O SpamGPT é uma nova ferramenta de cibercrime que utiliza inteligência artificial para automatizar campanhas de phishing e ransomware, tornando esses ataques mais simples e eficientes. Desenvolvido para criminosos, o SpamGPT oferece uma interface semelhante a painéis de marketing legítimos, permitindo que até mesmo indivíduos com pouca experiência técnica possam criar, agendar e monitorar operações de spam em larga escala. A plataforma integra ferramentas de IA que geram conteúdo convincente para phishing, otimizam linhas de assunto e sugerem melhorias para os golpes, transformando o phishing em um processo acessível a criminosos de baixo nível.

O mercado de VPNs gratuitas enfrenta uma crise, com um aumento na demanda levando a uma proliferação de aplicativos inseguros e fraudulentos. Muitos desses serviços são desenvolvidos por atores mal-intencionados que monetizam dados dos usuários através de anúncios invasivos ou, em casos extremos, espalham malware. O EventVPN, criado pela ExpressVPN, surge como uma alternativa, oferecendo acesso gratuito e ilimitado sem comprometer a privacidade do usuário. Ao contrário de outros serviços freemium que limitam o uso ou oferecem recursos básicos, o EventVPN combina uma infraestrutura de VPN premium com um modelo de anúncios que prioriza a privacidade. Utilizando sistemas de publicidade da Apple, o EventVPN promete desvincular os dados do usuário do processo de publicidade, permitindo que os usuários desfrutem de recursos como streaming seguro e suporte a P2P sem restrições de largura de banda. Embora a experiência do usuário inclua anúncios, há a opção de um plano premium que elimina esses anúncios. A proposta é inovadora, mas ainda resta saber se conseguirá realmente transformar o mercado de VPNs gratuitas, que atualmente carece de qualidade e segurança.

A HBO confirmou a quinta temporada de ‘Hacks’ em 27 de maio de 2025, e a atriz Hannah Einbinder anunciou que será a última da série. A produção, que já conquistou múltiplos prêmios Emmy, traz de volta as protagonistas Deborah Vance e Ava, que retornarão aos Estados Unidos após uma passagem por Cingapura. A trama promete explorar a reinvenção de Deborah e a reescrita de seu legado na comédia, especialmente após um incidente de obituário falso que a deixou furiosa. A filmagem da nova temporada está programada para começar em setembro de 2025, e embora não haja uma data de lançamento oficial, as temporadas anteriores foram lançadas entre abril e maio, sugerindo que a quinta pode seguir esse padrão. Os criadores da série, Lucia Aniello, Paul W. Downs e Jen Statsky, indicaram que estão escrevendo para um final na quinta temporada, mas ainda não descartaram a possibilidade de continuar a história. O elenco principal, incluindo Jean Smart e Hannah Einbinder, está confirmado, e há especulações sobre a possibilidade de um spin-off focado em Kayla, uma das personagens secundárias. A expectativa é alta entre os fãs, que aguardam ansiosamente por mais detalhes sobre a trama e o lançamento da temporada final.

Pesquisadores de cibersegurança revelaram uma falha de zero-click no agente Deep Research do ChatGPT da OpenAI, que pode permitir que um atacante vaze dados sensíveis da caixa de entrada do Gmail com um único e-mail malicioso, sem qualquer ação do usuário. Nomeado de ShadowLeak, o ataque utiliza injeções de prompt indiretas escondidas em HTML de e-mails, como texto branco sobre fundo branco, para que o usuário não perceba as instruções. Quando o usuário solicita ao ChatGPT que analise seus e-mails, o agente pode ser induzido a extrair informações pessoais e enviá-las para um servidor externo. Essa vulnerabilidade é particularmente preocupante, pois ocorre diretamente na infraestrutura em nuvem da OpenAI, contornando defesas locais e corporativas. O ataque pode ser ampliado para outros conectores suportados pelo ChatGPT, como Dropbox e Google Drive. Além disso, a pesquisa também destaca como o ChatGPT pode ser manipulado para resolver CAPTCHAs, evidenciando a necessidade de integridade de contexto e monitoramento contínuo. A OpenAI já abordou a questão em agosto de 2025, após a divulgação responsável do problema em junho do mesmo ano.

Pesquisadores de cibersegurança da SentinelOne apresentaram no LABScon 2025 a descoberta do MalTerminal, um malware que incorpora capacidades de Modelos de Linguagem de Grande Escala (LLMs). Este malware, que utiliza a API do OpenAI GPT-4, é capaz de gerar dinamicamente códigos de ransomware ou shells reversos. Embora não haja evidências de que tenha sido utilizado em ataques reais, sua existência representa um marco na evolução das técnicas de ataque, com a introdução de malwares que podem gerar lógica maliciosa em tempo real. Além disso, a pesquisa revelou que criminosos cibernéticos estão utilizando prompts ocultos em e-mails de phishing para enganar scanners de segurança baseados em IA, aumentando a eficácia desses ataques. O uso de ferramentas de IA generativa por cibercriminosos está se tornando uma tendência preocupante, com um aumento nas campanhas de engenharia social que exploram plataformas de hospedagem de sites para criar páginas de phishing. Esse cenário exige atenção redobrada das empresas, especialmente em relação à segurança de suas comunicações eletrônicas e à proteção de dados sensíveis.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.

Em 2025, a Google lançou sua sexta atualização de segurança para o Chrome, corrigindo uma vulnerabilidade zero-day identificada como CVE-2025-10585. Essa falha, considerada severa, é resultado de uma confusão na tipagem do motor JavaScript V8 do navegador. Embora a empresa não tenha confirmado que a falha esteja sendo ativamente explorada, a existência de uma vulnerabilidade pública sugere que hackers podem estar tentando aproveitá-la. As atualizações anteriores, lançadas entre março e julho, abordaram diversas falhas, incluindo problemas de segurança na proteção sandbox e vulnerabilidades que permitiam o roubo de contas. Uma das falhas corrigidas em março foi utilizada em ataques de espionagem contra jornalistas e organizações na Rússia. A nova versão do Chrome, que inclui a correção, já está disponível para Windows, Mac e Linux, e a Google mantém detalhes sobre os bugs em sigilo até que a maioria dos usuários tenha aplicado a atualização. A situação destaca a importância de manter o navegador atualizado para garantir a segurança dos usuários.

Um grupo de espionagem cibernética vinculado ao Irã, conhecido como UNC1549, está por trás de uma nova campanha que visa empresas de telecomunicações na Europa. A empresa suíça de cibersegurança PRODAFT identificou que o grupo infiltrou 34 dispositivos em 11 organizações localizadas em países como Canadá, França, Emirados Árabes Unidos, Reino Unido e Estados Unidos. Os atacantes se disfarçam como representantes de recursos humanos em plataformas como o LinkedIn, utilizando uma abordagem de recrutamento falsa para enganar funcionários e instalar um backdoor chamado MINIBIKE. Este malware permite a coleta de dados sensíveis, como credenciais do Outlook e informações de navegação. A campanha é caracterizada por um planejamento meticuloso, onde os atacantes realizam reconhecimento extensivo para identificar alvos com acesso elevado a sistemas críticos. Além disso, a operação é apoiada por técnicas avançadas de ofuscação e comunicação, utilizando serviços legítimos de nuvem para evitar detecções. O grupo UNC1549, ativo desde pelo menos junho de 2022, é associado à Guarda Revolucionária Islâmica do Irã e tem como objetivo a coleta de dados estratégicos para espionagem de longo prazo.

Em um recente encontro em São Paulo, Sandra Joyce, VP de Inteligência de Ameaças do Google, destacou que o Brasil se tornou um alvo atrativo para criminosos digitais devido ao seu ambiente financeiro em crescimento e à digitalização. O relatório M-Trends 2025 revelou que o setor financeiro foi o mais atacado globalmente em 2024, representando 17,4% dos incidentes. Os três principais tipos de ataques identificados no Brasil incluem ransomware, malware e golpes financeiros. O ransomware, que sequestra dados e exige resgates, afeta especialmente hospitais. Já o malware, como infostealers, rouba credenciais e informações pessoais, que são vendidas em mercados clandestinos. Além disso, fraudes financeiras relacionadas a bancos e criptomoedas estão em alta. Sandra enfatizou a importância de práticas de segurança, como autenticação multifator e atualizações rápidas de software, para mitigar riscos. O Google também está intensificando a segurança no Android, bloqueando aplicativos de desenvolvedores não confiáveis, uma medida crucial para proteger os usuários brasileiros, que são frequentemente alvos de aplicativos fraudulentos. A vigilância constante e a adoção de soluções de segurança modernas são essenciais para enfrentar essas ameaças.

Uma colaboração entre a Microsoft e a Cloudflare resultou na desarticulação de uma operação de phishing conhecida como RaccoonO365, que vendia ferramentas para roubo de credenciais do Microsoft 365. A operação, realizada em setembro de 2025, levou ao controle de 338 sites e contas associadas ao grupo hacker Storm-2246, que desde julho de 2024 havia comprometido pelo menos 5.000 credenciais de usuários em 94 países. Os atacantes utilizavam kits de phishing que combinavam páginas de CAPTCHA e técnicas antibot para simular legitimidade e evitar a detecção. Uma campanha específica focada em impostos atingiu 2.300 organizações nos EUA, resultando em tentativas de fraude financeira e extorsão. O grupo operava principalmente via Telegram, oferecendo pacotes de phishing a preços que variavam de US$ 335 a US$ 999, pagos em criptomoedas. A operação revelou que o líder do grupo, Joshua Ogundipe, residente na Nigéria, tinha um histórico em programação e foi identificado como o principal responsável pelos códigos maliciosos. A Microsoft estima que o grupo arrecadou cerca de US$ 100 mil em criptomoedas até o momento, e as autoridades internacionais já foram notificadas sobre as acusações contra Ogundipe.

Duas prisões foram realizadas no Reino Unido, incluindo a de Thalha Jubair, de 19 anos, acusado de participar de uma operação de ransomware que resultou em mais de 115 milhões de dólares em pagamentos de resgate. O grupo Scattered Spider, do qual Jubair faz parte, é responsável por pelo menos 120 invasões em redes de computadores em todo o mundo, afetando 47 entidades nos Estados Unidos, incluindo empresas Fortune 500 e sistemas de infraestrutura crítica. Os ataques foram caracterizados pelo uso de técnicas de engenharia social para obter acesso não autorizado e criptografar sistemas, exigindo resgates substanciais para restaurar a funcionalidade. As autoridades destacaram a colaboração internacional entre agências de segurança, incluindo o FBI e a National Crime Agency do Reino Unido, que resultou na apreensão de mais de 36 milhões de dólares em criptomoedas ligadas aos ataques. Se condenado, Jubair pode enfrentar até 95 anos de prisão. Este caso ressalta a crescente ameaça de cibercriminosos e a necessidade de uma resposta coordenada entre países para combater o crime cibernético.

A Tiffany & Company, renomada marca de joias de luxo, confirmou um vazamento de dados que afetou 2.590 clientes nos Estados Unidos. O incidente, que envolveu o acesso não autorizado a um sistema externo, foi descoberto em 9 de setembro de 2025, mas remonta a uma violação ocorrida em 12 de maio de 2025. A notificação enviada ao Procurador Geral de Maine revelou que hackers conseguiram extrair identificadores pessoais, incluindo nomes e outros dados sensíveis dos clientes. Embora a empresa tenha garantido que informações financeiras, como números de contas e cartões de pagamento, não foram comprometidas, a falta de detalhes sobre quais identificadores foram obtidos levanta preocupações. A Tiffany não ofereceu serviços de proteção contra roubo de identidade, mas está realizando uma investigação interna e contratou especialistas em cibersegurança para reforçar seus sistemas. A empresa implementou medidas como a redefinição de senhas e a autenticação multifatorial para prevenir futuros incidentes. Além disso, alertou os clientes sobre a vigilância contra tentativas de phishing e recomendou o uso de ferramentas gratuitas de monitoramento de crédito. A situação destaca a crescente vulnerabilidade de marcas de luxo a ataques cibernéticos e a importância da proteção da privacidade do cliente.

Uma falha crítica foi identificada no motor de templates Jinjava, mantido pela HubSpot, que permite a execução remota de código (RCE) em milhares de sites. A vulnerabilidade explora a integração do ObjectMapper do Jinjava, possibilitando a desserialização de entradas controladas por atacantes em classes Java arbitrárias, apesar das salvaguardas existentes. Pesquisadores alertam que, sem correções imediatas, milhões de páginas que dependem do Jinjava para conteúdo dinâmico estão em risco de comprometimento total do sistema.

Desde janeiro de 2025, a Trend Micro identificou um aumento significativo em campanhas de phishing que utilizam plataformas de desenvolvimento impulsionadas por IA, como Lovable.app, Netlify.app e Vercel.app, para hospedar páginas falsas de CAPTCHA. Os atacantes aproveitam os níveis gratuitos de hospedagem e a credibilidade dessas plataformas para criar armadilhas sofisticadas que conseguem evitar a detecção de scanners automáticos. Os e-mails de phishing frequentemente apresentam temas urgentes, como ‘Redefinição de Senha Necessária’ ou ‘Notificação de Mudança de Endereço do USPS’. Ao clicar nos links, os usuários são levados a uma interface de CAPTCHA que parece legítima, mas que, na verdade, redireciona silenciosamente para sites que coletam credenciais, como Microsoft 365 e Google Workspace. A Trend Micro observou que a atividade aumentou entre fevereiro e abril, coincidindo com a adoção crescente do trabalho remoto, e novamente em agosto. Para combater essas táticas, as organizações devem implementar medidas de segurança avançadas e treinar os funcionários para reconhecer sinais de phishing, especialmente em relação a prompts de CAPTCHA. A combinação de controles técnicos e vigilância informada dos usuários é essencial para mitigar esses riscos.

As ferramentas de Orquestração, Automação e Resposta em Segurança (SOAR) estão transformando a forma como as organizações enfrentam ameaças cibernéticas, otimizando fluxos de trabalho de segurança e automatizando respostas a incidentes. Em um cenário de superfícies de ataque complexas e fadiga de alertas, as soluções SOAR permitem que as equipes de segurança respondam mais rapidamente, reduzam a carga de trabalho manual e mantenham a conformidade em ambientes híbridos. Este guia abrangente analisa as 10 principais plataformas SOAR, destacando especificações, recursos únicos, prós e contras, além de razões práticas para adoção.

O artigo destaca uma nova funcionalidade da plataforma Tines, que oferece mais de 1.000 fluxos de trabalho pré-construídos para equipes de segurança. Um dos fluxos de trabalho em destaque automatiza o manuseio de alertas de segurança, utilizando agentes de IA para identificar e executar Procedimentos Operacionais Padrão (SOPs) relevantes armazenados no Confluence. Esse processo visa resolver o problema da triagem manual de alertas, que é demorado e suscetível a erros humanos. Com a automação, as equipes podem responder mais rapidamente e de forma consistente, reduzindo o tempo médio de remediação (MTTR) e melhorando a documentação das ações tomadas. O fluxo de trabalho é configurável e pode ser integrado a diversas ferramentas de segurança, como CrowdStrike e Slack, permitindo uma resposta coordenada e eficiente a incidentes. O guia também fornece instruções passo a passo para a implementação do fluxo de trabalho, tornando-o acessível para as equipes de segurança que buscam otimizar suas operações.

Um novo relatório da Netcraft revela que as ofertas de Phishing-as-a-Service (PhaaS), como Lighthouse e Lucid, estão associadas a mais de 17.500 domínios de phishing que visam 316 marcas em 74 países. Esses serviços operam com uma taxa mensal e oferecem kits de phishing com templates que imitam diversas marcas. O grupo XinXin, de língua chinesa, é apontado como o responsável por essas operações, utilizando também outros kits como Darcula. As campanhas de phishing são altamente personalizadas, permitindo que apenas alvos específicos acessem os links fraudulentos, enquanto usuários não-alvo são redirecionados para páginas genéricas. Além disso, houve um aumento de 25% nos ataques de phishing via e-mail, com criminosos utilizando serviços como EmailJS para coletar credenciais. A pesquisa também destaca o uso de domínios semelhantes, como ataques homoglíficos, que enganam usuários ao imitar URLs legítimas. Recentemente, marcas americanas foram alvo de fraudes que prometiam ganhos financeiros em troca de depósitos em criptomoedas. Este cenário evidencia a evolução e a colaboração entre grupos de cibercriminosos, tornando a detecção e mitigação de tais ameaças cada vez mais desafiadoras.

A Fortra divulgou uma vulnerabilidade crítica no software GoAnywhere Managed File Transfer (MFT), identificada como CVE-2025-10035, que possui uma pontuação CVSS de 10.0, indicando sua gravidade máxima. Essa falha de deserialização no License Servlet permite que um ator malicioso, com uma assinatura de resposta de licença forjada, deserialize um objeto controlado por ele, potencialmente levando à injeção de comandos. A exploração bem-sucedida dessa vulnerabilidade depende do sistema estar acessível publicamente pela internet. A Fortra recomenda que os usuários atualizem para a versão corrigida 7.8.4 ou a Sustained Release 7.6.3 para se proteger contra ameaças potenciais. Caso a atualização imediata não seja viável, é aconselhável restringir o acesso ao GoAnywhere Admin Console. Embora a Fortra não tenha relatado exploração ativa da falha, vulnerabilidades anteriores no mesmo produto foram utilizadas por grupos de ransomware, como o LockBit, para roubar dados sensíveis. A exposição de milhares de instâncias do GoAnywhere MFT à internet torna a situação crítica, e as organizações devem aplicar os patches oficiais imediatamente e restringir o acesso externo ao console administrativo.

Um novo relatório da Black Lotus Labs, da Lumen Technologies, revela a existência de uma rede de proxies chamada REM Proxy, que é alimentada pelo malware SystemBC. Este malware transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas adicionais. A REM Proxy é uma rede significativa, oferecendo cerca de 20.000 roteadores Mikrotik e uma variedade de proxies abertos disponíveis online. O SystemBC, documentado pela primeira vez em 2019, tem como alvo tanto sistemas Windows quanto Linux, e sua variante para Linux é utilizada principalmente para atacar redes corporativas e dispositivos IoT. A botnet é composta por mais de 80 servidores C2 e cerca de 1.500 vítimas diárias, com 80% delas sendo sistemas de servidores privados virtuais (VPS) comprometidos. A maioria dos servidores afetados apresenta várias vulnerabilidades conhecidas, com uma média de 20 CVEs não corrigidas por vítima. O malware é utilizado por grupos criminosos para realizar atividades maliciosas, como a força bruta de credenciais de sites WordPress, com o objetivo de vender essas credenciais em fóruns underground. O relatório destaca a resiliência operacional do SystemBC, que se estabeleceu como uma ameaça persistente no cenário de cibersegurança.

Uma análise recente da empresa de inteligência em ameaças KELA revelou paralelos operacionais significativos entre dois grupos cibernéticos ligados ao Iémen: o recém-surgido Belsen Group e o mais estabelecido ZeroSevenGroup. Embora não haja provas definitivas de liderança compartilhada, as táticas, técnicas e procedimentos (TTPs) sobrepostos sugerem uma possível afiliação ou atividade coordenada. Em janeiro de 2025, o Belsen Group publicou 1,6 GB de dados sensíveis de dispositivos Fortinet FortiGate, incluindo endereços IP e credenciais de VPN de mais de 15.000 aparelhos vulneráveis, explorando uma vulnerabilidade crítica (CVE-2022-40684) que foi corrigida em outubro de 2022. O grupo começou a vender acesso a redes corporativas, visando vítimas na África, EUA e Ásia. Por sua vez, o ZeroSevenGroup, que surgiu em julho de 2024, também se destacou por suas operações de exfiltração de dados, incluindo um ataque à Toyota. Ambos os grupos utilizam formatos de postagem semelhantes e hashtags comuns, indicando uma possível colaboração. A análise sugere que a infraestrutura operacional entre os dois grupos pode ser mais interligada do que se pensava anteriormente.

A SolarWinds emitiu um aviso urgente em resposta a um incidente de violação de dados que afetou clientes da Salesforce, relacionado a tokens OAuth comprometidos da integração Salesloft Drift. Os atacantes conseguiram acessar informações sensíveis de várias contas da Salesforce, explorando uma falha no processo de autenticação OAuth. Embora a SolarWinds não utilize essa integração e, portanto, não tenha sido diretamente impactada, a empresa tratou o incidente como uma preocupação de segurança prioritária, reforçando seus protocolos internos. A investigação interna da SolarWinds confirmou que não havia tokens OAuth da Salesloft Drift em sua infraestrutura, e a empresa não encontrou evidências de acesso não autorizado. Para aumentar a segurança, a SolarWinds implementou ferramentas adicionais de monitoramento e está acelerando sua iniciativa de zero-trust, exigindo autenticação multifatorial em pontos de acesso críticos. O incidente destaca a necessidade de práticas de segurança vigilantes em todas as integrações na cadeia de suprimentos digital.

O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.

Pesquisadores descobriram uma vulnerabilidade crítica de zero-click no agente Deep Research do ChatGPT, que permite a atacantes exfiltrar dados sensíveis do Gmail sem qualquer interação do usuário. Essa falha, que opera inteiramente nos servidores da OpenAI, contorna as defesas de segurança tradicionais ao utilizar técnicas de exfiltração do lado do serviço. O mecanismo de roubo de dados ocorre quando um e-mail aparentemente inocente, contendo instruções HTML ocultas, é enviado para a caixa de entrada da vítima. Quando o agente processa os e-mails, ele executa esses comandos invisíveis, coletando dados pessoais e transmitindo-os para servidores controlados pelos atacantes. Essa vulnerabilidade representa uma evolução perigosa de ataques, passando de métodos do lado do cliente para ataques do lado do serviço, criando uma lacuna de segurança para organizações que utilizam agentes de IA. As empresas que integram o Deep Research com serviços de e-mail devem reavaliar as permissões do agente e implementar monitoramento adicional das solicitações de saída. Até que um patch seja lançado, restringir o acesso do agente a caixas de entrada sensíveis pode ajudar a mitigar os riscos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma campanha de malware sofisticada que explora duas vulnerabilidades recentemente divulgadas no Ivanti Endpoint Manager Mobile (EPMM). As falhas, identificadas como CVE-2025-4427 e CVE-2025-4428, permitem a execução remota de código não autenticado em servidores EPMM locais. Os atacantes utilizam requisições HTTP GET manipuladas para injetar segmentos de código malicioso, contornando defesas baseadas em assinatura. A CISA recomenda que as organizações atualizem imediatamente suas versões do Ivanti EPMM, tratem os sistemas de gerenciamento de dispositivos móveis como ativos de alto valor e implementem regras de detecção para identificar atividades suspeitas. A análise da CISA inclui regras YARA e SIGMA para ajudar na identificação de artefatos maliciosos e comportamentos anômalos. A vigilância contínua e a gestão rápida de patches são essenciais para mitigar essa ameaça ativa.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre duas famílias de malware encontradas na rede de uma organização não identificada, após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). As falhas exploradas, CVE-2025-4427 e CVE-2025-4428, permitiram que atacantes contornassem a autenticação e executassem código remotamente. A primeira vulnerabilidade permite o acesso a recursos protegidos, enquanto a segunda possibilita a execução de código arbitrário. Os atacantes conseguiram acessar o servidor EPMM em meados de maio de 2025, utilizando um exploit de prova de conceito. Após a invasão, foram implantados dois conjuntos de arquivos maliciosos que garantiram a persistência e a execução de código arbitrário. Esses arquivos manipulam requisições HTTP para decodificar e executar cargas úteis maliciosas. Para se proteger, as organizações devem atualizar suas instâncias para a versão mais recente e monitorar atividades suspeitas.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.

As plataformas de Teste de Segurança de Aplicações Dinâmicas (DAST) são ferramentas essenciais para equipes de segurança de empresas modernas, permitindo a identificação de vulnerabilidades em aplicações web durante a execução. Com a crescente adoção da transformação digital e soluções nativas da nuvem, é crucial que as organizações utilizem DAST robustas para proteger ativos críticos contra técnicas de ataque em evolução. Este guia avalia as 10 principais plataformas DAST para 2025, considerando fatores como confiabilidade, precisão, escalabilidade e integração. As soluções DAST são fundamentais para pipelines DevSecOps, oferecendo avaliação automatizada de vulnerabilidades em aplicações web, APIs e microserviços. O artigo destaca a importância de incorporar a automação de segurança em todas as etapas do desenvolvimento de aplicações web, enfatizando que apenas as melhores soluções DAST conseguem ajudar as empresas a se manterem resilientes, com detecções precisas e baixa taxa de falsos positivos. As plataformas analisadas foram selecionadas com base em desempenho técnico, capacidade de integração e suporte ao fluxo de trabalho dos desenvolvedores, fornecendo um recurso confiável para líderes de segurança focados em reduzir riscos em 2025.

A Medical Associates of Brevard, localizada em Melbourne, Flórida, confirmou um vazamento de dados que afetou 246.711 pessoas. O incidente, ocorrido em janeiro de 2025, expôs informações sensíveis, incluindo números de Seguro Social, dados de tratamento médico, informações de seguro saúde, dados financeiros, datas de nascimento e números de identificação emitidos pelo estado. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, alegando ter roubado dados contábeis, de recursos humanos, registros pessoais e de saúde, além de correspondências por e-mail. Embora a Medical Associates of Brevard tenha notificado os afetados e oferecido 12 meses de monitoramento de crédito gratuito, a empresa não confirmou se pagou um resgate ou como a rede foi comprometida. Este ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, onde 37 ataques foram confirmados desde o início do ano. O incidente levanta preocupações sobre a segurança de dados em instituições de saúde, que frequentemente lidam com informações altamente sensíveis.

A Samsung lançou um patch para corrigir uma vulnerabilidade zero-day, identificada como CVE-2025-21043, que afeta celulares Android da marca rodando Android 13 ou superior. A falha foi reportada pelas equipes da Meta e do WhatsApp em 13 de agosto de 2025 e permite que hackers executem código malicioso remotamente em dispositivos vulneráveis. A vulnerabilidade está relacionada a uma biblioteca de análise de imagens desenvolvida pela Quramsoft, que é utilizada em diversos aplicativos, incluindo o WhatsApp. Embora a Samsung não tenha especificado se os ataques afetaram apenas usuários do WhatsApp, a possibilidade de outros aplicativos de mensagem serem vulneráveis também foi levantada. A empresa recomendou que os usuários atualizem seus dispositivos e realizem uma reinicialização para as configurações de fábrica. Além disso, pesquisadores notaram que hackers começaram a explorar uma vulnerabilidade semelhante em servidores MagicINFO 9 da Samsung, utilizados em ambientes como aeroportos e hospitais. A correção da falha é crucial para proteger os usuários contra potenciais ataques que podem comprometer a segurança de seus dados e dispositivos.

Uma significativa campanha de fraudes publicitárias, denominada SlopAds, foi desmantelada pela Google após a identificação de 224 aplicativos maliciosos na Play Store. Esses aplicativos, que foram baixados mais de 38 milhões de vezes globalmente, eram capazes de gerar até 2,3 milhões de pedidos de publicidade diariamente. A equipe de segurança Satori Threat Intelligence, da empresa HUMAN, revelou que os hackers utilizavam técnicas sofisticadas, como esteganografia, para esconder códigos maliciosos em arquivos de imagem. Os aplicativos funcionavam normalmente quando baixados diretamente da loja, mas, ao serem obtidos via anúncios, baixavam um arquivo de configuração secreto que continha o malware FatModule. Este vírus utilizava WebViews para inundar os dispositivos com anúncios fraudulentos, gerando cliques e visualizações para os criminosos. O Brasil, afetado em 7% dos casos, é um dos países mais impactados, ao lado dos Estados Unidos e Índia. Após o alerta, a Google removeu os aplicativos maliciosos e atualizou o Google Play Protect para alertar os usuários sobre a necessidade de remoção imediata dos apps infectados.

A inteligência artificial (IA) está transformando o cenário da cibersegurança, conforme destacado por Sandra Joyce, Vice-Presidente de Inteligência de Ameaças do Google, em um encontro em São Paulo. A IA não é apenas uma ferramenta de defesa, mas também uma arma poderosa nas mãos de atacantes. Grupos criminosos estão utilizando IA para aprimorar suas táticas, resultando em ataques de phishing mais sofisticados, deepfakes convincentes e fraudes por voz (vishing) cada vez mais realistas. O Google, por sua vez, está investindo em IA para fortalecer suas defesas, conseguindo reverter malware em minutos e detectar vulnerabilidades críticas antes que sejam exploradas. A crescente organização dos grupos de ransomware, que agora operam como verdadeiras empresas, também foi um ponto destacado, evidenciando a necessidade de uma resposta robusta por parte das organizações. Sandra enfatizou que a corrida entre atacantes e defensores está apenas começando, e que a IA será fundamental para garantir a segurança digital. Além disso, a IA promete criar novas oportunidades de trabalho no setor de segurança digital, exigindo que os profissionais se familiarizem com essa tecnologia.

A Windscribe VPN lançou uma nova funcionalidade chamada Anti-Fingerprinting, disponível nas extensões do Chrome e Edge, que visa aumentar a privacidade dos usuários ao limitar o rastreamento online. Essa atualização é especialmente relevante em um cenário onde técnicas de rastreamento, como o fingerprinting de navegador, estão se tornando mais comuns, substituindo os cookies tradicionais. O fingerprinting coleta informações sobre o dispositivo e o navegador do usuário, criando um perfil único que pode ser utilizado para rastreamento persistente e publicidade direcionada. A nova funcionalidade da Windscribe atua ’enganando’ essas características, dificultando a formação de um perfil preciso. Além disso, a extensão já oferece bloqueio de anúncios, proteção contra vazamentos de WebRTC e a possibilidade de simular localização, fuso horário e idioma. A Windscribe destaca que a combinação da extensão com seu aplicativo VPN proporciona uma proteção ainda mais robusta, garantindo que a privacidade do usuário seja mantida tanto em nível de dispositivo quanto de navegador.

A ExpressVPN lançou o EventVPN, um novo software de VPN gratuito e seguro, com o objetivo de oferecer privacidade premium sem custo. O serviço surge em resposta ao aumento de aplicativos de VPN gratuitos de baixa qualidade, que frequentemente comprometem a segurança dos usuários. O EventVPN combina recursos avançados de segurança com um modelo de publicidade focado na privacidade, permitindo que os usuários acessem servidores em mais de 35 países. A versão gratuita cobre um dispositivo, enquanto a versão paga permite até oito dispositivos e acesso a mais de 125 locais. Shay Peretz, COO da ExpressVPN, enfatiza que a privacidade deve ser um direito humano acessível a todos. O EventVPN se destaca por não gerenciar dados pessoais dos usuários, utilizando validação de conta da Apple para garantir anonimato. Com a crescente demanda por VPNs devido a censura e restrições na internet, a ExpressVPN busca oferecer uma alternativa segura e confiável, evitando os riscos associados a aplicativos gratuitos inseguros, que podem expor dados pessoais ou introduzir malware nos dispositivos dos usuários.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

A SonicWall alertou seus clientes sobre a necessidade urgente de redefinir senhas administrativas e de usuários em seus ambientes de firewall, após um vazamento de arquivos de backup do serviço MySonicWall. Entre 10 e 15 de setembro, um ator desconhecido explorou uma vulnerabilidade zero-day no sistema de upload de arquivos do portal, obtendo acesso a arquivos de configuração XML que continham credenciais criptografadas, chaves pré-compartilhadas de VPN e segredos de acesso à gestão. Embora os arquivos estivessem criptografados, a SonicWall confirmou que parâmetros de criptografia fracos permitiriam que adversários habilidosos quebrassem a proteção em poucas horas. A empresa recomenda que os clientes desativem interfaces de gerenciamento expostas à WAN e redefinam todas as contas de usuários locais, além de regenerar chaves de VPN e atualizar credenciais em servidores de autenticação. A SonicWall também enfatiza a importância de monitorar logs de auditoria para detectar atividades anômalas e promete lançar atualizações de firmware para corrigir a falha no portal MySonicWall.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

O grupo de ransomware Everest reivindicou a responsabilidade pelo roubo de aproximadamente 600.000 linhas de documentos internos da Bayerische Motoren Werke AG (BMW), um dos maiores incidentes de segurança no setor automotivo em 2025. Os arquivos comprometidos incluem relatórios de auditoria, especificações de engenharia, demonstrações financeiras e comunicações executivas confidenciais. A análise de especialistas em cibersegurança revelou que os atacantes obtiveram acesso inicial por meio de um ponto de acesso remoto (RDP) comprometido, utilizando credenciais fracas ou reutilizadas para se mover lateralmente na rede da BMW. A exfiltração dos dados foi automatizada, com arquivos criptografados enviados para um servidor de comando e controle. A situação é crítica, pois a divulgação dos documentos pode resultar em danos à reputação da BMW, além de riscos regulatórios e de propriedade intelectual. Especialistas recomendam a adoção de uma arquitetura de segurança de confiança zero, autenticação multifatorial rigorosa e avaliações de vulnerabilidade regulares. A BMW ainda não confirmou oficialmente o incidente, enquanto a pressão aumenta para proteger suas informações proprietárias.

Em agosto de 2025, o grupo de ransomware Qilin se destacou como o operador mais ativo, atacando 104 organizações, quase o dobro do segundo colocado, Akira, que atingiu 56 vítimas. Este aumento contínuo de incidentes de ransomware, que totalizou 467 globalmente, reflete uma tendência preocupante no cenário de cibersegurança. Desde abril, Qilin já reivindicou 398 vítimas, representando 18,4% dos ataques registrados. A eficácia do grupo é atribuída a incentivos robustos para afiliados e operações de ransomware como serviço, utilizando técnicas avançadas de evasão, como execução sem arquivos e exploração de credenciais fracas de RDP e VPN.

O Goshen Medical Center, Inc. iniciou a notificação de 456.385 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em fevereiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque em março. A violação foi detectada em 4 de março, quando a instituição percebeu atividades suspeitas em sua rede. A investigação revelou que arquivos contendo informações sensíveis, como nomes, endereços, datas de nascimento, números de Seguro Social, números de carteira de motorista e números de registros médicos, podem ter sido acessados sem autorização desde 15 de fevereiro. Após o ataque, BianLian publicou os dados do centro médico em seu site de vazamento, alegando ter roubado registros pessoais e dados financeiros. Este incidente se torna o terceiro maior ataque de ransomware a uma empresa de saúde nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de saúde. O Goshen Medical Center, fundado em 1979, atende cerca de 53.000 pacientes em mais de 35 locais na Carolina do Norte.

A gangue de ransomware Qilin reivindicou a responsabilidade por um ataque ao governo local de Spartanburg County, na Carolina do Sul, que ocorreu em 8 de agosto de 2025. O ataque comprometeu os sistemas do condado e afetou arquivos de integração de pessoal, contendo informações de funcionários. Segundo a Qilin, foram roubados 390 GB de dados, incluindo informações pessoais de residentes, como nomes, endereços, números de telefone e dados bancários. Este é o terceiro incidente de violação de dados do condado desde 2018. Embora a Qilin afirme que a recuperação dos serviços é impossível e que uma grande quantidade de dados foi exposta publicamente, os oficiais do condado não confirmaram a extensão da violação. O condado já enfrentou outras violações, incluindo uma em abril de 2023 que afetou 8.575 pessoas. A Qilin, que opera um modelo de ransomware como serviço, tem como alvo principalmente organizações governamentais e utiliza e-mails de phishing para disseminar seu malware. Este ataque destaca a crescente ameaça de ransomware a entidades governamentais nos EUA e a necessidade de medidas de segurança robustas.

O papel crescente da Inteligência Artificial (IA) nos ambientes empresariais tem exigido uma governança eficaz por parte dos Diretores de Segurança da Informação (CISOs). O artigo destaca que a governança não deve ser uma abordagem rígida, mas sim um sistema dinâmico que guie a utilização da IA de forma segura, sem comprometer a inovação. Os CISOs enfrentam o desafio de equilibrar segurança e agilidade, pois a IA representa tanto uma grande oportunidade quanto um risco significativo. O texto sugere três componentes essenciais para uma governança eficaz: entender o que está acontecendo na prática dentro da organização, alinhar políticas à velocidade da empresa e garantir que a governança de IA seja sustentável. A implementação de inventários de IA e comitês interfuncionais são algumas das estratégias propostas para garantir que a governança não seja uma barreira, mas sim um facilitador para a adoção responsável da IA. Além disso, o artigo enfatiza a importância de capacitar os funcionários com ferramentas de IA seguras e de reforçar comportamentos positivos em relação ao uso da tecnologia.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no repositório Python Package Index (PyPI) que têm como objetivo instalar um trojan de acesso remoto chamado SilentSync em sistemas Windows. Os pacotes, nomeados ‘sisaws’ e ‘secmeasure’, foram removidos do PyPI após a descoberta. O pacote ‘sisaws’ imita um pacote legítimo relacionado ao sistema de saúde argentino, mas contém uma função que baixa malware adicional. Já o ‘secmeasure’ se apresenta como uma biblioteca de segurança, mas também entrega o SilentSync. Este malware é capaz de executar comandos remotamente, exfiltrar dados de navegadores e capturar telas. Além disso, ele pode modificar registros no Windows e arquivos de crontab no Linux, além de registrar LaunchAgents no macOS. A descoberta desses pacotes ressalta o aumento do risco de ataques à cadeia de suprimentos em repositórios de software públicos, onde atacantes podem obter informações pessoais ao se disfarçarem de pacotes legítimos.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

A SonicWall alertou seus clientes sobre a exposição de arquivos de backup de configuração de firewall em uma violação de segurança que afetou contas do MySonicWall. A empresa detectou atividades suspeitas direcionadas ao serviço de backup em nuvem, resultando no acesso não autorizado a arquivos de preferência de firewall de menos de 5% de seus clientes. Embora as credenciais dentro dos arquivos estivessem criptografadas, informações contidas neles poderiam facilitar a exploração dos firewalls. A SonicWall não registrou vazamentos online desses arquivos e afirmou que o incidente não foi um ataque de ransomware, mas uma série de ataques de força bruta. Os clientes afetados foram orientados a verificar se os backups em nuvem estão habilitados, revisar logs e implementar procedimentos de contenção, como limitar o acesso a serviços e redefinir senhas. Além disso, a SonicWall disponibilizou novos arquivos de preferência que incluem senhas aleatórias para usuários locais e chaves VPN IPSec randomizadas. O alerta surge em um contexto em que grupos de ransomware, como o Akira, continuam a explorar dispositivos SonicWall não corrigidos, aproveitando uma vulnerabilidade crítica conhecida (CVE-2024-40766).

A parceria entre a 1Password e a Perplexity resultou no lançamento do navegador Comet AI, que se destaca por oferecer segurança de credenciais como prioridade. O navegador inclui uma extensão da 1Password, permitindo que os usuários salvem e armazenem senhas e chaves de acesso com criptografia de ponta a ponta. Além disso, o Comet AI armazena dados de navegação localmente, evitando que servidores da Perplexity processem essas informações, o que garante maior privacidade. O navegador também possui funcionalidades de preenchimento automático para nomes de usuário, senhas e códigos de autenticação de dois fatores, além de permitir a geração e sincronização de senhas únicas entre dispositivos. Kyle Polley, da Perplexity, enfatizou que a segurança foi uma prioridade desde o início do desenvolvimento do Comet, e Anand Srinivas, da 1Password, reafirmou o compromisso da empresa em manter os dados dos usuários seguros. Essa inovação é especialmente relevante em um cenário onde as ameaças cibernéticas estão em constante crescimento.

O Google lançou uma atualização de segurança emergencial para o Chrome após a descoberta de uma vulnerabilidade crítica de zero-day, que está sendo ativamente explorada por atacantes. A versão 140.0.7339.185/.186 para Windows e Mac, e 140.0.7339.185 para Linux, foi disponibilizada em 17 de setembro de 2025, corrigindo quatro falhas de segurança de alta gravidade, incluindo a CVE-2025-10585. Essa vulnerabilidade, classificada como um erro de confusão de tipo no motor JavaScript V8 do Chrome, permite que atacantes corrompam a memória e executem código remotamente. O Google confirmou que um exploit para essa vulnerabilidade já está em uso, o que representa um risco significativo para os usuários. Além da CVE-2025-10585, a atualização também corrige outras falhas críticas, como CVE-2025-10500, CVE-2025-10501 e CVE-2025-10502, que envolvem vulnerabilidades de uso após liberação de memória e estouro de buffer. Os usuários do Chrome devem atualizar imediatamente seus navegadores para mitigar esses riscos, e as organizações devem implementar monitoramento de rede para detectar tentativas de exploração.

Uma nova versão do malware conhecido como Raven Stealer está rapidamente se espalhando em mercados clandestinos, visando usuários de navegadores baseados em Chromium, como o Google Chrome. Desenvolvido principalmente em Delphi, com módulos centrais em C++, o Raven Stealer se destaca por sua furtividade operacional e interação mínima com o usuário, tornando-se uma ferramenta atraente para atacantes iniciantes e experientes.

O executável do malware, com cerca de 7 MB, incorpora componentes críticos em sua seção de recursos, utilizando um editor de recursos para incluir uma DLL criptografada. Essa DLL é protegida por criptografia ChaCha20, dificultando a análise estática. Durante a execução, o malware injeta a DLL em um processo do Chrome suspenso, permitindo acesso total aos dados do navegador.

No dia 18 de setembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando quatro vulnerabilidades, incluindo uma que está sendo explorada ativamente. A vulnerabilidade zero-day identificada como CVE-2025-10585 é um problema de confusão de tipos no motor V8 do JavaScript e WebAssembly. Esse tipo de vulnerabilidade pode permitir que atacantes executem código arbitrário e causem falhas no software. A equipe de Análise de Ameaças do Google (TAG) descobriu e relatou a falha em 16 de setembro. Embora o Google tenha confirmado a exploração da vulnerabilidade, não forneceu detalhes sobre os atacantes ou a escala dos ataques para evitar que outros exploradores a utilizem antes que os usuários possam aplicar a correção. Esta é a sexta vulnerabilidade zero-day no Chrome desde o início do ano. Para se proteger, os usuários devem atualizar para as versões 140.0.7339.185/.186 para Windows e macOS, e 140.0.7339.185 para Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

Na terça-feira, 16 de setembro de 2025, um hacker de 26 anos foi preso em Pernambuco por invadir sistemas do governo e vender dados sigilosos a criminosos em todo o Brasil. A prisão foi resultado de uma colaboração entre a Polícia Civil do Rio Grande do Sul e a polícia pernambucana. O criminoso, que não teve seu nome revelado, era o líder técnico de uma quadrilha que utilizava falsificação de documentos e estelionato eletrônico. Entre os dados vazados estavam 239 milhões de chaves PIX e informações sensíveis de veículos e segurança pública. O hacker também afirmou ter acessado sistemas de inteligência do Brasil, incluindo investigações de fraudes bancárias. A operação que resultou na prisão é parte da terceira fase da Operação Medici Umbra, que já havia prendido outros dois membros da quadrilha em estados como Rio Grande do Norte e São Paulo. O caso destaca a crescente preocupação com a segurança cibernética no Brasil, especialmente em relação ao acesso não autorizado a dados pessoais e governamentais.