A campanha de malware RondoDox tem se expandido, visando mais de 50 vulnerabilidades em mais de 30 fornecedores, incluindo dispositivos como roteadores, DVRs e NVRs. A Trend Micro identificou uma tentativa de invasão em 15 de junho de 2025, explorando uma falha de segurança em roteadores TP-Link. O RondoDox, documentado pela Fortinet em julho de 2025, utiliza uma abordagem de ’loader-as-a-service’, combinando suas cargas com as de outros malwares como Mirai e Morte, o que torna a detecção mais desafiadora. As vulnerabilidades abrangem marcas conhecidas como D-Link, NETGEAR e Cisco, com 18 delas sem identificador CVE. A campanha representa uma evolução significativa na exploração automatizada de redes, passando de ataques a dispositivos únicos para operações multivetoriais. Além disso, um botnet chamado AISURU, que opera principalmente a partir de dispositivos IoT comprometidos nos EUA, também está em ascensão, controlando cerca de 300.000 hosts globalmente. A atividade de botnets está crescendo, com um ataque coordenado envolvendo mais de 100.000 endereços IP de 100 países, com foco em serviços RDP nos EUA, a maioria dos quais se origina de países como Brasil e Argentina.

Com a aproximação da temporada de compras de 2025, um alerta se destaca na cibersegurança: o uso de JavaScript não monitorado representa uma vulnerabilidade crítica que pode permitir que atacantes roubem dados de pagamento sem serem detectados por sistemas de firewall de aplicativos web (WAF) e detecção de intrusões. O artigo destaca que, durante a temporada de compras de 2024, houve um aumento alarmante de 690% em ataques, com incidentes notáveis como a violação do Polyfill.io, que afetou mais de 500 mil sites, e o ataque Magecart da Cisco, que visou consumidores durante as compras de fim de ano. A pesquisa revela que, embora as defesas do lado do servidor tenham sido fortalecidas, o ambiente do navegador, onde o código malicioso pode operar, permanece vulnerável. Para mitigar esses riscos, recomenda-se a implementação de políticas de segurança de conteúdo (CSP), integridade de sub-recurso (SRI) e monitoramento contínuo do lado do cliente. Com o aumento do tráfego de compras, é essencial que os varejistas online fechem essas lacunas de visibilidade e adotem medidas proativas para proteger os dados dos consumidores.

O cenário de cibersegurança continua a se deteriorar, com ataques cada vez mais sofisticados e coordenados. Um dos principais incidentes recentes envolve a exploração de uma falha crítica no Oracle E-Business Suite, afetando diversas organizações desde agosto de 2025. A falha, identificada como CVE-2025-61882, possui uma pontuação CVSS de 9.8 e foi utilizada por grupos como o Cl0p para exfiltrar dados sensíveis. Além disso, o grupo Storm-1175 explorou uma vulnerabilidade no GoAnywhere MFT, resultando em ataques em setores variados, como transporte e educação.

O episódio mais recente do Podcast Canaltech, gravado durante o Festival Curicaca em Brasília, aborda a transformação da indústria brasileira sob a perspectiva de Ricardo Cappelli, presidente da Agência Brasileira de Desenvolvimento Industrial (ABDI). Cappelli enfatiza que o Brasil está passando por uma ‘mudança de era’, impulsionada pela educação, tecnologia e o surgimento de startups. Ele destaca a importância do programa Brasil Mais Produtivo, que visa aumentar a eficiência de pequenas e médias empresas, facilitando sua transformação digital com suporte do Sebrae e do Senai. O podcast também discute como essas iniciativas podem ajudar o setor produtivo a se adaptar às novas demandas do mercado, promovendo inovação e competitividade. A conversa é enriquecida por reportagens de diversos colaboradores e apresenta uma trilha sonora envolvente, tornando o conteúdo acessível e informativo para o público interessado em tecnologia e desenvolvimento industrial no Brasil.

Uma campanha massiva e coordenada de botnets está atacando serviços de Protocolo de Área de Trabalho Remota (RDP) nos Estados Unidos. Desde 8 de outubro de 2025, a empresa de cibersegurança GreyNoise identificou mais de 100.000 endereços IP únicos envolvidos nos ataques, que se estendem por mais de 100 países. Os vetores de ataque principais incluem ataques de temporização de autenticação anônima do Microsoft RD Web Access e verificações de enumeração de login do Microsoft RDP Web Client. A análise revelou que a maioria dos IPs participantes compartilha impressões digitais TCP semelhantes, indicando uma infraestrutura centralizada de comando e controle. Os ataques focam especificamente em serviços RDP baseados nos EUA, com nós da botnet distribuídos em regiões como Brasil, Argentina, Irã, China, México, Rússia, África do Sul e Equador. Para se proteger, as organizações devem implementar configurações robustas de segurança RDP, como autenticação em nível de rede e autenticação multifatorial, além de monitorar tentativas de acesso e considerar restringir o acesso RDP através de VPNs.

Pesquisadores de segurança identificaram vulnerabilidades críticas na infraestrutura de comunicação em nuvem do Microsoft Defender for Endpoint, que permitem a invasores contornar mecanismos de autenticação e manipular operações de resposta a incidentes. A análise das componentes do agente de detecção e resposta a endpoint (EDR), como MsSense.exe e SenseIR.exe, revelou falhas na validação de tokens de autenticação. Isso possibilita que atacantes interceptem comandos de segurança e até mesmo enviem dados falsificados para armazenamento em nuvem, comprometendo a integridade das investigações. Os atacantes podem explorar a falta de controle de autenticação para obter tokens válidos e executar ações maliciosas, como relatar estados de isolamento falsos ou carregar arquivos maliciosos disfarçados. Embora a Microsoft tenha classificado essas falhas como de baixa severidade, a falta de correções claras e a possibilidade de acesso não autorizado a dados de configuração de resposta a incidentes levantam preocupações significativas. Especialistas recomendam que equipes de segurança implementem medidas defensivas imediatas, como monitoramento de padrões de comando e validação de estados de isolamento, até que a Microsoft resolva as vulnerabilidades.

Pesquisadores de cibersegurança revelaram um novo backdoor baseado em Rust chamado ChaosBot, que permite a operadores realizar reconhecimento e executar comandos arbitrários em sistemas comprometidos. O malware foi detectado pela primeira vez em setembro de 2025 em um ambiente de serviços financeiros. Os atacantes utilizaram credenciais comprometidas de uma conta do Active Directory e do Cisco VPN para implantar o ChaosBot, que se comunica via Discord, utilizando perfis como ‘chaos_00019’ para emitir comandos. O malware também pode ser distribuído através de mensagens de phishing que contêm arquivos de atalho maliciosos. Uma vez instalado, o ChaosBot realiza reconhecimento do sistema e estabelece um proxy reverso para manter acesso persistente. Além disso, uma variante do ransomware Chaos, escrita em C++, foi identificada, introduzindo capacidades destrutivas que excluem arquivos em vez de criptografá-los, além de manipular o conteúdo da área de transferência para fraudes financeiras. Essa combinação de extorsão destrutiva e roubo financeiro torna o Chaos uma ameaça multifacetada e agressiva.

Pesquisadores de cibersegurança alertam sobre uma nova campanha que utiliza o trojan bancário Astaroth, que se aproveita do GitHub como infraestrutura para suas operações. Em vez de depender apenas de servidores de comando e controle (C2) que podem ser desativados, os atacantes hospedam configurações de malware em repositórios do GitHub. Isso permite que o Astaroth continue funcionando mesmo após a desativação de suas infraestruturas principais. O foco principal da campanha é o Brasil, embora o malware também atinja outros países da América Latina. O ataque começa com um e-mail de phishing que simula um documento do DocuSign, levando o usuário a baixar um arquivo que, ao ser aberto, instala o Astaroth. O malware é projetado para monitorar acessos a sites de bancos e criptomoedas, capturando credenciais por meio de keylogging. Além disso, o Astaroth possui mecanismos para resistir à análise e se autodestruir ao detectar ferramentas de depuração. A McAfee, em colaboração com o GitHub, conseguiu remover alguns repositórios utilizados pelo malware, mas a ameaça permanece ativa.

No último sábado, a Oracle emitiu um alerta de segurança sobre uma nova vulnerabilidade em seu E-Business Suite, identificada como CVE-2025-61884, que pode permitir acesso não autorizado a dados sensíveis. Com uma pontuação CVSS de 7.5, a falha afeta versões do software que vão de 12.2.3 a 12.2.14. Segundo a descrição na base de dados de vulnerabilidades do NIST, a vulnerabilidade é facilmente explorável por um atacante não autenticado que tenha acesso à rede via HTTP, comprometendo o Oracle Configurator. Embora a Oracle não tenha relatado que a falha esteja sendo explorada ativamente, a empresa enfatizou a importância de aplicar a atualização de segurança o mais rápido possível. O Chief Security Officer da Oracle, Rob Duhart, destacou que a vulnerabilidade pode ser utilizada para acessar recursos sensíveis. O alerta surge após a divulgação de que várias organizações podem ter sido afetadas por uma exploração de zero-day em outra vulnerabilidade do E-Business Suite, CVE-2025-61882, que permitiu a instalação de malwares como GOLDVEIN.JAVA e SAGEGIFT. A situação é preocupante, especialmente considerando a possibilidade de que os ataques estejam ligados a um grupo de hackers associado ao ransomware Cl0p.

Recentemente, o grupo de ameaças Storm-2603, associado a ataques de ransomware, tem utilizado o Velociraptor, uma ferramenta de resposta a incidentes de código aberto, para comprometer sistemas. Os atacantes exploraram vulnerabilidades do SharePoint, conhecidas como ToolShell, para obter acesso inicial e implantar uma versão desatualizada do Velociraptor, que possui uma vulnerabilidade de escalonamento de privilégios (CVE-2025-6264). Durante os ataques, que ocorreram em agosto de 2025, os invasores tentaram criar contas de administrador de domínio e se mover lateralmente dentro da rede comprometida, utilizando ferramentas como Smbexec para executar programas remotamente. Além disso, modificaram objetos de política de grupo do Active Directory e desativaram a proteção em tempo real para evitar detecções. Este é o primeiro caso em que o Storm-2603 foi vinculado ao uso do ransomware Babuk, além dos já conhecidos Warlock e LockBit. A análise sugere que o grupo possui características de atores patrocinados por estados-nação, devido à sua organização e práticas de desenvolvimento sofisticadas. As implicações para a segurança cibernética são significativas, especialmente considerando a possibilidade de que esses métodos possam ser replicados em ambientes corporativos no Brasil.

A empresa de cibersegurança Huntress alertou sobre um comprometimento generalizado de dispositivos SonicWall SSL VPN, que permitiu o acesso a múltiplos ambientes de clientes. Os atacantes estão autenticando rapidamente em várias contas, sugerindo que possuem credenciais válidas, em vez de utilizar força bruta. Desde 4 de outubro de 2025, mais de 100 contas SonicWall em 16 clientes foram afetadas, com autenticações originadas do IP 202.155.8[.]73. Embora alguns atacantes tenham se desconectado rapidamente, outros realizaram atividades de varredura de rede e tentativas de acesso a contas locais do Windows. Este incidente segue a revelação de que arquivos de configuração de firewall armazenados em contas MySonicWall foram expostos de forma não autorizada, afetando todos os clientes que utilizam o serviço de backup em nuvem da SonicWall. A Huntress recomenda que as organizações redefinam suas credenciais e implementem autenticação multifator (MFA) para proteger suas contas administrativas e remotas. O aumento das atividades de ransomware, como a campanha Akira, que explora falhas conhecidas, destaca a importância de manter práticas de atualização de segurança rigorosas.

A LG Electronics anunciou um investimento significativo de R$1,5 bilhão na construção de uma nova fábrica de eletrodomésticos em Fazenda Rio Grande, Paraná. O vice-presidente comercial da empresa, Roberto Barboza, destacou que a nova planta visa fortalecer a produção local e aumentar a competitividade da marca no mercado brasileiro de linha branca. A expectativa é que a fábrica comece a operar em 2026, trazendo benefícios logísticos e econômicos, além de potencialmente gerar novos empregos na região. Este movimento é parte da estratégia da LG para se posicionar como líder no setor, especialmente em um mercado que tem visto um aumento na demanda por produtos fabricados localmente. O investimento também reflete uma tendência crescente de empresas internacionais em expandir suas operações no Brasil, buscando atender melhor às necessidades dos consumidores locais e otimizar a cadeia de suprimentos. Além disso, o podcast Canaltech, que apresentou a entrevista com Barboza, também abordou outros temas relevantes, como a segurança aérea na Alemanha e ataques cibernéticos que afetaram plataformas de jogos populares.

O Discord, plataforma popular entre gamers, confirmou um vazamento de dados que comprometeu informações pessoais de aproximadamente 70.000 usuários globalmente. O incidente, que ocorreu devido a uma vulnerabilidade em uma empresa terceirizada de suporte ao consumidor, foi revelado no dia 3 de outubro, com detalhes adicionais divulgados em 8 de outubro. Os hackers acessaram o sistema de suporte por 58 horas, invadindo a conta de um funcionário e obtendo documentos de identificação, como carteiras de motorista e passaportes, que eram utilizados para verificação de idade. Embora o Discord tenha contestado números mais altos divulgados por hackers, que afirmaram ter acessado até 1,6 TB de dados, a empresa garantiu que não pagaria resgate e cortou vínculos com a prestadora de serviços. Informações como endereços de IP, usernames e dados parciais de pagamento também foram expostas. Todos os usuários afetados foram notificados, e a empresa reafirmou seu compromisso com a segurança dos dados dos usuários.

Na última terça-feira (7), diversas plataformas de jogos online, incluindo Steam, PlayStation Network, Xbox Live, e títulos populares como Fortnite e League of Legends, enfrentaram lentidão e quedas simultâneas, sugerindo um ataque DDoS. O Downdetector registrou mais de 36.000 reclamações de usuários do Steam, com a Epic Games Store e PlayStation também reportando problemas significativos. A Riot Games, responsável por LoL e Valorant, confirmou sobrecarga em seus servidores, coincidindo com os problemas enfrentados por outras plataformas. Embora não haja confirmação oficial, especula-se que a botnet Aisuru esteja por trás do ataque, que visa grandes plataformas para demonstrar sua capacidade de causar interrupções. A Epic Games reconheceu as instabilidades, mas não forneceu detalhes sobre as causas ou possíveis responsáveis. Este incidente destaca a vulnerabilidade das infraestruturas de jogos online e a necessidade de medidas de segurança mais robustas para proteger os usuários e as plataformas.

O grupo de ransomware Qilin reivindicou um ataque cibernético ao Uvalde Consolidated Independent School District, ocorrido entre 15 e 18 de setembro de 2025. Durante o ataque, as escolas do distrito foram fechadas devido à interrupção de serviços essenciais, como telefonia, ar-condicionado e câmeras de segurança. Embora o distrito tenha afirmado que não houve acesso não autorizado a dados sensíveis, Qilin alegou ter roubado informações pessoais de funcionários e alunos, além de dados financeiros. Para corroborar sua afirmação, o grupo publicou imagens de documentos que afirmam ter sido extraídos dos servidores do distrito. Até o momento, o Uvalde CISD não confirmou a veracidade das alegações do grupo. O Qilin é um grupo de ransomware que opera um modelo de ransomware como serviço, permitindo que afiliados utilizem seu malware para realizar ataques. Em 2025, foram confirmados 106 ataques atribuídos ao Qilin, com o grupo já tendo atacado diversas instituições educacionais nos Estados Unidos. Os ataques de ransomware têm se tornado cada vez mais comuns no setor educacional, com 34 incidentes confirmados em 2025, impactando operações diárias e colocando em risco a segurança de dados de alunos e funcionários.

Pesquisadores da Trend Micro Research identificaram uma nova campanha de malware chamada Water Saci, que utiliza o WhatsApp Web para infectar computadores no Brasil. O vírus, conhecido como SORVEPOTEL, não se limita a roubar dados, mas foi projetado para se espalhar rapidamente, explorando a confiança dos usuários. A campanha utiliza mensagens de phishing que contêm arquivos ZIP maliciosos, persuadindo as vítimas a abrir anexos que parecem legítimos, como comprovantes de pagamento. Após a instalação, o malware se propaga automaticamente para todos os contatos do usuário no WhatsApp Web.

Uma nova campanha de phishing, identificada pela Swarmy, está explorando a popularidade da Shopee para enganar usuários. O golpe promete um cartão de crédito com limite pré-aprovado de R$ 4.700 e sem anuidade, atraindo vítimas com a promessa de uma análise de crédito simplificada, sem consulta a órgãos como SPC ou Serasa. Ao clicar no link, a vítima é levada a uma página onde é informada que deve pagar R$ 45,90 via PIX para ativar o cartão. Os golpistas utilizam 332 domínios diferentes para disseminar o golpe e criam um senso de urgência, informando que a aprovação do crédito só é válida por 10 minutos, o que leva as vítimas a agirem impulsivamente. Além do roubo financeiro, os golpistas coletam dados pessoais, como CPF, nome completo e data de nascimento, que podem ser utilizados em futuros ataques de phishing. A Shopee já se manifestou, alertando que não oferece cartões de crédito e recomendando que os usuários não compartilhem informações pessoais ou bancárias. O alerta é um lembrete da importância de verificar a autenticidade de ofertas e serviços online.

A Google decidiu não corrigir uma vulnerabilidade de segurança em sua ferramenta de inteligência artificial, Gemini, que permite a execução de códigos maliciosos ocultos em textos invisíveis. Essa técnica, conhecida como ASCII smuggling, utiliza caracteres especiais do Unicode para inserir comandos maliciosos na LLM (Large Language Model) sem que o usuário perceba. Embora a falha não seja nova, os riscos aumentaram com a maior autonomia e acesso a dados sensíveis que assistentes como o Gemini possuem. O pesquisador de segurança Viktor Markopoulos, da FireTail, testou várias ferramentas de IA e encontrou vulnerabilidades semelhantes em algumas delas, mas não em outras como Claude, ChatGPT e Microsoft Copilot, que possuem validação de dados de entrada. A Google, ao ser informada sobre a vulnerabilidade, minimizou o problema, alegando que ele só poderia ser explorado por meio de engenharia social. No entanto, a possibilidade de que convites de calendário e e-mails no Google Workspace possam incluir códigos maliciosos representa um risco significativo, pois esses códigos podem instruir as LLMs a acessar dados sensíveis do dispositivo da vítima e enviá-los aos atacantes.

No contexto da economia digital do Reino Unido, a confiança é fundamental para operações como bancos online e comunicações do NHS. No entanto, essa confiança está sendo ameaçada por domínios semelhantes, que imitam endereços legítimos e são usados em ataques de impersonação via e-mail. Um exemplo notável envolve um domínio falso que se assemelhava a uma plataforma de logística conhecida, resultando em perdas financeiras significativas, estimadas entre £40.000 e £160.000 por incidente. Os atacantes exploram variações sutis nos nomes de domínio, como troca de caracteres ou alteração de domínios de nível superior, para contornar defesas tradicionais. Esses ataques são particularmente perigosos em setores como logística e finanças, onde a comunicação por e-mail é comum e urgente. Além disso, os domínios semelhantes são utilizados em fraudes de faturas e na impersonação de executivos, levando a transferências de fundos não autorizadas. A detecção desses domínios é desafiadora, pois muitas vezes não acionam filtros de segurança convencionais. Para mitigar esses riscos, as empresas precisam adotar uma postura proativa, investindo em inteligência de ameaças e promovendo a conscientização entre os funcionários sobre a verificação de solicitações inesperadas.

Pesquisadores de segurança estão alertando sobre a nova botnet RondoDox, que explora 56 vulnerabilidades em mais de 30 tipos de dispositivos conectados à internet. Diferente de botnets tradicionais que costumam focar em uma única vulnerabilidade, RondoDox adota uma abordagem chamada ’exploit shotgun’, atacando múltiplas falhas simultaneamente, o que a torna barulhenta e facilmente detectável por defensores. Os dispositivos afetados incluem roteadores, câmeras de segurança e sistemas de DVR de marcas conhecidas como QNAP, D-Link e Netgear. A maioria das vulnerabilidades já possui patches disponíveis, o que facilita a defesa. As recomendações incluem manter o firmware atualizado, isolar redes e usar senhas fortes. A campanha ainda está ativa, e a rápida evolução das táticas de cibercriminosos indica um futuro preocupante para a segurança cibernética, com a exploração automatizada de infraestruturas antigas em larga escala.

A equipe de pesquisa de ameaças da Socket revelou uma sofisticada campanha de phishing chamada ‘Beamglea’, que utilizou 175 pacotes npm maliciosos para atacar mais de 135 empresas industriais, de tecnologia e de energia em todo o mundo. Esses pacotes acumularam mais de 26.000 downloads, servindo como infraestrutura para ataques de coleta de credenciais. A campanha explorou o registro público do npm e a rede de entrega de conteúdo do unpkg.com para hospedar scripts de redirecionamento que direcionavam as vítimas a páginas de phishing. Diferente dos ataques tradicionais de cadeia de suprimentos, esses pacotes não executam código malicioso ao serem instalados, mas abusam do npm como uma infraestrutura gratuita para ataques de phishing. Os atacantes desenvolveram ferramentas em Python para automatizar a geração e distribuição dos pacotes, utilizando nomes aleatórios e injetando endereços de e-mail das vítimas. A análise identificou mais de 630 iscas de phishing em HTML, disfarçadas como documentos de negócios. A campanha teve como alvo principalmente empresas de manufatura, tecnologia e energia, com foco geográfico na Europa Ocidental. As organizações devem redefinir senhas, habilitar autenticação multifatorial e revisar logs de e-mail para mitigar riscos.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-11371, foi descoberta no software Gladinet CentreStack e Triofox, permitindo a execução remota de código (RCE) por atacantes. Apesar de a versão mais recente do software, posterior à 16.4.10315.56368, ser considerada segura contra a vulnerabilidade CVE-2025-30406, a exploração de uma falha de Inclusão de Arquivo Local (LFI) está em andamento. Os atacantes conseguiram extrair uma chave de máquina do arquivo Web.config da aplicação, o que possibilitou a execução de código malicioso com privilégios de sistema. A Huntress, responsável pela detecção, alertou que a exploração ocorre rapidamente, com a transição de acesso não autorizado para a execução de código em questão de minutos. Embora a Gladinet tenha sido informada sobre a vulnerabilidade, ainda não há um patch oficial para a CVE-2025-11371. A Huntress recomenda que as organizações desativem o manipulador temporário no arquivo Web.config como uma medida imediata de mitigação, a fim de evitar a exploração. A situação é crítica, pois três casos de comprometimento real já foram documentados, e a falta de um patch oficial aumenta o risco para as empresas que utilizam essas soluções.

Desde julho de 2025, operadores do ransomware Akira têm explorado dispositivos SonicWall SSL VPN, utilizando uma vulnerabilidade conhecida (CVE-2024-40766) que afeta versões do SonicOS. Essa falha, que foi divulgada e corrigida em agosto de 2024, permite acesso inadequado e tem sido utilizada para comprometer redes empresariais em diversos setores. A campanha inclui técnicas avançadas de coleta de credenciais e exfiltração de dados, com um ataque documentado em agosto de 2025 que resultou na transferência de aproximadamente 2 GB de dados sensíveis. Os atacantes utilizaram métodos sofisticados, como a técnica ‘UnPAC the hash’, para escalar privilégios dentro da rede. A Darktrace, empresa de segurança, conseguiu conter o ataque, mas a exploração contínua da vulnerabilidade destaca a importância de práticas de gerenciamento de patches atualizadas, especialmente para dispositivos que oferecem acesso remoto. O incidente ressalta a necessidade de vigilância constante e resposta rápida a ameaças cibernéticas, especialmente em um cenário onde a segurança de dados é crítica.

Em setembro de 2025, a unidade de resposta a ameaças da eSentire, conhecida como TRU, identificou um sofisticado backdoor em Rust, chamado ‘ChaosBot’, que visa ambientes de serviços financeiros. Este malware inova ao utilizar credenciais comprometidas do CiscoVPN e uma conta de Active Directory com privilégios excessivos para implantar e controlar sistemas infectados. O ataque se inicia com a obtenção de credenciais válidas ou por meio de arquivos de atalho maliciosos que executam comandos PowerShell para baixar o payload principal. O ChaosBot se esconde utilizando componentes legítimos do Microsoft Edge para evitar detecções iniciais e se comunica com os atacantes via Discord, demonstrando técnicas avançadas de evasão e persistência. As recomendações incluem a implementação de autenticação multifatorial e a limitação de privilégios de contas de serviço, além de manter patches atualizados e soluções de EDR/NGAV para detectar atividades suspeitas. A análise da TRU isolou a máquina infectada para conter a violação e orientar os esforços de remediação.

Em julho de 2025, Coös County Family Health Services confirmou que 40.185 pessoas tiveram seus dados comprometidos em um ataque cibernético. O grupo de ransomware Run Some Wares reivindicou a responsabilidade pelo ataque em agosto. A investigação revelou que, em 9 de julho, houve acesso não autorizado aos servidores, onde dados sensíveis, como datas de nascimento, informações de contato, números de Seguro Social e dados médicos, podem ter sido visualizados ou copiados. Embora Coös County não tenha confirmado a natureza do ataque, a organização está oferecendo monitoramento de crédito gratuito por 12 meses aos afetados. Este incidente se insere em um contexto mais amplo, onde o setor de saúde dos EUA já registrou 63 ataques confirmados em 2025, resultando em mais de 6,2 milhões de registros expostos. O ataque em Coös County é um exemplo claro do impacto devastador que os ataques de ransomware podem ter sobre instituições de saúde, tanto em termos de tempo de inatividade quanto na violação de dados. A situação é alarmante, especialmente considerando que o setor de saúde é um alvo frequente para esses tipos de ataques.

Pesquisadores de cibersegurança identificaram 175 pacotes maliciosos no registro npm, utilizados em uma campanha de coleta de credenciais chamada Beamglea. Esses pacotes, que foram baixados 26.000 vezes, servem como infraestrutura para um ataque de phishing direcionado a mais de 135 empresas dos setores industrial, tecnológico e energético ao redor do mundo. Os pacotes, com nomes aleatórios, dificultam a instalação acidental por desenvolvedores, mas as contagens de download incluem pesquisadores de segurança e scanners automáticos. Os pacotes hospedam scripts de redirecionamento que levam as vítimas a páginas de captura de credenciais. Um arquivo Python, chamado “redirect_generator.py”, é utilizado para criar pacotes npm com URLs de phishing personalizadas. Quando as vítimas abrem arquivos HTML maliciosos, o JavaScript redireciona automaticamente para páginas de phishing, preenchendo o campo de e-mail com o endereço da vítima, aumentando assim a credibilidade do ataque. Essa situação destaca a evolução das táticas de cibercriminosos, que abusam de infraestruturas legítimas para realizar ataques em larga escala.

A Fortra divulgou os resultados de sua investigação sobre a vulnerabilidade CVE-2025-10035, uma falha crítica no GoAnywhere Managed File Transfer (MFT), que está sendo explorada ativamente desde pelo menos 11 de setembro de 2025. A investigação foi iniciada após um cliente relatar uma ‘potencial vulnerabilidade’, levando a Fortra a identificar atividades suspeitas relacionadas à falha. A empresa notificou clientes que tinham o console administrativo do GoAnywhere acessível na internet e também alertou as autoridades policiais. Um hotfix foi disponibilizado no dia seguinte, e versões completas com o patch foram lançadas em 15 de setembro. A Fortra destacou que o risco é limitado a clientes com o console administrativo exposto, mas admitiu que há relatos de atividades não autorizadas associadas à vulnerabilidade. A CVE-2025-10035 refere-se a uma vulnerabilidade de desserialização no License Servlet, que pode resultar em injeção de comandos sem autenticação. A Microsoft informou que um grupo de ameaças, identificado como Storm-1175, está explorando essa falha para implantar ransomware Medusa. A Fortra recomenda que os usuários restrinjam o acesso ao console administrativo pela internet e mantenham o software atualizado.

O grupo de cibercriminosos conhecido como Storm-2657 está atacando organizações nos Estados Unidos, especialmente no setor de educação superior, com o objetivo de desviar pagamentos salariais para contas controladas pelos atacantes. Segundo um relatório da equipe de Inteligência de Ameaças da Microsoft, esses ataques não exploram falhas de segurança nas plataformas de software como serviço (SaaS), mas utilizam táticas de engenharia social e a falta de autenticação multifatorial (MFA) para assumir o controle das contas dos funcionários. Os atacantes têm utilizado e-mails de phishing para coletar credenciais e códigos MFA, acessando contas do Exchange Online e modificando perfis no Workday, uma plataforma de gestão de recursos humanos. Além disso, eles criam regras na caixa de entrada para ocultar notificações de mudanças não autorizadas, redirecionando pagamentos salariais para suas contas. A Microsoft identificou 11 contas comprometidas em três universidades, que foram usadas para enviar e-mails de phishing a quase 6.000 contas em 25 instituições. Para mitigar os riscos, recomenda-se a adoção de métodos de MFA resistentes a phishing, como chaves de segurança FIDO2, e a revisão de contas em busca de atividades suspeitas.

Pesquisadores de cibersegurança revelaram uma campanha ativa de malware chamada Stealit, que utiliza a funcionalidade Single Executable Application (SEA) do Node.js para distribuir seus payloads. De acordo com o Fortinet FortiGuard Labs, o malware é propagado por meio de instaladores falsos de jogos e aplicativos de VPN, frequentemente carregados em sites de compartilhamento de arquivos como Mediafire e Discord. A SEA permite que aplicações Node.js sejam empacotadas como executáveis independentes, facilitando a execução em sistemas sem o Node.js instalado.

A Microsoft emitiu um alerta sobre um grupo de hackers, conhecido como Storm-2657, que está realizando campanhas de roubo de salários em organizações dos Estados Unidos, especialmente no setor de educação superior. Esses ataques ocorrem através da violação de contas de funcionários, permitindo acesso não autorizado a plataformas de recursos humanos como o Workday. Os hackers utilizam e-mails de phishing altamente personalizados para enganar os alvos, muitas vezes se passando por autoridades de saúde do campus. Uma vez que as credenciais e os códigos de autenticação multifator (MFA) são coletados, os atacantes conseguem redirecionar os pagamentos salariais para contas bancárias controladas por eles. A falta de controles de autenticação robustos, como MFA resistente a phishing, é um fator crítico que facilita esses ataques. Para mitigar esses riscos, as organizações são aconselhadas a adotar métodos de autenticação sem senha e a monitorar logs de auditoria de sistemas como o Exchange Online e o Workday para detectar atividades suspeitas. A situação destaca a necessidade urgente de fortalecer as defesas contra engenharia social e melhorar a segurança das informações financeiras dos funcionários.

Uma nova campanha de ciberataque envolvendo o SnakeKeylogger foi identificada, utilizando e-mails fraudulentos que se passam por comunicações da CPA Global e Clarivate. Os atacantes enviam anexos maliciosos em formatos ISO e ZIP, que, ao serem extraídos, revelam um script BAT que executa um comando PowerShell para baixar um segundo payload. O SnakeKeylogger, uma Trojan que rouba informações, registra as teclas digitadas, credenciais de navegadores e dados do sistema, enviando essas informações para um servidor de comando e controle (C2) via requisições HTTP disfarçadas. Para se proteger, as organizações devem implementar regras rigorosas de filtragem de e-mails, restringir a execução de scripts PowerShell e monitorar atividades anômalas em suas redes. Essa campanha destaca a evolução das ameaças de roubo de informações, que combinam engenharia social com scripts nativos do Windows, exigindo defesas em múltiplas camadas para mitigar riscos.

ClayRat é uma nova campanha de spyware para Android que tem ganhado destaque, especialmente entre usuários de língua russa. Nos últimos três meses, pesquisadores da zLabs identificaram mais de 600 amostras únicas e 50 droppers associados a essa ameaça. O ClayRat utiliza engenharia social e sites de phishing para enganar as vítimas, fazendo-as instalar APKs maliciosos disfarçados de aplicativos legítimos como WhatsApp e Google Photos.

Os atacantes registram domínios semelhantes aos oficiais e criam páginas de destino que redirecionam para canais do Telegram, onde comentários manipulados e contagens de downloads inflacionadas ajudam a reduzir a desconfiança. Uma vez instalado, o spyware obtém acesso a mensagens SMS, registros de chamadas e informações do dispositivo, além de capturar fotos pela câmera frontal e enviar mensagens SMS sem o consentimento do usuário.

A campanha de botnet RondoDox, identificada pela Trend Micro, tem se expandido para explorar mais de 50 vulnerabilidades em dispositivos de rede expostos à internet, como roteadores, sistemas de CFTV e servidores web. Desde sua primeira detecção em junho de 2025, a RondoDox tem utilizado uma abordagem de ‘shotgun exploit’, atacando múltiplas falhas simultaneamente. As vulnerabilidades exploradas incluem a CVE-2023-1389, que permite injeção de comandos em roteadores TP-Link, e outras como CVE-2024-3721 e CVE-2024-12856, que afetam DVRs e roteadores de diferentes fabricantes. A análise técnica revelou que 50% das falhas exploradas são de injeção de comandos, enquanto as demais incluem problemas de travessia de caminho e corrupção de memória. A campanha representa um risco elevado para organizações que operam dispositivos de rede expostos, permitindo a exfiltração de dados e comprometimento persistente da rede. A rápida evolução das técnicas de exploração exige que as empresas realizem atualizações imediatas e adotem medidas proativas de segurança.

Pesquisadores de segurança da SentinelLABS revelaram o MalTerminal, um novo malware que utiliza modelos de linguagem de grande escala (LLM) para gerar código de ransomware. Este executável para Windows, identificado após um ano de investigação, incorpora um endpoint da API de chat do OpenAI GPT-4, que foi descontinuado em novembro de 2023, indicando que o malware pode ter surgido entre o final de 2023 e o início de 2024. Os analistas desenvolveram regras YARA para detectar padrões de chaves de API exclusivas de provedores de LLM, encontrando mais de 7.000 amostras com mais de 6.000 chaves únicas. O MalTerminal se destaca como o primeiro exemplo conhecido de malware que gera lógica maliciosa dinamicamente em tempo de execução, emitindo um payload JSON estruturado para o endpoint GPT-4 e definindo seu papel como um especialista em cibersegurança. Embora não haja evidências de que o MalTerminal tenha sido implantado em ambientes reais, sua dependência de serviços comerciais de LLM e chaves de API válidas apresenta uma janela estreita para que os defensores aprimorem suas estratégias de detecção antes que arquiteturas mais resilientes sejam adotadas pelos adversários.

Um relatório recente do Google Threat Intelligence Group (GTIG) e da Mandiant revelou que dezenas de organizações podem ter sido impactadas pela exploração de uma falha de segurança zero-day no software Oracle E-Business Suite (EBS), identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Desde 9 de agosto de 2025, a atividade maliciosa, associada ao grupo de ransomware Cl0p, utilizou múltiplas vulnerabilidades para invadir redes-alvo e exfiltrar dados sensíveis. A campanha de ataques começou em 29 de setembro de 2025, com um envio em massa de e-mails fraudulentos a executivos de empresas, alegando que suas aplicações Oracle EBS haviam sido comprometidas. Os atacantes exigiam resgates em troca de não vazamento das informações roubadas. A Oracle já lançou patches para corrigir a vulnerabilidade. Os ataques foram realizados utilizando técnicas como Server-Side Request Forgery (SSRF) e injeção de código, permitindo a execução remota de comandos. A complexidade e o investimento na campanha indicam um planejamento cuidadoso por parte dos atacantes, que podem estar associados ao grupo FIN11, conhecido por suas táticas de extorsão.

A empresa de cibersegurança Huntress identificou a exploração ativa de uma vulnerabilidade zero-day nos produtos Gladinet CentreStack e TrioFox. A falha, classificada como CVE-2025-11371, possui um CVSS de 6.1 e permite a inclusão local de arquivos não autenticados, resultando na divulgação não intencional de arquivos do sistema. Todas as versões do software anteriores e incluindo a 16.7.10368.56560 estão afetadas. A Huntress detectou a atividade pela primeira vez em 27 de setembro de 2025, com três clientes impactados até o momento. Essa vulnerabilidade se conecta a uma falha anterior, CVE-2025-30406, que permitia a execução remota de código. A recomendação imediata para os usuários é desabilitar o manipulador “temp” no arquivo Web.config, embora isso possa afetar algumas funcionalidades da plataforma. A Huntress está retendo detalhes adicionais da falha devido à exploração ativa e à falta de um patch disponível.

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

O uso de VPNs gratuitas, que antes eram vistas como ferramentas de proteção online, agora levanta sérias preocupações sobre a privacidade dos usuários. Um estudo da Zimperium zLabs revelou que muitas dessas aplicações solicitam permissões excessivas e utilizam códigos desatualizados, expondo os usuários a riscos de vigilância. Algumas VPNs pedem acesso a informações sensíveis, como logs do sistema e localização em tempo real, o que pode transformá-las em ferramentas de espionagem. Além disso, muitas dessas aplicações ainda utilizam bibliotecas OpenSSL vulneráveis, como a que foi afetada pelo bug Heartbleed de 2014, e não validam corretamente os certificados, aumentando o risco de ataques man-in-the-middle. A pesquisa não revelou quais aplicativos estão envolvidos, deixando os usuários em uma posição vulnerável ao escolherem serviços gratuitos. Para garantir a segurança, é aconselhável optar por provedores que realizam auditorias independentes e que têm políticas de privacidade transparentes, evitando permissões invasivas.

Pesquisadores em cibersegurança identificaram uma campanha de quishing sofisticada que utiliza técnicas avançadas de manipulação de códigos QR para atacar usuários da Microsoft, conseguindo evadir sistemas tradicionais de detecção de segurança. Essa nova abordagem representa uma evolução significativa nas táticas de phishing baseadas em QR codes, empregando múltiplas estratégias de evasão que desafiam as defesas cibernéticas convencionais.

Os atacantes implementaram três mecanismos distintos para evitar a detecção: a primeira técnica envolve a divisão dos códigos QR em dois arquivos de imagem separados, dificultando a análise por ferramentas automatizadas. Além disso, abandonaram os esquemas de cores padrão, utilizando combinações não convencionais que podem confundir sistemas de reconhecimento óptico. A técnica mais sofisticada consiste em desenhar os códigos QR diretamente através da manipulação do fluxo de conteúdo, permitindo que o código malicioso exista dentro do documento, contornando sistemas de detecção baseados em imagens.

Pesquisadores da Cisco Talos confirmaram que operadores de ransomware estão explorando a ferramenta de resposta a incidentes e forense digital (DFIR) Velociraptor em ataques cibernéticos sofisticados. A atividade foi atribuída ao grupo de ameaças Storm-2603, suspeito de operar a partir da China, que ganhou notoriedade por explorar vulnerabilidades do SharePoint. Em agosto de 2025, o grupo lançou um ataque que utilizou várias variantes de ransomware, como Warlock, LockBit e Babuk, para criptografar máquinas virtuais VMware ESXi e servidores Windows.

A Strategic Retail Partners (SRP) confirmou que notificou um número não revelado de pessoas sobre uma violação de dados ocorrida em fevereiro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo estado e informações financeiras. O ataque foi reivindicado pelo grupo de ransomware Medusa, que alegou ter roubado 1,35 TB de dados e exigiu um resgate de 1,2 milhão de dólares. Após uma segunda invasão em março, Medusa exigiu um resgate adicional de 1 milhão de dólares, afirmando que a SRP não havia melhorado sua segurança. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas. O ataque à SRP é o primeiro do grupo direcionado a uma empresa de varejo, que já havia atacado outras organizações em setores diversos. A pesquisa da Comparitech registrou 17 ataques confirmados de ransomware a varejistas nos EUA em 2025, comprometendo mais de 110 mil registros. Os ataques de ransomware podem causar interrupções significativas nas operações comerciais, além de expor dados pessoais a riscos de fraude.

Uma nova campanha de spyware chamada ClayRat tem se espalhado rapidamente, visando usuários de Android na Rússia. Os atacantes utilizam canais do Telegram e sites de phishing que imitam aplicativos populares como WhatsApp, Google Photos, TikTok e YouTube para enganar as vítimas e induzi-las a instalar o malware. Uma vez ativo, o ClayRat pode exfiltrar mensagens SMS, registros de chamadas, notificações e informações do dispositivo, além de tirar fotos com a câmera frontal e enviar mensagens SMS ou fazer chamadas diretamente do aparelho da vítima.

Um ator de ameaças alinhado à China, codinome UTA0388, tem realizado campanhas de spear-phishing direcionadas à América do Norte, Ásia e Europa, com o objetivo de implantar um malware conhecido como GOVERSHELL. As campanhas utilizam mensagens personalizadas que se fazem passar por pesquisadores e analistas de organizações fictícias, induzindo as vítimas a clicarem em links que levam a arquivos maliciosos. O GOVERSHELL, um backdoor em desenvolvimento ativo, possui várias variantes, cada uma com capacidades específicas, como execução de comandos via PowerShell. Os ataques têm explorado serviços legítimos como Netlify e OneDrive para hospedar os arquivos maliciosos. Além disso, o UTA0388 tem utilizado o OpenAI ChatGPT para gerar conteúdo das campanhas, o que demonstra um uso inovador de inteligência artificial em operações de ciberespionagem. A campanha também se alinha a interesses geopolíticos da China, especialmente em relação a Taiwan. A atividade do grupo foi observada em setembro de 2025, com um foco em instituições governamentais e setores críticos na Europa.

A Windscribe, provedora de serviços de VPN, anunciou uma atualização significativa em seu protocolo WireGuard, incorporando novas proteções contra a criptografia quântica. Essa atualização visa proteger os dados dos usuários contra ameaças futuras que podem surgir com o avanço da computação quântica, que possui a capacidade de decifrar métodos de criptografia tradicionais de maneira mais rápida e eficiente. Embora a Windscribe já oferecesse uma forma básica de criptografia pós-quântica, a nova implementação adiciona uma camada extra de segurança, utilizando um sistema híbrido que combina algoritmos de criptografia tradicionais com algoritmos resistentes a ataques quânticos. Essa mudança é especialmente relevante, pois a troca de chaves de criptografia, fundamental para a proteção dos dados, agora é realizada utilizando métodos que resistem a potenciais ataques de computadores quânticos. A atualização está disponível para usuários de desktop, Android e iOS, e pode ser ativada ao fazer logout e login novamente no aplicativo. A Windscribe se posiciona assim na vanguarda da segurança em VPNs, preparando-se para um futuro onde a computação quântica pode representar uma ameaça real à segurança online.

Um novo exploit de prova de conceito, denominado Fenrir, foi divulgado, visando uma falha crítica de lógica no processo de inicialização segura dos dispositivos Nothing Phone (2a) e CMF Phone 1. A vulnerabilidade permite que um atacante contorne a autenticação da partição bl2_ext, quebrando a cadeia de confiança e possibilitando a execução de código arbitrário no nível de privilégio mais alto (EL3) em sistemas ARM. Essa falha ocorre devido a um erro na cadeia de inicialização segura da MediaTek, que faz com que o Preloader ignore a verificação da partição bl2_ext quando o bootloader está desbloqueado. Isso significa que qualquer imagem de inicialização pode ser carregada sem validação, permitindo que um invasor desative as proteções de inicialização segura e obtenha controle total do dispositivo. A pontuação CVSS 3.1 para essa vulnerabilidade é de 9.8, indicando um risco crítico. Os usuários afetados devem evitar desbloquear seus bootloaders até que correções oficiais sejam disponibilizadas, e os fabricantes devem atualizar a lógica de verificação de inicialização segura para reforçar as verificações da bl2_ext, mesmo em estado desbloqueado.

O VirusTotal, plataforma colaborativa de análise de malware, anunciou uma atualização significativa que visa simplificar o acesso para pesquisadores individuais e recompensar parceiros que enriquecem o ecossistema de detecção. As melhorias incluem uma nova estrutura de preços com quatro níveis: Community, Lite, Contributor e Duet, cada um adaptado a diferentes grupos de usuários. O nível Community permanece gratuito, oferecendo recursos básicos de escaneamento. O Lite, a partir de USD 5.000 por ano, é voltado para pequenas equipes e startups, enquanto o Contributor é um novo nível que reconhece parceiros que contribuem com motores de detecção e inteligência de ameaças, oferecendo acesso gratuito a feeds exclusivos e suporte prioritário. O Duet, por sua vez, é destinado a grandes organizações, oferecendo um conjunto completo de recursos e suporte personalizado. O fundador do VirusTotal, Bernardo Quintero, destacou a importância da colaboração e da transparência, reafirmando que a contribuição de fornecedores de segurança é essencial para fortalecer a defesa pública contra malware. Com essas atualizações, o VirusTotal busca unir a comunidade de segurança na luta contra ameaças emergentes.

Recentemente, um sofisticado ataque de phishing tem utilizado notificações de documentos do Zoom para enganar candidatos a emprego e roubar credenciais do Gmail. O ataque começou com um e-mail que parecia legítimo, passando por verificações de segurança como SPF, DKIM e DMARC, e que parecia vir de um endereço confiável. Os destinatários recebiam uma notificação do Zoom informando que ‘departamentos de RH’ os convidavam a visualizar documentos. Ao clicar no link, os usuários eram redirecionados para um domínio falso, onde um ‘gate de proteção contra bots’ os induzia a acreditar que estavam em um site seguro. Após uma breve interação, eram levados a uma página de login falsa do Gmail, onde suas credenciais eram capturadas em tempo real. Os atacantes utilizavam uma conexão WebSocket para transferir as informações imediatamente para seus servidores. Para se proteger, os usuários devem mudar suas senhas e ativar a autenticação em duas etapas. Além disso, é crucial que as organizações monitorem e bloqueiem domínios maliciosos e eduquem seus funcionários sobre os riscos de phishing.

No dia 9 de outubro de 2025, a Microsoft Azure, uma das principais plataformas de computação em nuvem, sofreu uma interrupção significativa que afetou clientes na Europa e na África. O problema começou por volta das 07:40 UTC, resultando em uma perda de capacidade de cerca de 30% em instâncias do Azure Front Door, a rede de entrega de conteúdo da empresa. Regiões como Norte da Europa, Oeste da Europa, França Central e partes da África do Sul foram as mais impactadas. Os usuários enfrentaram falhas de conectividade, e muitos não conseguiram acessar o portal do Azure, o que dificultou ações administrativas e de gerenciamento. A Microsoft descartou que as recentes implementações de código fossem a causa do problema, sugerindo que a falha poderia estar relacionada a componentes fundamentais da rede. A empresa se comprometeu a fornecer atualizações regulares e a realizar uma análise detalhada após a restauração dos serviços. Este incidente ressalta os riscos associados à dependência de um único provedor de nuvem e a necessidade de estratégias de resiliência robustas, como implantações em múltiplas regiões e arquiteturas híbridas.

Nos primeiros nove meses de 2025, foram registrados 293 ataques de ransomware em hospitais e clínicas, além de 130 ataques a empresas do setor de saúde, como fabricantes de produtos médicos e provedores de tecnologia. Embora os ataques a prestadores de serviços de saúde tenham se mantido estáveis em relação a 2024, os ataques a empresas do setor aumentaram em 30%. O aumento da conscientização sobre a ameaça de ransomware, impulsionado por ataques de alto perfil, pode ter levado as organizações a melhorar suas defesas. Além disso, as empresas de saúde lidam com múltiplos prestadores, o que aumenta a vulnerabilidade a ataques. Os dados revelam que 7,4 milhões de registros foram comprometidos em ataques confirmados, com um pedido médio de resgate de cerca de $514.000. Os principais grupos de ransomware identificados foram INC, Qilin e SafePay. Os Estados Unidos lideram em número de ataques, seguidos por Austrália, Alemanha e Reino Unido. O relatório destaca a necessidade urgente de ações de segurança cibernética no setor, especialmente em relação a fornecedores terceirizados, que representam um novo vetor de ataque.

Em 2025, o uso de aplicações de software como serviço (SaaS) é comum entre as empresas, mas a segurança dessas plataformas depende de pequenos dados chamados tokens, como tokens de acesso OAuth e chaves de API. O roubo de tokens tem se mostrado uma das principais causas de violações de segurança em ambientes SaaS, permitindo que cibercriminosos acessem sistemas sem a necessidade de senhas, mesmo contornando medidas como a autenticação multifator (MFA). Incidentes recentes, como os ataques à Slack e CircleCI, evidenciam como um único token comprometido pode resultar em acessos não autorizados e vazamentos de dados. A proliferação de SaaS, muitas vezes chamada de ‘SaaS sprawl’, contribui para a dificuldade em monitorar e gerenciar essas integrações, criando uma superfície de ataque não governada. Para mitigar esses riscos, as empresas devem adotar práticas de higiene de tokens, como manter um inventário de aplicativos OAuth, impor processos de aprovação para novas integrações e monitorar a atividade dos tokens. A falta de visibilidade e controle sobre tokens e integrações pode levar a consequências graves, tornando essencial que as equipes de segurança implementem medidas proativas para proteger suas infraestruturas SaaS.