O artigo destaca a crescente preocupação com ataques baseados em identidade, que se tornaram a principal ameaça enfrentada por organizações. Com métodos como phishing, vazamento de senhas e engenharia social, os atacantes não precisam mais ‘invadir’ sistemas, mas sim ‘fazer login’ em contas comprometidas. Uma vez dentro, eles podem se espalhar rapidamente, causando danos significativos. Para mitigar esses riscos, as empresas devem adotar uma abordagem proativa, implementando medidas como autenticação multifator (MFA), controle de acesso baseado no Princípio do Menor Privilégio (PoLP) e, principalmente, soluções de Detecção e Resposta a Ameaças de Identidade (ITDR). Essas ferramentas oferecem visibilidade detalhada sobre eventos de TI, permitindo que as equipes de segurança identifiquem comportamentos suspeitos e respondam rapidamente. A plataforma tenfold é apresentada como uma solução integrada que combina governança de identidade e segurança, facilitando a automação de processos e a auditoria de eventos. O artigo enfatiza a importância de entender o comportamento normal dos usuários para detectar atividades maliciosas e sugere que as organizações adotem uma postura de ‘melhor prevenir do que remediar’.

A Cloudflare anunciou a correção de uma vulnerabilidade em seu ambiente de validação de certificados, conhecido como ACME (Automatic Certificate Management Environment). A falha, identificada em outubro de 2025, permitia que requisições maliciosas contornassem as regras de segurança, possibilitando o acesso a servidores de origem. A vulnerabilidade estava relacionada à forma como a rede de borda da Cloudflare processava requisições destinadas ao caminho de desafio HTTP-01 do ACME. Quando um token de validação era solicitado, a lógica falhava em verificar se o token correspondia a um desafio ativo, permitindo que atacantes enviassem requisições arbitrárias. A empresa não encontrou evidências de exploração maliciosa, mas a correção foi implementada em 27 de outubro de 2025, ajustando a lógica para desabilitar as funcionalidades do firewall de aplicação web (WAF) apenas quando o token era válido para o hostname específico. Essa vulnerabilidade poderia ser utilizada para acessar arquivos sensíveis nos servidores de origem, aumentando o risco de reconhecimento e exploração de dados. A Cloudflare é amplamente utilizada por empresas em todo o mundo, incluindo no Brasil, o que torna essa correção relevante para a segurança cibernética local.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware chamada Evelyn Stealer, que visa desenvolvedores de software através do ecossistema de extensões do Microsoft Visual Studio Code (VS Code). O malware é projetado para exfiltrar informações sensíveis, como credenciais de desenvolvedores e dados relacionados a criptomoedas. A Trend Micro destacou que ambientes de desenvolvimento comprometidos podem ser usados como pontos de acesso a sistemas organizacionais mais amplos.

A campanha foi inicialmente documentada pela Koi Security, que identificou três extensões maliciosas do VS Code que baixam um DLL downloader. Este downloader executa um comando PowerShell oculto para buscar e executar um segundo payload, que injeta o principal payload de roubo de informações em um processo legítimo do Windows. Entre os dados coletados estão conteúdos da área de transferência, aplicativos instalados, carteiras de criptomoedas, capturas de tela da área de trabalho e credenciais armazenadas em navegadores como Google Chrome e Microsoft Edge.

Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais, como o LinkedIn, para disseminar arquivos maliciosos, possivelmente com a intenção de implantar um Trojan de Acesso Remoto (RAT). A atividade envolve o envio de mensagens a indivíduos de alto valor, estabelecendo confiança e induzindo-os a baixar um arquivo autoextraível do WinRAR. Este arquivo extrai quatro componentes: um leitor de PDF legítimo, uma DLL maliciosa, um executável do interpretador Python e um arquivo RAR que provavelmente serve como isca. A infecção é ativada quando o leitor de PDF é executado, permitindo que a DLL maliciosa seja carregada. O uso de DLL sideloading tem se tornado comum entre atacantes para evitar detecções. Nos últimos dias, pelo menos três campanhas documentadas utilizaram essa técnica para entregar malwares como LOTUSLITE e PDFSIDER. A DLL maliciosa instala o interpretador Python e cria uma chave de registro no Windows para garantir a execução automática em cada login. O payload final tenta se comunicar com um servidor externo, permitindo acesso remoto persistente e exfiltração de dados. Essa abordagem demonstra que ataques de phishing não se limitam a e-mails, explorando lacunas de segurança em plataformas de redes sociais, que geralmente têm menos monitoramento.

Um conjunto de três vulnerabilidades de segurança foi revelado no mcp-server-git, o servidor oficial do Protocolo de Contexto de Modelo Git (MCP) mantido pela Anthropic. Essas falhas podem ser exploradas para ler ou deletar arquivos arbitrários e executar código sob certas condições. Segundo o pesquisador Yarden Porat, da Cyata, a exploração ocorre por meio de injeção de prompt, permitindo que um atacante influencie o que um assistente de IA lê, como um README malicioso ou uma descrição de problema comprometida, sem acesso direto ao sistema da vítima. As vulnerabilidades, identificadas como CVE-2025-68143, CVE-2025-68144 e CVE-2025-68145, têm pontuações CVSS que variam de 7.1 a 8.8, indicando um risco elevado. Elas foram corrigidas nas versões 2025.9.25 e 2025.12.18, após divulgação responsável em junho de 2025. A exploração bem-sucedida pode permitir que um atacante transforme qualquer diretório em um repositório Git e acesse repositórios no servidor. Em resposta, a ferramenta git_init foi removida do pacote e validações adicionais foram implementadas. Usuários são aconselhados a atualizar para as versões mais recentes para garantir proteção adequada.

Um mercado de garantias baseado no Telegram, conhecido como Tudou Guarantee, está encerrando suas operações, conforme revelado por uma pesquisa da empresa de inteligência em blockchain Elliptic. Estima-se que o Tudou tenha processado mais de US$ 12 bilhões em transações, tornando-se o terceiro maior mercado ilícito da história. Embora suas operações de jogo ainda estejam ativas, a interrupção das transações em grupos públicos sugere uma possível mudança ou fechamento total. O Tudou se destacou como um centro para a venda de dados pessoais roubados, serviços de lavagem de dinheiro e plataformas fraudulentas, atraindo vendedores que anteriormente utilizavam o HuiOne Guarantee, que também foi fechado. A recente prisão do CEO do Prince Group, Chen Zhi, por envolvimento em um esquema de fraude de investimento, pode ter acelerado o declínio do Tudou. A Elliptic observa que, apesar do fechamento, a atividade criminosa provavelmente se dispersará para outros mercados. Em resposta, o governo dos EUA criou a Scam Center Strike Force para combater redes criminosas transnacionais na região, já confiscando US$ 401 milhões em criptomoedas relacionadas a fraudes.

Uma nova campanha de malvertising está utilizando uma extensão falsa de bloqueio de anúncios chamada NexShield, que causa falhas intencionais nos navegadores Chrome e Edge. Essa extensão, que foi removida da Chrome Web Store, é promovida como uma ferramenta de privacidade, mas na verdade cria uma condição de negação de serviço (DoS) ao gerar conexões em um loop infinito, esgotando os recursos de memória do navegador. Isso resulta em abas congeladas e uso elevado de CPU e RAM, levando o navegador a travar ou falhar. Após a falha, um pop-up enganoso sugere que o usuário escaneie o sistema para localizar problemas, levando-o a executar comandos maliciosos no prompt de comando do Windows. Esses comandos ativam um script PowerShell ofuscado que baixa e executa um malware chamado ModeloRAT, que permite acesso remoto ao sistema. A campanha, atribuída ao ator de ameaças ‘KongTuke’, destaca a evolução das táticas de ataque, visando ambientes corporativos. Para se proteger, os usuários devem evitar instalar extensões de fontes não confiáveis e realizar uma limpeza completa do sistema se a extensão NexShield foi instalada.

A OpenAI anunciou uma oferta temporária que permite que alguns usuários ativem o ChatGPT Plus gratuitamente por um mês. Este plano, que normalmente custa $20 por mês nos Estados Unidos, é uma das três opções de assinatura disponíveis, que incluem também o ChatGPT Go a $8 e o ChatGPT Pro a $200. O ChatGPT Plus é ideal para tarefas que exigem raciocínio mais profundo, como redação, edição de documentos, aprendizado e pesquisa, além de análise de dados. Em comparação com o ChatGPT Go, o Plus oferece limites mais altos para mensagens, uploads de arquivos e memória, permitindo que o modelo lembre mais detalhes de conversas anteriores. A oferta é válida apenas para alguns usuários e pode ser cancelada a qualquer momento antes da renovação automática após um mês. Além disso, as versões gratuitas e Go começarão a exibir anúncios nas próximas semanas, o que pode impactar a experiência do usuário. O artigo também menciona um relatório sobre o orçamento de CISO para 2026, que pode ser relevante para líderes de segurança que buscam entender como priorizar investimentos em cibersegurança.

O ChatGPT Go, uma nova oferta da OpenAI, agora está disponível para usuários nos Estados Unidos e custa apenas $8, um valor significativamente menor que o plano ChatGPT Plus, que é de $20. Inicialmente restrito a países em desenvolvimento, o ChatGPT Go permite que os usuários façam upload de arquivos, criem imagens e acessem o modelo GPT 5.2 Instant com limites de uso ampliados. Além disso, oferece janelas de memória e contexto mais longas, permitindo que o modelo lembre-se de interações anteriores. No entanto, o ChatGPT Go não possui capacidades de raciocínio e é limitado ao modelo GPT 5.2 Instant, ao contrário do ChatGPT Plus, que permite acesso a modelos mais avançados e é voltado para tarefas que exigem raciocínio profundo. Existe também um plano ChatGPT Pro, que custa $200 por mês e oferece acesso total ao modelo mais poderoso, GPT-5.2 Pro, além de recursos adicionais. Para evitar anúncios, os usuários precisam assinar um dos planos pagos. A OpenAI também está implementando práticas de segurança para o novo protocolo Model Context Protocol (MCP), que conecta modelos de linguagem a ferramentas e dados, destacando a importância da segurança em serviços emergentes.

A Cisco anunciou a correção de uma vulnerabilidade crítica em seus roteadores, identificada como CVE-2025-20393, que permitia a execução remota de códigos no AsyncOS, afetando o Gateway de E-mail Seguro (SEG) e o Gerenciador Seguro de Web e E-mail (SEWM). A falha foi explorada por grupos de hackers chineses, incluindo UAT-9686, APT41 e UNC5174, durante pelo menos cinco semanas, desde novembro de 2025. Os atacantes conseguiram instalar mecanismos de persistência, como uma backdoor chamada Aquashell, que permitia o controle contínuo dos sistemas comprometidos. A Cisco recomenda que as organizações afetadas atualizem seus softwares imediatamente e contatem seu Centro de Assistência Técnica para suporte. Embora a empresa tenha corrigido a falha, não divulgou quantas instâncias foram comprometidas ou o número de organizações afetadas, o que levanta preocupações sobre a extensão do ataque e a segurança dos dados das vítimas.

Oleg Evgenievich Nefedov, suposto líder do grupo de ransomware Black Basta, foi incluído no alerta vermelho da Interpol durante uma operação conjunta entre autoridades policiais da Ucrânia e da Alemanha. Nefedov, um cidadão russo de 35 anos, é acusado de liderar um grupo que arrecadou ilegalmente centenas de milhões de dólares em criptomoedas, atacando mais de 500 empresas na América do Norte, Europa e Austrália desde 2022. Os membros do grupo são especializados em invasões técnicas e na extração de senhas, utilizando softwares específicos para realizar ciberataques e extorquir dinheiro das vítimas. Durante a operação, dois ucranianos foram identificados como suspeitos e tiveram suas residências vasculhadas, resultando na apreensão de dispositivos digitais e ativos em criptomoedas. Nefedov já havia sido preso em 2024 na Armênia, mas conseguiu escapar. Atualmente, seu paradeiro é desconhecido, embora se acredite que ele esteja na Rússia. O caso destaca a crescente ameaça de grupos de ransomware e a necessidade de uma resposta internacional coordenada para combater esses crimes cibernéticos.

Um ataque cibernético ao Canadian Investment Regulatory Organization (CIRO) resultou na exposição de dados sensíveis de aproximadamente 750 mil investidores canadenses. O incidente, que ocorreu em agosto de 2025, não comprometeu senhas ou PINs, mas revelou informações como datas de nascimento, números de telefone, renda anual, números de seguro social e documentos de identidade emitidos pelo governo. Embora a CIRO tenha realizado uma investigação minuciosa, gastando mais de 9.000 horas, e não tenha encontrado evidências de que os dados tenham vazado para a dark web, a situação ainda é preocupante. Os dados expostos podem ser utilizados em ataques de phishing, onde criminosos podem enganar as vítimas para que revelem suas credenciais de acesso. Para mitigar os riscos, a CIRO ofereceu dois anos de monitoramento de crédito e proteção contra roubo de identidade aos afetados. A comunicação com os indivíduos afetados será feita por e-mail, e aqueles que não receberem notificações podem entrar em contato diretamente com a organização.

Nicholas Moore, um homem de 24 anos de Springfield, Tennessee, se declarou culpado por invadir o sistema de arquivamento eletrônico da Suprema Corte dos Estados Unidos e acessar contas da AmeriCorps e do Departamento de Assuntos de Veteranos. Entre agosto e outubro de 2023, ele acessou o sistema da Suprema Corte pelo menos 25 vezes utilizando credenciais roubadas, muitas vezes logando várias vezes ao dia. Moore se gabou das invasões em sua conta no Instagram, @ihackedthegovernment, onde postou capturas de tela com detalhes dos sistemas invadidos e informações pessoais das vítimas. Além disso, ele acessou a conta da AmeriCorps de outra vítima sete vezes, obtendo dados pessoais sensíveis, e invadiu o portal de saúde do Departamento de Assuntos de Veteranos cinco vezes, expondo informações privadas de saúde de um veterano. Moore confessou um crime de fraude informática, que pode resultar em até um ano de prisão e uma multa de até 100 mil dólares.

O governo do Reino Unido emitiu um alerta sobre atividades maliciosas contínuas de grupos hacktivistas alinhados à Rússia, que estão visando a infraestrutura crítica e organizações governamentais locais através de ataques de negação de serviço distribuído (DDoS). Esses ataques têm como objetivo derrubar sites e desativar serviços, causando custos elevados para as organizações afetadas. O Centro Nacional de Segurança Cibernética (NCSC) destacou o grupo NoName057(16), que opera o projeto DDoSia, permitindo que voluntários contribuam com recursos computacionais para realizar ataques DDoS em troca de recompensas. Apesar de uma operação internacional que interrompeu parte das atividades do grupo em julho de 2025, os principais operadores ainda estão ativos, o que representa uma ameaça em evolução, especialmente para ambientes de tecnologia operacional (OT). Para mitigar os riscos de DDoS, o NCSC recomenda que as organizações compreendam seus serviços, fortaleçam defesas, projetem para escalabilidade rápida e testem continuamente suas defesas. Os hacktivistas russos têm se tornado uma ameaça crescente desde 2022, visando organizações em países que se opõem às ambições geopolíticas da Rússia.

Recentemente, um ataque de ransomware direcionado a uma empresa do setor financeiro da Fortune 100 utilizou uma nova variante de malware chamada PDFSider. Os atacantes empregaram engenharia social para se passar por trabalhadores de suporte técnico, induzindo funcionários a instalar a ferramenta Quick Assist da Microsoft. A Resecurity, empresa de cibersegurança, identificou o PDFSider como uma backdoor furtiva que permite acesso a longo prazo, com características associadas a técnicas de APT (Advanced Persistent Threat). O malware é distribuído por e-mails de spearphishing que contêm um arquivo ZIP com um executável legítimo e uma versão maliciosa de uma DLL necessária para o funcionamento do software. Ao ser executado, o malware carrega a DLL maliciosa, permitindo a execução de comandos no sistema. O PDFSider opera de forma discreta, utilizando criptografia avançada para proteger suas comunicações e mecanismos de anti-análise para evitar detecções. A Resecurity alerta que o PDFSider é mais próximo de um malware de espionagem do que de um ataque motivado financeiramente, destacando a crescente facilidade com que cibercriminosos exploram vulnerabilidades em softwares devido ao uso de IA na programação.

Pesquisadores de cibersegurança revelaram uma falha de segurança que permite a injeção de comandos no Google Gemini, possibilitando a extração de dados do Google Calendar. A vulnerabilidade, identificada por Liad Eliyahu, da Miggo Security, permite que um invasor crie um evento de calendário malicioso que, ao ser consultado pelo usuário, ativa um comando oculto que extrai informações privadas de reuniões. O ataque é ativado quando o usuário faz uma pergunta aparentemente inocente sobre sua agenda, levando o chatbot a gerar um novo evento que contém um resumo das reuniões privadas do usuário. Embora a falha tenha sido corrigida, o incidente destaca como as funcionalidades baseadas em inteligência artificial podem ampliar a superfície de ataque e introduzir novos riscos de segurança. Além disso, a pesquisa aponta que vulnerabilidades não se limitam mais ao código, mas também se manifestam na linguagem e no comportamento da IA em tempo real. O artigo também menciona outras vulnerabilidades em sistemas de IA, reforçando a necessidade de auditorias regulares e controles de segurança adequados em ambientes corporativos que utilizam essas tecnologias.

Pesquisadores da Universidade Católica de Leuven identificaram uma vulnerabilidade crítica no protocolo Fast Pair da Google, chamada WhisperPair (CVE-2025-36911), que afeta centenas de milhões de fones de ouvido e microfones Bluetooth. Essa falha permite que hackers sequestram dispositivos de áudio, possibilitando o rastreamento de usuários e a escuta de conversas sem o consentimento da vítima. A vulnerabilidade decorre de uma má implementação do protocolo, que deveria ignorar pedidos de pareamento não autorizados, mas que foi negligenciada por diversos fabricantes. Dispositivos de marcas como Google, JBL, Sony e Xiaomi estão entre os afetados, permitindo conexões a até 14 metros de distância. Após a descoberta, a Google premiou os pesquisadores com US$ 15.000 e está colaborando com os fabricantes para lançar correções. No entanto, a única defesa disponível para os usuários é a instalação de atualizações de firmware, já que desabilitar o Fast Pair nos celulares não impede o ataque. Essa situação levanta preocupações sobre a segurança de dispositivos Bluetooth e a privacidade dos usuários.

Especialistas em cibersegurança da Huntress alertaram sobre uma nova campanha maliciosa chamada KongTuke, que utiliza uma extensão falsa de bloqueio de anúncios no Google Chrome para roubar dados dos usuários. A extensão, denominada ‘NexShield – Advanced Web Guardian’, se apresenta como uma ferramenta de proteção contra anúncios e malwares, mas na verdade distribui um trojan de acesso remoto chamado ModeloRAT. Ao instalar a extensão, os usuários são enganados por um aviso de segurança falso que os leva a executar um comando no Windows, causando um travamento do navegador e permitindo que os hackers monitorem suas atividades. A extensão foi baixada mais de 5 mil vezes antes de ser desativada. O ataque é especialmente preocupante para ambientes corporativos, onde informações sensíveis podem ser comprometidas através da engenharia social. A campanha destaca a importância de se ter cautela ao instalar extensões e a necessidade de medidas de segurança robustas para proteger dados pessoais e corporativos.

Pesquisadores da CyberArk descobriram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle utilizado por hackers para disseminar o malware StealC. Essa falha permitiu que os especialistas coletassem informações cruciais, como impressões digitais e cookies, para interromper as operações dos cibercriminosos. O StealC, um infostealer que opera sob o modelo de Malware-as-a-Service (MaaS), foi identificado pela primeira vez em janeiro de 2023 e é distribuído por meio de cracks corrompidos de softwares populares, utilizando o YouTube como fachada. O vazamento do código-fonte do painel de gerenciamento do malware facilitou a análise da vulnerabilidade, que é comum em injeções do lado do cliente. Embora os detalhes da falha não tenham sido divulgados para evitar que os hackers a corrigissem, a situação destaca a importância de monitorar e proteger sistemas contra esse tipo de ataque. A falta de medidas de proteção adequadas permitiu que os cookies dos servidores comprometidos vazassem durante a coleta de dados, expondo informações sensíveis dos usuários.

Pesquisadores do Centro CISPA Helmholtz de Segurança da Informação, na Alemanha, identificaram uma vulnerabilidade crítica nos processadores AMD, que permite a execução remota de códigos e escalonamento de privilégios em máquinas virtuais. Denominada StackWarp, a falha afeta os processadores AMD Zen, do modelo 1 ao 5, e possibilita que agentes maliciosos, com acesso privilegiado, manipulem o empilhamento de memória, comprometendo a segurança das máquinas virtuais. Embora a AMD já tenha lançado um patch para corrigir a vulnerabilidade, classificada como CVE-2025-29943 com severidade baixa (3,2/10), a possibilidade de exploração ainda existe para aqueles que já possuem controle privilegiado sobre os sistemas. A vulnerabilidade foi demonstrada em testes, onde foi possível reconstruir chaves privadas e contornar autenticações de senha. Apesar de a falha ser limitada a atacantes internos ou hackers sofisticados, ela destaca uma fragilidade significativa na segurança dos processadores AMD, especialmente em ambientes de nuvem e virtualização, onde a proteção de dados sensíveis é crucial.

Pesquisadores de cibersegurança da CyberArk conseguiram acessar o painel de controle do malware StealC, um infostealer amplamente utilizado por cibercriminosos. Essa invasão foi possível devido a uma falha de vazamento de código-fonte e uma vulnerabilidade de cross-site scripting (XSS). O StealC é capaz de coletar dados sensíveis, como credenciais de navegadores, cookies e informações de carteiras de criptomoedas. Durante a investigação, os pesquisadores identificaram um ator de ameaças conhecido como ‘YouTubeTA’, que utilizou credenciais roubadas para invadir canais legítimos do YouTube, resultando na coleta de 390 mil senhas e 30 milhões de cookies. A análise revelou detalhes sobre o dispositivo utilizado pelo atacante, que não utilizou uma VPN em uma de suas sessões, expondo seu endereço IP vinculado a um provedor de internet na Ucrânia. A divulgação dessas informações pode atrair mais atenção sobre o StealC, potencialmente interrompendo suas operações. Essa situação destaca a importância de monitorar e mitigar ameaças emergentes no cenário de cibersegurança.

A gigante de tecnologia Ingram Micro revelou que um ataque de ransomware em julho de 2025 resultou em uma violação de dados que afetou mais de 42.000 indivíduos. A empresa, que é uma das maiores fornecedoras de serviços B2B e distribuidora de tecnologia do mundo, confirmou que documentos contendo informações pessoais, como números de Seguro Social, foram roubados. O incidente foi detectado em 3 de julho de 2025, quando a Ingram Micro iniciou uma investigação após a detecção de atividades não autorizadas em seus sistemas internos. Os arquivos afetados incluíam registros de emprego e de candidatos, contendo dados como nome, informações de contato, data de nascimento e números de identificação emitidos pelo governo. Além da violação de dados, o ataque causou uma grande interrupção nos sistemas internos e no site da empresa, obrigando os funcionários a trabalharem de casa. Embora a Ingram Micro ainda não tenha vinculado o ataque a um grupo específico, a gangue de ransomware SafePay reivindicou a responsabilidade pelo ataque, alegando ter roubado 3,5 TB de documentos. O grupo é conhecido por suas táticas de dupla extorsão, que envolvem roubo de documentos sensíveis antes de criptografar os sistemas das vítimas e ameaçar a divulgação dos arquivos se o resgate não for pago.

Feras Khalil Ahmad Albashiti, um homem de 40 anos da Jordânia, se declarou culpado por atuar como um ‘access broker’, vendendo acesso a redes de computadores de pelo menos 50 empresas. A extradição de Albashiti foi realizada pelo Departamento de Justiça dos EUA, após sua prisão na Geórgia em julho de 2024. Ele foi acusado de fraude envolvendo credenciais de acesso e sua sentença está marcada para 11 de maio de 2026, podendo enfrentar até 10 anos de prisão e multas que podem chegar a $250.000. A investigação começou em maio de 2023, quando agentes de segurança identificaram Albashiti em um fórum online que vendia malware. Ele foi preso após vender acesso a redes de empresas para um agente disfarçado em troca de criptomoedas. O papel de ‘initial access brokers’ é crucial no ecossistema do cibercrime, pois eles fornecem credenciais que permitem que outros criminosos realizem ataques, como roubo de dados e ransomware. Recentemente, a Microsoft alertou sobre um broker que está abusando de ferramentas do Windows para carregar malware, destacando a crescente ameaça que esses intermediários representam.

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.

Uma equipe de acadêmicos do CISPA Helmholtz Center for Information Security, na Alemanha, revelou uma nova vulnerabilidade de hardware, chamada StackWarp, que afeta processadores AMD, incluindo as séries EPYC 7003, 8004, 9004 e 9005. Essa falha permite que atacantes com controle privilegiado sobre um servidor host executem código malicioso dentro de máquinas virtuais confidenciais (CVMs), comprometendo a integridade das garantias de segurança oferecidas pelo Secure Encrypted Virtualization com Secure Nested Paging (SEV-SNP) da AMD. A vulnerabilidade, classificada como CVE-2025-29943, possui um escore de severidade médio (4.6) e pode ser explorada por meio de um bit de controle não documentado no lado do hipervisor, permitindo que um atacante manipule o ponteiro da pilha dentro da VM protegida. Isso pode resultar em execução remota de código e escalonamento de privilégios. A AMD já lançou atualizações de microcódigo para mitigar a vulnerabilidade, com patches adicionais programados para abril de 2026. Os operadores de SEV-SNP são aconselhados a desativar o hyperthreading em sistemas afetados e aplicar as atualizações disponíveis.

Nos últimos anos, a dependência de provedores de SaaS (Software as a Service) e soluções em nuvem tem se mostrado arriscada para empresas que buscam resiliência cibernética. O modelo de ‘Shared Responsibility’ (Responsabilidade Compartilhada) entre as empresas e os provedores de serviços em nuvem não garante proteção total dos dados, como evidenciado por um aumento significativo nos incidentes de segurança. Em 2024, plataformas populares de DevOps, como GitHub e Jira, enfrentaram 502 incidentes, resultando em mais de 4.755 horas de inatividade. Em 2025, esse número saltou para 156 incidentes críticos, com mais de 9.255 horas de degradação de desempenho. A falta de uma estratégia de proteção de dados em múltiplas camadas e a dependência de backups nativos criam um ponto único de falha, expondo as empresas a riscos financeiros e operacionais significativos. Além disso, a pressão durante as interrupções pode levar a práticas inseguras, como o uso de Shadow IT, aumentando ainda mais os riscos de segurança. Para as empresas brasileiras, a situação é crítica, pois a inatividade pode resultar em perdas financeiras substanciais e danos à reputação, exigindo uma reavaliação das estratégias de cibersegurança e continuidade de negócios.

O cenário de cibersegurança está em constante evolução, com a linha entre atualizações normais e incidentes graves se tornando cada vez mais tênue. Recentemente, uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, foi explorada ativamente, permitindo que atacantes não autenticados executassem códigos maliciosos. Essa falha, com um escore CVSS de 9.4, compromete o serviço phMonitor, que opera com privilégios elevados, possibilitando controle total do sistema. Além disso, um novo malware chamado VoidLink, voltado para ambientes Linux, foi desenvolvido para garantir acesso de longo prazo e coleta de dados, utilizando técnicas de evasão sofisticadas para evitar detecção.

A inteligência artificial (IA) se tornou uma parte integral das operações empresariais, automatizando processos e auxiliando na tomada de decisões. No entanto, à medida que a IA acessa dados sensíveis e executa ações, ela se transforma em um vetor de risco potencial. Pesquisas da Tenable indicam que a IA pode ser manipulada para facilitar ataques internos, utilizando técnicas como injeção indireta de instruções. Isso altera a abordagem tradicional de segurança, que se focava apenas em invasões externas. A popularização de ferramentas no-code, que permitem que mais colaboradores criem agentes de IA, aumenta a exposição a riscos, como vazamentos de dados e fraudes financeiras. Para mitigar esses riscos, é crucial que as lideranças empresariais respondam a três perguntas fundamentais sobre o uso da IA em suas organizações. A governança deve ser proporcional ao impacto, envolvendo práticas como mapeamento de ferramentas, classificação de dados e monitoramento de interações. A maturidade em IA será medida não pela rapidez de adoção, mas pela capacidade de controle e segurança na sua implementação.

A OpenAI está testando uma nova funcionalidade ou produto com o codinome ‘Sonata’, que pode estar relacionado a experiências musicais ou de áudio no ChatGPT. Recentemente, foram identificados novos subdomínios associados à OpenAI, como sonata.openai.com e sonata.api.openai.com, indicando que a empresa está desenvolvendo um novo serviço. O codinome ‘Sonata’ refere-se a uma composição musical instrumental de múltiplos movimentos, mas seu significado exato ainda é incerto. Além disso, a OpenAI anunciou melhorias nas capacidades de busca de detalhes em chats passados no ChatGPT, permitindo que os usuários acessem o contexto original de conversas anteriores. A empresa também está aprimorando as funcionalidades de ditado para todos os usuários logados. Embora o artigo não mencione incidentes de segurança ativos, ele destaca inovações que podem impactar a experiência do usuário e a forma como as informações são geridas na plataforma.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web utilizado pelos operadores do malware StealC, um ladrão de informações que surgiu em janeiro de 2023. Essa falha permitiu a coleta de dados críticos sobre os usuários do malware, incluindo impressões digitais do sistema e cookies de sessão. O StealC opera sob um modelo de malware como serviço (MaaS), utilizando plataformas como o YouTube para distribuir o software malicioso disfarçado de cracks de programas populares. O painel atualizado, conhecido como StealC V2, foi comprometido após o vazamento do código-fonte, permitindo que pesquisadores identificassem detalhes sobre os computadores dos operadores, como localização e hardware. A vulnerabilidade XSS é uma injeção de código JavaScript malicioso que pode ser explorada para roubar cookies e acessar informações sensíveis. O caso destaca a ironia de um grupo especializado em roubo de cookies não ter implementado medidas básicas de segurança. Além disso, um cliente do StealC, identificado como YouTubeTA, utilizou a plataforma para distribuir o malware, acumulando um grande número de credenciais roubadas. A pesquisa também revelou falhas na segurança operacional do ator, que expôs sua localização ao não usar uma VPN. Isso evidencia os riscos que os operadores de malware enfrentam, mesmo em suas próprias infraestruturas.

Recentes fraudes digitais no Brasil, que utilizam manipulação de imagens, levantaram preocupações sobre a segurança das contas Gov.br e a eficácia dos sistemas de autenticação biométrica. Criminosos têm conseguido acessar dados sensíveis ao combinar engenharia social, falsificação visual e falhas na verificação de identidade digital. Especialistas, como Daniel Barbosa da ESET, alertam que a biometria, embora considerada segura, não deve ser o único método de autenticação. A recomendação é adotar múltiplas camadas de proteção, como senhas fortes e autenticação em dois fatores, para aumentar a segurança das contas. O uso de tecnologias de inteligência artificial, como deepfakes, permite a criação de vídeos e áudios que podem enganar sistemas de detecção, tornando a situação ainda mais crítica. Para mitigar riscos, os usuários devem estar atentos a acessos suspeitos e realizar ações imediatas, como trocar senhas e contatar o suporte da plataforma. O artigo destaca a importância de uma abordagem de segurança mais robusta e integrada para proteger informações pessoais e serviços públicos essenciais.

A OpenAI está testando uma atualização significativa para o ChatGPT, que será lançada nas próximas semanas. A nova funcionalidade, codinome ‘Salute’, permitirá aos usuários criar tarefas com uploads de arquivos e acompanhar seu progresso. Além disso, há indícios de que o ChatGPT poderá escolher um modelo otimizado para resultados de negócios locais, como restaurantes e hotéis, em widgets de mapas. Outra mudança importante é o suporte a um novo túnel seguro para servidores MCP, que conecta o servidor interno do cliente à OpenAI sem a necessidade de alterações no firewall. Por fim, a atualização inclui blocos de código e matemática editáveis em linha, semelhantes aos blocos de formatação recentemente introduzidos. Essas melhorias visam aumentar a funcionalidade e a usabilidade do ChatGPT, tornando-o uma ferramenta ainda mais poderosa para usuários e empresas.

O Google está testando uma nova funcionalidade chamada ‘Skills’ para o Gemini, sua inteligência artificial integrada ao navegador Chrome. Essa funcionalidade permitirá que o Gemini execute tarefas automaticamente, atuando como um assistente dentro do navegador. Atualmente, o Gemini já está disponível para usuários de desktop nos Estados Unidos, onde pode ajudar a explicar partes confusas de páginas, resumir conteúdos e comparar informações entre várias abas. Por exemplo, ao pesquisar por voos, hotéis e atividades, o usuário pode solicitar que o Gemini compile as informações em um único plano claro.

A Canadian Investment Regulatory Organization (CIRO) confirmou que um vazamento de dados ocorrido no ano passado afetou cerca de 750 mil investidores no Canadá. O incidente foi revelado em 18 de agosto, após a identificação de uma ameaça cibernética em 11 de agosto, levando a CIRO a desativar sistemas não críticos e iniciar uma investigação. A análise forense, concluída em 14 de janeiro, revelou que informações pessoais de membros e funcionários registrados foram comprometidas, incluindo datas de nascimento, números de telefone, renda anual e números de contas de investimento. Embora as credenciais de login não tenham sido afetadas, a CIRO não encontrou evidências de que os dados roubados tenham sido utilizados de forma indevida ou publicados na dark web. Para mitigar riscos, a organização oferecerá monitoramento de crédito e proteção contra roubo de identidade por dois anos aos investidores afetados. Este incidente é considerado um dos piores vazamentos de dados no Canadá em 2022, ao lado de outros casos em empresas como Nova Scotia Power e WestJet.

A Microsoft divulgou atualizações de emergência para Windows 10, Windows 11 e Windows Server, visando corrigir dois problemas surgidos após as atualizações de segurança de janeiro de 2026. O primeiro problema afeta o acesso a sessões do Microsoft 365 Cloud PC, resultando em falhas de autenticação em aplicativos de conexão remota, como o Remote Desktop. O segundo problema, que impacta apenas o Windows 11 versão 23H2, impede que alguns PCs com Secure Launch desliguem ou entrem em hibernação, forçando um reinício do dispositivo. Para mitigar esses problemas, a Microsoft lançou atualizações fora do ciclo regular, que devem ser baixadas manualmente do Catálogo de Atualizações da Microsoft, já que não estão disponíveis via Windows Update. Para organizações que não podem aplicar as atualizações imediatamente, a Microsoft sugere o uso de um rollback de problema conhecido (KIR) através de políticas de grupo. Se os dispositivos não forem afetados, não há necessidade de instalar as atualizações de emergência, podendo os administradores aguardar a próxima atualização de pré-visualização ou o Patch Tuesday do próximo mês.

Em 2012, Dylan Wheeler, um adolescente australiano conhecido como SuperDAE, invadiu a Microsoft e vazou informações sobre o Xbox One antes de seu lançamento. Utilizando engenharia social, ele obteve credenciais de desenvolvedores da empresa e requisitou um kit de desenvolvimento do console, que tentou revender por US$ 15.000 no eBay. O vazamento das especificações técnicas do Xbox One gerou uma forte reação negativa do público, levando a Microsoft a reavaliar sua estratégia de marketing e segurança. Após a descoberta de suas ações, Dylan teve seus equipamentos confiscados e enfrentou a possibilidade de décadas de prisão. Temendo a extradição, ele fugiu para a República Tcheca, onde vive atualmente, trabalhando na área de tecnologia e segurança, e educando jovens sobre os riscos do hacking malicioso. Este caso destaca a vulnerabilidade das grandes empresas de tecnologia e a importância da segurança da informação em um mundo digital cada vez mais complexo.

Apesar de campanhas de conscientização e regulamentações rigorosas, o uso de senhas fracas, como ‘admin’ e ‘123456’, continua a ser um desafio para as empresas no Reino Unido. Este fenômeno reflete uma falha mais profunda na gestão de credenciais e na cultura organizacional de segurança. O Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido recentemente atualizou suas diretrizes, sugerindo uma menor dependência de senhas e uma maior ênfase em processos organizacionais e defesas técnicas. A pesquisa indica que quase 20% das organizações ainda não possuem controles formais de credenciais, o que contribui para a persistência de senhas fracas. A sobrecarga de senhas, resultante da necessidade de gerenciar um grande número de contas, leva os usuários a adotar práticas inseguras, como reutilização de senhas. Para mitigar esses riscos, o NCSC recomenda a implementação de gerenciadores de senhas de terceiros e a adoção de uma abordagem de gerenciamento de identidade que trate a identidade como o novo perímetro de segurança. A gestão de acesso privilegiado (PAM) é destacada como uma solução crítica para reduzir riscos em ambientes de TI complexos, garantindo que o acesso seja controlado e monitorado de forma eficaz. Essa mudança de paradigma é essencial para fortalecer a postura de segurança das organizações frente a um cenário de ameaças em constante evolução.

Um novo conjunto de 17 extensões maliciosas associadas à campanha GhostPoster foi identificado nas lojas do Chrome, Firefox e Edge, totalizando 840.000 instalações. A campanha, inicialmente relatada em dezembro pela Koi Security, utiliza código JavaScript malicioso oculto em imagens de logotipos para monitorar a atividade do navegador e implantar uma porta dos fundos. O código busca um payload ofuscado de um recurso externo, que rastreia a navegação da vítima, sequestra links de afiliados em plataformas de e-commerce e injeta iframes invisíveis para fraudes publicitárias. Um relatório da LayerX revela que a campanha continua ativa, com algumas extensões presentes desde 2020, indicando uma operação de longo prazo. A extensão ‘Instagram Downloader’ apresenta uma variante mais avançada, movendo a lógica maliciosa para o script de fundo e utilizando um arquivo de imagem como contêiner de payload. Embora as extensões tenham sido removidas das lojas da Mozilla e Microsoft, usuários que as instalaram ainda podem estar em risco. O Google confirmou a remoção das extensões da Chrome Web Store, mas a ameaça persiste para aqueles que as mantêm em seus navegadores.

Recentemente, a empresa de cibersegurança Socket identificou uma campanha maliciosa envolvendo cinco extensões do Chrome, que se disfarçavam como ferramentas de produtividade e segurança para plataformas de recursos humanos (HR) e de planejamento de recursos empresariais (ERP) como Workday, NetSuite e SAP SuccessFactors. Essas extensões, que foram instaladas mais de 2.300 vezes, têm como objetivo roubar credenciais de autenticação e bloquear páginas de gerenciamento utilizadas para responder a incidentes de segurança.

O Google Chrome agora oferece a opção de excluir modelos de inteligência artificial (IA) que alimentam sua funcionalidade de ‘Proteção Aprimorada’, atualizada no ano passado com capacidades de IA. Essa proteção, que já existia há alguns anos, foi aprimorada para fornecer segurança em tempo real contra sites, downloads e extensões perigosas. Embora não esteja claro como essa nova versão se diferencia da anterior, a IA pode estar sendo utilizada para identificar padrões em tempo real e alertar os usuários sobre sites potencialmente prejudiciais, mesmo aqueles que não foram previamente identificados pelo Google. Além disso, a proteção baseada em IA realiza uma varredura detalhada de downloads suspeitos. Para excluir o modelo de IA, os usuários devem acessar as configurações do Chrome e desativar a opção ‘On-device GenAI’. Essa funcionalidade está atualmente disponível na versão Canary do Chrome e será lançada para todos em breve. É importante notar que o modelo de IA local também pode ser utilizado para outras funcionalidades além da detecção de fraudes.

Autoridades de segurança da Ucrânia e da Alemanha identificaram dois ucranianos suspeitos de atuar no grupo de ransomware Black Basta, vinculado à Rússia. O líder do grupo, Oleg Evgenievich Nefedov, foi incluído na lista dos mais procurados da União Europeia e no Aviso Vermelho da INTERPOL. Os suspeitos eram especializados em hacking técnico e na extração de senhas, permitindo que o grupo invadisse redes corporativas e extorquisse dinheiro por meio de ransomware. As investigações resultaram em buscas nas residências dos acusados, onde foram apreendidos dispositivos digitais e ativos em criptomoedas. O Black Basta, que surgiu em abril de 2022, é responsável por ataques a mais de 500 empresas em várias regiões, acumulando centenas de milhões de dólares em pagamentos ilícitos. Apesar de uma aparente queda após vazamentos de informações internas, a possibilidade de rebranding e reemergência do grupo é alta, com suspeitas de que ex-membros possam ter migrado para outras operações de ransomware, como a CACTUS.

O artigo aborda como cookies e fingerprinting são utilizados por sites para rastrear usuários na internet e direcionar anúncios. Os cookies, arquivos de texto que armazenam informações sobre a navegação, podem ser classificados em primários, que facilitam a experiência do usuário, e de terceiros, que rastreiam a atividade online para fins publicitários. Já o fingerprinting é uma técnica mais avançada que coleta dados do dispositivo do usuário, como resolução de tela e sistema operacional, criando uma ‘impressão digital’ que permite o rastreamento sem a necessidade de cookies. Essa prática levanta preocupações sobre privacidade, especialmente em relação à Lei Geral de Proteção de Dados (LGPD), pois o fingerprinting pode operar sem consentimento explícito. O artigo também menciona o Real-Time Bidding (RTB), um sistema de leilão em tempo real que transforma dados de navegação em receita publicitária. A crescente resistência a cookies em navegadores está impulsionando o uso de técnicas como o fingerprinting, que desafiam a transparência e o controle do usuário sobre seus dados pessoais.

A OpenAI anunciou que começará a exibir anúncios no ChatGPT para usuários adultos logados nos Estados Unidos, tanto na versão gratuita quanto na versão ChatGPT Go, nas próximas semanas. A empresa garantiu que os dados e conversas dos usuários estão protegidos e não serão vendidos a anunciantes. A introdução de anúncios visa tornar os benefícios da inteligência artificial mais acessíveis e ajudar pequenas empresas a competir. Os anúncios aparecerão no final das conversas e serão claramente rotulados, sem influenciar as respostas do chatbot. Usuários em planos mais caros, como Plus e Pro, não verão anúncios. A OpenAI não especificou quais dados serão coletados para personalizar os anúncios, mas os usuários poderão entender o motivo pelo qual estão vendo determinados anúncios e poderão desativar a personalização. A decisão de incluir anúncios representa uma mudança significativa na estratégia da OpenAI, que até agora dependia principalmente de assinaturas. O CEO Sam Altman comentou que a empresa não aceitará dinheiro para influenciar as respostas do ChatGPT, enfatizando que a publicidade é uma alternativa para sustentar o alto custo do desenvolvimento da inteligência artificial.

A OpenAI anunciou que o ChatGPT começará a exibir anúncios nas próximas semanas, mas assegurou que esses anúncios não influenciarão as respostas geradas pela inteligência artificial. Os anúncios aparecerão dentro das respostas, provavelmente na parte inferior, e serão visíveis apenas para usuários de contas gratuitas ou da versão ChatGPT Go. A empresa, apoiada pela Microsoft, argumenta que a inclusão de anúncios ajudará a financiar suas ambições em Inteligência Geral Artificial (AGI), que visa beneficiar toda a humanidade. Os anúncios serão claramente rotulados e não aparecerão em conversas que abordem tópicos sensíveis, como saúde ou política. Além disso, a OpenAI garantiu que as conversas dos usuários permanecerão privadas e que os dados não serão vendidos a anunciantes. Para aqueles que preferirem não ver anúncios, a empresa sugere considerar a atualização para a assinatura de $20 ou a mudança para alternativas como Claude. Essa mudança pode impactar a experiência do usuário e levanta questões sobre privacidade e monetização de dados.

A OpenAI lançou a assinatura ChatGPT Go, disponível nos Estados Unidos e em outras regiões, ao custo de US$ 8. Essa nova opção permite aos usuários enviar 10 vezes mais mensagens, fazer uploads de arquivos e criar imagens em comparação com a versão gratuita. No entanto, a assinatura não oferece acesso aos modelos avançados de raciocínio, limitando-se ao modelo GPT-5.2 Instant. A OpenAI destaca que o ChatGPT Go é voltado para aqueles que buscam um acesso ampliado a recursos a um preço mais acessível. Além disso, a assinatura proporciona uma memória e janela de contexto mais longas, permitindo que o ChatGPT retenha mais informações sobre os usuários e suas conversas. Por outro lado, a assinatura ChatGPT Plus, que custa US$ 20, continua sendo a melhor opção, pois oferece acesso a modelos avançados e não exibe anúncios. O ChatGPT Go, assim como a versão gratuita, mostrará anúncios nas respostas, embora a OpenAI afirme que isso não afetará as respostas do GPT. Para uma experiência sem limites e com o mais alto nível de raciocínio, a assinatura GPT Pro, que custa US$ 200, é recomendada. A introdução de anúncios nas contas gratuitas e Go pode impactar a experiência do usuário, mas a OpenAI garante que não influenciará as respostas geradas pelo modelo.

A equipe de pesquisa Unit 42, da Palo Alto Networks, alertou sobre as ameaças cibernéticas que podem afetar as Olimpíadas de Inverno de Milano Cortina, programadas para fevereiro de 2026. Os riscos incluem ataques à infraestrutura digital e Wi-Fi, como os que ocorreram em edições anteriores, além de ameaças de DDoS e ransomware. A concentração de pessoas e dados durante o evento torna-o um alvo atrativo para golpistas, que podem tentar extorquir organizações ou realizar espionagem cibernética. Os principais tipos de atacantes identificados são grupos motivados financeiramente, agências de espionagem estatais e hacktivistas. A interconexão de sistemas pode facilitar o acesso de hackers, que podem comprometer serviços essenciais como energia e transporte, impactando a confiança no evento. Além disso, a utilização de técnicas como phishing e engenharia social, potencializadas por IA e deepfakes, pode aumentar a eficácia dos ataques. A situação exige atenção redobrada das autoridades e organizadores para garantir a segurança do evento.

Pesquisadores da Patchstack identificaram uma vulnerabilidade crítica no plugin Modular DS do WordPress, classificada como CVE-2026-23550, que afeta as versões 2.5.1 e anteriores. Essa falha permite que hackers obtenham acesso administrativo a sites, colocando em risco a segurança de dados e operações. O problema decorre de falhas de projeto que aceitam solicitações como ‘confiáveis’ sem verificação criptografada da origem. Isso possibilita que, ao não fornecer um ID de usuário, o sistema faça login automaticamente como um administrador, permitindo o controle total do site. Após a notificação, a Modular DS lançou uma atualização para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar ataques. A exploração dessa falha pode resultar em danos significativos, especialmente para empresas que dependem do WordPress para gerenciar seus sites.

Um estudo da empresa de segurança Jamf revelou que o spyware Predator, da Intellexa, possui um nível de monitoramento e controle sobre seus usuários muito maior do que o alegado pelos vendedores do software. Tradicionalmente, esses fornecedores afirmam que suas ferramentas são utilizadas apenas por governos e entidades legais para monitorar atividades criminosas e ameaças à segurança nacional. No entanto, a pesquisa indicou que o Predator utiliza técnicas de anti-análise para coletar dados sobre falhas de uso, permitindo que operadores ajustem suas estratégias de ataque. O software é capaz de relatar erros específicos a um servidor de comando e controle (C2), que, embora não esteja claro se é operado pela Intellexa ou por seus clientes, sugere um controle centralizado. A falta de transparência em relação ao funcionamento do Predator levanta preocupações sobre seu uso em ciberataques a ativistas de direitos humanos e jornalistas, como evidenciado pelo caso do assassinato do jornalista Jamal Khashoggi, cujas comunicações foram comprometidas por outro spyware, o Pegasus. A Intellexa, por sua vez, não possui presença online visível, o que agrava a falta de clareza sobre suas operações.

A Verizon começou a enviar mensagens de texto aos seus clientes com instruções para resgatar um crédito de $20 em suas contas, como compensação pela interrupção de serviço que ocorreu na semana passada. A falha, que afetou usuários em todo os Estados Unidos, ocorreu em 14 de janeiro, quando muitos clientes relataram perda de sinal e seus dispositivos ficaram presos no modo SOS, impossibilitando chamadas e acesso à internet. A empresa reconheceu o problema, atribuindo-o a uma falha de software, e não a um incidente de cibersegurança. O crédito de $20 é uma tentativa de compensar os dias de serviço perdidos, embora a Verizon tenha enfatizado que não é uma solução completa para o ocorrido. Para resgatar o crédito, os clientes devem acessar suas contas no site da Verizon e seguir algumas etapas simples. A empresa também recomendou que os clientes que ainda enfrentam problemas de conectividade reiniciem seus dispositivos. A Verizon está oferecendo um crédito por conta, independentemente do número de linhas associadas, e as mensagens estão sendo enviadas apenas para o número do titular da conta.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.