Pesquisadores da Infoblox descobriram que o Universe Browser, um navegador popular na China, é na verdade um malware que espiona os usuários. Promovido como uma ferramenta segura e focada em privacidade, o software registra tudo o que o usuário digita, altera configurações de rede e instala programas ocultos. O grupo criminoso por trás do navegador, conhecido como Vault Viper, está ligado a atividades de jogos de azar ilegais e crime organizado no Sudeste Asiático. O navegador, que se disfarça como uma alternativa segura a navegadores tradicionais, tem milhões de usuários que acreditam estar protegidos, mas na realidade, seu tráfego é monitorado por servidores na China. A análise técnica revela que o Universe Browser utiliza técnicas de evasão para evitar detecções e compromete a segurança do sistema, desabilitando recursos cruciais e permitindo acesso remoto aos cibercriminosos. A situação é um alerta para usuários que buscam privacidade online, enfatizando a importância de desconfiar de softwares que prometem segurança e anonimato, especialmente aqueles distribuídos em sites de jogos de azar. Para se proteger, é essencial baixar aplicativos apenas de desenvolvedores confiáveis e verificar a reputação dos softwares antes da instalação.

Na última semana, a Polícia Federal (PF) realizou a Operação Miopia no Rio de Janeiro, resultando na prisão preventiva de um homem em Botafogo. Ele é suspeito de integrar uma organização criminosa transnacional dedicada à disseminação de conteúdos de abuso sexual infantojuvenil em fóruns da dark web. Durante a operação, foram apreendidos oito computadores, quatro celulares e diversas mídias de armazenamento, que passarão por perícia técnica para determinar a extensão dos crimes. As investigações foram impulsionadas por cooperação internacional, evidenciando a natureza global das atividades criminosas. O suspeito não apenas participava de discussões com outros abusadores, mas também publicava conteúdos ilícitos. A PF destaca a importância de monitorar a atividade online de crianças e adolescentes, alertando para os riscos associados ao uso da internet e a necessidade de diálogo sobre segurança digital. A operação evidencia a gravidade dos crimes de abuso sexual, que vão além da produção e compartilhamento de material, incluindo aliciamento e estupro de vulneráveis. A PF ressalta a importância de usar terminologias adequadas, como ‘abuso sexual’, para refletir a seriedade das violações cometidas contra as vítimas.

Um vazamento massivo de dados, revelado por Troy Hunt, expôs mais de 183 milhões de credenciais de usuários do Gmail e de outros serviços de e-mail. O incidente, que ocorreu em abril de 2025, foi descoberto após Hunt cruzar informações de fóruns e bases de dados da dark web. Os dados comprometidos totalizam 3,5 terabytes e incluem não apenas senhas do Gmail, mas também credenciais de outros serviços como Amazon e Netflix, aumentando o risco de ataques de credential stuffing. Os infostealers, softwares maliciosos que capturam credenciais durante o login, são os responsáveis por essa violação. Embora o Google tenha negado uma violação específica em seus sistemas, a presença de quase 200 milhões de contas em bases de dados criminosas levanta preocupações sobre a segurança dos dados pessoais. O uso comum de senhas reutilizadas entre diferentes serviços amplifica o risco para os usuários. Especialistas alertam que a situação é alarmante, pois milhões de pessoas podem ter suas contas comprometidas sem saber. O incidente destaca a necessidade urgente de medidas de segurança mais robustas e conscientização sobre práticas seguras de gerenciamento de senhas.

A versão 2.29 do IPFire, atualizada com o Core Update 198, traz avanços significativos na tecnologia de firewall de código aberto, especialmente na prevenção de intrusões. A nova versão inclui o Suricata 8, que oferece capacidades aprimoradas de prevenção de intrusões e recursos inovadores de relatórios. Entre as novidades, destacam-se notificações por e-mail em tempo real, relatórios em PDF programados e integração com syslog remoto, criando um registro abrangente que pode ser auditado mesmo em cenários de comprometimento.

A comunidade de testes de segurança celebra a nova versão 0.6 do Brida, que agora oferece compatibilidade total com as versões mais recentes do Frida, após mudanças significativas na versão 17.0.0 do Frida. Essas alterações impactaram a forma como os desenvolvedores interagem com aplicativos móveis durante avaliações de segurança, resultando na quebra de compatibilidade com ferramentas como o Brida. A nova versão não apenas corrige essas incompatibilidades, mas também introduz melhorias significativas, como modos de conexão aprimorados e scripts de detecção de root para Android. Além disso, a atualização inclui um bypass para a verificação de hostname do OkHttp, abordando desafios comuns em testes de segurança móvel. Embora a versão 0.6 não suporte versões anteriores do Frida, uma versão pré-lançamento continua disponível para usuários que enfrentam problemas de compatibilidade específicos. A atualização está disponível no GitHub e aguarda aprovação na BApp Store, representando um avanço importante na integração entre o ecossistema Frida e suas ferramentas de terceiros.

Um novo relatório da Group-IB Threat Intelligence revelou uma campanha de espionagem sofisticada conduzida pelo grupo MuddyWater, vinculado ao Irã, que está atacando mais de 100 organizações governamentais e internacionais em todo o mundo. A operação utiliza contas de e-mail comprometidas acessadas através de um nó de saída do NordVPN na França para distribuir documentos maliciosos do Microsoft Word que contêm o malware Phoenix backdoor versão 4. Essa campanha de phishing sofisticada explora técnicas de engenharia social, levando os destinatários a ativar macros para visualizar o conteúdo, o que contorna os filtros de segurança convencionais.

Pesquisadores de segurança identificaram uma nova técnica sofisticada de phishing, onde cibercriminosos inserem caracteres Unicode invisíveis nas linhas de assunto de e-mails para evitar sistemas de detecção automatizados. Essa evolução de um método de evasão bem documentado representa uma escalada preocupante nas campanhas de phishing que visam organizações em todo o mundo.

A técnica envolve a inserção de caracteres de hífen suave (Unicode U+00AD) entre letras nas linhas de assunto, utilizando o formato MIME especificado na RFC 2047. Quando visualizados em clientes de e-mail como o Microsoft Outlook, esses caracteres permanecem ocultos, dificultando a identificação de palavras-chave que normalmente seriam sinalizadas como suspeitas. Um exemplo analisado teve a linha de assunto codificada como “=?UTF-8?B?WcKtb3XCrXIgUMKtYXPCrXN3wq1vwq1yZCBpwq1zIEHCrWLCrW91dCA=?=”, que se decodificou para “Sua Senha Está Prestes a Expirar”.

Um novo Trojan bancário para Android, chamado Herodotus, foi identificado como uma ameaça sofisticada que utiliza técnicas avançadas para evitar a detecção por biometria comportamental. Desenvolvido por um grupo conhecido como ‘K1R0’, o malware simula padrões de interação humana durante sessões de fraude, introduzindo atrasos aleatórios entre os eventos de entrada de texto, o que dificulta a identificação por sistemas de análise de digitação. Herodotus combina funcionalidades do Trojan Brokewell e é oferecido como Malware-as-a-Service em fóruns clandestinos, indicando sua ampla adoção comercial.

No cenário atual de cibersegurança, a velocidade na detecção de ameaças é crucial para a proteção dos negócios. O artigo destaca que a detecção precoce não apenas minimiza os custos associados a incidentes, mas também fortalece a confiança dos clientes e permite um crescimento sustentável. Quando uma violação é detectada logo no acesso inicial, os custos são significativamente menores em comparação com a detecção em estágios mais avançados, como a exfiltração de dados. Além disso, uma resposta rápida às ameaças transforma a segurança em um facilitador de crescimento, permitindo que as empresas lancem novas funcionalidades e realizem transformações digitais sem interrupções. A maturidade em cibersegurança também abre portas para novas oportunidades de negócios, especialmente em mercados que exigem conformidade e certificações. O uso de inteligência de ameaças (TI) é destacado como uma ferramenta essencial para a detecção precoce, fornecendo dados em tempo real sobre campanhas de malware e permitindo que as organizações prevejam ataques. O artigo conclui que a detecção precoce de ameaças não é apenas uma questão de segurança, mas uma vantagem competitiva que pode garantir a estabilidade e o crescimento das empresas.

Pesquisadores de cibersegurança da LayerX identificaram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a injeção de instruções maliciosas no sistema de memória do ChatGPT por meio de ataques de Cross-Site Request Forgery (CSRF). Essa falha, divulgada de forma responsável à OpenAI em 27 de outubro de 2025, representa um risco significativo para usuários que dependem da IA para codificação e gerenciamento de sistemas. O ataque se aproveita de uma fraqueza na forma como o Atlas lida com sessões autenticadas, permitindo que atacantes utilizem credenciais de autenticação de vítimas para injetar instruções ocultas na memória do ChatGPT. Uma vez comprometida, essa memória contaminada pode executar código remoto e potencialmente conceder controle sobre contas de usuários e sistemas conectados. Além disso, o navegador Atlas demonstrou deficiências alarmantes em detectar e bloquear ataques de phishing, aumentando ainda mais a vulnerabilidade dos usuários. A pesquisa revelou que apenas 6 de 103 páginas maliciosas foram bloqueadas, resultando em uma taxa de falha de 94,2%. Essa situação é particularmente preocupante, pois a memória contaminada persiste em todos os dispositivos onde o usuário acessa sua conta, dificultando a detecção e remediação do ataque.

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

A Apache Software Foundation divulgou duas vulnerabilidades críticas que afetam várias versões do Apache Tomcat, sendo uma delas uma falha de travessia de diretório que pode permitir a execução remota de código (RCE) em servidores vulneráveis. A vulnerabilidade mais grave, identificada como CVE-2025-55752, resulta de uma regressão introduzida ao corrigir um bug anterior. Essa falha permite que atacantes manipulem URIs de requisições através de URLs reescritas, contornando restrições de segurança que protegem diretórios sensíveis como /WEB-INF/ e /META-INF/. O risco se intensifica quando as requisições PUT estão habilitadas, permitindo o upload de arquivos maliciosos. A segunda vulnerabilidade, CVE-2025-55754, envolve a falha do Tomcat em escapar corretamente sequências de escape ANSI em mensagens de log, o que pode ser explorado para manipular a exibição do console em sistemas Windows. Ambas as vulnerabilidades afetam as versões 9, 10 e 11 do Apache Tomcat, e a Apache já lançou versões corrigidas. Administradores são aconselhados a atualizar imediatamente para evitar possíveis ataques.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta crítico sobre vulnerabilidades sérias no sistema TLS4B Automatic Tank Gauge da Veeder-Root, que podem permitir a execução de comandos de sistema por atacantes. Identificadas por pesquisadores da Bitsight, as falhas incluem uma injeção de comando (CVE-2025-58428) com uma pontuação CVSS de 9.9, que permite que atacantes remotos, utilizando credenciais válidas, executem comandos no sistema Linux subjacente. A segunda vulnerabilidade, relacionada a um estouro de inteiro (CVE-2025-55067), afeta o tratamento de valores de tempo Unix e pode causar falhas de autenticação e interrupções em funções críticas do sistema. A Veeder-Root já lançou uma versão corrigida (11.A) para a falha de injeção de comando, mas um conserto permanente para o estouro de inteiro ainda está em desenvolvimento. A CISA recomenda que as organizações atualizem imediatamente para a versão corrigida e adotem práticas de segurança de rede para minimizar a exposição à internet. Embora não haja exploração pública conhecida dessas vulnerabilidades até a data do alerta, a gravidade das falhas exige atenção urgente das organizações, especialmente no setor de energia, onde esses sistemas são amplamente utilizados.

Em setembro de 2025, uma nova campanha de ciberespionagem, atribuída ao grupo SideWinder, visou uma embaixada europeia em Nova Délhi e diversas organizações em Sri Lanka, Paquistão e Bangladesh. Os ataques, que ocorreram em quatro ondas de phishing entre março e setembro, utilizam uma cadeia de infecção baseada em arquivos PDF e ClickOnce, além de vetores de exploração do Microsoft Word. Os e-mails de phishing continham documentos maliciosos com títulos como ‘Credenciais da reunião interministerial.pdf’, disfarçados para parecerem legítimos. Ao abrir os arquivos, os usuários eram induzidos a baixar um aplicativo que, na verdade, instalava um DLL malicioso, o DEVOBJ.dll, que carregava o malware StealerBot. Este malware é capaz de coletar informações sensíveis, como senhas e capturas de tela. A evolução das técnicas de ataque do SideWinder demonstra sua adaptabilidade e sofisticação, refletindo um entendimento profundo dos contextos geopolíticos. A utilização de malware personalizado e a exploração de aplicações legítimas para evasão de segurança reforçam a necessidade de vigilância constante por parte das organizações.

Uma falha de segurança no Google Chrome, identificada como CVE-2025-2783, foi explorada em uma campanha de espionagem chamada Operation ForumTroll, que visou organizações na Rússia. A vulnerabilidade, que possui um CVSS de 8.3, permitiu que atacantes enviassem e-mails de phishing com links maliciosos que, ao serem clicados, ativavam um exploit para escapar do sandbox do navegador. Isso possibilitou a entrega de um spyware desenvolvido pela Memento Labs, chamado LeetAgent, que se conecta a um servidor de comando e controle para executar uma variedade de tarefas, incluindo a coleta de dados sensíveis. Os ataques foram direcionados a instituições de mídia, universidades e órgãos governamentais, com o objetivo de espionagem. A Memento Labs, formada pela fusão de empresas com histórico de venda de ferramentas de vigilância, tem suas operações ligadas a um grupo APT conhecido como ForumTroll. A exploração da falha foi documentada desde fevereiro de 2024, e a Kaspersky observou que a operação é caracterizada por um alto nível de sofisticação e direcionamento específico, com indícios de que os atacantes não são nativos russos. A situação destaca a necessidade urgente de atenção à segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

A Microsoft implementou uma mudança significativa em suas versões do Windows 10 e 11, desabilitando a função de pré-visualização de arquivos baixados da internet. Essa decisão visa proteger os usuários de um vetor de ataque que permite o roubo de credenciais sem a necessidade de abrir um arquivo malicioso. A vulnerabilidade estava relacionada ao ‘Mark of the Web’ (MotW), que identifica arquivos baixados da internet. Ao tentar gerar uma prévia, o Windows se conectava automaticamente a servidores maliciosos, enviando hashes NTLM do usuário, que podem ser usados para autenticação em outros serviços da rede. Embora a pré-visualização possa ser reativada, a Microsoft alerta que essa ação deve ser feita com cautela, pois transfere a responsabilidade de segurança para o usuário. Essa mudança é especialmente relevante para ambientes corporativos, onde a segurança das credenciais é crucial. A nova configuração reflete uma prioridade pela segurança em detrimento da conveniência, destacando a necessidade de conscientização sobre os riscos associados a arquivos baixados.

O Windows 11 recebeu uma nova atualização no canal Dev, introduzindo a funcionalidade Proactive Memory Diagnostics, que visa aumentar a confiabilidade do sistema. Essa ferramenta notifica o usuário para realizar um diagnóstico de memória após uma falha crítica, como um bugcheck, que pode resultar em uma tela preta. O diagnóstico é realizado no próximo reinício do PC e, caso sejam encontrados problemas, o sistema tentará corrigi-los. Além disso, a atualização trouxe uma nova funcionalidade de ‘copiar e pesquisar’, que facilita a busca de textos copiados.

A atualização do sistema operacional iOS 26 da Apple introduziu uma mudança significativa no funcionamento do arquivo shutdown.log, que pode ter consequências graves para a segurança dos dispositivos. Este arquivo, que anteriormente registrava atividades do sistema durante o desligamento, agora é sobrescrito a cada reinicialização, eliminando evidências cruciais de infecções por malwares sofisticados como Pegasus e Predator. Essa alteração pode ser vista como uma falha de design ou um bug, mas suas implicações são profundas, especialmente para usuários que podem ter sido infectados sem saber. Antes da atualização, pesquisadores de segurança podiam identificar indicadores de comprometimento através de anomalias nesse log, mas agora, com a remoção automática de dados históricos, dispositivos comprometidos se tornam indistinguíveis de sistemas limpos. A situação é alarmante, pois ataques de spyware continuam a atingir figuras de destaque globalmente. Para mitigar riscos, usuários são aconselhados a extrair e preservar dados do sysdiagnose antes de atualizar para o iOS 26, garantindo que informações sobre possíveis infecções sejam mantidas.

Pesquisadores da Kaspersky revelaram uma campanha de ciberespionagem sofisticada, chamada Operação ForumTroll, que utilizou uma vulnerabilidade zero-day do Chrome, identificada como CVE-2025-2783. Essa vulnerabilidade permitiu que atacantes contornassem as proteções de segurança do navegador ao explorar uma falha no sistema operacional Windows. A campanha visou instituições russas, incluindo meios de comunicação, universidades e organizações governamentais, através de e-mails de phishing disfarçados de convites para um fórum científico. O ataque foi acionado simplesmente ao clicar em um link malicioso, sem necessidade de interação adicional do usuário. A Kaspersky notificou o Google, que lançou patches para corrigir a falha. Além disso, a investigação revelou conexões com o spyware comercial Dante, desenvolvido pela Memento Labs, que possui capacidades avançadas de espionagem, como keylogging e execução remota de comandos. Essa situação destaca a importância de monitorar e corrigir vulnerabilidades em softwares amplamente utilizados, especialmente em um cenário de crescente ciberespionagem.

As escolas públicas de North Stonington, em Connecticut, notificaram alunos e funcionários sobre um vazamento de dados ocorrido em setembro de 2025, que comprometeu informações pessoais sensíveis. Os dados afetados incluem nomes, datas de nascimento, endereços, números de identificação de alunos, informações de saúde, registros acadêmicos e muito mais. Para os funcionários, os registros de emprego e arquivos pessoais também foram expostos, incluindo números de Seguro Social e informações de folha de pagamento. O grupo de ransomware Interlock reivindicou a responsabilidade pelo ataque, alegando ter roubado 3 TB de dados do distrito escolar. Embora a escola tenha detectado o incidente em 18 de setembro de 2025, ainda não se sabe quantas pessoas foram afetadas ou se um resgate foi pago. O distrito está oferecendo monitoramento de crédito gratuito para os afetados, com prazo de inscrição de 90 dias. Este incidente destaca a crescente ameaça de ataques de ransomware no setor educacional, que já registrou 39 ataques confirmados em 2025, afetando operações diárias e expondo dados sensíveis.

A plataforma de mídia social X está solicitando que os usuários que utilizam autenticação de dois fatores (2FA) com chaves de segurança, como Yubikeys, re-inscrevam suas chaves até 10 de novembro de 2025. Essa medida visa garantir o acesso contínuo ao serviço, uma vez que as chaves de segurança atualmente estão vinculadas ao domínio twitter.com, que será aposentado. Após a data limite, contas que não realizarem a re-inscrição ficarão bloqueadas até que o usuário re-inscreva a chave, escolha um método diferente de 2FA ou opte por não usar 2FA, embora a empresa recomende fortemente o uso dessa camada adicional de segurança. A mudança não afeta os usuários que utilizam outros métodos de 2FA, como aplicativos autenticadores. A plataforma também oferece 2FA via mensagens de texto, mas essa opção é restrita a assinantes não-Premium desde março de 2023. Para re-inscrever, os usuários devem seguir um processo específico nas configurações de segurança da conta, que inclui a exclusão de chaves existentes e a inserção de uma nova chave de segurança. Essa atualização é parte da estratégia da empresa para formalizar a transição do Twitter para X, após a aquisição por Elon Musk em 2022.

Um estudo da Check Point Research revelou a existência de uma rede maliciosa no YouTube, chamada de ‘YouTube Ghost Network’, que tem como objetivo disseminar malwares através de vídeos. Desde 2021, mais de 3.000 vídeos foram publicados, e a atividade aumentou significativamente em 2025, com um volume de publicações que triplicou desde o início do ano. Os hackers utilizam contas legítimas invadidas ou criam novas para publicar vídeos que, à primeira vista, parecem tutoriais, mas que na verdade direcionam os usuários para sites de download de malwares. Os vídeos incluem links que levam a plataformas como Mediafire e Dropbox, onde os usuários podem inadvertidamente baixar softwares maliciosos como Lumma Stealer e Rhadamanthys. A operação é complexa, com diferentes tipos de contas que desempenham papéis variados, como a publicação de vídeos e a interação com comentários e likes, para dar legitimidade ao conteúdo. Apesar da remoção de muitos vídeos pela Google, a rede continua ativa e em evolução, evidenciando a exploração das táticas de engajamento da plataforma para enganar os usuários.

Golpistas estão utilizando uma nova tática de engenharia social para roubar senhas e dados pessoais de usuários do WhatsApp e Facebook Messenger. A estratégia envolve a criação de contas falsas que se passam por suporte de empresas conhecidas. Os criminosos aguardam que usuários relatem problemas nas redes sociais e, em seguida, entram em contato oferecendo ajuda. Durante uma chamada de vídeo, eles solicitam que a vítima compartilhe a tela do celular. Embora não consigam acessar a senha diretamente, conseguem visualizar informações como nome de usuário e e-mail, além do código de verificação enviado para login, facilitando o roubo de contas. Para combater essa prática, a Meta implementará avisos quando usuários tentarem compartilhar a tela com contatos desconhecidos e monitorará conversas em busca de sinais de golpes. A empresa também destaca que a população idosa é a mais afetada por esses crimes virtuais e recomenda que os usuários verifiquem a autenticidade das comunicações recebidas.

O grupo de ciberataques Predatory Sparrow, supostamente vinculado a Israel, intensificou suas operações contra a infraestrutura crítica do Irã, visando instituições financeiras e governamentais. Desde sua emergência em 2019, o grupo tem demonstrado um aumento na sofisticação técnica e na capacidade de causar danos operacionais significativos. Em junho de 2025, o Predatory Sparrow assumiu a responsabilidade pela destruição de dados do Bank Sepah e pela interrupção de serviços da exchange de criptomoedas Nobitex, resultando na perda permanente de US$ 90 milhões em ativos digitais.

Pesquisadores de cibersegurança da NeuralTrust descobriram uma vulnerabilidade crítica no navegador Atlas da OpenAI, que permite a atacantes disfarçar instruções maliciosas como URLs legítimas, burlando os controles de segurança do sistema. A falha explora a omnibox, a barra de endereço e pesquisa combinada, manipulando a forma como o Atlas distingue entre solicitações de navegação e comandos em linguagem natural.

Os atacantes criam strings que parecem URLs válidas, mas que contêm erros sutis de formatação. Quando um usuário insere essas strings na omnibox, o Atlas não valida corretamente a URL e trata o conteúdo como um comando confiável, permitindo que instruções maliciosas sejam executadas com privilégios elevados.

A Dell Technologies revelou três vulnerabilidades críticas em seu software Storage Manager, que podem permitir que atacantes contornem autenticações, divulguem informações sensíveis e acessem sistemas de forma não autorizada. As falhas afetam versões até 20.1.21 e apresentam riscos significativos para organizações que utilizam essa ferramenta para gerenciar arrays de armazenamento. A vulnerabilidade mais severa, CVE-2025-43995, possui um escore CVSS de 9.8, permitindo que um atacante não autenticado explore APIs expostas para obter controle total sobre a infraestrutura de armazenamento. Outras falhas, como CVE-2025-43994 e CVE-2025-46425, também apresentam riscos elevados, permitindo a divulgação de informações e acesso não autorizado a arquivos sensíveis. A Dell recomenda que os clientes atualizem imediatamente para versões mais recentes do software para mitigar esses riscos. Embora não haja relatos de exploração ativa até o momento, a facilidade de acesso remoto torna a situação crítica, exigindo ações rápidas para evitar possíveis violações de segurança.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

A HashiCorp revelou uma vulnerabilidade crítica no Vault e no Vault Enterprise, que permite a atacantes contornar a autenticação e realizar ataques de negação de serviço (DoS). Identificada como CVE-2025-12044, essa falha resulta de um erro na ordem de operações durante a correção de uma vulnerabilidade anterior, permitindo que a limitação de taxa ocorra após o processamento de payloads JSON. Isso significa que um atacante pode enviar repetidamente payloads JSON maliciosos, consumindo recursos do sistema sem necessidade de autenticação. O impacto pode ser severo, levando à degradação do desempenho ou até mesmo à queda total do serviço, tornando segredos inacessíveis para aplicações legítimas. A vulnerabilidade afeta versões do Vault Community Edition de 1.20.3 a 1.20.4 e do Vault Enterprise em várias versões, exigindo atualizações urgentes para versões corrigidas. A HashiCorp recomenda que as organizações avaliem sua exposição e realizem as atualizações necessárias para evitar incidentes de DoS. A descoberta foi feita por Toni Tauro da Adfinis AG, que coordenou a divulgação responsável da falha.

O grupo de ransomware conhecido como Qilin, também chamado de Agenda, Gold Feather e Water Galura, tem se mostrado extremamente ativo, reivindicando mais de 40 vítimas por mês desde o início de 2025, exceto em janeiro. Em junho, o número de casos postados em seu site de vazamento de dados atingiu 100. A operação de ransomware como serviço (RaaS) é responsável por 84 vítimas em agosto e setembro. Os ataques têm como alvo principalmente os setores de manufatura, serviços profissionais e científicos, e comércio atacadista, afetando países como EUA, Canadá, Reino Unido, França e Alemanha. Os atacantes utilizam credenciais administrativas vazadas para obter acesso inicial, seguido de conexões RDP e reconhecimento do sistema. Ferramentas como Mimikatz e Cyberduck são empregadas para coletar credenciais e transferir dados. O ransomware Qilin, por sua vez, criptografa arquivos e apaga cópias de sombra do Windows. Além disso, uma variante do ransomware para Linux foi descoberta, demonstrando a capacidade de afetar sistemas Windows e Linux simultaneamente. Os ataques também exploram ferramentas legítimas para contornar barreiras de segurança, destacando a necessidade de vigilância constante e medidas de mitigação eficazes.

O cenário de cibersegurança continua a se deteriorar, com novas ameaças emergindo constantemente. Recentemente, uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, foi explorada ativamente por cibercriminosos, permitindo a execução remota de código em sistemas afetados. Essa falha, com um CVSS de 9.8, foi corrigida pela Microsoft, mas já está sendo utilizada para implantar malware em máquinas vulneráveis.

Além disso, uma rede maliciosa no YouTube tem promovido vídeos que direcionam usuários para downloads de malware, com um aumento significativo na quantidade de vídeos desde o início do ano. Outro ataque notável é o da campanha “Dream Job”, atribuída ao grupo Lazarus da Coreia do Norte, que visa empresas do setor de defesa na Europa, enviando e-mails fraudulentos que disfarçam ofertas de emprego.

Pesquisadores de cibersegurança identificaram uma nova vulnerabilidade no navegador ChatGPT Atlas da OpenAI, que pode permitir que agentes maliciosos injetem instruções prejudiciais na memória do assistente de inteligência artificial. Essa falha, baseada em um erro de falsificação de solicitação entre sites (CSRF), possibilita que as instruções maliciosas persistam entre dispositivos e sessões, comprometendo a segurança do usuário. A memória, introduzida pela OpenAI em fevereiro de 2024, visa personalizar as interações, mas, se corrompida, pode ser utilizada para executar códigos arbitrários sem o conhecimento do usuário. A vulnerabilidade é agravada pela falta de controles robustos contra phishing no ChatGPT Atlas, tornando os usuários até 90% mais expostos em comparação com navegadores tradicionais como Google Chrome e Microsoft Edge. O ataque pode ser desencadeado por meio de engenharia social, onde o usuário é induzido a clicar em um link malicioso. Uma vez que a memória do ChatGPT é comprometida, comandos normais podem ativar a execução de códigos maliciosos, resultando em escalonamento de privilégios ou exfiltração de dados. Essa situação representa um risco significativo, pois transforma uma funcionalidade útil em uma ferramenta de ataque.

O descarte incorreto de etiquetas de encomendas pode ser uma vulnerabilidade significativa em cibersegurança, conforme alerta Daniel Barbosa, pesquisador da ESET. Informações sensíveis, como nome completo, endereço e detalhes da compra, podem ser exploradas por criminosos para aplicar golpes, como engenharia social e phishing. Os golpistas podem se passar por representantes de empresas para coletar mais dados ou enviar arquivos maliciosos disfarçados de documentos legítimos. Para evitar esses riscos, é essencial descartar adequadamente documentos que contenham informações pessoais. Barbosa sugere técnicas como borrar informações em papel comum ou utilizar calor em papel térmico para torná-las ilegíveis. A conscientização sobre a segurança das mídias físicas é crucial, pois elas podem facilitar o acesso a dados que, se expostos na internet, seriam considerados críticos. Portanto, a proteção deve ser abrangente, considerando tanto o ambiente digital quanto o físico.

A NordVPN, reconhecida como uma das melhores serviços de VPN, anunciou a inclusão de um bloqueador de sites adultos em sua suíte Threat Protection. Essa nova funcionalidade, que utiliza filtragem DNS, está disponível apenas nas versões para Android e iOS do aplicativo, permitindo que os usuários bloqueiem o acesso a milhares de domínios adultos antes mesmo de serem carregados em seus dispositivos. O bloqueador atua no nível da rede, negando solicitações DNS para sites que estão em uma lista pré-definida de domínios restritos. Essa adição visa proporcionar uma experiência de navegação mais segura, especialmente para famílias que compartilham dispositivos. Além do bloqueio de sites adultos, a NordVPN tem ampliado suas funcionalidades de segurança, incluindo proteção contra chamadas de spam e alertas de sessões sequestradas. Essas atualizações são importantes em um cenário de ameaças cibernéticas em constante evolução, onde a proteção proativa é essencial para a segurança online.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre a exploração ativa de uma vulnerabilidade crítica no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha permite que atacantes não autenticados executem código remotamente com privilégios de sistema em servidores vulneráveis. A Microsoft lançou uma atualização de segurança emergencial em 23 de outubro de 2025, após descobrir que um patch anterior não resolveu completamente o problema. A vulnerabilidade afeta várias versões do Windows Server, incluindo 2012, 2016, 2019, 2022 e 2025, e é especialmente perigosa para organizações que utilizam o WSUS com as portas 8530 ou 8531 abertas. Os atacantes podem obter controle total sobre os sistemas afetados, possibilitando a instalação de ransomware, roubo de dados sensíveis e criação de backdoors. A CISA recomenda que as organizações identifiquem imediatamente os servidores vulneráveis e apliquem a atualização de segurança, além de considerar medidas temporárias, como desabilitar o WSUS ou bloquear o tráfego nas portas mencionadas. A situação é crítica, e a falta de ação pode resultar em sérias consequências para a segurança das informações das empresas.

Durante a competição de hacking Pwn2Own Irlanda 2025, realizada em Cork, de 21 a 23 de outubro, a equipe Z3 decidiu não demonstrar publicamente uma vulnerabilidade crítica de execução remota de código sem clique no WhatsApp. Em vez disso, optaram por relatar a falha de forma privada à Meta, a empresa-mãe do WhatsApp, através de um processo de divulgação coordenada. Essa decisão surpreendeu os participantes, pois a exploração poderia ter rendido à equipe um prêmio recorde de US$ 1 milhão. A Zero Day Initiative (ZDI), organizadora do evento, elogiou a escolha da equipe, que priorizou a segurança dos usuários em vez de um espetáculo público. A vulnerabilidade é considerada de alto risco, pois permite que atacantes comprometam dispositivos sem qualquer interação do usuário, tornando-se uma ameaça significativa, especialmente para os três bilhões de usuários do WhatsApp. A Meta se comprometeu a reforçar a segurança do aplicativo e a ZDI concedeu um prazo de até 90 dias para que a empresa desenvolva e implemente correções antes de qualquer divulgação pública. Embora os detalhes técnicos da vulnerabilidade não tenham sido divulgados, especialistas esperam que a Meta atue rapidamente para mitigar o risco de exploração real.

O grupo de ameaças cibernéticas conhecido como Famous Chollima, vinculado ao Bureau Geral de Reconhecimento da Coreia do Norte, aprimorou suas capacidades de malware ao combinar as funcionalidades dos malwares BeaverTail e OtterCookie em variantes unificadas de infostealers. A nova campanha do grupo utiliza táticas enganosas de recrutamento de emprego e ataques à cadeia de suprimentos através de pacotes maliciosos do NPM, visando profissionais de criptomoedas e blockchain.

O ataque recente focou em um aplicativo de xadrez temático de criptomoedas chamado Chessfi, distribuído por meio de um repositório comprometido do Bitbucket. Ao clonar o repositório, os usuários baixaram automaticamente o pacote malicioso “node-nvm-ssh” do NPM, que executou scripts JavaScript ofuscados. O BeaverTail se concentra na enumeração de perfis de navegador, visando extensões de carteiras de criptomoedas como MetaMask e Phantom, enquanto o OtterCookie oferece acesso remoto e coleta de dados sensíveis.

Uma falha crítica de segurança nos resolvers BIND 9 foi divulgada, permitindo que atacantes envenenem caches DNS e redirecionem o tráfego da internet para destinos maliciosos. A vulnerabilidade, identificada como CVE-2025-40778, afeta mais de 706 mil instâncias expostas em todo o mundo, conforme a empresa de escaneamento de internet Censys. Com uma pontuação CVSS de 8.6, a falha resulta do tratamento excessivamente permissivo de registros de recursos não solicitados nas respostas DNS. Isso permite que atacantes injetem dados falsificados sem precisar de acesso direto à rede. O Internet Systems Consortium (ISC), responsável pelo software BIND, recomendou que os administradores apliquem patches imediatamente, uma vez que a vulnerabilidade pode impactar significativamente empresas, provedores de internet e agências governamentais que dependem de resolvers recursivos. Embora não haja relatos de exploração ativa, a liberação pública de um exploit de prova de conceito no GitHub aumenta a urgência, fornecendo um modelo para ataques direcionados. O ISC sugere que organizações que não podem atualizar imediatamente restrinjam a recursão a clientes confiáveis e monitorem o conteúdo do cache em busca de anomalias.

A Microsoft está prestes a lançar uma nova funcionalidade no Teams, que permitirá a detecção automática da localização de trabalho dos usuários por meio das redes Wi-Fi de suas organizações. Essa atualização, prevista para dezembro de 2025, visa facilitar a colaboração em ambientes híbridos, eliminando a necessidade de atualizações manuais de status. Ao conectar-se à rede corporativa, o Teams ajustará automaticamente o status do usuário para refletir sua localização física, ajudando na coordenação de interações presenciais. A funcionalidade respeitará os horários de trabalho definidos no calendário do Outlook, garantindo que as atualizações de localização ocorram apenas durante o expediente e sejam limpas automaticamente ao final do dia, abordando preocupações de privacidade. Embora a funcionalidade seja desativada por padrão, os administradores de TI poderão ativá-la, e os usuários terão a opção de compartilhar sua localização com colegas. A Microsoft enfatiza que essa ferramenta não se trata de vigilância, mas sim de promover conexões reais e reduzir confusões sobre a disponibilidade para colaborações presenciais.

O navegador OpenAI Atlas, recém-lançado, foi identificado como vulnerável a um ataque de injeção de prompt, onde um prompt malicioso pode ser disfarçado como um URL aparentemente inofensivo. Segundo um relatório da NeuralTrust, o omnibox do navegador, que combina a barra de endereço e de busca, interpreta entradas como URLs ou comandos em linguagem natural. Isso permite que um atacante crie um link que, ao ser inserido, faz com que o navegador execute instruções prejudiciais. Por exemplo, um URL malformado pode redirecionar o usuário para um site controlado pelo atacante, potencialmente levando a páginas de phishing ou até comandos que excluem arquivos de aplicativos conectados, como o Google Drive. A falta de distinção rigorosa entre entradas de usuário confiáveis e conteúdo não confiável no Atlas é uma falha crítica. A situação é agravada por técnicas como o ‘AI Sidebar Spoofing’, onde extensões maliciosas podem enganar usuários a fornecer dados ou instalar malware. Embora a OpenAI tenha implementado medidas de segurança, a injeção de prompt continua a ser um problema de segurança não resolvido, exigindo atenção contínua da indústria de cibersegurança.

A unidade de resposta a ameaças da eSentire (TRU) identificou três grupos distintos de ameaças que estão utilizando a ferramenta de administração remota NetSupport Manager através de campanhas de engenharia social sofisticadas conhecidas como ClickFix. Essa abordagem representa uma mudança significativa em relação aos métodos anteriores de entrega de atualizações falsas. Os atacantes manipulam as vítimas por meio de páginas de acesso inicial ClickFix, levando-as a executar comandos maliciosos diretamente no Prompt de Execução do Windows. O loader mais comum observado é baseado em PowerShell e utiliza blobs codificados em base64 para decodificar componentes do NetSupport, criando diretórios ocultos e estabelecendo persistência no sistema. Além disso, uma nova variante de PowerShell foi identificada, que apaga valores do registro para eliminar evidências de execução. A análise de tráfego de rede revelou comunicação com servidores de conectividade do NetSupport, e a TRU lançou uma ferramenta automatizada no GitHub para ajudar pesquisadores de segurança a extrair configurações embutidas. As campanhas foram agrupadas em três clusters, sendo a EVALUSION a mais sofisticada, operando em várias regiões e utilizando diferentes variações de licença. As equipes de segurança são aconselhadas a desabilitar o Prompt de Execução do Windows e implementar programas de treinamento em segurança para combater essas técnicas de engenharia social.

Um novo projeto de cabos submarinos, conhecido como Kardesa, está programado para iniciar a construção em 2027 e promete conectar Bulgária, Geórgia, Turquia e Ucrânia, evitando as águas russas. Este projeto visa criar um corredor digital independente entre a Europa e a Ásia, em resposta a preocupações com a segurança das infraestruturas de telecomunicações, especialmente após incidentes recentes no Mar Vermelho que mostraram a fragilidade das redes submarinas. Atualmente, apenas um cabo atravessa o Mar Negro, o que torna a nova rota uma alternativa estratégica. A diversificação de rotas é vista como uma prioridade, com países investindo em sistemas para detectar e prevenir sabotagens. No entanto, a ideia de que evitar a Rússia tornará automaticamente a internet mais segura é questionável, já que a Ucrânia, onde parte do cabo passará, ainda é uma zona de incerteza. Além disso, a proteção física não elimina o risco de intrusões cibernéticas. Se bem-sucedido, o Kardesa pode mudar a percepção da Europa sobre a independência digital.

O aumento do uso de Inteligência Artificial (IA), especialmente em chatbots como ChatGPT, Gemini e Claude, trouxe à tona novas vulnerabilidades. Pesquisadores do Instituto Alan Turing e da Anthropic identificaram uma técnica chamada ’envenenamento de IA’, onde apenas 250 arquivos maliciosos podem comprometer o aprendizado de um modelo de dados. Isso resulta em chatbots que aprendem informações erradas, levando a respostas incorretas ou até maliciosas. Existem dois tipos principais de envenenamento: o direto, que altera respostas específicas, e o indireto, que prejudica a performance geral. Um exemplo de ataque direto é o backdoor, onde o modelo é manipulado para responder de forma errada ao detectar um código específico. Já o ataque indireto envolve a criação de informações falsas que o modelo replica como verdade. Em março de 2023, a OpenAI suspendeu temporariamente o ChatGPT devido a um bug que expôs dados de usuários. Além disso, artistas têm utilizado dados envenenados como uma forma de proteger suas obras contra sistemas de IA que as utilizam sem autorização. Essa situação levanta preocupações sobre a segurança e a integridade dos sistemas de IA, especialmente em um cenário onde a desinformação pode ter consequências graves.

Hackers estão explorando chaves de máquina ASP.NET expostas para injetar um módulo malicioso sofisticado conhecido como “HijackServer” em servidores do Internet Information Services (IIS). Essa vulnerabilidade, que afeta centenas de servidores web globalmente, permite a execução remota de código e compromete a segurança de organizações de todos os tamanhos. Os atacantes identificam aplicações ASP.NET com chaves fracas ou publicamente divulgadas, o que facilita a manipulação do viewstate e a execução de código arbitrário no servidor. Uma vez dentro, eles utilizam técnicas de escalonamento de privilégios para obter controle administrativo e implantam ferramentas de acesso remoto. O HijackServer, um módulo nativo do IIS, não apenas serve como uma porta dos fundos não autenticada, mas também gera páginas de investimento falsas para enganar usuários. Os administradores são aconselhados a rotacionar suas chaves de máquina ASP.NET e a monitorar seus ambientes IIS em busca de módulos suspeitos, uma vez que a exposição de segredos pode deixar as organizações vulneráveis, mesmo que as falhas sejam corrigidas.

Um novo relatório do Google Threat Intelligence Group (GTIG) revelou uma campanha cibernética de criminosos vietnamitas, identificada como UNC6229, que utiliza anúncios de emprego falsos para comprometer profissionais de marketing digital e sequestrar contas corporativas de publicidade. Os atacantes empregam táticas avançadas de engenharia social e entrega de malware, infiltrando-se em ambientes empresariais através de dispositivos pessoais e credenciais online das vítimas.

Os golpistas publicam vagas fraudulentas em plataformas legítimas, como LinkedIn, e em sites controlados por eles, atraindo candidatos desavisados. Após a aplicação, coletam informações pessoais que são utilizadas para ataques de phishing personalizados ou distribuição de malware. As técnicas incluem o envio de arquivos ZIP protegidos por senha que, ao serem abertos, instalam trojans de acesso remoto (RATs) ou redirecionam as vítimas para portais de login falsos que imitam serviços corporativos, capturando credenciais mesmo com autenticação multifatorial.

O grupo de ameaças Vault Viper, recentemente identificado pela Infoblox Threat Intelligence, está focado na indústria de apostas online na Ásia, utilizando um navegador personalizado para distribuir malware. O navegador, chamado Universe Browser, é uma versão modificada do Chromium, promovida como uma solução de privacidade para apostadores, permitindo o acesso a plataformas de apostas em países onde o jogo é ilegal. No entanto, análises técnicas revelam que o navegador possui características de malware, como o redirecionamento de tráfego por servidores proxy controlados pelos atacantes e a instalação de programas persistentes em segundo plano.

No dia 24 de outubro de 2025, a Microsoft divulgou atualizações de segurança fora do ciclo regular para corrigir uma vulnerabilidade crítica no Windows Server Update Service (WSUS), identificada como CVE-2025-59287, com uma pontuação CVSS de 9.8. Essa falha permite a execução remota de código e já está sendo explorada ativamente na natureza, com um exploit de prova de conceito (PoC) disponível publicamente. A vulnerabilidade resulta da desserialização insegura de dados não confiáveis, permitindo que um atacante não autenticado execute código remotamente. A Microsoft recomenda que os administradores de sistemas instalem a atualização imediatamente e realizem uma reinicialização do sistema. Como medidas temporárias, é aconselhável desativar o papel do servidor WSUS e bloquear o tráfego nas portas 8530 e 8531. A situação é crítica, pois o Centro Nacional de Segurança Cibernética da Holanda relatou que a exploração da vulnerabilidade foi observada no mesmo dia do anúncio. A CISA dos EUA também incluiu essa falha em seu catálogo de vulnerabilidades exploradas, exigindo que agências federais a remediem até 14 de novembro de 2025.

Uma nova pesquisa da Palo Alto Networks revela que um grupo ligado à China, conhecido como Smishing Triad, está por trás de uma campanha de smishing em larga escala, que já registrou mais de 194 mil domínios maliciosos desde janeiro de 2024. Esses domínios, registrados por meio de um registrador baseado em Hong Kong, utilizam servidores de nomes chineses, mas a infraestrutura de ataque está predominantemente hospedada em serviços de nuvem dos EUA. A campanha visa enganar usuários com mensagens fraudulentas sobre violações de pedágio e entregas de pacotes, levando-os a fornecer informações sensíveis. Nos últimos três anos, os atacantes conseguiram lucrar mais de 1 bilhão de dólares. Além disso, a pesquisa indica um aumento significativo no uso de kits de phishing para atacar contas de corretoras, com um crescimento de cinco vezes no segundo trimestre de 2025 em comparação ao ano anterior. A análise também mostra que a maioria dos domínios tem uma vida útil curta, o que sugere uma estratégia de evasão de detecção. O USPS é o serviço mais imitado, com 28.045 domínios dedicados a fraudes. Essa campanha representa uma ameaça global e descentralizada, exigindo atenção urgente das organizações.

A Microsoft lançou um patch de segurança crítico para corrigir uma vulnerabilidade grave de execução remota de código (RCE) no Windows Server Update Services (WSUS), identificada como CVE-2025-59287. Essa falha representa uma ameaça imediata para organizações que gerenciam atualizações do Windows em sua infraestrutura, com uma pontuação máxima de 9.8 no CVSS, o que a classifica como crítica. A vulnerabilidade se origina na forma como o WSUS lida com a desserialização de dados não confiáveis, permitindo que atacantes executem código arbitrário sem necessidade de autenticação ou interação do usuário. Um invasor com acesso à rede de um servidor WSUS pode executar comandos com os mesmos privilégios da conta de serviço do WSUS, comprometendo completamente a infraestrutura de atualização e potencialmente afetando milhares de sistemas conectados. Dada a facilidade de exploração e o alto impacto, a Microsoft recomenda que as organizações apliquem o patch imediatamente e revisem a topologia de implantação do WSUS para limitar o alcance de possíveis ataques. A situação exige atenção urgente de administradores de sistemas e equipes de segurança de TI em todo o mundo.

Uma nova ameaça cibernética chamada RedTiger está circulando, visando gamers em todo o mundo, especialmente aqueles que utilizam o Discord. Este infostealer foi projetado para roubar credenciais do Discord, contas de jogos e informações financeiras sensíveis. Inicialmente, RedTiger era uma ferramenta legítima de red-teaming lançada em 2024, mas agora foi adaptada por cibercriminosos para fins maliciosos. O malware injeta código malicioso diretamente no aplicativo Discord, além de coletar senhas salvas no navegador, informações de cartões de pagamento e credenciais de carteiras de criptomoedas. O RedTiger utiliza um processo de roubo de dados em duas etapas, enviando as informações roubadas para um serviço de armazenamento em nuvem, o que dificulta a rastreabilidade dos atacantes. Com mecanismos de persistência sofisticados, o malware pode reiniciar automaticamente após a inicialização do sistema, garantindo acesso contínuo ao dispositivo infectado. A natureza de código aberto do RedTiger permite que qualquer um modifique a ferramenta, criando variações que dificultam a detecção por softwares antivírus. Diante disso, é crucial que os gamers adotem práticas de segurança, como evitar downloads de fontes não confiáveis e utilizar senhas fortes e únicas.

Pesquisadores de segurança da Proofpoint desenvolveram uma ferramenta inovadora de código aberto chamada PDF Object Hashing, que auxilia equipes de segurança na detecção e rastreamento de arquivos maliciosos disfarçados como documentos PDF. Disponível no GitHub, essa ferramenta representa um avanço significativo na identificação de documentos suspeitos frequentemente utilizados em campanhas de phishing, distribuição de malware e ataques de comprometimento de e-mail corporativo.

Os PDFs se tornaram a escolha preferida dos cibercriminosos, pois parecem legítimos para os usuários comuns. Os atacantes frequentemente enviam PDFs contendo URLs maliciosas, códigos QR ou informações bancárias falsas para enganar as pessoas. No entanto, ferramentas de segurança tradicionais costumam falhar em detectar essas ameaças, uma vez que os PDFs podem ser modificados de várias maneiras, mantendo a aparência idêntica para os usuários.