pastas de Itens Enviados e Rascunhos, incluindo mensagens com rótulos de confidencialidade. Esses rótulos foram criados para restringir o acesso a ferramentas automatizadas, mas o Copilot está ignorando essas configurações. A Microsoft começou a implementar uma correção em fevereiro, mas ainda não divulgou um cronograma para a resolução completa do problema. A empresa está monitorando a situação e contatando usuários afetados para verificar a eficácia da solução. Este incidente levanta preocupações significativas sobre a proteção de dados sensíveis e a conformidade com políticas de prevenção de perda de dados (DLP), especialmente em um contexto onde a segurança da informação é cada vez mais crítica para as organizações.

A Figure Technology Solutions, uma empresa de tecnologia financeira baseada em blockchain, sofreu uma violação de dados que resultou no roubo de informações pessoais de aproximadamente 1 milhão de contas. O incidente, que não foi divulgado publicamente pela empresa, foi confirmado por um porta-voz em uma declaração ao TechCrunch, que mencionou que os atacantes obtiveram acesso a um número limitado de arquivos por meio de um ataque de engenharia social. A plataforma de empréstimos fintech teve dados de 967.200 contas expostos, incluindo endereços de e-mail, nomes, números de telefone, endereços físicos e datas de nascimento. O grupo de extorsão ShinyHunters assumiu a responsabilidade pelo ataque, publicando 2,5 GB de dados supostamente roubados de candidatos a empréstimos. O ataque se insere em uma série de violações recentes que afetaram outras empresas de destaque, como Canada Goose e Match Group, muitas das quais foram alvo de campanhas de phishing por voz (vishing) que visavam contas de login de acesso único (SSO). A situação destaca a crescente ameaça de ataques de engenharia social e a importância de medidas de segurança robustas para proteger dados sensíveis.

A Microsoft relatou um incidente em seu serviço Exchange Online, onde e-mails legítimos foram incorretamente colocados em quarentena devido a falhas nas regras de detecção heurística, que visavam bloquear campanhas de phishing. O problema, que começou em 5 de fevereiro e foi resolvido em 12 de fevereiro, afetou milhares de usuários, impedindo a abertura de links em mensagens e resultando em alertas de URLs potencialmente maliciosos que se mostraram falsos positivos. A causa raiz foi identificada como um erro lógico no sistema de detecção, que, após uma atualização, começou a sinalizar URLs legítimos em uma taxa muito maior do que o esperado. Além disso, outros sistemas de segurança da Microsoft amplificaram o impacto do incidente, e um bug separado atrasou a reversão das regras de detecção falhas. A empresa ainda não divulgou o número total de usuários afetados, mas classificou o evento como um “incidente”, indicando um impacto significativo. Um relatório final será publicado em até cinco dias úteis após a resolução completa do problema.

Pesquisadores da Flare monitoraram canais subterrâneos do Telegram e fóruns de cibercrime, observando que atores de ameaças compartilharam rapidamente exploits e credenciais de administrador roubadas relacionadas a vulnerabilidades do SmarterMail, como CVE-2026-24423 e CVE-2026-23760. Essas falhas críticas permitem execução remota de código e bypass de autenticação em servidores de e-mail expostos. A exploração dessas vulnerabilidades já foi confirmada em ataques reais, incluindo campanhas de ransomware, evidenciando que os atacantes visam cada vez mais a infraestrutura de e-mail como ponto de acesso inicial às redes corporativas. Com um CVSS de 9.3, a CVE-2026-24423 é particularmente alarmante, pois não requer interação do usuário, facilitando a automação de ataques em larga escala. O SmarterTools, fabricante do SmarterMail, também foi comprometido por uma falha em seu próprio produto, demonstrando a gravidade da situação. A CISA confirmou a exploração ativa dessas vulnerabilidades em campanhas de ransomware, destacando a necessidade urgente de ações corretivas por parte das organizações.

As equipes de segurança, TI e engenharia enfrentam uma pressão constante para acelerar resultados e maximizar o uso de inteligência artificial (IA) e automação. Um estudo revela que 88% das provas de conceito de IA não chegam à produção, apesar de 70% dos trabalhadores desejarem liberar tempo para atividades de maior valor. O artigo apresenta três casos de uso que demonstram como fluxos de trabalho inteligentes podem transformar a automação em processos eficazes.

Uma vulnerabilidade de segurança de severidade máxima no Dell RecoverPoint for Virtual Machines, identificada como CVE-2026-22769, está sendo explorada como um zero-day por um grupo de ameaças suspeito de estar ligado à China, denominado UNC6201. Essa falha, que afeta versões anteriores à 6.0.3.1 HF1, envolve credenciais hard-coded que permitem a um atacante remoto não autenticado acessar o sistema operacional subjacente e obter persistência em nível root. A Dell recomenda que o RecoverPoint seja utilizado em redes internas confiáveis e controladas, uma vez que não é adequado para redes não confiáveis ou públicas. O grupo UNC6201 tem como alvo organizações na América do Norte e utiliza um backdoor chamado GRIMBOLT, que é mais difícil de detectar. Além disso, a atividade do grupo está relacionada a outras campanhas de espionagem, destacando a importância de monitorar e proteger sistemas que não suportam soluções tradicionais de detecção e resposta a endpoints (EDR).

Em 2026, o cenário de cibersegurança se caracteriza por uma instabilidade contínua, onde ameaças impulsionadas por inteligência artificial (IA) se adaptam em tempo real. As organizações precisam não apenas reagir a regulamentações, mas integrá-las como parâmetros permanentes em suas arquiteturas de segurança. A pressão geopolítica também influencia o ambiente cibernético, exigindo que as estratégias de segurança considerem riscos de cadeia de suprimentos e atividades cibernéticas alinhadas a estados.

A abordagem tradicional de prever ataques está se tornando obsoleta; agora, a prioridade é moldar as condições que dificultam o sucesso dos atacantes. Tecnologias como Defesa de Alvo em Movimento Automatizada (AMTD) e Gestão Contínua de Exposição a Ameaças (CTEM) são essenciais para encurtar a janela de oportunidade dos invasores. Além disso, a IA é cada vez mais integrada nas ferramentas de segurança, melhorando a eficiência na detecção e resposta a incidentes.

Pesquisadores de cibersegurança revelaram múltiplas vulnerabilidades em quatro extensões populares do Microsoft Visual Studio Code (VS Code), que, se exploradas, podem permitir que atacantes roubem arquivos locais e executem códigos remotamente. As extensões afetadas, que somam mais de 125 milhões de instalações, incluem Live Server, Code Runner, Markdown Preview Enhanced e Microsoft Live Preview. As vulnerabilidades identificadas são: CVE-2025-65717, que permite a exfiltração de arquivos locais através de um site malicioso; CVE-2025-65716, que possibilita a execução de JavaScript arbitrário via arquivos markdown; e CVE-2025-65715, que permite a execução de código ao manipular o arquivo ‘settings.json’. A vulnerabilidade no Microsoft Live Preview foi corrigida silenciosamente pela Microsoft. Para mitigar os riscos, recomenda-se desabilitar extensões não essenciais, evitar configurações não confiáveis e manter um firewall ativo. A pesquisa destaca que uma única extensão maliciosa pode comprometer toda uma organização, tornando a segurança das extensões uma prioridade crítica para desenvolvedores e empresas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu quatro novas vulnerabilidades em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), destacando a exploração ativa dessas falhas. Entre elas, a CVE-2026-2441, uma vulnerabilidade de uso após a liberação no Google Chrome, com uma pontuação CVSS de 8.8, que pode permitir que atacantes remotos explorem a corrupção de heap através de uma página HTML manipulada. Outra vulnerabilidade, a CVE-2024-7694, afeta o TeamT5 ThreatSonar Anti-Ransomware, permitindo o upload de arquivos maliciosos. A CVE-2020-7796, com uma pontuação CVSS de 9.8, é uma falha de falsificação de solicitação do lado do servidor (SSRF) no Zimbra Collaboration Suite, que pode dar acesso não autorizado a informações sensíveis. Por fim, a CVE-2008-0015, uma vulnerabilidade de estouro de buffer no controle ActiveX do Windows, também foi adicionada. A CISA recomenda que as agências federais apliquem correções até 10 de março de 2026 para garantir proteção adequada.

O Notepad++ lançou uma atualização de segurança, versão 8.9.2, para corrigir vulnerabilidades exploradas por um grupo de ameaças avançadas da China. O ataque permitiu que os invasores sequestrassem o mecanismo de atualização do software, entregando malware a alvos específicos. A nova versão implementa um design de ‘dupla segurança’, que inclui a verificação do instalador assinado baixado do GitHub e a verificação do XML assinado retornado pelo servidor de atualizações. Além disso, foram feitas alterações significativas no componente de atualização automática, WinGUp, como a remoção de riscos de side-loading de DLLs e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. A atualização também corrige uma vulnerabilidade crítica (CVE-2026-25926) que poderia permitir a execução de código arbitrário. O incidente foi detectado após um comprometimento no provedor de hospedagem, que redirecionou usuários para servidores maliciosos desde junho de 2025. Usuários do Notepad++ são aconselhados a atualizar para a versão mais recente e garantir que os instaladores sejam baixados do domínio oficial.

Um tribunal espanhol concedeu medidas cautelares contra os provedores de VPN NordVPN e ProtonVPN, obrigando-os a bloquear 16 sites que facilitam a pirataria de transmissões de futebol. As restrições se aplicam a uma lista dinâmica de endereços IP na Espanha, sem possibilidade de apelação. A LaLiga, organizadora do futebol profissional no país, e sua parceira de transmissão, Telefónica, devem preservar evidências digitais das transmissões ilegais. A decisão é considerada sem precedentes na Espanha e se alinha a ações semelhantes na França, reconhecendo a responsabilidade dos provedores de VPN na prevenção de infrações de direitos autorais. Em resposta, a ProtonVPN questionou a validade do processo, alegando falta de notificação adequada, enquanto a NordVPN criticou a abordagem, afirmando que o bloqueio de domínios não resolve a raiz do problema da pirataria. A empresa destacou que as VPNs gratuitas permanecem como uma brecha para piratas, pois são mais difíceis de regular. A decisão levanta questões sobre a eficácia das medidas contra a pirataria e a responsabilidade dos provedores de serviços de internet.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova tática de phishing que utiliza cartas físicas para enganar proprietários de carteiras de criptomoedas. Em vez de e-mails maliciosos, os hackers estão enviando correspondências que parecem vir de equipes de segurança de marcas de carteiras de hardware, como Trezor e Ledger. Essas cartas contêm QR codes que direcionam os usuários a sites fraudulentos que imitam páginas oficiais. Os destinatários são instruídos a escanear os códigos para realizar uma ‘verificação de autenticação’ sob a ameaça de perder acesso às suas carteiras. Uma vez que os usuários inserem suas frases de recuperação, os atacantes podem acessar e transferir os fundos sem mais interações. Embora a seleção dos alvos ainda não esteja clara, dados de violações anteriores podem ter exposto informações de contato, incluindo endereços físicos. Os fabricantes de carteiras alertam que essas frases devem ser inseridas apenas em dispositivos físicos e nunca em sites. A mudança para o uso de correspondência física representa uma adaptação dos atacantes a um cenário digital saturado, mas a técnica de phishing permanece a mesma.

O Notepad++ lançou a versão 8.9.2, que introduz um novo mecanismo de atualização denominado “double-lock” para mitigar vulnerabilidades de segurança que resultaram em compromissos na cadeia de suprimentos. O sistema combina a verificação do instalador assinado do GitHub com a validação de um arquivo XML assinado digitalmente do domínio notepad-plus-plus.org. Essa abordagem visa criar um processo de atualização mais robusto e seguro. Além disso, foram implementadas mudanças como a remoção do libcurl.dll para evitar riscos de side-loading e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. O Notepad++ também trocou de provedor de hospedagem e corrigiu falhas exploradas em ataques anteriores, que foram atribuídos a um grupo de ameaças ligado à China. Os usuários são aconselhados a atualizar para a nova versão e garantir que os instaladores sejam baixados do domínio oficial.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.