Pesquisadores das Universidades de Birmingham e KU Leuven identificaram uma nova vulnerabilidade chamada Battering RAM, que afeta processadores Intel e AMD, especialmente em ambientes de nuvem. O ataque utiliza um interposer, um dispositivo físico de baixo custo (cerca de R$ 265), que, ao ser ativado, redireciona endereços protegidos da memória para locais controlados por hackers. Isso compromete a segurança das Extensões de Guarda do Software Intel (SGX) e da Virtualização Encriptada Segura com Paginação Aninhada Segura da AMD (SEV-SNO), que são fundamentais para a criptografia de dados em nuvem. O ataque é especialmente preocupante para sistemas que utilizam memória RAM DDR4 e pode permitir que provedores de nuvem maliciosos ou insiders com acesso limitado insiram backdoors nas CPUs. Apesar de a Intel, AMD e Arm terem sido informadas sobre a vulnerabilidade, a proteção contra o Battering RAM exigiria um redesenho completo das medidas de segurança atuais. Essa descoberta segue uma pesquisa anterior sobre técnicas que vazam memória de máquinas virtuais em serviços de nuvem públicos.

A Microsoft está enfrentando um problema com o Microsoft Defender para Endpoint, que erroneamente classifica o firmware da BIOS de alguns computadores como desatualizado. Esse bug, identificado por pesquisadores da Redmond, afeta principalmente dispositivos da Dell, gerando alertas para os usuários sobre a necessidade de atualizações que, na verdade, não existem. A empresa já está trabalhando em um patch para corrigir essa falha, embora não tenha divulgado quantos usuários foram impactados ou as regiões mais afetadas. Além disso, a Microsoft também resolveu recentemente outros problemas, como crashes em dispositivos macOS e falsos positivos que bloqueavam links no Microsoft Teams e Exchange Online. Esses incidentes destacam a importância de monitorar e corrigir bugs em sistemas de segurança, especialmente em um cenário onde a integridade dos dispositivos é crucial para a proteção de dados e a conformidade com regulamentações como a LGPD.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

O grupo de hackers SideWinder, associado a atividades de espionagem patrocinadas por estados, intensificou suas operações na Ásia do Sul com a campanha denominada “Operação SouthNet”. Este ataque envolve a criação de mais de 50 domínios de phishing para roubar credenciais de login de entidades governamentais e militares, especialmente no Paquistão e no Sri Lanka, mas também com atividades colaterais em Nepal, Bangladesh e Mianmar. Os atacantes utilizam serviços de hospedagem gratuitos para criar portais falsos do Outlook e Zimbra, focando em setores marítimos, aeroespaciais e de telecomunicações. A taxa de criação de novos domínios é alarmante, ocorrendo a cada 3 a 5 dias. Além disso, foram identificados documentos maliciosos disfarçados como PDFs, que visam enganar as vítimas. A pesquisa também revelou que o grupo recicla infraestrutura de comando e controle, aumentando a dificuldade de rastreamento. As medidas de mitigação recomendadas incluem monitoramento proativo de plataformas de hospedagem e treinamento em cibersegurança para reconhecer iscas documentais. A colaboração entre CERTs regionais é essencial para interromper as campanhas de espionagem do SideWinder e proteger redes sensíveis.

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

O GhostSocks é um novo serviço de Malware-as-a-Service (MaaS) que ganhou destaque entre cibercriminosos, permitindo que dispositivos comprometidos operem como proxies residenciais. Lançado em 15 de outubro de 2023 em um fórum russo, o GhostSocks utiliza endereços IP legítimos para redirecionar tráfego fraudulento, burlando sistemas de segurança e controle anti-fraude. A facilidade de uso e a integração com outros frameworks de malware tornaram o GhostSocks popular tanto entre fraudadores iniciantes quanto entre grupos de ransomware mais sofisticados.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

Um grupo de cibercriminosos, conhecido como Cavalry Werewolf, está atacando o setor público da Rússia utilizando malwares como FoalShell e StallionRAT. A empresa de cibersegurança BI.ZONE identificou que os atacantes enviaram e-mails de phishing disfarçados de correspondências oficiais de funcionários do governo do Quirguistão. Os principais alvos incluem agências estatais russas e empresas dos setores de energia, mineração e manufatura. Os ataques, que ocorreram entre maio e agosto de 2025, envolveram o uso de endereços de e-mail falsos e, em alguns casos, até endereços legítimos comprometidos. O FoalShell permite que os operadores executem comandos arbitrários, enquanto o StallionRAT, que também é capaz de exfiltrar dados via bot do Telegram, oferece funcionalidades semelhantes. A análise sugere que o grupo pode ter vínculos com o Cazaquistão, reforçando a hipótese de que se trata de um ator de ameaça associado a essa região. A crescente atividade de Cavalry Werewolf destaca a necessidade de vigilância constante e atualização das medidas de segurança para prevenir tais ataques.

O Passwork 7 é uma plataforma unificada de gestão de senhas e segredos, projetada para atender à crescente complexidade do armazenamento e compartilhamento de credenciais nas organizações modernas. A nova versão traz uma interface simplificada, priorizando a usabilidade e segurança, facilitando o gerenciamento de credenciais. Com uma estrutura hierárquica, os dados são organizados em cofres e pastas, permitindo que as empresas adaptem a gestão de credenciais às suas necessidades internas.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

Um estudo recente da Veeam revelou que a eficácia do pagamento de resgates em ataques de ransomware está em declínio. Em 2024, apenas 32% das empresas que pagaram resgates conseguiram recuperar seus dados, uma queda significativa em relação aos 54% de 2023. Por outro lado, o número de organizações que conseguiram recuperar suas informações sem pagar o resgate mais que dobrou, passando de 14% para 30%. O aumento da frequência e da gravidade dos ataques de ransomware tem gerado perdas financeiras significativas, com custos de inatividade que podem chegar a £1 milhão por hora. Além disso, a pesquisa destaca que 63% das empresas não conseguem se recuperar de crises devido à falta de infraestrutura alternativa. O governo do Reino Unido também planeja proibir pagamentos de resgates por organizações do setor público e de infraestrutura crítica. A Veeam recomenda que as empresas invistam em sistemas de backup robustos e alternativas de infraestrutura para evitar a necessidade de pagar resgates, uma vez que os atacantes são considerados uma opção não confiável para a recuperação de dados.

A Obex, um coletivo de pesquisa em segurança, revelou uma técnica sofisticada que permite a adversários evitar a detecção ao impedir que bibliotecas dinâmicas (DLLs) específicas sejam carregadas em processos-alvo. Essa abordagem representa um risco significativo para soluções de segurança que dependem exclusivamente de hooks em modo de usuário ou inspeção obrigatória em processos, uma vez que essas técnicas não conseguem monitorar a atividade maliciosa. A pesquisa mostra que, ao controlar os parâmetros de lançamento do processo, atacantes podem especificar uma lista restrita de DLLs, bloqueando a inicialização de módulos de telemetria ou inspeção. Isso permite que malware seja executado sem ser detectado. Para mitigar essa vulnerabilidade, a pesquisa sugere a implementação de proteções em modo de kernel, que garantem a integridade do carregamento de bibliotecas, independentemente dos parâmetros de modo de usuário. A Obex enfatiza a necessidade de uma defesa em profundidade, onde múltiplas camadas de segurança são essenciais para enfrentar adversários sofisticados. As organizações devem adotar medidas complementares, como detecção de anomalias em rede e verificação de integridade da memória, para fortalecer suas defesas contra essas técnicas de evasão.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.

O grupo de ciberespionagem Confucius tem intensificado suas atividades, utilizando documentos maliciosos para atacar sistemas Windows. Em uma campanha de phishing direcionada a entidades governamentais do Paquistão, o grupo lançou um arquivo PowerPoint infectado que, ao ser aberto, baixava um malware chamado AnonDoor. Este malware, baseado em Python, permite acesso persistente aos sistemas comprometidos. O ataque começa com um arquivo .ppsx que, ao ser executado, carrega um script VB que baixa um payload malicioso. O AnonDoor é um backdoor que coleta informações do sistema e permite a execução de comandos remotos, incluindo captura de tela e extração de senhas de navegadores. A transição do grupo de ferramentas simples para backdoors mais sofisticados indica uma estratégia de evasão e flexibilidade. Organizações devem implementar filtros de e-mail rigorosos e monitorar a criação de tarefas agendadas para se proteger contra essas ameaças.

Uma falha crítica no Microsoft Defender for Endpoint resultou em uma onda de alertas falsos sobre vulnerabilidades de BIOS, afetando principalmente usuários de dispositivos Dell. O problema surgiu quando a lógica de detecção de vulnerabilidades do Defender começou a identificar erroneamente instalações de BIOS atualizadas como desatualizadas ou inseguras. Organizações em todo o mundo relataram receber repetidos avisos de que suas versões de BIOS estavam desatualizadas, mesmo quando estavam com o firmware mais recente fornecido pela Dell. Essa enxurrada de falsos positivos gerou confusão e frustração entre administradores e usuários finais, dificultando a distinção entre avisos de segurança legítimos e os alertas defeituosos do Defender. A Microsoft reconheceu o problema e está trabalhando em um patch para corrigir a lógica de comparação de versões, que deve ser implementado na próxima janela de manutenção. Enquanto isso, as equipes de TI são aconselhadas a verificar as versões de BIOS de forma independente, utilizando canais de suporte da Dell e interfaces de gerenciamento de sistema. Este incidente destaca a importância da precisão na detecção automatizada de vulnerabilidades em plataformas de segurança empresarial.

A Signal, plataforma de mensagens com criptografia de ponta a ponta, anunciou uma inovação criptográfica chamada Sparse Post Quantum Ratchet (SPQR), que visa enfrentar as ameaças emergentes dos computadores quânticos. O SPQR é integrado ao protocolo Double Ratchet existente, formando o Triple Ratchet, que garante proteção contínua contra ataques quânticos sem comprometer a segurança atual. Essa nova abordagem assegura a confidencialidade das mensagens, mesmo que uma chave de sessão seja comprometida, e protege contra ataques do tipo ‘captura agora, decifra depois’, onde adversários capturam tráfego criptografado com a intenção de decifrá-lo no futuro. A implementação do Triple Ratchet é transparente para os usuários, ocorrendo em segundo plano e permitindo a interoperabilidade entre diferentes versões do protocolo. Para mitigar o aumento do uso de dados devido a chaves pós-quânticas maiores, a Signal utiliza técnicas avançadas de otimização de largura de banda. O desenvolvimento do SPQR foi fundamentado em rigorosas garantias de segurança, com a colaboração de instituições acadêmicas e a utilização de ferramentas de verificação formal. Essa iniciativa reafirma o compromisso da Signal em se antecipar aos desafios criptográficos futuros, posicionando-se como líder em plataformas de comunicação seguras.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta gravidade, CVE-2025-4008, que afeta o Smartbedded Meteobridge, em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Com uma pontuação CVSS de 8.7, essa falha é um caso de injeção de comando na interface web do Meteobridge, permitindo que atacantes remotos não autenticados executem comandos arbitrários com privilégios elevados nos dispositivos afetados. A vulnerabilidade foi descoberta pela ONEKEY e relatada em fevereiro de 2025, sendo que a interface web do Meteobridge é acessível publicamente, o que facilita a exploração. A CISA recomenda que as agências federais dos EUA apliquem as atualizações necessárias até 23 de outubro de 2025. Além disso, outras quatro vulnerabilidades críticas foram adicionadas ao catálogo, incluindo falhas em dispositivos móveis da Samsung e no Jenkins. A atualização para a versão 6.2 do Meteobridge, lançada em 13 de maio de 2025, já aborda essa vulnerabilidade.

A Quixant lançou o Iqon3, um mini PC silencioso projetado para ambientes de jogos em cassinos e arcades retro. Com um chassi robusto e resfriamento passivo, o dispositivo é alimentado por APUs AMD Ryzen Pro 8000, permitindo a conexão de até quatro monitores 4K Ultra HD. O Iqon3 oferece suporte para até 64GB de memória DDR5 e diversas opções de armazenamento, incluindo slots NVMe e SATA. Destaca-se pela ampla gama de portas, incluindo USB 3.2 e Ethernet Gigabit, além de recursos de segurança como TPM 2.0, criptografia AES256 e NVRAM protegida. O design robusto e as proteções físicas, como um case de metal com chave, tornam-no ideal para ambientes controlados, como cassinos. Este mini PC é uma solução versátil para operadores que buscam um hardware confiável e seguro para aplicações de jogos.

A Microsoft está investigando um bug que causa falhas no cliente de e-mail clássico do Outlook, afetando usuários do Microsoft 365 que utilizam o software em sistemas Windows. O problema impede o acesso ao serviço e, até o momento, a única solução disponível é através do suporte técnico da Microsoft, especificamente do Exchange Online. Os usuários afetados recebem uma mensagem de erro informando que o Outlook não pôde ser aberto devido a uma falha na autenticação da conta Exchange. A empresa recomenda que os usuários abram um chamado no portal de administrador do Microsoft 365 para que a equipe do Exchange Online possa solicitar uma correção. Além disso, a Microsoft sugere que os usuários façam uma captura de erro utilizando o proxy Fiddler, buscando pelo código de erro “LID: 49586 - Authentication concurrency limit is reached”. Enquanto a solução definitiva não é disponibilizada, a empresa orienta o uso do novo Outlook para Windows ou do Acesso Web do Outlook (OWA). Outras soluções temporárias incluem iniciar o Outlook em modo de segurança, criar um novo perfil e reparar arquivos de dados do Outlook. A situação é crítica, pois o bug afeta a produtividade dos usuários e a Microsoft já enfrentou problemas semelhantes anteriormente, relacionados a instabilidades em seus servidores.

A firma de contabilidade Sheheen, Hancock & Godwin confirmou que notificou mais de 34.000 pessoas sobre um vazamento de dados ocorrido em abril de 2025. As informações comprometidas incluem números de Seguro Social, documentos de identificação emitidos pelo governo, dados financeiros, datas de nascimento, informações médicas e de seguro saúde. A maioria das vítimas está localizada na Carolina do Sul, onde a empresa está baseada. O grupo de ransomware Lynx reivindicou a responsabilidade pelo ataque, alegando ter roubado 10 GB de dados e exigindo um pagamento em resgate até 25 de abril de 2025, sob a ameaça de publicar os dados roubados. Até o momento, a Sheheen, Hancock & Godwin não confirmou se pagou o resgate e não ofereceu monitoramento de crédito ou proteção contra roubo de identidade para as vítimas. Este incidente destaca a crescente ameaça de ataques de ransomware, especialmente no setor financeiro, que já registrou 26 ataques confirmados em 2025, comprometendo mais de 204.000 registros. Apesar de uma diminuição no número de ataques em relação ao ano anterior, a situação ainda é preocupante, exigindo atenção contínua das empresas para proteger seus dados e sistemas.

Em setembro de 2025, a Jaguar Land Rover sofreu um ataque cibernético severo que resultou em interrupções significativas em suas operações e produção. O governo do Reino Unido anunciou um empréstimo de £1,5 bilhões (aproximadamente R$ 10,7 bilhões) para ajudar a empresa a retomar suas atividades. O Secretário de Negócios, Peter Kyle, destacou que o ataque não apenas impactou a Jaguar, mas também afetou o setor automotivo britânico, que é vital para a economia local, empregando cerca de 154.000 pessoas. O grupo Scattered Lapsus$ Hunters reivindicou a autoria do ataque, que pode ter sido facilitado por uma vulnerabilidade explorada anteriormente pela gangue HellCat. A Jaguar Land Rover ficou quase um mês sem operar, resultando em perdas estimadas de £50 milhões (cerca de R$ 360 milhões) por semana. As autoridades britânicas já prenderam três membros da gangue envolvida, e a investigação continua para entender melhor as circunstâncias do ataque e suas consequências. O governo pode considerar um novo empréstimo para evitar a falência de fornecedores da Jaguar Land Rover, que são essenciais para a cadeia de produção.

Com a Copa do Mundo FIFA 2026 se aproximando, cibercriminosos já estão ativos, criando mais de 4.300 sites fraudulentos relacionados ao evento. Pesquisadores da Check Point Software identificaram que cerca de 20% desses sites têm conexão com o Brasil, seja por hospedagem em IPs brasileiros ou por conteúdo em português. Os golpes mais comuns incluem a venda de ingressos falsos, mercadorias falsificadas e fraudes de streaming. No Brasil, os cibercriminosos focam em três áreas principais: mercadorias falsificadas (35-40% dos golpes), fraudes com ingressos (30-35%) e streaming ilegal (20-25%). Os sites fraudulentos imitam lojas legítimas, utilizando boletos bancários, um método de pagamento popular no Brasil, para enganar as vítimas. Os boletos são visualmente semelhantes aos verdadeiros, dificultando a identificação do golpe. Para se proteger, os torcedores devem comprar apenas em canais oficiais da FIFA e desconfiar de preços muito baixos ou ofertas que parecem boas demais para ser verdade.

Em 2025, os pesquisadores da Comparitech registraram 5.186 ataques de ransomware, um aumento de 36% em relação ao mesmo período do ano anterior. No terceiro trimestre, houve 1.517 ataques, com um crescimento de 6% em relação ao segundo trimestre. Embora os ataques a entidades governamentais e empresas de saúde tenham diminuído, os negócios, especialmente na indústria de manufatura, foram os mais atingidos, com um aumento de 11% nos ataques. Os grupos de ransomware mais ativos foram Qilin, Akira e INC, com Qilin liderando em ataques confirmados. O setor de saúde registrou 78 ataques, uma queda de 14%, enquanto o setor educacional manteve números semelhantes. O valor médio do resgate foi de $3,57 milhões, com o maior resgate exigido sendo de $15 milhões. Os ataques a fornecedores de tecnologia de terceiros também causaram grandes interrupções, destacando a necessidade de uma vigilância contínua e de medidas de segurança robustas. A crescente complexidade e o impacto dos ataques ressaltam a importância de uma resposta rápida e eficaz por parte das organizações.

O Google Mandiant e o Google Threat Intelligence Group (GTIG) estão monitorando uma nova atividade maliciosa possivelmente ligada ao grupo de cibercriminosos Cl0p, conhecido por suas motivações financeiras. Desde o dia 29 de setembro de 2025, executivos de diversas organizações têm recebido e-mails de extorsão, nos quais os criminosos alegam ter roubado dados sensíveis do Oracle E-Business Suite. Genevieve Stark, do GTIG, afirmou que a investigação ainda está em estágios iniciais e que as alegações do grupo não foram confirmadas. Charles Carmakal, CTO da Mandiant, descreveu a operação como uma “campanha de e-mail de alto volume” originada de contas comprometidas, algumas das quais estão ligadas ao grupo FIN11, que já atuava em ataques de ransomware desde 2020. Os e-mails maliciosos incluem informações de contato que foram verificadas como estando listadas no site de vazamento de dados do Cl0p, sugerindo uma associação com o grupo. Embora o Google não tenha evidências concretas para confirmar essas ligações, a similaridade nas táticas utilizadas em ataques anteriores do Cl0p levanta preocupações. A forma como os atacantes obtêm acesso inicial ainda não está clara, mas acredita-se que eles tenham comprometido e-mails de usuários e abusado da função de redefinição de senha do Oracle E-Business Suite. O grupo Cl0p é conhecido por explorar falhas em várias plataformas, comprometendo milhares de organizações nos últimos anos.

O cenário de cibersegurança se torna cada vez mais complexo, com ataques direcionados a diversas tecnologias, desde carros conectados até servidores em nuvem. Recentemente, observou-se um aumento significativo em tentativas de exploração da vulnerabilidade crítica CVE-2024-3400, que afeta firewalls PAN-OS, permitindo que atacantes não autenticados executem códigos maliciosos. Além disso, uma campanha sofisticada tem como alvo servidores Microsoft SQL mal gerenciados, utilizando o framework XiebroC2 para estabelecer acesso persistente. Por outro lado, a inteligência artificial está sendo utilizada para bloquear ataques de ransomware em tempo real, com o Google Drive implementando detecções automáticas que interrompem a sincronização de arquivos durante tentativas de ataque. Outro ponto crítico é a atuação do grupo UNC6040, que realiza campanhas de phishing por voz (vishing) para comprometer instâncias do Salesforce, manipulando usuários para autorizar aplicativos maliciosos. As implicações para a segurança de dados e conformidade com a LGPD são significativas, exigindo atenção redobrada das organizações.

Pesquisadores de cibersegurança identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado ‘soopsocks’, que prometia criar um serviço de proxy SOCKS5, mas na verdade funcionava como um backdoor para instalar cargas adicionais em sistemas Windows. O pacote, que foi baixado 2.653 vezes antes de ser removido, foi carregado por um usuário que criou a conta no mesmo dia. A análise da JFrog revelou que o pacote utilizava um executável (’_AUTORUN.EXE’) que, além de implementar o SOCKS5, executava scripts PowerShell, configurava regras de firewall e se relançava com permissões elevadas. O pacote também realizava reconhecimento do sistema e exfiltrava informações para um webhook do Discord. O script Visual Basic (’_AUTORUN.VBS’) presente nas versões 0.2.5 e 0.2.6 do pacote também era capaz de baixar um arquivo ZIP com um binário Python legítimo, instalando-o de forma automatizada. A situação ocorre em um contexto de crescente preocupação com a segurança da cadeia de suprimentos de software, levando a mudanças nas políticas de tokens de acesso no GitHub e ao lançamento de ferramentas como o Socket Firewall, que visa bloquear pacotes maliciosos durante a instalação.

O grupo de hackers conhecido como Confucius está por trás de uma nova campanha de phishing que visa o Paquistão, utilizando malwares como WooperStealer e Anondoor. Desde 2013, esse grupo tem se especializado em atacar agências governamentais, organizações militares e indústrias críticas na região, empregando técnicas de spear-phishing e documentos maliciosos para obter acesso inicial. Recentemente, foram documentadas várias cadeias de ataque, incluindo uma em dezembro de 2024, onde um arquivo .PPSX enganou os usuários a abrir um arquivo que entregava o WooperStealer através de técnicas de DLL side-loading. Em março de 2025, outra onda de ataques utilizou arquivos de atalho do Windows (.LNK) para liberar o mesmo malware. Em agosto de 2025, um novo arquivo .LNK foi identificado, que introduziu o Anondoor, um backdoor em Python projetado para exfiltrar informações do dispositivo e executar comandos. O grupo tem mostrado uma forte adaptabilidade, utilizando técnicas de ofuscação para evitar detecções e ajustando suas ferramentas conforme as prioridades de coleta de inteligência mudam. Essa evolução nas táticas do Confucius destaca a persistência e a eficácia operacional do grupo, que continua a representar uma ameaça significativa na região.

A NordVPN lançou uma nova funcionalidade chamada ‘alerta de sessão sequestrada’, que visa proteger os usuários contra a venda de cookies no dark web. Essa ferramenta é parte do pacote Threat Protection Pro, que já oferece proteção abrangente contra sites maliciosos, rastreadores e anúncios indesejados. O sequestro de sessão é uma técnica utilizada por hackers para roubar informações de autenticação dos usuários, permitindo acesso não autorizado a contas. A nova funcionalidade monitora o dark web em busca de cookies comprometidos e alerta os usuários em tempo real caso suas credenciais sejam encontradas à venda. O sistema utiliza uma abordagem de hash para garantir que as informações dos cookies não sejam expostas, enviando apenas uma parte do hash para verificação. Atualmente, a ferramenta verifica cookies de sites populares como Facebook, Instagram e Amazon. A NordVPN também planeja lançar uma funcionalidade que verifica URLs em e-mails, aumentando ainda mais a segurança dos usuários. Essa inovação é crucial, pois ataques que visam cookies podem resultar em fraudes financeiras e roubo de identidade, tornando a proteção contra sequestro de sessão uma prioridade para os usuários de internet.

A Splunk divulgou seis vulnerabilidades críticas que afetam diversas versões do Splunk Enterprise e do Splunk Cloud Platform, permitindo que atacantes executem código JavaScript não autorizado, acessem dados sensíveis e realizem ataques de falsificação de requisições do lado do servidor (SSRF). As vulnerabilidades, publicadas em 1º de outubro de 2025, impactam componentes do Splunk Web e exigem atenção imediata das organizações que utilizam a plataforma.

Dentre as vulnerabilidades, duas se destacam por permitir ataques de cross-site scripting (XSS), possibilitando a execução de JavaScript malicioso nos navegadores dos usuários. A CVE-2025-20367 é uma vulnerabilidade XSS refletida, enquanto a CVE-2025-20368 é uma vulnerabilidade XSS armazenada. Além disso, a CVE-2025-20366 permite que usuários com privilégios baixos acessem resultados de busca sensíveis. A vulnerabilidade mais severa, CVE-2025-20371, é uma SSRF não autenticada que pode ser explorada por atacantes para realizar chamadas de API REST em nome de usuários privilegiados.

A Microsoft confirmou um erro crítico no cliente Outlook para Windows, que provoca falhas na aplicação ao tentar abrir determinadas caixas de correio. Usuários afetados recebem a mensagem: ‘Não é possível iniciar o Microsoft Outlook. Não é possível abrir a janela do Outlook. O conjunto de pastas não pode ser aberto. A tentativa de logar no Microsoft Exchange falhou.’ Esse problema, que está sendo investigado pela equipe de suporte do Exchange Online, parece estar relacionado a limites de controle de acesso impostos nas caixas de correio dos usuários. O erro impede que os usuários acessem suas caixas de entrada, resultando em interrupções significativas no fluxo de trabalho, especialmente em ambientes empresariais que dependem do Outlook Desktop. Para diagnosticar o problema, os administradores de TI devem reproduzir o erro e capturar o tráfego de rede, buscando a exceção ‘ClientBackoffException’, que indica que o Exchange Online aplicou um controle de desaceleração devido ao limite de concorrência de autenticação. A Microsoft recomenda que os usuários utilizem o Outlook Web Access (OWA) ou migrem para a nova versão do Outlook para Windows como soluções temporárias enquanto a investigação continua. A empresa ainda não forneceu um cronograma preciso para a resolução do problema.

O Google Chrome lançou a versão 141, que inclui correções para 21 vulnerabilidades de segurança, abrangendo desde falhas de alta severidade, como estouros de buffer, até vulnerabilidades de baixa severidade. A atualização será disponibilizada automaticamente para usuários de Windows, macOS e Linux nas próximas semanas. Entre as falhas corrigidas, destacam-se CVEs como CVE-2025-11205 e CVE-2025-11206, que resultaram em recompensas significativas para os pesquisadores que as relataram. O Google implementou melhorias de segurança internas e campanhas de fuzzing contínuas para fortalecer a resiliência do navegador contra novas ameaças. Além das correções de segurança, a versão 141 traz melhorias de desempenho e otimizações que beneficiam especialmente dispositivos com menor capacidade de processamento. Os usuários são incentivados a atualizar o navegador o mais rápido possível para garantir a proteção contra essas vulnerabilidades. Para administradores de TI, recomenda-se testar a nova versão em ambientes controlados antes de uma implementação em larga escala.

Uma grave vulnerabilidade foi identificada na imagem oficial do Docker para o Termix, permitindo acesso não autenticado a credenciais SSH sensíveis. A configuração incorreta do proxy reverso Nginx faz com que o backend do Termix reconheça todas as solicitações como originadas do localhost, resultando em acesso irrestrito ao endpoint interno que expõe informações de hosts SSH, incluindo endereços de servidores, nomes de usuários e senhas. Essa falha, classificada como CVE-2025-59951, é uma violação de controle de acesso e pode ser explorada por qualquer usuário que consiga alcançar o proxy. Para mitigar o problema, os mantenedores do Termix devem implementar validações adequadas para os cabeçalhos X-Real-IP ou X-Forwarded-For e reforçar controles de autenticação. Organizações que utilizam versões da imagem do Termix entre release-0.1.1-tag e release-1.6.0-tag estão em risco e devem auditar suas implementações, rotacionar chaves SSH expostas e atualizar para uma versão corrigida assim que disponível.

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.

Pesquisadores de cibersegurança da ESET descobriram duas campanhas de spyware para Android, chamadas ProSpy e ToSpy, que se disfarçam de aplicativos legítimos como Signal e ToTok, visando usuários nos Emirados Árabes Unidos. As aplicações maliciosas são distribuídas por meio de sites falsos e engenharia social, enganando os usuários para que as baixem manualmente, uma vez que não estão disponíveis nas lojas oficiais de aplicativos.

A campanha ProSpy, identificada em junho de 2025, é considerada ativa desde 2024 e utiliza sites enganosos que imitam o Signal e o ToTok para hospedar arquivos APK maliciosos. O ToTok, que foi removido das lojas oficiais em 2019 por suspeitas de espionagem, é utilizado como isca. Os aplicativos maliciosos solicitam permissões para acessar contatos, mensagens SMS e arquivos, exfiltrando dados do dispositivo.

Com a implementação da Lei de Segurança Online no Reino Unido, o interesse em redes privadas virtuais (VPNs) aumentou, especialmente entre novos usuários. As novas regras de verificação de idade limitam o acesso a conteúdos online, como sites para adultos e aplicativos de namoro, levando muitos a buscar VPNs como uma solução. No entanto, especialistas alertam que nem todas as VPNs são confiáveis. O artigo destaca a importância de escolher uma VPN que tenha um histórico de auditoria transparente e protocolos de segurança robustos, como OpenVPN e WireGuard. VPNs como NordVPN e ExpressVPN se destacam por suas políticas rigorosas de não registro e auditorias independentes. Além disso, é crucial considerar a localização dos servidores, pois isso impacta a capacidade de contornar restrições geográficas. O uso de VPNs gratuitas é desaconselhado, pois muitas comprometem a privacidade do usuário. A escolha de uma VPN amigável ao usuário também é fundamental, especialmente para aqueles que não têm experiência técnica. O artigo conclui que, com as novas leis, a escolha de uma VPN confiável é mais importante do que nunca para proteger a privacidade online.

A Motility Software Solutions, empresa de software para concessionárias de automóveis, notificou 766.670 pessoas sobre um vazamento de dados ocorrido em agosto de 2025. O incidente, atribuído ao grupo de ransomware PEAR, comprometeu informações sensíveis, incluindo números de Seguro Social, endereços de e-mail e números de carteira de motorista. O grupo PEAR reivindicou a responsabilidade pelo ataque, alegando ter roubado 4,3 TB de dados, e publicou imagens de documentos supostamente obtidos durante o ataque. Embora a Motility tenha detectado atividade suspeita em seus servidores em 19 de agosto de 2025 e tomado medidas para isolar o incidente, não está claro se a empresa pagou um resgate ou como os atacantes conseguiram acessar sua rede. A Motility está oferecendo 12 meses de monitoramento de crédito gratuito para as vítimas. O grupo PEAR, que se destacou por focar em roubo de dados sem criptografá-los, já reivindicou outros ataques, aumentando a preocupação com a segurança cibernética em empresas de tecnologia nos EUA.

A automação impulsionada pela inteligência artificial (IA) está transformando a forma como as organizações operam, mas não sem desafios significativos. O artigo destaca que a busca por automação total pode resultar em sistemas frágeis, onde a intervenção humana excessiva atrasa respostas e a rigidez das regras não se adapta a novas ameaças. Além disso, o uso excessivo de IA pode gerar processos obscuros que comprometem a confiança e a conformidade. Para líderes de cibersegurança e operações, a necessidade de fluxos de trabalho rápidos, confiáveis e auditáveis é crucial. O webinar ‘Workflow Clarity: Where AI Fits in Modern Automation’, apresentado por Thomas Kinsella, Co-fundador e Diretor de Clientes da Tines, abordará como as equipes de segurança estão integrando pessoas, regras e agentes de IA de forma intencional para criar fluxos de trabalho eficazes. Os participantes aprenderão a identificar onde a IA é mais útil, como evitar a complexidade desnecessária e garantir a segurança e a auditabilidade dos processos. O evento é voltado para líderes que buscam estratégias práticas para implementar automação que fortaleça as defesas sem criar novos riscos.

Um estudo realizado por acadêmicos do Georgia Institute of Technology e da Purdue University revelou que as garantias de segurança do Intel Software Guard eXtensions (SGX) podem ser contornadas em sistemas DDR4, permitindo a descriptografia passiva de dados sensíveis. O SGX, que isola códigos e recursos confiáveis em um ambiente de execução confiável (TEE), foi projetado para proteger dados mesmo em sistemas comprometidos. No entanto, os pesquisadores demonstraram que um dispositivo interpositor pode ser utilizado para inspecionar fisicamente o tráfego de memória entre a CPU e o módulo de memória, extraindo chaves de atestação do SGX. Essa técnica, chamada WireTap, é semelhante ao ataque Battering RAM, mas foca na violação da confidencialidade. O ataque pode ser realizado com equipamentos acessíveis, embora o custo do setup do WireTap seja em torno de $1.000. A Intel respondeu afirmando que esse tipo de ataque está fora do escopo de seu modelo de ameaça, recomendando que servidores sejam operados em ambientes físicos seguros. A pesquisa levanta preocupações sobre a segurança de implementações de blockchain que utilizam SGX, como Phala Network e Secret Network, onde a confidencialidade e a integridade das transações podem ser comprometidas.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma proposta inusitada de um hacker que se identificou como Syn. Ele ofereceu 15% dos lucros de um resgate obtido em um ataque de ransomware à BBC, caso Tidy liberasse o acesso à sua conta corporativa. O caso destaca uma vulnerabilidade pouco discutida: a utilização de agentes internos para facilitar invasões. A comunicação ocorreu via Signal, um aplicativo de mensagens seguras, e foi precedida por um incidente em que um funcionário de TI no Brasil vendeu seu login a cibercriminosos, resultando em uma invasão que custou R$ 500 milhões à empresa. Tidy, que apenas buscava entender o golpe, foi alvo de tentativas de login e notificações de autenticação de dois fatores, uma técnica conhecida como MFA bombing. Após relatar o incidente à equipe de segurança da BBC, ele teve seus acessos revogados. Os hackers, que já atacaram mais de 300 vítimas, tentaram convencer Tidy de que não seriam descobertos, mas acabaram desistindo após dias sem resposta. O caso evidencia a necessidade de discutir as ameaças internas nas organizações, que podem ser tão perigosas quanto as externas.

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

A companhia aérea canadense WestJet confirmou um incidente de cibersegurança que resultou na exposição não autorizada de informações pessoais de seus clientes. O ataque foi detectado em 13 de junho de 2025, quando a equipe de segurança da empresa identificou atividades incomuns em sua rede interna. Após a confirmação do acesso não autorizado por um terceiro criminoso, a WestJet isolou os servidores afetados e implementou medidas de segurança adicionais. Embora dados financeiros, como números de cartões de crédito e senhas, não tenham sido comprometidos, informações pessoais como nome completo, data de nascimento, endereço, detalhes de documentos de viagem e preferências de viagem foram expostas. A empresa notificou os clientes afetados e ofereceu serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade. A WestJet reforçou sua segurança com monitoramento em tempo real e auditorias regulares, reafirmando seu compromisso com a proteção das informações dos passageiros e a transparência com seus clientes.

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

O Relatório de Avaliação de Cibersegurança de 2025 da Bitdefender apresenta um panorama alarmante sobre a defesa cibernética atual. A pesquisa, que envolveu mais de 1.200 profissionais de TI e segurança em seis países, revelou que 58% dos profissionais foram instruídos a manter a confidencialidade após uma violação, um aumento de 38% em relação a 2023. Essa pressão por silêncio pode comprometer a confiança dos stakeholders e a conformidade regulatória. Além disso, 84% dos ataques de alta severidade utilizam técnicas de ‘Living Off the Land’, que exploram ferramentas legítimas já presentes nas organizações, levando 68% das empresas a priorizarem a redução da superfície de ataque. A pesquisa também destaca um descompasso entre executivos e equipes operacionais, com 45% dos executivos se sentindo confiantes na gestão de riscos cibernéticos, enquanto apenas 19% dos gerentes de nível médio compartilham dessa confiança. O relatório conclui que a resiliência cibernética exige estratégias proativas, como a redução de superfícies de ataque e a melhoria da comunicação entre liderança e equipes de segurança.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

Uma vulnerabilidade de alta severidade foi identificada na solução de Gestão de Identidade e Acesso (IAM) One Identity OneLogin, que pode expor segredos de cliente de aplicações OpenID Connect (OIDC) se explorada com sucesso. A falha, registrada como CVE-2025-59363, recebeu uma pontuação CVSS de 7.7 em 10.0 e é classificada como uma transferência incorreta de recursos entre esferas (CWE-669). Isso permite que um programa ultrapasse limites de segurança e acesse dados ou funções confidenciais sem autorização. De acordo com a Clutch Security, a vulnerabilidade permite que atacantes com credenciais API válidas enumerem e recuperem segredos de cliente para todas as aplicações OIDC dentro de um inquilino OneLogin. O problema decorre da configuração inadequada do endpoint de listagem de aplicações, que retorna dados além do esperado, incluindo os valores de client_secret. A exploração bem-sucedida dessa falha pode permitir que um invasor se passe por aplicações e acesse serviços integrados. A falta de restrições de IP e o controle de acesso baseado em funções (RBAC) ampliam o risco, permitindo que atacantes explorem a vulnerabilidade de qualquer lugar do mundo. A falha foi corrigida na versão 2025.3.0 do OneLogin, lançada em agosto de 2025, que tornou os valores de client_secret invisíveis. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.

A partir de 29 de setembro de 2025, o Afeganistão sofreu um desligamento total da internet, uma medida justificada pelas autoridades como uma forma de ‘prevenir a imoralidade’. Especialistas, no entanto, acreditam que o verdadeiro objetivo é silenciar a dissidência e restringir a comunicação entre os cidadãos. A organização de monitoramento da internet, NetBlocks, observou uma queda drástica na conectividade desde o início de setembro, culminando em um apagão total de comunicação. Neste cenário, as VPNs, que normalmente ajudam a contornar restrições governamentais, não conseguem funcionar, pois dependem de uma conexão ativa à internet. A única alternativa viável para os afegãos são a internet via satélite e cartões SIM estrangeiros, que, no entanto, apresentam barreiras de custo e disponibilidade. A situação é alarmante, pois a falta de acesso à internet impacta negativamente todos os aspectos da vida dos cidadãos, incluindo educação, saúde e emprego. A especialista Felicia Anthonio, da Access Now, destaca que essa medida é uma tentativa de controle da informação e um ataque aos direitos humanos, especialmente para mulheres, jornalistas e comunidades marginalizadas. A comunidade internacional é chamada a agir em apoio aos direitos humanos no Afeganistão, onde o uso de desligamentos de internet se torna uma prática comum entre regimes autoritários.