A Verizon começou a enviar mensagens de texto aos seus clientes com instruções para resgatar um crédito de $20 em suas contas, como compensação pela interrupção de serviço que ocorreu na semana passada. A falha, que afetou usuários em todo os Estados Unidos, ocorreu em 14 de janeiro, quando muitos clientes relataram perda de sinal e seus dispositivos ficaram presos no modo SOS, impossibilitando chamadas e acesso à internet. A empresa reconheceu o problema, atribuindo-o a uma falha de software, e não a um incidente de cibersegurança. O crédito de $20 é uma tentativa de compensar os dias de serviço perdidos, embora a Verizon tenha enfatizado que não é uma solução completa para o ocorrido. Para resgatar o crédito, os clientes devem acessar suas contas no site da Verizon e seguir algumas etapas simples. A empresa também recomendou que os clientes que ainda enfrentam problemas de conectividade reiniciem seus dispositivos. A Verizon está oferecendo um crédito por conta, independentemente do número de linhas associadas, e as mensagens estão sendo enviadas apenas para o número do titular da conta.

Um grupo de hackers avançados, identificado como UAT-8837 e supostamente vinculado à China, tem se concentrado em sistemas de infraestrutura crítica na América do Norte, explorando vulnerabilidades conhecidas e zero-day para obter acesso inicial a organizações-alvo. Ativo desde pelo menos 2025, o grupo utiliza credenciais comprometidas e vulnerabilidades de servidores para iniciar seus ataques. Recentemente, explorou a falha CVE-2025-53690, uma vulnerabilidade zero-day em produtos Sitecore, indicando acesso a problemas de segurança não divulgados. Após a invasão, os atacantes realizam atividades de reconhecimento e colheita de credenciais utilizando comandos nativos do Windows e ferramentas de código aberto. Entre as ferramentas utilizadas estão GoTokenTheft e Rubeus, que visam roubar tokens de acesso e credenciais do Active Directory. O relatório da Cisco Talos também destaca que os atacantes podem exfiltrar arquivos DLL de produtos utilizados pelas vítimas, o que pode facilitar futuros ataques de trojanização e na cadeia de suprimentos. A análise sugere que o grupo UAT-8837 está alinhado com as táticas de outros atores de ameaças conhecidos da China, o que aumenta a preocupação com a segurança das infraestruturas críticas na região.

As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, Oleg Evgenievich Nefedov, um cidadão russo de 35 anos, que agora figura na lista de procurados da Europol e da Interpol. A operação conjunta resultou na identificação de dois outros suspeitos que atuavam na fase inicial dos ataques, especializados em acessar redes-alvo e preparar o terreno para os ataques de ransomware. Os investigadores relataram que esses indivíduos eram responsáveis por quebrar senhas e obter credenciais de acesso de funcionários de empresas, o que lhes permitia invadir sistemas corporativos internos. Durante as investigações, foram apreendidos dispositivos de armazenamento digital e ativos em criptomoeda. O grupo Black Basta, que surgiu em abril de 2022, é responsável por pelo menos 600 incidentes de ransomware, afetando grandes organizações globalmente, incluindo a Rheinmetall, Hyundai e Ascension. A conexão de Nefedov com o grupo Conti, um sindicato de ransomware que se desfez em 2022, também foi destacada, indicando sua experiência e influência no cenário de cibercrime. As autoridades continuam a investigar e monitorar as atividades do grupo, que representa uma ameaça significativa para a segurança cibernética mundial.

Uma falha de cross-site scripting (XSS) no painel de controle web do malware StealC permitiu que pesquisadores observassem sessões ativas e coletassem informações sobre o hardware dos atacantes. O StealC, que surgiu em 2023, ganhou notoriedade por suas capacidades de evasão e roubo de dados. Com a versão 2.0, lançada em abril, o desenvolvedor introduziu suporte para bots do Telegram e um novo construtor que gera versões personalizadas do malware. A falha XSS descoberta pela CyberArk possibilitou a coleta de impressões digitais de navegadores e hardware dos operadores, além de permitir o sequestro de sessões. Um caso notável envolveu um cliente do StealC, conhecido como ‘YouTubeTA’, que comprometeu canais legítimos do YouTube e coletou mais de 5.000 logs de vítimas, resultando no roubo de aproximadamente 390.000 senhas e 30 milhões de cookies. A localização do atacante foi revelada quando ele não utilizou uma VPN, expondo seu IP real vinculado a um provedor de internet ucraniano. A CyberArk optou por não divulgar detalhes da vulnerabilidade para evitar que os operadores do StealC a corrigissem rapidamente, visando causar interrupções nas operações do malware.

O GootLoader, um carregador de malware em JavaScript, tem utilizado um arquivo ZIP malformado para escapar de detecções de segurança. Esse arquivo é criado por meio da concatenação de 500 a 1.000 arquivos ZIP, dificultando a extração por ferramentas comuns como WinRAR e 7-Zip, mas sendo compatível com a ferramenta padrão do Windows. Essa técnica de anti-análise impede que muitos fluxos de trabalho automatizados consigam analisar o conteúdo do arquivo. O GootLoader é frequentemente distribuído por meio de táticas de SEO e malvertising, visando usuários que buscam templates legais e os redirecionando para sites WordPress comprometidos. Recentemente, novas técnicas foram observadas, como o uso de fontes WOFF2 personalizadas para ofuscar nomes de arquivos e a exploração do endpoint de comentários do WordPress para entregar os arquivos ZIP. O malware, que está ativo desde 2020, é projetado para entregar cargas secundárias, incluindo ransomware. Para mitigar essa ameaça, recomenda-se que as organizações bloqueiem a execução de ‘wscript.exe’ e ‘cscript.exe’ para conteúdos baixados, além de configurar políticas para abrir arquivos JavaScript no Notepad por padrão.

O PagBank anunciou um reforço nas suas medidas de cibersegurança no início de 2026, em resposta ao aumento das fraudes digitais no Brasil. O país, que ocupa a segunda posição mundial em ciberataques, registrou quase 7 milhões de tentativas de fraude no primeiro semestre de 2025, um aumento de 29,5% em relação ao ano anterior. Para combater essa situação, o PagBank implementou diversas funcionalidades de segurança, como alertas de login em dispositivos de risco, que notificam os usuários sobre tentativas de acesso suspeitas, e o uso de QR Codes para autenticação de transações. Além disso, a empresa introduziu a rede ‘Wi-Fi Seguro’, que protege os usuários em conexões públicas, e utiliza inteligência artificial para detectar comportamentos suspeitos e tentativas de engenharia social. A importância da vigilância constante por parte dos clientes também foi enfatizada, destacando que, apesar das tecnologias avançadas, o cuidado individual é crucial na prevenção de fraudes.

Uma nova campanha de cibercriminosos está explorando a operação militar dos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, como uma isca para distribuir malware. Especialistas em segurança cibernética identificaram que hackers, associados ao grupo Mustang Panda, estão utilizando táticas de spear phishing para atacar entidades políticas americanas. O malware, chamado LOTUSLITE, é um backdoor que se infiltra em dispositivos governamentais através de um arquivo ZIP malicioso intitulado ‘EUA decidem agora o que vem a seguir para a Venezuela.zip’.

O Grubhub, uma plataforma popular de entrega de alimentos e supermercado, confirmou ter sido alvo de um ataque cibernético que resultou em uma violação de dados. Criminosos digitais conseguiram acessar sistemas da empresa, embora o Grubhub tenha assegurado que informações sensíveis de clientes, como dados financeiros e histórico de pedidos, não foram comprometidas. A empresa está enfrentando um cenário de extorsão e já notificou as autoridades competentes, além de estar colaborando com uma empresa de segurança para investigar o incidente. Apesar da confirmação do ataque, o Grubhub não forneceu detalhes sobre a origem da violação ou a identidade dos atacantes. Fontes sugerem que o grupo hacker ShinyHunters pode estar por trás da extorsão, exigindo um pagamento em Bitcoin para evitar a divulgação de dados antigos. Este ataque ocorre em um contexto em que a plataforma já havia enfrentado problemas relacionados a e-mails fraudulentos no final de 2025, levantando preocupações sobre a segurança de suas operações.

Uma falha crítica de configuração no serviço AWS CodeBuild expôs repositórios do GitHub gerenciados pela AWS a potenciais ataques de cadeia de suprimentos. A vulnerabilidade, identificada pela equipe de segurança Wiz e chamada de ‘CodeBreach’, permitia que usuários não autorizados iniciassem processos de build privilegiados, expondo tokens de acesso do GitHub armazenados no ambiente de construção. Isso poderia ter permitido a distribuição de atualizações de software comprometidas para uma vasta gama de aplicações e clientes da AWS. A AWS corrigiu a falha em menos de 48 horas após a notificação, sem evidências de abuso. A empresa também recomendou que os usuários revisassem suas configurações de CI/CD, ancorassem filtros de regex de webhook e limitassem os privilégios de tokens. A situação destaca a importância de uma configuração adequada em ambientes de desenvolvimento e a necessidade de vigilância contínua contra possíveis vulnerabilidades.

O grupo de ransomware Genesis assumiu a responsabilidade por uma violação de dados ocorrida em dezembro de 2025 em Upper Township, Nova Jersey. Em seu site de vazamento de dados, o grupo ameaçou divulgar 100 GB de informações pessoais e financeiras, caso a prefeitura não pagasse um resgate em três dias. A administração da cidade, liderada por James W. Van Zilke, confirmou que a investigação sobre a violação está em andamento, mas não verificou a reivindicação do Genesis. No entanto, documentos da reunião do conselho municipal indicam que foram autorizados até US$ 110.000 para serviços de consultoria em segurança cibernética e remediação. Genesis, que começou a operar em outubro de 2025, já reivindicou 28 ataques, sendo três deles confirmados por organizações, incluindo a prefeitura de Upper Township. Em 2025, foram registrados 81 ataques de ransomware a entidades governamentais nos EUA, destacando a crescente ameaça a sistemas públicos. A situação em Upper Township ressalta a necessidade de vigilância contínua e resposta rápida a incidentes de segurança cibernética, especialmente em um cenário onde a proteção de dados sensíveis é crucial.

Uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, está sendo ativamente explorada por atacantes. Essa falha resulta de uma combinação de problemas que permitem a execução de comandos arbitrários com permissões de administrador e a escalada de privilégios para acesso root. A vulnerabilidade, classificada como uma injeção de comando do sistema operacional, permite que um invasor não autenticado execute códigos não autorizados por meio de requisições TCP manipuladas. A Fortinet lançou atualizações de segurança para corrigir a falha, que afeta as versões do FortiSIEM de 6.7 a 7.5, recomendando a atualização para versões mais recentes. A Horizon3.ai, que reportou a vulnerabilidade, também disponibilizou um código de prova de conceito que demonstra como explorar a falha. Após a divulgação, a empresa de inteligência de ameaças Defused confirmou que a exploração da vulnerabilidade está ocorrendo ativamente. A Fortinet ainda não atualizou seu aviso de segurança para refletir essa exploração, mas recomenda que os administradores limitem o acesso ao serviço vulnerável como uma medida temporária. A situação é crítica, pois a exploração pode levar a compromissos severos em sistemas afetados.

A Microsoft está investigando relatos de que uma atualização de segurança do Windows 11, lançada em janeiro, está causando travamentos no cliente de desktop do Outlook para usuários que utilizam contas de e-mail POP (Post Office Protocol). Embora o POP não seja tão comum quanto o IMAP ou Exchange, ainda é amplamente utilizado por usuários domésticos e pequenas empresas. O problema afeta aqueles que instalaram a atualização KB5074109, com relatos de que o Outlook não fecha corretamente e não reinicia após ser fechado. A Microsoft reconheceu que este é um problema emergente e ainda está coletando informações sobre os sintomas. Enquanto a solução definitiva não é disponibilizada, os usuários afetados podem desinstalar a atualização problemática através do aplicativo de Configurações do Windows. No entanto, a remoção de atualizações de segurança pode expor os dispositivos a vulnerabilidades, uma vez que essas atualizações corrigem falhas que podem ser exploradas por malware. A empresa ainda não forneceu um cronograma para uma correção ou solução alternativa.

Especialistas em segurança revelaram uma nova campanha de malware que visa entidades governamentais e políticas dos Estados Unidos, utilizando iscas temáticas relacionadas a desenvolvimentos geopolíticos entre os EUA e a Venezuela. O malware, conhecido como LOTUSLITE, é um backdoor que se infiltra em sistemas através de um arquivo ZIP malicioso intitulado ‘US now deciding what’s next for Venezuela.zip’, que contém uma DLL maliciosa lançada por técnicas de DLL side-loading. A atividade foi atribuída a um grupo patrocinado pelo Estado chinês, conhecido como Mustang Panda, que é reconhecido por utilizar extensivamente essas técnicas para implantar suas ferramentas. O LOTUSLITE, um implante em C++, se comunica com um servidor de comando e controle (C2) e permite atividades como execução remota de comandos e exfiltração de dados. Embora a campanha não tenha sido confirmada como bem-sucedida, ela destaca a eficácia de técnicas de phishing direcionado em um contexto geopolítico. A análise sugere que, apesar da falta de recursos avançados de evasão, a confiabilidade operacional do malware é uma preocupação significativa.

O artigo destaca a crescente preocupação com a exposição de informações pessoais na internet, que muitas vezes ocorre sem o consentimento dos indivíduos. Dados como nome, endereço, número de telefone e histórico profissional estão disponíveis em sites públicos e plataformas de corretores de dados, tornando as pessoas vulneráveis a ameaças como doxxing, assédio e roubo de identidade. A falta de proteção dessas informações pode comprometer a segurança física e digital dos indivíduos. Para mitigar esses riscos, recomenda-se a remoção manual de dados pessoais de sites suspeitos, um processo que pode ser demorado. Ferramentas como o Incogni podem facilitar essa tarefa, rastreando e removendo informações pessoais de várias fontes online. A proteção da privacidade é apresentada como um componente essencial da segurança, pois a dificuldade em localizar dados pessoais pode reduzir significativamente o risco de assédio e fraudes. O artigo conclui enfatizando que todos merecem se sentir seguros, tanto online quanto offline, e sugere o uso de serviços que ajudem a proteger informações pessoais.

Pesquisadores de cibersegurança identificaram cinco novas extensões maliciosas do Google Chrome que se disfarçam como plataformas de recursos humanos (RH) e planejamento de recursos empresariais (ERP), como Workday e NetSuite. Essas extensões têm como objetivo roubar tokens de autenticação, bloquear capacidades de resposta a incidentes e permitir a tomada de controle total das contas das vítimas por meio de sequestro de sessão. As extensões, publicadas por dois editores diferentes, compartilham funcionalidades idênticas e padrões de infraestrutura, sugerindo uma operação coordenada. Uma das extensões, DataByCloud Access, coleta cookies de autenticação e os envia a um servidor remoto a cada 60 segundos, enquanto Tool Access 11 bloqueia o acesso a páginas administrativas cruciais dentro do Workday. Além disso, a extensão Software Access combina o roubo de cookies com a capacidade de injetá-los diretamente no navegador da vítima, facilitando o sequestro de sessão. Os usuários do Chrome que instalaram essas extensões são aconselhados a removê-las imediatamente e a revisar suas contas em busca de acessos não autorizados.

A Microsoft confirmou um novo problema que afeta dispositivos com Windows 11 versão 23H2 que possuem o recurso System Guard Secure Launch ativado. Este recurso de segurança foi projetado para proteger o processo de inicialização contra ataques de firmware e malware, como rootkits. O problema, que surgiu após a instalação da atualização cumulativa KB5073455 em 13 de janeiro de 2026, impede que alguns PCs desliguem ou entrem em hibernação, fazendo com que o dispositivo reinicie em vez disso. A falha afeta apenas as edições Enterprise e IoT do Windows 11. A Microsoft disponibilizou uma solução temporária, que envolve o uso do prompt de comando para desligar o dispositivo, mas não há uma solução para a hibernação. A empresa também está lidando com outro bug relacionado a falhas de conexão e erros de autenticação em sessões do Remote Desktop. Os usuários são aconselhados a salvar seu trabalho frequentemente para evitar perda de dados devido à falta de energia, já que o dispositivo pode não hibernar corretamente.

A Cisco lançou um patch para uma vulnerabilidade crítica de zero-day no Cisco AsyncOS, que estava sendo explorada em ataques a dispositivos Secure Email Gateway (SEG) e Secure Email and Web Manager (SEWM) desde novembro de 2025. A falha, identificada como CVE-2025-20393, permite que atacantes executem comandos arbitrários com privilégios de root no sistema operacional dos dispositivos afetados, especialmente quando a funcionalidade de Spam Quarantine está habilitada e exposta à Internet. A Cisco Talos, equipe de inteligência de ameaças da empresa, atribui os ataques a um grupo de hackers chinês conhecido como UAT-9686, que utilizou ferramentas como AquaShell e AquaTunnel para manter acesso persistente e ocultar suas atividades maliciosas. A CISA também incluiu essa vulnerabilidade em seu catálogo de falhas conhecidas, exigindo que agências federais tomem medidas de segurança até 24 de dezembro. A Cisco recomenda que os administradores verifiquem a exposição e apliquem as correções assim que disponíveis, dado que essas vulnerabilidades são vetores frequentes de ataque e representam riscos significativos para a segurança.

A Cisco anunciou atualizações de segurança para uma vulnerabilidade crítica em seu software AsyncOS, utilizado no Cisco Secure Email Gateway e no Cisco Secure Email and Web Manager. A falha, identificada como CVE-2025-20393, possui uma pontuação CVSS de 10.0, indicando seu alto potencial de risco. Essa vulnerabilidade permite a execução remota de comandos com privilégios de root, devido à validação insuficiente de requisições HTTP na funcionalidade de Spam Quarantine. Para que um ataque seja bem-sucedido, três condições devem ser atendidas: o appliance deve estar rodando uma versão vulnerável do software, a funcionalidade de Spam Quarantine deve estar habilitada e acessível pela internet. A Cisco identificou que um ator de ameaça persistente avançada, conhecido como UAT-9686, explorou essa falha desde novembro de 2025, utilizando ferramentas como ReverseSSH e um backdoor em Python chamado AquaShell. A empresa já lançou patches para diversas versões do AsyncOS e recomenda que os usuários sigam diretrizes de segurança, como proteger os appliances atrás de firewalls e desabilitar serviços de rede desnecessários.

Um grupo de ameaças cibernéticas, identificado como UAT-8837 e possivelmente vinculado à China, tem se concentrado em atacar setores de infraestrutura crítica na América do Norte desde o ano passado. A Cisco Talos, que monitora essa atividade, acredita que o grupo possui um nível médio de confiança em sua ligação com ameaças persistentes avançadas (APT) da região. O UAT-8837 utiliza técnicas como exploração de vulnerabilidades em servidores e credenciais comprometidas para obter acesso inicial a organizações de alto valor. Recentemente, o grupo explorou uma vulnerabilidade zero-day crítica no Sitecore (CVE-2025-53690, CVSS 9.0) para realizar uma intrusão. Após conseguir acesso, o grupo realiza reconhecimento preliminar e desabilita recursos de segurança, como o RestrictedAdmin para o Remote Desktop Protocol (RDP). O UAT-8837 também utiliza ferramentas de código aberto para coletar informações sensíveis e criar múltiplos canais de acesso. A atividade do grupo levanta preocupações sobre a segurança da cadeia de suprimentos e a possibilidade de engenharia reversa de produtos. As agências de segurança cibernética de vários países ocidentais têm alertado sobre as ameaças crescentes a ambientes de tecnologia operacional (OT), enfatizando a necessidade de medidas de segurança robustas.

A 5ª temporada de Shoresy, um spin-off da popular série Letterkenny, estará disponível para streaming gratuito na SBS On Demand a partir de 15 de janeiro de 2026. A série, que segue o personagem Shoresy, interpretado por Jared Keeso, promete trazer novas aventuras e desafios para o time Sudbury Bulldogs em sua temporada mais difícil até agora. Para assistir, os residentes australianos podem acessar o site da SBS On Demand ou baixar o aplicativo disponível para iOS e Android. É necessário registrar-se com um código postal australiano. Para aqueles fora da Austrália, como nos EUA, Reino Unido e Canadá, é possível acessar o conteúdo utilizando uma VPN, como o NordVPN, que permite desbloquear a plataforma e assistir ao conteúdo de forma segura. A SBS On Demand é compatível com diversos dispositivos, incluindo smart TVs, consoles de jogos e dispositivos móveis, facilitando o acesso ao conteúdo. A série é composta por seis episódios, com o primeiro episódio já disponível no dia de Natal de 2025.

O malware Gootloader, que tem sido utilizado para acesso inicial em ataques cibernéticos, agora emprega um arquivo ZIP malformado que concatena até 1.000 arquivos para evitar a detecção. Essa técnica causa falhas em diversas ferramentas de análise, enquanto o arquivo malicioso, que é um arquivo JScript arquivado, pode ser descompactado com a ferramenta padrão do Windows. Pesquisadores notaram que ferramentas como 7-Zip e WinRAR falham ao tentar processar esses arquivos. Os operadores do Gootloader implementaram mecanismos de ofuscação mais complexos, como a concatenação de arquivos ZIP, a utilização de um End of Central Directory truncado e a randomização de campos de número de disco. Após a execução, o malware ativa um JScript que estabelece persistência no sistema, criando atalhos que são executados a cada inicialização. Para mitigar essa ameaça, recomenda-se que os defensores alterem a aplicação padrão para abrir arquivos JScript e bloqueiem a execução de wscript.exe e cscript.exe. A pesquisa também fornece uma regra YARA para ajudar na identificação desses arquivos ZIP malformados.

A OpenAI está implementando uma atualização significativa para o ChatGPT, que agora inclui suporte para uma busca avançada no histórico de chats. Essa nova funcionalidade, que está sendo disponibilizada apenas para assinantes Plus e Pro, promete melhorar a capacidade de encontrar detalhes específicos em conversas anteriores. Anteriormente, a busca no histórico do ChatGPT apresentava limitações, especialmente em casos de threads semelhantes, dificultando a localização de informações desejadas. Com a nova atualização, quando o histórico de chats de referência está ativado, o ChatGPT pode identificar de forma mais confiável detalhes de conversas passadas, apresentando-as como fontes para que os usuários possam revisar o contexto original. Além disso, a OpenAI está aprimorando as capacidades de ditado, reduzindo transcrições vazias e aumentando a precisão. Essa atualização segue uma grande mudança anterior em dezembro, que introduziu novas personalidades para o ChatGPT, permitindo que os usuários ajustem características como calor, entusiasmo e uso de emojis. Essas melhorias visam tornar a interação com a IA mais personalizada e eficiente.

O Google anunciou que agora é possível alterar o endereço de e-mail @gmail.com, uma funcionalidade que estava em falta para os usuários. Essa mudança permite que, por exemplo, um usuário que tenha o e-mail xyz@gmail.com possa alterá-lo para abc@gmail.com. A atualização foi divulgada em um documento de suporte da empresa, que ressalta que a nova opção está sendo implementada gradualmente e pode não estar disponível para todos os usuários imediatamente. Ao mudar o endereço, o antigo não é desativado, mas se torna um e-mail alternativo, permitindo que o usuário receba mensagens em ambos os endereços sem perder dados armazenados, como fotos e mensagens. O Google também informa que é possível reverter a mudança a qualquer momento, mas limita a criação de novos endereços para o mesmo usuário a uma vez por ano. Para acessar essa funcionalidade, os usuários devem visitar myaccount.google.com e seguir as instruções disponíveis. Essa atualização é especialmente útil para aqueles que desejam se distanciar de endereços considerados embaraçosos ou que foram criados por familiares.

Pesquisadores do laboratório Black Lotus, da Lumen Technologies, conseguiram desativar mais de 550 servidores de comando e controle (C2) das botnets Aisuru e Kimwolf, que operam desde outubro de 2025. A Aisuru, uma das maiores botnets em atividade, é conhecida por realizar ataques DDoS e hospedar tráfego malicioso através de proxies residenciais. A seção Kimwolf, voltada para dispositivos Android, infectou mais de 2 milhões de aparelhos, principalmente TV Boxes, utilizando um SDK malicioso chamado ByteConnect. A botnet não apenas realiza ataques, mas também cobra por serviços de realocação de banda larga e venda de DDoS. A Black Lotus identificou um aumento significativo no número de bots da Kimwolf, que chegou a 800.000 em outubro de 2025. As operações maliciosas se escondem em tráfego comum, dificultando a detecção. A desativação dos servidores é um passo importante, mas os cibercriminosos estão se adaptando rapidamente, mudando para novos IPs e métodos de operação.

A Comissão Federal do Comércio dos Estados Unidos (FTC) decidiu proibir a General Motors (GM) e sua subsidiária OnStar de coletar e vender dados de localização e comportamento de motoristas por um período de cinco anos. A decisão foi motivada por acusações de que a GM coletou dados sem consentimento, utilizando a ferramenta Smart Driver, que foi descontinuada. Essa ferramenta, que prometia autodiagnóstico dos hábitos de direção, na verdade, coletava informações a cada três segundos, que eram vendidas a agências de reporte de consumidores e, posteriormente, a seguradoras, resultando em taxas elevadas ou até mesmo na negação de serviços. A GM agora terá que obter consentimento explícito dos consumidores para qualquer coleta ou compartilhamento de dados, exceto em situações de emergência. Além disso, os consumidores poderão solicitar cópias de seus dados e pedir a exclusão deles. A decisão da FTC se alinha a um movimento crescente para proteger a privacidade dos dados dos usuários, especialmente em um contexto onde a coleta de dados se tornou uma prática comum entre empresas de tecnologia e automotivas.

Pesquisadores da Varonis identificaram uma nova campanha de ciberataques chamada ‘Reprompt’, que utiliza o Microsoft Copilot para roubar dados de usuários. O ataque se aproveita de sessões legítimas da ferramenta de inteligência artificial, permitindo que informações sensíveis sejam extraídas através de comandos maliciosos. Os criminosos conseguem contornar as configurações de segurança do Copilot ao inserir um alerta corrompido em uma URL aparentemente verdadeira, evitando que a vítima precise clicar em links.

O Spindletop Center, uma clínica de saúde comportamental no Texas, notificou vítimas de uma violação de dados ocorrida em setembro de 2025, conforme informações enviadas ao procurador-geral do estado. A violação comprometeu dados pessoais sensíveis, incluindo números de Seguro Social, identificações emitidas pelo governo e números de casos. Um grupo de ransomware chamado Rhysida reivindicou a responsabilidade pelo ataque, exigindo um resgate de 15 bitcoins, equivalente a aproximadamente 1,65 milhão de dólares na época. A clínica relatou uma interrupção em seus sistemas em 29 de setembro de 2025, e uma investigação interna revelou que informações sensíveis podem ter sido acessadas em 23 de setembro. Até o momento, não há confirmação se o Spindletop pagou o resgate ou como os atacantes conseguiram invadir seus sistemas. A Rhysida, que opera um modelo de ransomware como serviço, já reivindicou mais de 100 ataques confirmados desde sua criação em 2023, afetando milhões de registros. Este incidente destaca a crescente ameaça de ataques cibernéticos no setor de saúde, que podem comprometer a privacidade e a segurança dos pacientes.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no protocolo Fast Pair do Google, que permite que atacantes sequestram acessórios de áudio Bluetooth, rastreiem usuários e escutem conversas. A falha, identificada como CVE-2025-36911 e chamada de WhisperPair, afeta centenas de milhões de fones de ouvido, earbuds e alto-falantes de diversos fabricantes que suportam o recurso Fast Pair. O problema reside na implementação inadequada do protocolo, permitindo que dispositivos não autorizados iniciem o emparelhamento sem o consentimento do usuário. Após o emparelhamento, os atacantes podem controlar completamente o dispositivo, podendo reproduzir áudio em volumes altos ou escutar conversas através do microfone do acessório. Além disso, a vulnerabilidade permite que os atacantes rastreiem a localização das vítimas usando a rede Find Hub do Google. O Google já recompensou os pesquisadores com US$ 15.000 e está trabalhando com os fabricantes para lançar patches de segurança, embora nem todos os dispositivos vulneráveis tenham atualizações disponíveis. A única defesa contra esses ataques é a instalação de atualizações de firmware dos fabricantes, uma vez que desativar o Fast Pair em smartphones Android não impede a exploração da falha nos acessórios.

A Microsoft anunciou que a extensão Copilot Studio para o Visual Studio Code (VS Code) está agora acessível a todos os desenvolvedores. Essa ferramenta permite que os usuários construam e gerenciem agentes do Copilot Studio diretamente no VS Code, utilizando fluxos de trabalho padrão de desenvolvimento de software. O VS Code, um editor de código multiplataforma amplamente utilizado, oferece integração com Git e suporte a pipelines de CI/CD, além de permitir a personalização através de extensões.

A Verizon confirmou que a interrupção de serviço sem fio que afetou clientes em todo os Estados Unidos no dia 14 de janeiro foi causada por um problema de software. A falha começou por volta do meio-dia, levando muitos usuários a relatar que seus dispositivos estavam presos no modo SOS, o que impediu a realização de chamadas, incluindo para o 911. A empresa afirmou que não há indícios de que um incidente de cibersegurança tenha contribuído para a interrupção. A Verizon comunicou que seus engenheiros estavam trabalhando para resolver o problema e, por volta das 22h20, anunciou que a situação havia sido normalizada, recomendando que os clientes reiniciassem seus dispositivos. Em um gesto de compensação, a empresa ofereceu um crédito de US$ 20 para os clientes afetados, embora tenha destacado que isso não compensaria a inconveniência. A Verizon ainda não divulgou detalhes sobre quais sistemas foram impactados pelo problema de software.

Hackers estão explorando uma falha de gravidade máxima no plugin Modular DS do WordPress, que permite a eles contornar a autenticação remotamente e acessar sites vulneráveis com privilégios de administrador. A falha, identificada como CVE-2026-23550, afeta as versões 2.5.1 e anteriores do plugin, que é utilizado para gerenciar múltiplos sites WordPress a partir de uma única interface. Com mais de 40.000 instalações, o plugin permite que proprietários, desenvolvedores e provedores de hospedagem monitorem sites, realizem atualizações e gerenciem usuários. Pesquisadores da Patchstack confirmaram que a exploração da falha começou em 13 de janeiro, e a Modular DS lançou uma correção na versão 2.5.2 poucas horas depois. A vulnerabilidade é causada por falhas de design que aceitam requisições como confiáveis sem uma verificação criptográfica de sua origem, permitindo uma escalada de privilégios. Os usuários são aconselhados a atualizar para a versão mais recente e revisar logs de acesso ao servidor em busca de requisições suspeitas, além de regenerar todas as chaves do WordPress após a atualização.

A plataforma de entrega de alimentos Grubhub confirmou uma recente violação de dados, onde hackers acessaram seus sistemas e estão exigindo pagamentos em Bitcoin para não divulgar informações sensíveis. A empresa declarou que indivíduos não autorizados baixaram dados de certos sistemas, mas garantiu que informações financeiras e histórico de pedidos não foram afetados. Grubhub está colaborando com uma empresa de cibersegurança e notificou as autoridades. O incidente ocorre em meio a um aumento de e-mails fraudulentos associados à empresa, que promoviam um golpe de criptomoeda. Fontes indicam que o grupo de cibercrime ShinyHunters está por trás da extorsão, exigindo pagamento para evitar a divulgação de dados antigos e novos, que foram obtidos em um ataque recente. A violação pode estar relacionada a credenciais roubadas durante ataques anteriores a outras plataformas, como Salesloft. Especialistas alertam que organizações afetadas devem rotacionar todas as credenciais comprometidas o mais rápido possível para mitigar riscos futuros.

Uma falha de configuração crítica no AWS CodeBuild, identificada como CodeBreach, poderia ter permitido a tomada total dos repositórios do GitHub da Amazon, incluindo o AWS JavaScript SDK. A vulnerabilidade foi corrigida em setembro de 2025, após uma divulgação responsável em agosto do mesmo ano. Pesquisadores da Wiz relataram que, ao explorar essa falha, atacantes poderiam injetar código malicioso, comprometendo não apenas aplicações que dependem do SDK, mas também a própria Console da AWS, colocando em risco todas as contas AWS.

A Microsoft anunciou, em 14 de janeiro de 2026, a ação judicial contra o RedVDS, um serviço de assinatura que facilitava cibercrimes. Este serviço permitia que hackers comprassem e vendessem recursos para realizar ataques digitais, cobrando US$ 24 por mês. Desde março de 2025, o RedVDS causou prejuízos de aproximadamente US$ 40 milhões apenas nos Estados Unidos, com um caso notável envolvendo a H2 Pharma, que perdeu mais de US$ 7,3 milhões. A operação conjunta da Microsoft, com apoio da Europol e autoridades policiais da Alemanha, resultou na apreensão de dois domínios que hospedavam o marketplace clandestino. O RedVDS era utilizado para fraudes, incluindo o desvio de pagamentos através do comprometimento de e-mails corporativos, onde hackers monitoravam contas para redirecionar fundos para contas fraudulentas. O impacto do RedVDS se estendeu a diversos setores, incluindo saúde, construção e serviços jurídicos.

O LinkedIn se tornou alvo de uma nova campanha de phishing que utiliza comentários na plataforma para espalhar malware. De acordo com uma reportagem do Bleeping Computer, usuários relataram comentários suspeitos que aparentam ser legítimos, vindo do próprio LinkedIn. Os hackers criam mensagens falsas que alertam sobre uma suposta violação das políticas da plataforma, levando ao bloqueio temporário da conta do usuário. Após essa notificação, um link é compartilhado para reativar a conta, direcionando a vítima a uma página semelhante à de login do LinkedIn. Nesse momento, os criminosos conseguem coletar informações sensíveis, pois os usuários, acreditando na legitimidade do aviso, inserem suas credenciais na página maliciosa.

O comércio varejista e o setor de serviços na Oceania, especialmente na Austrália e Nova Zelândia, enfrentaram um aumento significativo nas tentativas de ciberataques em 2025, superando até mesmo setores críticos como governo e saúde. O ‘Threat Landscape Report 2025’, da Cyble, destaca que hackers estão mudando seu foco para empresas de pequeno e médio porte, que frequentemente carecem de medidas de segurança robustas. Rex Booth, diretor de segurança da informação da Sailpoint, aponta que a eficiência é a chave para essa mudança, já que os atacantes buscam maximizar lucros com o mínimo de esforço. O aumento das transações no varejo e a dinâmica de integração rápida de trabalhadores temporários também contribuem para essa vulnerabilidade. O relatório revela que o mercado de cibercrime está fragmentado, dificultando a identificação de responsáveis pelos ataques, uma vez que as vendas de dados na dark web vêm de contas novas. Essa tendência de ataques a setores menos protegidos reflete um padrão global, onde hackers conseguem causar danos mesmo sem ferramentas avançadas para comprometer organizações críticas.

A série A Knight of the Seven Kingdoms, que faz parte da franquia Game of Thrones, estreia no dia 18 de janeiro de 2026, com episódios disponíveis em diferentes plataformas de streaming, como HBO Max nos EUA e na Austrália, Sky no Reino Unido e Crave no Canadá. A trama se passa cerca de 90 anos antes dos eventos de Game of Thrones e acompanha as aventuras de Ser Duncan, o Alto, e seu jovem escudeiro Egg. A série promete uma adaptação fiel da novela The Hedge Knight, de George R.R. Martin, e, apesar de ter um tom mais tranquilo, ainda contará com sequências de ação, como torneios e julgamentos por combate.

Pesquisadores de segurança da Varonis descobriram um novo método de ataque de injeção de prompt, chamado ‘Reprompt’, que compromete usuários do Microsoft Copilot com apenas um clique. Diferente de ataques anteriores que utilizavam e-mails maliciosos, essa nova técnica explora parâmetros de URL para injetar comandos prejudiciais. Quando um usuário clica em um link aparentemente legítimo que contém um parâmetro ‘q’, o Copilot interpreta esse conteúdo como um comando a ser executado, permitindo que dados sensíveis sejam vazados. A Microsoft já corrigiu essa vulnerabilidade, bloqueando a possibilidade de injeção de prompt via URLs. Essa descoberta destaca a necessidade de vigilância contínua em ferramentas de IA generativa, que ainda não conseguem distinguir adequadamente entre comandos e dados a serem lidos, tornando-as suscetíveis a ataques. A situação ressalta a importância de medidas de segurança robustas para proteger informações sensíveis em ambientes corporativos.

Em 2026, muitos Centros de Operações de Segurança (SOCs) ainda utilizam práticas e ferramentas desatualizadas, inadequadas para o cenário atual de ameaças cibernéticas. O artigo destaca quatro hábitos que limitam a evolução dos SOCs: a revisão manual de amostras suspeitas, a dependência exclusiva de varreduras estáticas, a desconexão entre ferramentas e a escalada excessiva de alertas suspeitos. Para superar esses desafios, recomenda-se a adoção de fluxos de trabalho otimizados por automação, como o uso de serviços de análise de malware em nuvem e análise comportamental em tempo real. Essas abordagens não apenas aceleram a detecção e resposta a incidentes, mas também melhoram a eficiência operacional dos analistas. Por exemplo, o uso do ANY.RUN, uma sandbox interativa, demonstrou reduzir o tempo médio de resposta a incidentes (MTTR) em 21 minutos e o tempo médio de detecção (MTTD) para 15 segundos. A integração de ferramentas e a redução de escalonamentos desnecessários também são cruciais para aumentar a produtividade e a eficácia dos SOCs. O artigo conclui que a modernização das práticas de segurança é essencial para enfrentar a crescente complexidade das ameaças cibernéticas.

Com a crescente integração de assistentes de IA nas atividades diárias, a segurança cibernética deve ir além da proteção dos modelos de IA. Recentes incidentes revelaram que o maior risco reside nos fluxos de trabalho que cercam esses modelos. Dois complementos do Chrome, disfarçados de assistentes de IA, foram identificados como responsáveis por roubar dados de chat de mais de 900 mil usuários do ChatGPT e DeepSeek. Além disso, pesquisadores demonstraram como injeções de comandos ocultas em repositórios de código podem enganar assistentes de codificação da IBM, fazendo com que executem malware. Esses ataques não comprometeram os algoritmos de IA, mas exploraram o contexto em que operam. À medida que as empresas utilizam IA para automatizar tarefas, a segurança deve se concentrar na proteção dos fluxos de trabalho, e não apenas nos modelos. Isso implica em entender onde a IA é utilizada, restringir acessos desnecessários e monitorar comportamentos anômalos. Ferramentas como a Reco estão surgindo para ajudar a proteger esses fluxos de trabalho em tempo real, oferecendo visibilidade e controle sobre o uso de IA nas organizações.

O cenário de cibersegurança continua a evoluir rapidamente, com novas vulnerabilidades e ataques emergindo semanalmente. Um dos destaques é uma falha crítica no Redis (CVE-2025-62507), que permite execução remota de código devido a um estouro de buffer. Essa vulnerabilidade, que afeta 2.924 servidores, foi corrigida na versão 8.3.2, mas a falta de autenticação no Redis torna a exploração ainda mais preocupante.

Além disso, o malware BaoLoader, que utiliza certificados de assinatura válidos para se disfarçar, tem se tornado uma ameaça significativa, permitindo que os atacantes operem sem serem detectados. Campanhas de phishing também estão em alta, com e-mails disfarçados de convites e alertas que instalam ferramentas de gerenciamento remoto (RMM).

Pesquisadores de cibersegurança revelaram um novo método de ataque chamado Reprompt, que pode permitir que criminosos exfiltratem dados sensíveis de chatbots de inteligência artificial, como o Microsoft Copilot, com apenas um clique. Segundo Dolev Taler, pesquisador da Varonis, o ataque não requer interação adicional do usuário após o primeiro clique em um link legítimo. O Reprompt utiliza três técnicas principais: a injeção de instruções via parâmetro de URL, a manipulação das salvaguardas de proteção de dados e a criação de uma cadeia contínua de solicitações que permite a exfiltração dinâmica de dados. Isso significa que, após um único clique, o atacante pode controlar a sessão do Copilot e solicitar informações sensíveis, como detalhes sobre arquivos acessados ou dados pessoais do usuário. Embora a Microsoft tenha corrigido a vulnerabilidade, o ataque destaca a fragilidade das defesas atuais contra injeções de prompt, que continuam a ser uma preocupação crescente na segurança de sistemas de IA. O Reprompt exemplifica como a falta de distinção entre instruções de usuários e solicitações externas pode ser explorada, tornando-se um ponto cego na segurança das empresas.

Uma falha de segurança de severidade máxima foi identificada no plugin Modular DS do WordPress, afetando todas as versões até a 2.5.1. A vulnerabilidade, classificada como CVE-2026-23550 com uma pontuação CVSS de 10.0, permite a escalada de privilégios não autenticados. O problema reside na forma como o plugin gerencia suas rotas, permitindo que atacantes contornem mecanismos de autenticação ao ativar o modo de ‘pedido direto’. Isso expõe várias rotas sensíveis, como /login/ e /manager/, permitindo ações que vão desde login remoto até a obtenção de dados confidenciais. Desde 13 de janeiro de 2026, ataques explorando essa falha foram detectados, com tentativas de criar usuários administradores. O plugin possui mais de 40.000 instalações ativas e a versão corrigida 2.5.2 já está disponível. A situação ressalta os riscos de confiar implicitamente em caminhos de requisição internos expostos à internet pública. Usuários do plugin são fortemente aconselhados a atualizar para a versão corrigida o mais rápido possível.

A Palo Alto Networks divulgou atualizações de segurança para uma vulnerabilidade de alta severidade, identificada como CVE-2026-0227, que afeta o software PAN-OS utilizado em suas soluções GlobalProtect Gateway e Portal. Com uma pontuação CVSS de 7.7, a falha permite que um atacante não autenticado cause uma condição de negação de serviço (DoS) no firewall, levando-o a entrar em modo de manutenção após tentativas repetidas de exploração. A vulnerabilidade foi descoberta por um pesquisador externo e afeta diversas versões do PAN-OS, incluindo 12.1, 11.2, 11.1, 10.2 e 10.1, além do Prisma Access. A Palo Alto Networks esclareceu que a falha é aplicável apenas a configurações com o GlobalProtect habilitado e que não existem alternativas para mitigar o problema. Embora não haja evidências de exploração ativa, a empresa recomenda que os dispositivos sejam mantidos atualizados, especialmente considerando a atividade de escaneamento em gateways GlobalProtect nos últimos meses.

A Microsoft anunciou uma ação legal coordenada nos Estados Unidos e no Reino Unido para desmantelar o serviço de cibercrime RedVDS, que supostamente causou perdas de fraudes na casa dos milhões. O RedVDS oferecia acesso a computadores virtuais descartáveis por apenas US$ 24 por mês, facilitando atividades criminosas como phishing e fraudes financeiras. Desde março de 2025, as atividades relacionadas ao RedVDS resultaram em cerca de US$ 40 milhões em perdas de fraudes nos EUA. O serviço, que operava com software não licenciado, permitia que criminosos operassem de forma anônima e escalável, utilizando ferramentas de inteligência artificial para aprimorar suas fraudes. A Microsoft identificou uma rede global de criminosos utilizando a infraestrutura do RedVDS, que comprometeu mais de 191 mil organizações em diversos setores. A ação da Microsoft é parte de um esforço mais amplo de combate ao cibercrime, visando proteger empresas e indivíduos de fraudes sofisticadas.

No dia 13 de janeiro de 2026, a Microsoft lançou uma atualização de segurança que corrigiu mais de 100 vulnerabilidades no Windows, incluindo três falhas zero-day. A CVE-2026-20805, uma das falhas zero-day, permite que hackers acessem informações sensíveis através de vazamentos de memória, facilitando ataques subsequentes. Outra vulnerabilidade, CVE-2026-21265, está relacionada à expiração de certificados do secure boot, afetando computadores adquiridos entre 2012 e 2025. Para mitigar essa falha, é necessário auditar o hardware e atualizar o firmware. A terceira falha, CVE-2023-31096, está ligada à elevação de privilégios em drivers de modem que têm sido parte do Windows por décadas. Das 114 vulnerabilidades corrigidas, 57 são de elevação de privilégios, 22 de execução remota de código e 22 de vazamento de informações. Embora apenas 8 sejam categorizadas como críticas, é essencial que usuários e empresas avaliem o impacto dessas falhas em seus sistemas.

Fraudes por falsificação de identidade em criptomoedas estão causando perdas significativas, com um prejuízo estimado em US$ 17 bilhões para 2026, conforme relatório da Chainalysis. Em 2025, foram desviados cerca de US$ 14 bilhões para contas criminosas, um aumento em relação aos US$ 13 bilhões de 2024. O crescimento alarmante de 1400% nos casos de falsificação de identidade é impulsionado por táticas de phishing e engenharia social, além do uso crescente de inteligência artificial (IA) por criminosos, que facilita ataques mais rápidos e coordenados. Os golpes que utilizam IA geraram em média US$ 3,2 milhões em criptomoedas por operação, evidenciando a industrialização da fraude. Especialistas alertam que a situação pode se agravar, exigindo atenção redobrada de usuários e empresas que operam no setor de moedas digitais.

A ServiceNow, uma das principais empresas de TI do mundo, enfrentou uma grave vulnerabilidade de segurança relacionada à autenticação, que a deixou exposta a ataques cibernéticos. A falha, identificada pela AppOmni, permitia que hackers acessassem a infraestrutura da empresa utilizando apenas o e-mail de um usuário, sem a necessidade de senha ou autenticação adicional. Isso se deu em parte pela implementação de um chatbot, o Virtual Agent, que foi distribuído com credenciais comuns para todos os serviços de terceiros. A situação se agravou com a atualização do agente virtual para a tecnologia Now Assist, que ampliou o potencial de exploração para outras plataformas internas, como Salesforce e Microsoft. Embora a ServiceNow tenha corrigido a vulnerabilidade em outubro de 2025, a falha representa um risco crítico para a cadeia de suprimentos, uma vez que a empresa atende 85% das companhias da Fortune 500. Especialistas recomendam que as empresas não apenas apliquem patches, mas também evitem conceder a agentes de IA a capacidade de realizar ações críticas sem supervisão adequada.

Pesquisadores da Check Point Research (CPR) descobriram o VoidLink, um novo framework de malware projetado especificamente para ambientes de nuvem que operam com Linux. Este malware, que se infiltra silenciosamente nas infraestruturas digitais, representa uma evolução nos ataques cibernéticos, focando em compromissos de longo prazo e ocultos. O VoidLink é escrito na linguagem Zig e é capaz de identificar plataformas como Kubernetes e Docker, ajustando seu comportamento conforme o ambiente. Além disso, ele coleta credenciais de sistemas de controle de versão, como o Git, o que sugere que desenvolvedores de software podem ser alvos de espionagem ou ataques futuros. O malware possui características semelhantes a rootkits, permitindo a expansão de suas funções através de um sistema de plugins em memória. Embora ainda não haja evidências de infecções ativas, o framework pode ser oferecido como um serviço no futuro. Para mitigar essas ameaças, é essencial que as organizações adotem uma abordagem de segurança que inclua visibilidade contínua e inteligência de ameaças em tempo real, especialmente em ambientes de nuvem e Linux.

Os agentes de inteligência artificial (IA) estão se tornando componentes essenciais nas operações diárias de segurança, engenharia e TI, atuando como intermediários de acesso em diversos sistemas. Esses agentes, que podem automatizar tarefas como provisionamento de contas e gerenciamento de mudanças, são projetados para operar com permissões amplas, o que pode obscurecer a visibilidade sobre quem está acessando o quê. Essa configuração, embora aumente a produtividade, introduz riscos significativos de escalonamento de privilégios, onde usuários com acesso limitado podem, indiretamente, acessar dados ou realizar ações que normalmente não teriam permissão. A falta de controle sobre as permissões dos agentes e a atribuição de atividades a eles, em vez de aos usuários, dificulta a detecção de abusos e a aplicação de políticas de segurança. Para mitigar esses riscos, é crucial que as equipes de segurança monitorem continuamente as permissões dos agentes e a relação entre as identidades dos usuários e os ativos críticos. A adoção segura de agentes de IA requer visibilidade e monitoramento contínuo para evitar que se tornem pontos cegos de segurança.