O FBI prendeu três especialistas em cibersegurança acusados de realizar ataques de ransomware enquanto trabalhavam para a DigitalMint, uma empresa de Chicago que negocia resgates de ransomware. Os acusados, Kevin Tyler Martin, Ryan Clifford Goldberg e um terceiro não identificado, teriam iniciado suas atividades criminosas em maio de 2023, utilizando software malicioso para extorquir empresas, incluindo uma instituição médica na Flórida, que foi ameaçada a pagar US$ 10 milhões. Embora o grupo tenha conseguido roubar US$ 1,2 milhão, a investigação revelou que eles estavam por trás de vários ataques, incluindo tentativas contra uma empresa farmacêutica e um consultório médico na Califórnia. A DigitalMint afirmou estar cooperando com as investigações e demitiu os funcionários envolvidos por conduta não autorizada. As acusações incluem conspiração para interferir no comércio interestadual e dano intencional a computadores protegidos, destacando a gravidade da situação e a necessidade de vigilância constante no setor de cibersegurança.

O Open Web Application Security Project (OWASP) lançou a oitava edição de sua lista dos 10 principais riscos de segurança para 2025, trazendo mudanças significativas que refletem a evolução das ameaças à segurança de aplicações. Entre as novidades, destacam-se duas novas categorias: ‘Falhas na Cadeia de Suprimentos de Software’, que ocupa a terceira posição, e ‘Mau Manuseio de Condições Excepcionais’, na décima posição. A primeira categoria aborda as vulnerabilidades que surgem em todo o ecossistema de dependências de software, enquanto a segunda trata de erros lógicos e manuseio inadequado de erros em situações anormais. A lista também revela que o ‘Controle de Acesso Quebrado’ continua sendo a principal preocupação, afetando 3,73% das aplicações testadas. Além disso, ‘Configuração de Segurança’ subiu para a segunda posição, refletindo um aumento nas falhas de configuração. A análise incluiu 589 Common Weakness Enumerations (CWEs) e cerca de 175.000 registros CVE, destacando a importância de uma abordagem proativa na segurança de aplicações. Com a crescente ênfase na segurança da cadeia de suprimentos e no tratamento adequado de erros, a lista serve como um documento essencial para desenvolvedores e equipes de segurança em todo o mundo.

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de execução remota de código (RCE) que afeta dispositivos móveis da Samsung. A falha, localizada na biblioteca libimagecodec.quram.so, permite que atacantes contornem restrições normais de memória e injetem código arbitrário nos dispositivos. Isso possibilita que invasores obtenham controle total sobre os smartphones afetados, sem necessidade de interação do usuário. A vulnerabilidade é classificada como CWE-787 (Escrita Fora dos Limites) e está sendo ativamente explorada em ataques, embora a extensão e os atores específicos ainda estejam sob investigação. A CISA recomenda que os usuários apliquem imediatamente os patches de segurança disponibilizados pela Samsung e, para aqueles que não puderem aplicar as atualizações, é aconselhável interromper o uso dos dispositivos afetados até que as correções estejam disponíveis. A Samsung foi notificada e deve liberar atualizações de segurança através de seus canais habituais. Este incidente ressalta os riscos contínuos associados à segurança de dispositivos móveis e a importância de manter os dispositivos atualizados.

Uma investigação de segurança revelou que 65% das 50 principais empresas de inteligência artificial (IA) do mundo, avaliadas em mais de 400 bilhões de dólares, expuseram credenciais sensíveis no GitHub. Essas exposições incluem chaves de API e tokens de autenticação, que podem permitir acesso direto aos sistemas das empresas. Os pesquisadores descobriram que os segredos não estavam apenas em repositórios ativos, mas também em forks deletados e contas pessoais de desenvolvedores. A pesquisa destacou que, embora algumas empresas como LangChain e ElevenLabs tenham rapidamente corrigido as vulnerabilidades, quase metade dos vazamentos não recebeu resposta. Para mitigar esses riscos, recomenda-se que as empresas implementem varreduras obrigatórias de segredos em todos os repositórios públicos e estabeleçam canais de divulgação de segurança desde o início. O gerenciamento eficaz de segredos é crucial para proteger os ativos valiosos das empresas de IA e garantir a continuidade da inovação no setor.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

A GlobalLogic, empresa de desenvolvimento de software, notificou 10.471 pessoas sobre um vazamento de dados ocorrido em julho de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários, informações salariais, números de passaporte, nacionalidades, datas de nascimento, endereços de e-mail e números de telefone. Os hackers exploraram uma vulnerabilidade zero-day na suíte Oracle E-Business, utilizada pela empresa para gerenciar finanças e recursos humanos. O grupo de ransomware Clop, que já reivindicou responsabilidade por outros ataques semelhantes, não listou a GlobalLogic em seu site de vazamentos até o momento. A empresa não revelou a identidade dos atacantes nem se pagou um resgate. GlobalLogic está oferecendo monitoramento de crédito gratuito por 24 meses aos afetados. A vulnerabilidade explorada foi identificada pela Oracle em um aviso de segurança emitido em 4 de outubro de 2025. O acesso não autorizado foi detectado apenas em 9 de outubro de 2025, quase três meses após a invasão inicial. Este incidente destaca a crescente preocupação com a segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

A Mandiant, divisão de defesa contra ameaças da Google, identificou a exploração de uma vulnerabilidade crítica no Triofox, plataforma de compartilhamento de arquivos e acesso remoto da Gladinet. A falha, classificada como CVE-2025-12480 e com uma pontuação CVSS de 9.1, permite que atacantes contornem a autenticação e acessem páginas de configuração, possibilitando o upload e execução de códigos maliciosos. A exploração dessa vulnerabilidade foi observada desde 24 de agosto de 2025, quase um mês após a liberação de patches pela Gladinet. Este é o terceiro incidente de exploração ativa em Triofox neste ano, após outras duas falhas críticas. Os atacantes criaram uma nova conta de administrador nativa, utilizando-a para executar scripts maliciosos que baixavam e instalavam programas de acesso remoto, como Zoho Assist e AnyDesk. Para evitar detecções, foram utilizados túneis criptografados para comunicação com servidores de comando e controle. A Mandiant recomenda que os usuários do Triofox atualizem para a versão mais recente e auditem suas contas administrativas.

Um novo ataque cibernético está ameaçando dispositivos da Samsung, especialmente os modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4, devido a uma vulnerabilidade crítica identificada como CVE-2025-21042. Essa falha, com uma classificação de severidade de 9.8/10, permite a execução remota de código malicioso, possibilitando que atacantes implantem o spyware ‘LandFall’ através de arquivos de imagem malformados enviados pelo WhatsApp. O spyware é capaz de roubar arquivos, gravar áudio, rastrear localização e acessar mensagens e contatos. Os alvos principais desse ataque estão localizados no Oriente Médio, com o grupo Stealth Falcon, baseado nos Emirados Árabes Unidos, sendo o suspeito por trás da campanha. Especialistas da Palo Alto Networks recomendam que os usuários da Samsung mantenham seus dispositivos atualizados e fiquem atentos a mensagens com anexos suspeitos. A falha foi encontrada na biblioteca libimagecodec.quram.so, parte do framework de processamento de imagens dos dispositivos Android da Samsung, e ainda não há informações sobre um patch disponível para corrigir essa vulnerabilidade.

Uma operação internacional chamada Chargeback desmantelou um esquema de fraude que afetou 4,3 milhões de pessoas em 193 países, resultando em um prejuízo estimado de mais de 300 milhões de euros (cerca de 1,8 bilhões de reais). As investigações, que contaram com a colaboração de autoridades de países como Alemanha, EUA, Canadá e outros, revelaram três redes criminosas que utilizavam dados de cartões de crédito para criar assinaturas falsas em sites de pornografia e serviços de streaming entre 2016 e 2021. Os criminosos, que se apresentavam como operadores de redes e gestores de risco, usaram a infraestrutura de quatro empresas de pagamento na Alemanha para lavar dinheiro. A operação resultou na prisão de 18 suspeitos, incluindo cinco executivos de empresas de pagamento. A polícia apreendeu bens avaliados em mais de 35 milhões de euros na Alemanha, além de veículos de luxo e criptomoedas em Luxemburgo. Este caso destaca a vulnerabilidade das plataformas de pagamento e a necessidade de medidas de segurança mais rigorosas para proteger os consumidores contra fraudes.

Uma pesquisa realizada pela Microsoft testou a eficácia de várias IAs agentic em um ambiente simulado de marketplace, revelando falhas significativas na escolha de produtos e na busca por informações. Utilizando um ambiente open-source chamado Magentic Marketplace, a pesquisa envolveu agentes de IA como o Operator da OpenAI e a Business AI da Meta, além de modelos como GPT-5 e Gemini 2.5 Flash. Os agentes foram designados a encontrar o melhor preço entre 300 lojas, mas muitos falharam em realizar comparações adequadas, optando por escolhas que pareciam ‘boas o suficiente’ sem uma análise aprofundada. O estudo também explorou a vulnerabilidade das IAs a manipulações, onde a maioria sucumbiu a táticas de marketing, exceto o Claude Sonnet 4, que se mostrou resistente. Essas falhas levantam preocupações sobre a confiabilidade das IAs como assistentes pessoais, especialmente em contextos críticos como o mercado financeiro, onde decisões automatizadas podem ter consequências significativas. A pesquisa destaca a necessidade de um treinamento mais robusto para essas tecnologias antes que possam ser confiáveis em transações importantes.

Pesquisadores da Check Point Research identificaram uma falha crítica no Microsoft Teams, conhecida como CVE-2024-38197, que permite a hackers falsificarem identidades e manipularem conversas. A vulnerabilidade foi reportada à Microsoft em março de 2024, mas a correção só foi implementada em outubro de 2025. Durante esse período, criminosos conseguiram alterar mensagens e notificações na plataforma, enganando usuários e comprometendo a segurança das comunicações corporativas. As táticas incluíam a edição de mensagens sem deixar rastros, o que dificultava a detecção de fraudes. Além disso, hackers podiam se passar por executivos e enviar notificações falsas, aumentando o risco de vazamento de informações sensíveis. Para mitigar esses riscos, as empresas devem adotar medidas de segurança, como a educação digital dos funcionários e a ativação da autenticação multifator. A falha representa um sério risco para a integridade das comunicações empresariais, especialmente em um ambiente onde o Teams é amplamente utilizado para interações corporativas.

O pesquisador de segurança Karl Biron, da Trustwave, lançou a ferramenta MAD-CAT (Meow Attack Data Corruption Automation Tool), uma utilidade baseada em Python que simula ataques destrutivos a bancos de dados, semelhantes aos que devastaram organizações em 2020. Disponível no GitHub, a ferramenta foca em seis plataformas de banco de dados críticas: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB e Hadoop HDFS, que foram as mesmas comprometidas durante a campanha original dos ataques Meow.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

O Google expandiu a funcionalidade Deep Research do modelo de IA Gemini, permitindo que ele acesse dados diretamente das contas de Gmail, Google Drive e Google Chat dos usuários. Essa atualização possibilita a integração de e-mails pessoais, documentos, planilhas, apresentações e conversas em relatórios de pesquisa abrangentes, combinando informações internas com dados da web. Essa nova capacidade visa facilitar a colaboração entre profissionais e equipes, permitindo, por exemplo, que análises de mercado sejam iniciadas com documentos compartilhados do Drive e discussões em chats. No entanto, essa integração levanta preocupações significativas de segurança cibernética, uma vez que usuários podem expor dados confidenciais, como estratégias empresariais e comunicações com clientes, ao ecossistema de processamento do Google. Especialistas em segurança alertam para riscos como ataques de injeção de prompt, onde entradas maliciosas podem manipular a IA para vazar informações privadas. A Google recomenda que os usuários habilitem a autenticação de dois fatores e revisem regularmente os logs de acesso. Antes de utilizar a Deep Research com dados sensíveis, as organizações devem realizar avaliações de segurança rigorosas e estabelecer políticas claras sobre quais fontes de dados podem ser compartilhadas com ferramentas de IA.

A Allianz UK é a mais recente organização a ser alvo de um ataque cibernético, explorando uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). Os atacantes conseguiram acesso ao sistema EBS da empresa, que gerencia produtos de seguros pessoais, como automóveis e residências. Embora a Allianz UK tenha confirmado a violação, não comentou sobre possíveis demandas de extorsão do grupo criminoso Clop. A empresa notificou o Information Commissioner’s Office, mas o regulador ainda não reconheceu publicamente a reclamação. Este incidente é distinto de um ataque anterior que afetou a Allianz Life, sua subsidiária americana, que comprometeu dados de 1,4 milhão de clientes em julho. A vulnerabilidade, identificada como CVE-2025-61882, possui uma pontuação crítica de 9.8 no CVSS e, segundo pesquisadores do Google, dezenas de organizações podem ter sido afetadas. O grupo Clop, conhecido por sua sofisticação, já havia se destacado em campanhas anteriores, como o ataque MOVEit MFT, que afetou milhões de indivíduos e milhares de organizações. Este novo ataque evidencia a continuidade das campanhas de exploração de zero-day, que se tornaram comuns no cibercrime.

O Relatório de Segurança de Navegadores 2025 revela que a maioria dos riscos relacionados a identidade, SaaS e inteligência artificial (IA) converge no navegador do usuário, criando uma nova superfície de ameaça. Com quase metade dos funcionários utilizando ferramentas de IA generativa (GenAI) fora da supervisão de TI, 77% deles colam dados em prompts de IA, sendo que 82% dessas colagens vêm de contas pessoais. Além disso, 99% dos usuários corporativos têm extensões instaladas, muitas das quais não são geridas adequadamente, aumentando o risco de vazamentos de dados. Os navegadores de IA, que integram modelos de linguagem diretamente na camada de navegação, também representam uma nova superfície de ataque, permitindo que dados sensíveis sejam processados sem controle. O relatório destaca que as ferramentas tradicionais de segurança, como DLP e EDR, não são suficientes para monitorar essas atividades, pois não inspecionam o que acontece dentro das sessões de navegação. Para mitigar esses riscos, é necessário adotar controles nativos de sessão que ofereçam visibilidade e proteção em tempo real, sem comprometer a experiência do usuário.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Três vulnerabilidades críticas no runc, o runtime de contêineres que suporta Docker e Kubernetes, foram divulgadas por um pesquisador da SUSE em 5 de novembro de 2025. As falhas, identificadas como CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, permitem que atacantes contornem o isolamento de contêineres e obtenham acesso root aos sistemas host. Essas vulnerabilidades afetam versões conhecidas do runc e exploram fraquezas nas operações de montagem e nas proteções de arquivos durante a criação de contêineres. Os atacantes podem usar condições de corrida e manipulação de links simbólicos para contornar restrições de segurança, permitindo a escrita em arquivos críticos do sistema, o que pode levar a uma fuga de contêineres. É crucial que organizações que utilizam Docker, Kubernetes ou serviços que dependem do runc atualizem imediatamente para versões corrigidas (1.2.8, 1.3.3 ou 1.4.0-rc.3 e posteriores) para evitar compromissos de segurança. Além disso, recomenda-se a auditoria de ambientes implantados e a implementação de políticas rigorosas de escaneamento de imagens para detectar Dockerfiles maliciosos.

Uma vulnerabilidade crítica foi descoberta no Elastic Defend, um software de proteção de endpoint, que pode permitir que atacantes escalem privilégios em sistemas Windows. Identificada como CVE-2025-37735, a falha resulta de um manuseio inadequado das permissões de arquivos no serviço Defend. Quando o serviço é executado com privilégios de nível SYSTEM, ele não preserva corretamente as configurações de permissão originais, criando uma brecha que permite a usuários locais deletar arquivos arbitrários no sistema comprometido. Isso pode levar a uma escalada de privilégios, permitindo que um atacante com acesso limitado obtenha controle administrativo total da máquina afetada. A Elastic classificou a vulnerabilidade com um score CVSS de 7.0 (Alto), o que indica um risco significativo, especialmente em ambientes onde usuários locais têm acesso. As organizações são aconselhadas a atualizar imediatamente para as versões corrigidas 8.19.6, 9.1.6 ou 9.2.0, que implementam mecanismos adequados de preservação de permissões. Para aquelas que não podem atualizar imediatamente, a versão 24H2 do Windows 11 oferece mudanças arquitetônicas que dificultam a exploração dessa vulnerabilidade, servindo como uma medida de segurança temporária.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.

A Aurologic GmbH, um provedor de hospedagem alemão, foi identificada como um ponto crítico na infraestrutura global que apoia atividades maliciosas, segundo pesquisa do Insikt Group da Recorded Future. A empresa, que opera a partir do Tornado Datacenter em Langen, Alemanha, fornece serviços de trânsito e data center para várias redes de hospedagem de alto risco, incluindo organizações sancionadas como o Aeza Group. Apesar de se apresentar como um provedor legítimo, cerca de 50% dos prefixos IP da Aeza International são roteados exclusivamente através da Aurologic, evidenciando seu papel na manutenção da infraestrutura sancionada. A Aurologic enfrenta críticas por sua abordagem reativa em relação a abusos, afirmando que tomará medidas apenas após contato formal das autoridades. Essa postura tem permitido a continuidade de operações maliciosas, colocando a empresa em uma posição central no cibercrime organizado. O caso da Aurologic destaca a falta de responsabilidade no ecossistema de hospedagem, onde provedores de upstream frequentemente evitam intervenções proativas, o que pode ter implicações significativas para a segurança cibernética global.

A Intel está processando o ex-engenheiro de software Jinfeng Luo, que supostamente baixou cerca de 18.000 arquivos confidenciais da empresa após sua demissão em julho de 2025. O incidente destaca os riscos de segurança de dados durante a saída de funcionários e reestruturações organizacionais. Luo, que trabalhava em Seattle, foi demitido em meio a uma redução de força de trabalho que afetou mais de 15.000 empregados globalmente. Segundo a ação judicial, ele tentou transferir arquivos para um disco rígido externo em 23 de julho, mas foi bloqueado pelos sistemas de segurança da Intel. Em 28 de julho, ele conseguiu conectar um dispositivo diferente e baixar os arquivos sensíveis, que tinham marcações de “Top Secret”, violando regulamentos federais de segurança. A Intel está buscando pelo menos US$ 250.000 em danos e uma liminar para impedir a divulgação das informações roubadas. O caso ressalta a necessidade de protocolos mais rigorosos para gerenciar o acesso a dados durante transições de funcionários, levantando questões sobre controles de acesso e práticas de segurança em reestruturações organizacionais.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.

O TP-Link M8550 é um hotspot móvel 5G que se destaca por seu design compacto e interface touchscreen intuitiva. Com suporte a Wi-Fi 6E, o dispositivo permite conexões rápidas e estáveis, ideal para quem precisa de internet em movimento sem depender do celular. A configuração é simples: basta inserir um cartão SIM com um plano de dados e conectar-se via Wi-Fi. O M8550 oferece até 14 horas de bateria, embora a qualidade da conexão dependa da cobertura da rede 5G. Durante os testes, o dispositivo conseguiu suportar múltiplas conexões simultâneas sem perda significativa de velocidade. Além disso, possui recursos adicionais como um slot para cartão microSD e a possibilidade de conectar antenas externas para melhorar o sinal. No entanto, é importante considerar que o custo do dispositivo é elevado, e é necessário um contrato de dados móveis separado, o que pode ser um fator limitante para alguns usuários. No geral, o TP-Link M8550 é uma opção sólida para quem busca uma solução de internet móvel eficiente e segura.

O smishing e o vishing são formas de phishing que utilizam SMS e chamadas telefônicas, respectivamente, para enganar as vítimas e roubar informações pessoais. O smishing combina mensagens de texto com engenharia social, frequentemente se disfarçando como comunicações de bancos ou empresas conhecidas, alertando sobre problemas urgentes que exigem ação imediata, como o bloqueio de contas ou entrega de pacotes. Já o vishing envolve ligações telefônicas em que golpistas se passam por funcionários de instituições financeiras ou autoridades, solicitando dados sensíveis sob pretextos de urgência. Ambas as táticas exploram a confiança das vítimas e podem resultar em sérios danos financeiros e de privacidade. Para se proteger, é fundamental estar atento a sinais de alerta, como mensagens ou ligações que exigem informações pessoais e sempre verificar a autenticidade das comunicações recebidas.

Um novo relatório da NordPass revela que as regras de senhas em muitos dos sites mais visitados do mundo são inadequadas, permitindo que senhas curtas e previsíveis sejam usadas. A pesquisa analisou mil plataformas e constatou que 58% delas não exigem caracteres especiais, enquanto 42% não impõem um comprimento mínimo. Apenas 1% dos sites atendem aos padrões recomendados de segurança, que incluem combinações complexas de caracteres. Essa situação é preocupante, especialmente em setores críticos como governo e saúde, onde a proteção de dados sensíveis é essencial. A falta de rigor nas políticas de senha contribui para a normalização de hábitos inseguros entre os usuários, que, por sua vez, se tornam mais vulneráveis a ataques automatizados. A pesquisa destaca a necessidade de uma mudança cultural tanto entre os desenvolvedores de sites quanto entre os usuários, enfatizando que as plataformas devem implementar melhores práticas de segurança, como autenticação moderna e diretrizes claras para a criação de senhas. A situação atual não apenas expõe indivíduos, mas também empresas e governos a riscos significativos, especialmente em um cenário onde ataques cibernéticos estão se tornando mais rápidos e acessíveis.

A Microsoft divulgou detalhes sobre um novo ataque de canal lateral, denominado Whisper Leak, que pode permitir que adversários passem a observar o tráfego de rede para inferir tópicos de conversação em modelos de linguagem remotos, mesmo com a proteção de criptografia. Este ataque é particularmente preocupante, pois pode expor dados trocados entre usuários e modelos de linguagem em modo de streaming, colocando em risco a privacidade das comunicações de usuários e empresas. Pesquisadores da Microsoft explicaram que atacantes em posição de monitorar o tráfego criptografado, como agências governamentais ou provedores de internet, podem identificar se um usuário está discutindo tópicos sensíveis, como lavagem de dinheiro ou dissidência política, apenas analisando o tamanho dos pacotes e os tempos de chegada. A técnica foi testada com modelos de aprendizado de máquina, alcançando taxas de precisão superiores a 98% em identificar tópicos específicos. Embora a Microsoft e outras empresas tenham implementado medidas de mitigação, a eficácia do ataque pode aumentar com a coleta de mais amostras ao longo do tempo. A empresa recomenda que os usuários evitem discutir assuntos sensíveis em redes não confiáveis e considerem o uso de VPNs para proteção adicional.

No episódio mais recente do Podcast Canaltech, os repórteres discutem as inovações apresentadas durante o AMD Partner Summit, um evento que reuniu parceiros e a mídia para discutir o futuro da AMD no Brasil. Sérgio Santos, diretor-geral da AMD Brasil, e Patrícia Martins, head da unidade de gráficos, destacaram o foco da empresa em inteligência artificial e inovação, além de suas expectativas de crescimento no mercado brasileiro. Matheus Barbosa, gerente de marketing da Gigabyte Brasil, também participou, abordando a parceria entre as duas empresas e as perspectivas para o mercado gamer até 2026. O podcast também trouxe à tona questões relevantes sobre segurança cibernética, como o vazamento de 40 milhões de downloads de vírus da Play Store e a prisão de um funcionário do Banco do Brasil por roubo de dados de clientes, ressaltando a importância da segurança digital em um cenário de crescente digitalização.

Um recente roubo de joias no Museu do Louvre, onde ladrões disfarçados de trabalhadores da construção roubaram peças avaliadas em cerca de €88 milhões, expôs sérias falhas de segurança cibernética na instituição. Relatórios indicam que a senha do servidor de vigilância do museu era simplesmente ‘LOUVRE’, evidenciando a falta de medidas adequadas de proteção. Uma auditoria realizada em 2017 já havia alertado sobre a possibilidade de um ataque significativo, destacando que menos da metade das salas do museu eram monitoradas por câmeras. Após o roubo, a Agência Nacional de Segurança Cibernética da França (ANSSI) constatou que a rede de escritório do Louvre ainda utilizava sistemas obsoletos, como Windows 2000 e Windows Server 2003, sem proteção antivírus adequada. Embora não esteja claro se essas vulnerabilidades estavam presentes durante o roubo de outubro de 2025, um relatório de 2014 já havia revelado a fragilidade da rede de vigilância. A diretora do museu, Laurence des Cars, admitiu que a falha na detecção dos ladrões se deu pela ineficácia do sistema de câmeras. O governo francês planeja criar um novo departamento de segurança e aumentar a vigilância, especialmente em áreas críticas como a sala da Mona Lisa.

Desde os anos 90, a entrega de aplicações e dados tem evoluído, levando as empresas a adotarem diferentes modelos de entrega, como Aplicações Locais, VDI (Infraestrutura de Desktop Virtual), SaaS (Software como Serviço) e DaaS (Desktop como Serviço). As Aplicações Locais, instaladas diretamente nos dispositivos dos usuários, oferecem controle total, mas exigem gestão de atualizações e apresentam riscos de segurança. O VDI centraliza a entrega de desktops e aplicações, melhorando a segurança e a gestão de atualizações, mas requer conectividade constante e habilidades especializadas. O SaaS, por sua vez, fornece aplicações via assinatura, facilitando a manutenção, mas pode complicar a migração de dados e reintroduzir desafios de segurança. O DaaS aplica o modelo de SaaS a ambientes de desktop completos, permitindo que as empresas escalem rapidamente sem gerenciar a infraestrutura. A tendência atual é a adoção de abordagens híbridas, combinando diferentes modelos para atender às necessidades específicas de cada organização. A pesquisa da Parallels indica que 85% das empresas utilizam SaaS, mas apenas 2% dependem exclusivamente dele, refletindo a complexidade das decisões de TI. Os líderes de TI devem considerar fatores como segurança, compliance, agilidade e custos ao escolher a combinação ideal de modelos de entrega.

A nova funcionalidade do Microsoft Teams, que permite que usuários iniciem chats com qualquer pessoa apenas utilizando um endereço de e-mail, levanta sérias preocupações de segurança. Essa atualização, que será lançada em novembro de 2025, visa facilitar a colaboração, mas especialistas em cibersegurança alertam que pode se tornar um vetor primário para campanhas de phishing e distribuição de malware. A capacidade de convidar participantes externos como convidados, sem processos de validação, amplia a superfície de ataque para agentes maliciosos. Os atacantes podem enviar convites falsos que parecem ser de parceiros de negócios legítimos, levando os usuários a clicarem em links maliciosos ou a revelarem credenciais sensíveis. Além disso, a possibilidade de exposição acidental de dados confidenciais aumenta, especialmente em ambientes de trabalho híbridos. Para mitigar esses riscos, recomenda-se que as organizações desativem a funcionalidade por meio do PowerShell e implementem autenticação multifatorial, auditorias regulares de políticas e treinamentos de conscientização sobre phishing. A Microsoft reconheceu as implicações de segurança e aconselhou as empresas a atualizarem suas documentações internas e treinarem suas equipes de suporte.

Pesquisadores de cibersegurança da Palo Alto Networks, através da Unidade 42, identificaram uma campanha sofisticada de spyware para Android, chamada LANDFALL, que explora uma vulnerabilidade crítica zero-day em dispositivos Samsung Galaxy. Essa vulnerabilidade, identificada como CVE-2025-21042, reside na biblioteca de processamento de imagens da Samsung e permite que atacantes realizem operações de vigilância avançadas. O malware foi disseminado por meio de imagens maliciosas enviadas pelo WhatsApp, que aparentavam ser arquivos comuns, mas continham código malicioso embutido. Essa técnica de ataque é semelhante a cadeias de exploração observadas anteriormente em dispositivos iOS. O LANDFALL é capaz de gravar áudio, interceptar chamadas, rastrear localização e coletar dados pessoais, como fotos e mensagens. A campanha, que começou em meados de 2024, foi descoberta enquanto os pesquisadores investigavam uma cadeia de exploração paralela para iOS. A Samsung lançou um patch para a vulnerabilidade em abril de 2025, mas a campanha permaneceu ativa por meses, destacando a complexidade das operações de spyware comercial. A análise sugere conexões com atores de ameaças do Oriente Médio, especialmente com o grupo Stealth Falcon, conhecido por operar nos Emirados Árabes Unidos.

Um novo relatório revela que 94% das empresas do setor de manufatura estão utilizando aplicações de inteligência artificial generativa (genAI), enquanto enfrentam um aumento nas ameaças cibernéticas. A adoção acelerada de IA tem ampliado a superfície de ataque, com organizações compartilhando documentos técnicos sensíveis com plataformas de IA. Embora o uso de contas pessoais de genAI tenha diminuído, a utilização de soluções aprovadas pelas organizações aumentou, refletindo uma maior conscientização sobre os riscos de governança de dados. No entanto, 67% das empresas estão conectadas a APIs que podem ser vulneráveis a compromissos. Os canais de distribuição de malware estão se aproveitando de serviços de nuvem confiáveis, com o Microsoft OneDrive sendo a plataforma mais explorada, seguida pelo GitHub e Google Drive. As empresas estão implementando controles mais rigorosos, mas a mistura de dados corporativos e pessoais continua a representar riscos significativos. Especialistas em cibersegurança recomendam inspeção rigorosa de downloads e políticas robustas de prevenção de perda de dados para mitigar esses riscos.

O uso de gatonets, TV Boxes e serviços de streaming piratas apresenta riscos significativos para os usuários, que podem se tornar alvos de diversas ameaças cibernéticas. Esses dispositivos, frequentemente não regulamentados, podem conter malwares que permitem o controle remoto do aparelho, expondo dados pessoais e financeiros dos usuários. Além disso, a instalação de malwares como o Triada pode transformar esses dispositivos em botnets, que são utilizados para ataques de DDoS, sobrecarregando serviços online e comprometendo a segurança de redes inteiras. O roubo de dados é outra preocupação, pois hackers podem acessar informações sensíveis, possibilitando fraudes e golpes de phishing. Por fim, a disseminação de spam a partir desses aparelhos pode afetar não apenas o usuário, mas também terceiros, ampliando o alcance de atividades ilegais. Para se proteger, é essencial optar por dispositivos certificados pela Anatel e desconfiar de ofertas de streaming gratuitas que não respeitam a legislação vigente.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

Um ator de ameaças vinculado à China foi identificado como responsável por um ataque cibernético a uma organização sem fins lucrativos dos Estados Unidos, com o objetivo de estabelecer uma presença persistente na rede. O ataque, que ocorreu em abril de 2025, visou uma entidade envolvida na influência de políticas governamentais dos EUA sobre questões internacionais. Os invasores exploraram várias vulnerabilidades conhecidas, como CVE-2022-26134 (Atlassian) e CVE-2021-44228 (Apache Log4j), para obter acesso à rede. Após semanas de atividade, foram detectados comandos que testavam a conectividade e coletavam informações de configuração de rede. Os atacantes configuraram tarefas agendadas para garantir a persistência, utilizando um binário legítimo da Microsoft para executar um payload desconhecido. Além disso, foram observados componentes maliciosos relacionados a grupos de ameaças chineses conhecidos, como o Salt Typhoon. A análise sugere que os atacantes estavam interessados em comprometer controladores de domínio, o que poderia permitir a propagação do ataque em toda a rede. O relatório destaca a tendência de compartilhamento de ferramentas entre grupos de ameaças chineses, dificultando a atribuição precisa de atividades maliciosas.

Uma falha de segurança recentemente corrigida em dispositivos Android da Samsung foi explorada como um zero-day para implantar um spyware chamado LANDFALL em ataques direcionados no Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, possui uma pontuação CVSS de 8.8 e permite que atacantes remotos executem código arbitrário. A falha foi corrigida pela Samsung em abril de 2025, após relatos de ataques em andamento. Os alvos estão localizados em países como Iraque, Irã, Turquia e Marrocos. O spyware LANDFALL, uma ferramenta de espionagem avançada, coleta dados sensíveis, como gravações de microfone, localização, fotos, contatos e mensagens. Os ataques foram realizados através do envio de imagens maliciosas via WhatsApp, utilizando arquivos DNG. Além disso, outra vulnerabilidade na mesma biblioteca foi identificada, mas não foi utilizada na campanha LANDFALL. A análise sugere que o spyware se comunica com um servidor de comando e controle para receber novas instruções. A origem do spyware ainda é desconhecida, mas há indícios de conexão com o grupo Stealth Falcon. Este caso destaca a complexidade das ameaças cibernéticas e a necessidade de vigilância contínua.

Uma pesquisa da Norton revelou que 73% dos pais brasileiros conversam frequentemente com seus filhos sobre cibersegurança, refletindo uma crescente preocupação com a segurança digital das crianças. O estudo, parte do Relatório Norton Cyber Safety Insights 2025, destaca que, apesar do acesso precoce à internet, muitos pais ainda não abordaram o tema, com 7% afirmando que pretendem iniciar esse diálogo. A pesquisa também revelou que 28% dos pais acreditam que seus filhos assistem a vídeos online, enquanto 24% pensam que estão nas redes sociais ou jogando. Para garantir uma experiência segura na internet, especialistas recomendam práticas como manter um diálogo aberto sobre as atividades online, limitar o tempo de tela, utilizar controles parentais e verificar aplicativos e sites antes do uso. Além disso, é essencial ensinar as crianças sobre a criação de senhas fortes e a importância da privacidade nas redes sociais. Essas medidas visam proteger as crianças de ameaças digitais, que se tornam cada vez mais comuns com o aumento do uso de dispositivos tecnológicos por jovens.

A equipe de pesquisa Gen Digital, da Norton, identificou uma falha crítica no ransomware Midnight, uma variante do malware Babuk, que permite a recuperação de arquivos criptografados sem a necessidade de pagamento de resgate. O ransomware Midnight utiliza uma combinação de encriptações ChaCha20 e RSA, mas um erro na implementação da chave RSA possibilitou a descriptografia parcial dos arquivos. Essa vulnerabilidade foi explorada pelos especialistas da Norton, que disponibilizaram uma chave de desencriptação gratuita para sistemas Windows, tanto 32-bit quanto 64-bit. Os arquivos afetados geralmente têm extensões .Midnight ou .endpoint e são acompanhados por uma nota de resgate. A Norton recomenda que os usuários mantenham backups para evitar a perda de dados durante o processo de recuperação. Essa descoberta é significativa, pois o ransomware Midnight representa uma ameaça crescente, herdando características do Babuk, que já havia causado estragos em 2021. A chave de desencriptação é uma ferramenta valiosa para as vítimas, permitindo que recuperem seus dados sem ceder à extorsão dos hackers.

Um funcionário do Banco do Brasil foi preso pela Polícia Federal no Rio de Janeiro por roubar e vazar dados de clientes. A prisão ocorreu em flagrante em uma agência no Caju, onde o suspeito utilizava um software malicioso para coletar informações confidenciais. O Banco do Brasil informou que as investigações começaram após a detecção de irregularidades pela equipe interna da agência. O funcionário, cujo nome não foi divulgado, repassava os dados coletados para uma organização criminosa que aplicava golpes em correntistas em diversas localidades do país, permitindo transferências bancárias não autorizadas. Ele foi encaminhado ao sistema prisional e responderá por invasão de dispositivo informático e fraude eletrônica. A Polícia Federal continua a investigar outros envolvidos na quadrilha, que já causou prejuízos significativos a clientes do banco. Este incidente destaca a vulnerabilidade das instituições financeiras e a necessidade de medidas de segurança mais robustas para proteger informações sensíveis dos clientes.