O Notepad++ lançou uma atualização de segurança, versão 8.9.2, para corrigir vulnerabilidades exploradas por um grupo de ameaças avançadas da China. O ataque permitiu que os invasores sequestrassem o mecanismo de atualização do software, entregando malware a alvos específicos. A nova versão implementa um design de ‘dupla segurança’, que inclui a verificação do instalador assinado baixado do GitHub e a verificação do XML assinado retornado pelo servidor de atualizações. Além disso, foram feitas alterações significativas no componente de atualização automática, WinGUp, como a remoção de riscos de side-loading de DLLs e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. A atualização também corrige uma vulnerabilidade crítica (CVE-2026-25926) que poderia permitir a execução de código arbitrário. O incidente foi detectado após um comprometimento no provedor de hospedagem, que redirecionou usuários para servidores maliciosos desde junho de 2025. Usuários do Notepad++ são aconselhados a atualizar para a versão mais recente e garantir que os instaladores sejam baixados do domínio oficial.

Um tribunal espanhol concedeu medidas cautelares contra os provedores de VPN NordVPN e ProtonVPN, obrigando-os a bloquear 16 sites que facilitam a pirataria de transmissões de futebol. As restrições se aplicam a uma lista dinâmica de endereços IP na Espanha, sem possibilidade de apelação. A LaLiga, organizadora do futebol profissional no país, e sua parceira de transmissão, Telefónica, devem preservar evidências digitais das transmissões ilegais. A decisão é considerada sem precedentes na Espanha e se alinha a ações semelhantes na França, reconhecendo a responsabilidade dos provedores de VPN na prevenção de infrações de direitos autorais. Em resposta, a ProtonVPN questionou a validade do processo, alegando falta de notificação adequada, enquanto a NordVPN criticou a abordagem, afirmando que o bloqueio de domínios não resolve a raiz do problema da pirataria. A empresa destacou que as VPNs gratuitas permanecem como uma brecha para piratas, pois são mais difíceis de regular. A decisão levanta questões sobre a eficácia das medidas contra a pirataria e a responsabilidade dos provedores de serviços de internet.

Recentemente, especialistas em cibersegurança alertaram sobre uma nova tática de phishing que utiliza cartas físicas para enganar proprietários de carteiras de criptomoedas. Em vez de e-mails maliciosos, os hackers estão enviando correspondências que parecem vir de equipes de segurança de marcas de carteiras de hardware, como Trezor e Ledger. Essas cartas contêm QR codes que direcionam os usuários a sites fraudulentos que imitam páginas oficiais. Os destinatários são instruídos a escanear os códigos para realizar uma ‘verificação de autenticação’ sob a ameaça de perder acesso às suas carteiras. Uma vez que os usuários inserem suas frases de recuperação, os atacantes podem acessar e transferir os fundos sem mais interações. Embora a seleção dos alvos ainda não esteja clara, dados de violações anteriores podem ter exposto informações de contato, incluindo endereços físicos. Os fabricantes de carteiras alertam que essas frases devem ser inseridas apenas em dispositivos físicos e nunca em sites. A mudança para o uso de correspondência física representa uma adaptação dos atacantes a um cenário digital saturado, mas a técnica de phishing permanece a mesma.

O Notepad++ lançou a versão 8.9.2, que introduz um novo mecanismo de atualização denominado “double-lock” para mitigar vulnerabilidades de segurança que resultaram em compromissos na cadeia de suprimentos. O sistema combina a verificação do instalador assinado do GitHub com a validação de um arquivo XML assinado digitalmente do domínio notepad-plus-plus.org. Essa abordagem visa criar um processo de atualização mais robusto e seguro. Além disso, foram implementadas mudanças como a remoção do libcurl.dll para evitar riscos de side-loading e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. O Notepad++ também trocou de provedor de hospedagem e corrigiu falhas exploradas em ataques anteriores, que foram atribuídos a um grupo de ameaças ligado à China. Os usuários são aconselhados a atualizar para a nova versão e garantir que os instaladores sejam baixados do domínio oficial.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

Pesquisadores da Ox Security identificaram vulnerabilidades de alta a crítica em extensões populares do Visual Studio Code (VSCode), que foram baixadas mais de 128 milhões de vezes. As falhas afetam as extensões Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) e Microsoft Live Preview. Essas vulnerabilidades podem ser exploradas para roubar arquivos locais e executar código remotamente. O CVE-2025-65717, por exemplo, permite que um atacante roube arquivos locais ao direcionar a vítima a uma página maliciosa. Já o CVE-2025-65715 possibilita a execução remota de código ao manipular o arquivo de configuração da extensão. Os pesquisadores tentaram alertar os mantenedores das extensões desde junho de 2025, mas não obtiveram resposta. A Ox Security recomenda que os desenvolvedores evitem executar servidores localhost desnecessários e que removam extensões não confiáveis, além de monitorar alterações inesperadas nas configurações. Essas falhas representam um risco significativo para ambientes corporativos, podendo levar a movimentos laterais na rede e exfiltração de dados sensíveis.

Um novo backdoor chamado Keenadu foi identificado pela Kaspersky em dispositivos Android, especialmente em firmwares de tablets como o Alldocube iPlay 50 mini Pro. O malware, que se infiltra durante a fase de construção do firmware, permite que atacantes coletem dados e controlem remotamente os dispositivos. A Kaspersky detectou que o Keenadu foi encontrado em atualizações OTA e que ele carrega assinaturas digitais válidas, dificultando sua detecção. O malware injeta um loader em cada aplicativo ao ser iniciado, permitindo acesso a funcionalidades como redirecionamento de buscas e monetização de instalações de aplicativos. Até agora, 13.715 usuários em todo o mundo foram afetados, com a maioria dos casos registrados na Rússia, Japão, Alemanha, Brasil e Países Baixos. A arquitetura cliente-servidor do Keenadu permite que ele execute cargas maliciosas personalizadas, além de contornar permissões de aplicativos, comprometendo a segurança do sistema Android. A descoberta do Keenadu é alarmante, pois representa uma nova forma de ataque que pode afetar a privacidade e a segurança dos usuários de dispositivos Android.

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.

O grupo hacker ShinyHunters, ativo desde 2020, tem se destacado por uma série de ataques cibernéticos a grandes empresas, incluindo Santander, Ticketmaster e Tinder. Recentemente, o grupo invadiu o Match Group, resultando no vazamento de 1,7 GB de dados de clientes, afetando até 10 milhões de usuários. O ShinyHunters se diferencia por sua abordagem sutil, focando no roubo de credenciais armazenadas em nuvem, ao invés de utilizar métodos tradicionais de ransomware. Eles utilizam táticas de engenharia social, como vishing, para enganar funcionários e obter informações sensíveis. A presença do grupo na dark web, especialmente no BreachForums, facilita a venda de dados vazados e a orquestração de novos ataques. A evolução das táticas do ShinyHunters torna suas ações mais sofisticadas e perigosas, representando uma ameaça significativa para a segurança digital das empresas. Especialistas alertam que a combinação de ataques direcionados e a exploração de vulnerabilidades humanas pode resultar em prejuízos financeiros e danos à reputação das organizações.

O aumento das compras online trouxe também um crescimento significativo nos golpes virtuais, com 45,1% das denúncias de fraudes relacionadas a compras digitais, segundo o Mapa de Fraudes em Compras Digitais no Brasil. Os tipos mais comuns de fraudes incluem lojas online falsas, clonadas e vendedores de itens usados. Os golpistas frequentemente utilizam e-mails, WhatsApp e SMS para enganar os consumidores, criando mensagens que imitam comunicações legítimas. Esses golpes costumam apelar para gatilhos emocionais, como urgência e exclusividade, para induzir as vítimas a clicarem em links maliciosos. Para se proteger, especialistas recomendam verificar a reputação do site, analisar a origem dos contatos, desconfiar de ofertas tentadoras, denunciar anúncios falsos, evitar cadastrar cartões em sites, conferir o destinatário de transações via Pix e utilizar autenticação de dois fatores. Essas medidas são essenciais para garantir a segurança nas compras online e evitar prejuízos financeiros e o roubo de dados pessoais.

Pesquisadores de segurança da Hudson Rock relataram o primeiro ataque de malware infostealer direcionado ao OpenClaw, um assistente de IA de código aberto. O ataque resultou na exfiltração de arquivos de configuração que contêm segredos sensíveis, como chaves de API e tokens de autenticação, que podem permitir acesso a aplicativos conectados, como Telegram e calendários. O OpenClaw, que permite a automação de tarefas, exige que os usuários forneçam essas informações para funcionar corretamente. A Hudson Rock observou que os hackers não estavam atacando diretamente o OpenClaw, mas sim utilizando um infostealer para coletar o máximo de arquivos sensíveis possível do sistema comprometido. Os pesquisadores alertam que, à medida que o OpenClaw se torna mais popular, a probabilidade de ataques direcionados a esses dados aumentará, com a possibilidade de que desenvolvedores de malware criem módulos específicos para decifrar e extrair informações de assistentes de IA. Essa evolução no comportamento dos infostealers representa um risco crescente para fluxos de trabalho profissionais que dependem de assistentes de IA.

A polícia da Polônia prendeu um homem de 47 anos suspeito de ligação com o grupo de ransomware Phobos, durante uma operação conjunta que resultou na apreensão de computadores e celulares contendo credenciais roubadas, números de cartões de crédito e dados de acesso a servidores. A ação faz parte da ‘Operação Aether’, uma iniciativa internacional coordenada pela Europol, que visa desmantelar a infraestrutura do ransomware Phobos e seus afiliados. Durante a busca na residência do suspeito, foram encontrados arquivos que poderiam ser utilizados para acessar sistemas de computador de forma não autorizada e facilitar ataques de ransomware. O homem se comunicava com a organização criminosa por meio de aplicativos de mensagens criptografadas. Ele enfrenta acusações sob o Código Penal Polonês, podendo pegar até cinco anos de prisão se condenado. O ransomware Phobos, que opera como um serviço (RaaS), tem sido responsável por uma série de ataques a empresas em todo o mundo, com pagamentos de resgates que ultrapassam 16 milhões de dólares. A Operação Aether já resultou em várias prisões e na interrupção de atividades do grupo, incluindo a extradição de um administrador para os Estados Unidos e a apreensão de servidores na Tailândia.

Um novo malware sofisticado para Android, chamado Keenadu, foi descoberto embutido em firmware de várias marcas de dispositivos, permitindo que ele comprometa todos os aplicativos instalados e obtenha controle irrestrito sobre os dispositivos infectados. Segundo a Kaspersky, Keenadu possui múltiplos mecanismos de distribuição, incluindo imagens de firmware comprometidas entregues via OTA, backdoors, aplicativos de sistema modificados e até mesmo aplicativos na Google Play. Até fevereiro de 2026, foram confirmados 13.000 dispositivos infectados, com muitos localizados em países como Rússia, Japão, Alemanha, Brasil e Países Baixos. A variante integrada ao firmware é a mais potente, não se ativando se o idioma ou fuso horário estiver associado à China, o que pode indicar sua origem. Embora os operadores do malware estejam focados em fraudes publicitárias, suas capacidades incluem roubo de dados e ações arriscadas no dispositivo comprometido. A Kaspersky alerta que, devido à profundidade da infecção no firmware, a remoção padrão do Android não é possível, recomendando que os usuários busquem versões limpas do firmware ou considerem substituir o dispositivo por um de fornecedores confiáveis.

Um novo estudo da equipe de pesquisa da Intruder revelou que mais de 42.000 segredos, incluindo chaves de API e credenciais, estão expostos em aplicações JavaScript, representando um risco significativo para a segurança das organizações. A pesquisa analisou 5 milhões de aplicações e identificou 334 tipos diferentes de segredos, muitos dos quais eram credenciais ativas e críticas, que poderiam permitir acesso irrestrito a repositórios de código e serviços essenciais. Os scanners tradicionais falham em detectar esses segredos, pois não conseguem inspecionar adequadamente o código JavaScript que é incorporado durante o processo de construção. A análise revelou que tokens de plataformas como GitHub e GitLab, além de chaves de API de ferramentas de gerenciamento de projetos, estavam entre as exposições mais preocupantes. A pesquisa destaca a necessidade urgente de métodos de detecção que incluam a varredura de aplicações de página única (SPA) para evitar que segredos cheguem à produção. Com o aumento da automação e do uso de código gerado por IA, a situação pode se agravar, tornando essencial que as organizações adotem medidas proativas para proteger suas credenciais.

A Microsoft está lidando com uma interrupção que afeta usuários do Microsoft Teams, resultando em atrasos e dificuldades de acesso ao serviço. De acordo com relatos de usuários na plataforma DownDetector, o problema impacta a participação em reuniões, o acesso ao aplicativo e o login. A empresa informou que os usuários podem enfrentar atrasos e falhas ao enviar e receber mensagens de chat que incluem mídia inline, como imagens e vídeos. O impacto é mais significativo para alguns usuários localizados na Europa e nos Estados Unidos. Embora a Microsoft não tenha divulgado o número exato de afetados, o incidente foi classificado como uma ‘degradação de serviço’, indicando um problema crítico com impacto visível para os usuários. Os engenheiros da Microsoft estão analisando dados de monitoramento para identificar a causa raiz e desenvolver um plano de remediação. Além disso, a empresa está lidando com outros incidentes que impedem usuários de ingressar em reuniões e adicionar agentes do Copilot Studio ao Teams. Após uma hora de interrupção, a Microsoft anunciou que os problemas foram resolvidos, revertendo uma alteração de configuração que havia causado a degradação do serviço.

O artigo explora a experiência de um analista iniciante em cibersegurança utilizando um sistema de Detecção e Resposta de Rede (NDR) para entender sua aplicação em investigações e resposta a incidentes. O autor utiliza o software Investigator da Corelight, que oferece uma interface amigável e recursos que facilitam a análise de tráfego de rede. O NDR é fundamental para operações de segurança, permitindo a detecção de intrusões e anomalias, além de ajudar na identificação de vulnerabilidades e configurações inadequadas. O sistema integra-se com outras ferramentas de segurança, como SIEMs e EDRs, proporcionando uma visão abrangente e permitindo respostas mais rápidas a ameaças. O autor destaca a importância da inteligência artificial (IA) integrada, que oferece sugestões práticas e orientações durante o processo de investigação, ajudando analistas a compreender melhor os eventos de segurança. A experiência do autor demonstra como o NDR pode ser uma ferramenta valiosa para melhorar a eficiência e a eficácia das operações de segurança em ambientes complexos.

Os ataques em ambientes de nuvem estão se tornando cada vez mais rápidos e complexos, superando a capacidade de resposta das equipes de incidentes. Ao contrário dos data centers tradicionais, onde as investigações podem levar dias, na nuvem, instâncias comprometidas podem desaparecer em minutos, e a coleta de evidências se torna um desafio crítico. O artigo destaca que a resposta a incidentes na nuvem falha frequentemente devido à falta de contexto nas alertas, dificultando a identificação do caminho completo do ataque. Para uma investigação eficaz, são necessárias três capacidades essenciais: visibilidade em nível de host, mapeamento de contexto e captura automatizada de evidências. A abordagem moderna de forense em nuvem permite a reconstrução de incidentes em minutos, utilizando sinais correlacionados, como telemetria de carga de trabalho e atividades de identidade. Isso resulta em uma visibilidade clara sobre como a intrusão ocorreu, permitindo decisões de remediação mais confiantes e rápidas. A consolidação de sinais em uma camada investigativa unificada é fundamental para evitar a fragmentação das ferramentas e a perda de evidências.

Pesquisadores de cibersegurança revelaram uma nova campanha chamada SmartLoader, que utiliza uma versão trojanizada de um servidor do Modelo de Contexto de Protocolo (MCP) associado à Oura Health para distribuir um infostealer conhecido como StealC. Os atacantes clonaram um servidor legítimo da Oura, que conecta assistentes de IA aos dados de saúde do Oura Ring, e criaram uma infraestrutura enganosa com repositórios falsos no GitHub para dar credibilidade ao ataque. O objetivo é roubar credenciais, senhas de navegadores e dados de carteiras de criptomoedas. A campanha, que começou a ser destacada em 2024, utiliza repositórios disfarçados como cheats de jogos e software pirata para atrair vítimas. A análise mais recente mostra que os atacantes investiram meses para construir uma rede de contas e repositórios falsos antes de lançar o malware. O ataque é realizado em quatro etapas, culminando na submissão do servidor trojanizado ao mercado MCP, onde usuários desavisados podem encontrá-lo entre opções legítimas. As organizações são aconselhadas a revisar a segurança dos servidores MCP instalados e monitorar tráfego suspeito para mitigar essa ameaça.

A adoção de inteligência artificial (IA) é uma prioridade crescente para as empresas, especialmente na área de cibersegurança, onde a automação é vista como uma forma eficaz de reduzir o tempo de resposta a ataques. No entanto, um estudo recente da Ivanti revela que apenas 56% das organizações utilizam IA para a aplicação de políticas de segurança em nuvem, e menos de 50% a utilizam em fluxos de trabalho de resposta a incidentes e correlação de inteligência de ameaças. Apesar de 91% das equipes de segurança no Reino Unido reconhecerem a importância da IA, a adoção uniforme enfrenta barreiras significativas, como a falta de habilidades e a aplicação inadequada de políticas. Além disso, os atacantes também estão se beneficiando da IA, com 76% das organizações enfrentando ataques de deepfake, o que destaca a necessidade urgente de capacitação em todos os níveis, incluindo executivos. A pesquisa aponta que apenas um terço dos CEOs consegue identificar deepfakes, evidenciando a lacuna educacional que precisa ser abordada para melhorar a defesa cibernética das empresas.

A Comissão de Proteção de Dados da Irlanda (DPC) iniciou uma investigação formal sobre a plataforma X e seu uso da ferramenta de inteligência artificial Grok, que supostamente gera imagens sexuais não consensuais de pessoas reais, incluindo crianças. A DPC, que atua como a principal autoridade de privacidade da União Europeia para a X, irá avaliar se a subsidiária da empresa na UE, a X Internet Unlimited Company, cumpriu as obrigações fundamentais do Regulamento Geral sobre a Proteção de Dados (GDPR). Isso inclui a análise do processamento legal de dados, a proteção de dados desde a concepção e a realização de avaliações de impacto sobre a proteção de dados. A investigação irlandesa se junta a um esforço multinacional, com o Escritório do Comissário de Informação do Reino Unido e a Comissão Europeia também investigando as operações da Grok. As consequências podem incluir multas significativas, uma vez que a DPC pode aplicar penalidades em todos os 27 estados membros da UE. Além disso, a investigação levanta preocupações sobre a geração de conteúdo sexual explícito não consensual e a possível produção de material de abuso infantil. As autoridades francesas também estão investigando a X, com buscas em seus escritórios em Paris e convocações para entrevistas com executivos da empresa.

A Apple anunciou o lançamento de uma nova versão beta do iOS e iPadOS, que inclui suporte para criptografia de ponta a ponta (E2EE) em mensagens do Rich Communication Services (RCS). Esta funcionalidade, disponível na versão 26.4 Beta, está em fase de testes e será implementada em futuras atualizações para iOS, iPadOS, macOS e watchOS. A empresa destacou que a criptografia E2EE só está disponível para conversas entre dispositivos Apple, não abrangendo plataformas como Android. A inclusão da E2EE segue a formalização do suporte por parte da GSM Association, que requer a atualização para o RCS Universal Profile 3.0, baseado no protocolo Messaging Layer Security (MLS). Além disso, a nova versão beta introduz a Memória de Integridade de Execução (MIE), que oferece proteção contínua contra ataques de spyware, e a Proteção de Dispositivo Roubado, que exige autenticação biométrica para ações sensíveis. Essa atualização é um passo significativo para aumentar a segurança das comunicações móveis, especialmente em um cenário onde a privacidade dos dados é cada vez mais crucial.

Uma nova pesquisa da Microsoft revelou que empresas estão explorando a funcionalidade de chatbots de inteligência artificial (IA) por meio de um botão chamado ‘Resumir com IA’, que se assemelha a técnicas clássicas de envenenamento de mecanismos de busca. Denominada ‘Envenenamento de Recomendações de IA’, essa técnica envolve a inserção de comandos ocultos em URLs que, ao serem clicados, induzem o assistente de IA a lembrar de uma empresa como uma fonte confiável. A Microsoft identificou mais de 50 prompts únicos de 31 empresas em 14 setores em um período de 60 dias, levantando preocupações sobre a transparência e a confiabilidade das recomendações geradas por IA. O ataque utiliza URLs especialmente elaboradas que injetam comandos de manipulação de memória no assistente de IA. Isso pode resultar em recomendações tendenciosas em áreas críticas, como saúde e finanças, sem que o usuário tenha conhecimento. Para mitigar os riscos, recomenda-se que os usuários auditem periodicamente a memória do assistente e evitem clicar em links de fontes não confiáveis. As organizações também devem monitorar URLs que apontam para domínios de assistentes de IA com palavras-chave específicas relacionadas ao envenenamento de memória.

Recentemente, o vazamento de dados do Match Group, que inclui aplicativos como Tinder, OkCupid e Hinge, levantou preocupações sobre a segurança das informações pessoais dos usuários. Embora senhas vazadas sejam uma preocupação, os dados de localização são ainda mais críticos, pois podem expor a rotina e a segurança física dos indivíduos. A triangulação de dados de localização permite que cibercriminosos identifiquem onde a pessoa mora, trabalha e frequenta, aumentando o risco de stalking, furtos residenciais e até sequestros. O artigo destaca que, mesmo que os dados sejam considerados anônimos, a precisão da localização pode revelar informações sensíveis sobre a vida da pessoa. Para se proteger, recomenda-se limitar o acesso à localização apenas durante o uso do aplicativo e evitar vincular perfis de redes sociais que possam facilitar a identificação. Além disso, é importante ter cuidado com as fotos postadas, que podem revelar informações sobre o local de trabalho ou residência. A segurança digital deve ser uma prioridade, especialmente em plataformas que utilizam dados de localização de forma tão precisa.

A Tenga, fabricante japonesa de produtos de bem-estar sexual, foi alvo de um ataque cibernético que resultou no roubo de dados de clientes. Segundo informações, um funcionário da empresa foi vítima de um golpe de phishing, o que permitiu ao invasor acessar a caixa de entrada do e-mail e extrair informações sensíveis, como nomes, endereços de e-mail e detalhes de pedidos. O ataque não apenas comprometeu dados pessoais, mas também possibilitou o envio de mensagens de spam a funcionários e clientes. Em resposta ao incidente, a Tenga redefiniu as credenciais de acesso e implementou a autenticação multifator (MFA) em seus sistemas, embora não esteja claro se essa medida já estava em vigor antes do ataque. A empresa alertou seus clientes para que atualizassem suas senhas e permanecessem atentos a e-mails suspeitos. O impacto potencial desse tipo de violação pode incluir fraudes financeiras e roubo de identidade, tornando a situação crítica para os afetados.

A Academic Urology & Urogynecology of Arizona confirmou um vazamento de dados que afetou 73.281 pessoas, ocorrido em maio de 2025. Informações pessoais sensíveis, como números de Seguro Social, dados de cartões de crédito, informações de saúde e históricos médicos, foram comprometidas. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque, que foi detectado em 22 de maio de 2025, e a organização notificou as vítimas em agosto de 2025. A Academic Urology está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade para as vítimas até 12 de maio de 2026. O grupo Inc, ativo desde julho de 2023, já realizou 157 ataques confirmados, com 54 deles direcionados a organizações de saúde, afetando mais de 4,8 milhões de registros pessoais. O aumento de ataques de ransomware no setor de saúde nos EUA levanta preocupações sobre a segurança de dados e a continuidade dos serviços, uma vez que hospitais podem ser forçados a interromper atendimentos e adotar métodos manuais até a recuperação dos sistemas. Este incidente destaca a vulnerabilidade das instituições de saúde e a necessidade de medidas de segurança robustas para proteger informações sensíveis.

A crescente adoção do assistente de IA OpenClaw tem gerado preocupações de segurança, especialmente após a detecção de malware que rouba arquivos associados a essa ferramenta. O OpenClaw, que opera localmente e mantém um ambiente de configuração persistente, permite acesso a arquivos locais e interação com serviços online. Recentemente, a Hudson Rock documentou um caso em que um infostealer conseguiu extrair dados sensíveis do OpenClaw, incluindo chaves de API e tokens de autenticação. Os arquivos comprometidos, como openclaw.json e device.json, contêm informações críticas que podem permitir a um atacante se passar pelo dispositivo da vítima e acessar serviços em nuvem. A Hudson Rock alerta que essa é uma evolução significativa no comportamento de infostealers, que agora estão mirando na identidade digital dos assistentes pessoais de IA. Além disso, uma vulnerabilidade severa foi descoberta em um assistente de IA semelhante, o Nanobot, que poderia permitir que atacantes assumissem sessões do WhatsApp. Com a popularidade crescente do OpenClaw, espera-se que os infostealers continuem a focar nessa ferramenta, aumentando o risco para os usuários.

As autoridades holandesas prenderam um homem de 40 anos que baixou documentos confidenciais da polícia, que foram compartilhados por engano. O incidente ocorreu quando o suspeito contatou a polícia sobre imagens relevantes para uma investigação em andamento. Um policial, ao responder, enviou um link de download de documentos em vez de um link para upload. O homem baixou os arquivos e, ao ser instruído a deletá-los, se recusou a fazê-lo a menos que recebesse algo em troca, configurando uma tentativa de extorsão. A polícia destacou que o ato de baixar arquivos de um link destinado ao upload pode ser considerado invasão de computador sob a legislação holandesa. Embora não haja evidências de que os documentos tenham sido distribuídos além do suspeito, a polícia iniciou uma investigação e enfatizou a obrigação legal de relatar erros e não acessar documentos não destinados ao receptor. O caso levanta questões sobre a responsabilidade de indivíduos que recebem informações confidenciais por engano e as implicações legais associadas a esses atos.

A Eurail B.V., operadora que oferece acesso a 250 mil quilômetros de ferrovias na Europa, confirmou que dados roubados em uma violação de segurança ocorrida este ano estão sendo vendidos na dark web. A empresa, com sede na Holanda, administra passes de trem populares entre jovens viajantes europeus. A violação comprometeu informações sensíveis, incluindo nomes completos, detalhes de passaporte, números de identificação, IBAN de contas bancárias, informações de saúde e dados de contato. A Eurail está investigando a extensão do vazamento e notificará os clientes afetados. As autoridades de proteção de dados foram informadas, conforme exigido pelo GDPR, e os clientes devem estar atentos a tentativas de phishing e fraudes. A empresa recomenda que os usuários atualizem suas senhas e monitorem suas contas bancárias para atividades suspeitas. Uma página de perguntas frequentes foi disponibilizada para suporte aos clientes, e dúvidas podem ser enviadas para um e-mail específico.

A marca de hotéis Washington, operada pela Fujita Kanko Inc., anunciou que seus servidores foram comprometidos em um ataque de ransomware, resultando na exposição de dados empresariais. O incidente ocorreu em 13 de fevereiro de 2026, quando hackers invadiram a rede da empresa. A equipe de TI desconectou imediatamente os servidores da internet para conter a propagação do ataque. A empresa formou um grupo de trabalho interno e consultou especialistas em cibersegurança e a polícia para avaliar o impacto e coordenar os esforços de recuperação. Embora a investigação esteja em andamento, a empresa confirmou que dados de clientes provavelmente não foram expostos, pois essas informações estão armazenadas em servidores de uma empresa separada. No entanto, o ataque afetou as operações de alguns hotéis, incluindo a indisponibilidade temporária de terminais de cartão de crédito. O impacto financeiro do incidente ainda está sendo analisado. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O incidente ocorre em um contexto de aumento de ataques cibernéticos a empresas no Japão, incluindo grandes nomes como Nissan e NTT.

O artigo aborda a apresentação da missão do Consórcio KTU, ‘Uma Sociedade Digital Segura e Inclusiva’, durante o evento ‘Innovation Breakfast’ da Agência de Inovação da Lituânia. Com a rápida evolução tecnológica, a Lituânia enfrenta desafios significativos em cibersegurança, que se tornaram não apenas técnicos, mas também sociais. A iniciativa nacional, coordenada pela Agência de Inovação, busca fortalecer a segurança digital do país, envolvendo universidades e empresas para transformar conhecimento científico em inovações de alto valor. A missão, que conta com um investimento superior a €24,1 milhões, foca na resiliência cibernética e na proteção de dados pessoais, especialmente para usuários de serviços eletrônicos. A pesquisa abrange desde sistemas de defesa baseados em IA para o setor financeiro até plataformas inteligentes para análise de ameaças cibernéticas. Um ponto crítico destacado é a evolução das fraudes digitais, impulsionadas pela Inteligência Artificial Generativa, que permite a criação de mensagens fraudulentas altamente personalizadas e realistas, dificultando a detecção por filtros automáticos. A crescente acessibilidade dessas ferramentas para criminosos representa um risco significativo para a segurança digital, exigindo uma resposta coordenada entre ciência, negócios e políticas públicas.

Um novo estudo revelou que gerenciadores de senhas baseados em nuvem, como Bitwarden, Dashlane e LastPass, são vulneráveis a ataques de recuperação de senhas sob certas condições. Os pesquisadores da ETH Zurich e da Università della Svizzera italiana identificaram 12 ataques distintos contra o Bitwarden, 7 contra o LastPass e 6 contra o Dashlane, que variam de violações de integridade a compromissos totais de cofres organizacionais. Os ataques exploram falhas no mecanismo de recuperação de contas, criptografia de nível de item, recursos de compartilhamento e compatibilidade com códigos legados. Embora os fornecedores tenham implementado contramedidas, os pesquisadores apontam que várias concepções errôneas criptográficas e padrões de design inadequados contribuíram para essas vulnerabilidades. O estudo também destaca que o 1Password, embora vulnerável, considera as falhas como limitações arquitetônicas conhecidas. Apesar da gravidade das descobertas, não há evidências de que essas vulnerabilidades tenham sido exploradas ativamente. As empresas estão trabalhando para corrigir as falhas identificadas e fortalecer suas arquiteturas de segurança.

Pesquisadores em cibersegurança identificaram um caso de infecção por malware que conseguiu exfiltrar dados de configuração do ambiente OpenClaw, uma plataforma de inteligência artificial. Este incidente representa uma evolução significativa no comportamento de infostealers, que agora estão focando na coleta de identidades e informações sensíveis de agentes de IA, em vez de apenas credenciais de navegadores. O malware, possivelmente uma variante do Vidar, utilizou uma rotina de captura de arquivos para acessar dados críticos, incluindo tokens de autenticação e diretrizes operacionais dos agentes. A captura do token de autenticação pode permitir que atacantes se conectem remotamente ao OpenClaw da vítima. Além disso, a plataforma OpenClaw enfrenta problemas de segurança, como a exposição de instâncias que podem levar a riscos de execução remota de código (RCE). A crescente popularidade do OpenClaw, que já conta com mais de 200 mil estrelas no GitHub, torna-o um alvo atraente para ataques de cadeia de suprimentos. A situação é agravada por campanhas de habilidades maliciosas que burlam a detecção de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

O Google lançou um patch para uma vulnerabilidade crítica no navegador Chrome, identificada como CVE-2026-2441, que permite a execução de código arbitrário através de páginas HTML manipuladas. Essa falha, classificada com um índice de severidade de 8.3 em 10, foi ativamente explorada por atacantes antes da correção. O problema está relacionado a um erro de ‘uso após liberação’ em CSS, que afeta versões do Chrome anteriores à 145.0.7632.75 para Windows e Mac, e 144.0.7559.75 para Linux. O Google recomenda que todos os usuários atualizem imediatamente seus navegadores, especialmente aqueles que desativaram as atualizações automáticas. A empresa optou por não divulgar detalhes sobre as vítimas ou os atacantes para evitar que outros exploradores se aproveitem da situação até que a maioria dos usuários esteja protegida. Esta é a primeira vulnerabilidade zero-day do Chrome em 2026, e o Google já havia corrigido oito vulnerabilidades semelhantes no ano anterior, muitas das quais foram exploradas por atores patrocinados por estados. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) ainda não incluiu essa vulnerabilidade em seu catálogo de falhas conhecidas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais protejam suas instâncias do BeyondTrust Remote Support contra uma vulnerabilidade crítica, identificada como CVE-2026-1731, em um prazo de três dias. Essa falha de execução remota de código, resultante de uma injeção de comando do sistema operacional, afeta versões anteriores ao Remote Support 25.3.1 e Privileged Remote Access 24.3.4. Embora a BeyondTrust tenha corrigido suas instâncias SaaS em 2 de fevereiro de 2026, clientes que utilizam versões on-premise precisam aplicar os patches manualmente. A exploração bem-sucedida dessa vulnerabilidade permite que atacantes não autenticados executem comandos do sistema operacional, potencialmente comprometendo sistemas, acessando dados de forma não autorizada e causando interrupções nos serviços. A CISA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Explotadas (KEV) e alertou que dispositivos não corrigidos devem ser considerados comprometidos. Este incidente destaca a necessidade urgente de ações corretivas por parte de administradores de sistemas, especialmente em um contexto onde falhas anteriores da BeyondTrust já foram exploradas por grupos de ciberespionagem, como o Silk Typhoon, vinculado ao governo chinês.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de spyware móvel chamada ZeroDayRAT, que está sendo promovida no Telegram como uma ferramenta para roubar dados sensíveis e facilitar a vigilância em tempo real em dispositivos Android e iOS. O malware é projetado para suportar versões do Android de 5 a 16 e do iOS até a versão 26, sendo distribuído principalmente por meio de engenharia social e marketplaces de aplicativos falsos.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

O Google lançou atualizações de emergência para corrigir uma vulnerabilidade de alta severidade no Chrome, identificada como CVE-2026-2441, que está sendo explorada em ataques zero-day. Essa falha, relatada pelo pesquisador de segurança Shaheen Fazim, é uma vulnerabilidade do tipo use-after-free, resultante de um erro de invalidação de iterador no CSSFontFeatureValuesMap, que pode causar falhas no navegador, problemas de renderização, corrupção de dados e comportamentos indefinidos. O patch foi considerado urgente, sendo implementado em versões estáveis do Chrome para Windows, macOS e Linux, com a atualização sendo disponibilizada globalmente nos próximos dias. Embora o Google tenha confirmado a exploração ativa dessa vulnerabilidade, não foram divulgados detalhes adicionais sobre os ataques. A empresa também indicou que o problema imediato foi resolvido, mas que ainda há trabalho a ser feito, sugerindo que a solução pode ser temporária. Essa é a primeira vulnerabilidade do Chrome explorada ativamente a ser corrigida em 2026, após um ano em que o Google tratou de oito zero-days, muitos deles relacionados a ataques de spyware contra indivíduos de alto risco.

Na última sexta-feira, o Google lançou atualizações de segurança para o navegador Chrome, visando uma vulnerabilidade de alta gravidade, identificada como CVE-2026-2441, com uma pontuação CVSS de 8.8. Essa falha, classificada como um erro ‘use-after-free’ em CSS, permite que um atacante remoto execute código arbitrário dentro de um sandbox através de uma página HTML manipulada. O pesquisador de segurança Shaheen Fazim descobriu e reportou a vulnerabilidade em 11 de fevereiro de 2026. Embora o Google não tenha revelado detalhes sobre como a falha está sendo explorada ou quem são os alvos, a empresa confirmou que um exploit para essa vulnerabilidade já está em uso ativo. Essa é a primeira falha zero-day explorada ativamente no Chrome que foi corrigida em 2026, destacando a atratividade das falhas em navegadores para agentes maliciosos, dada sua ampla instalação e superfície de ataque. Para proteção ideal, os usuários devem atualizar para as versões 145.0.7632.75/76 no Windows e macOS, e 144.0.7559.75 no Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

A Microsoft anunciou a resolução de um erro no Windows 11 que impedia alguns sistemas comerciais de inicializar, apresentando a mensagem “UNMOUNTABLE_BOOT_VOLUME” após a instalação de atualizações de segurança recentes. O problema, que afetou dispositivos físicos com as versões 25H2 e 24H2 do Windows 11, foi vinculado a falhas nas atualizações de dezembro de 2025. A correção foi disponibilizada na atualização de segurança KB5077181, lançada em 10 de fevereiro de 2026. Os dispositivos afetados enfrentavam falhas de inicialização após a instalação da atualização de segurança KB5074109, lançada em 13 de janeiro de 2026, resultando em telas pretas e a necessidade de recuperação manual. A Microsoft já havia lançado uma resolução inicial em uma atualização opcional em janeiro, mas a solução completa foi confirmada apenas em fevereiro. A empresa recomenda que clientes empresariais que ainda enfrentam problemas entrem em contato com o suporte da Microsoft para assistência. A falta de um aviso público sobre o problema levanta questões sobre a comunicação da empresa em relação a falhas críticas.

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

O grupo de extorsão de dados ShinyHunters anunciou ter roubado mais de 600 mil registros de clientes da Canada Goose, incluindo informações pessoais e dados de pagamento. A Canada Goose, uma marca canadense de roupas de luxo, afirmou que os dados parecem ser de transações passadas e que não há evidências de uma violação em seus sistemas. O conjunto de dados, com 1,67 GB, foi publicado em formato JSON e contém registros detalhados de pedidos, como nomes, endereços de e-mail, números de telefone, endereços de cobrança e entrega, além de informações parciais de cartões de pagamento. Embora não inclua números completos de cartões, as informações expostas podem ser utilizadas para phishing e fraudes. O grupo ShinyHunters negou que os dados tenham origem em ataques recentes a contas de SSO, afirmando que provêm de uma violação de um processador de pagamentos de terceiros. A empresa está revisando o conjunto de dados para avaliar sua precisão e escopo, mas ainda não se sabe quantos clientes podem ser afetados.

Em tempos de crescente preocupação com a segurança digital, verificar a autenticidade de arquivos baixados é essencial. O artigo do Canaltech apresenta métodos práticos para checar a assinatura digital de instaladores, utilizando tanto abordagens visuais quanto comandos no PowerShell. A verificação visual envolve acessar as propriedades do arquivo e checar a aba ‘Assinaturas Digitais’, onde é possível confirmar o nome do assinante, o status da assinatura e a data de timestamp. Caso o arquivo não possua assinatura ou apresente informações suspeitas, é recomendável excluí-lo. Para usuários mais experientes, o PowerShell oferece um método mais técnico, onde o comando Get-AuthenticodeSignature pode ser utilizado para validar a assinatura. Além disso, o artigo sugere o uso do CertUtil para comparar hashes, garantindo que o arquivo não foi alterado. A recomendação final é sempre baixar arquivos de fontes oficiais, evitando sites de terceiros que podem comprometer a segurança. O alerta sobre o SmartScreen do Windows também é destacado, enfatizando a importância de não ignorar avisos de segurança.

Um novo relatório da CTM360 revela que mais de 4.000 grupos maliciosos do Google e 3.500 URLs hospedadas pelo Google estão sendo utilizados em uma campanha ativa de malware que visa organizações globais. Os atacantes exploram a confiança no ecossistema do Google para distribuir malware que rouba credenciais e estabelece acesso persistente em dispositivos comprometidos. A campanha utiliza engenharia social em fóruns do Google Groups, onde os criminosos postam discussões técnicas que parecem legítimas, incorporando nomes de organizações e palavras-chave relevantes para aumentar a credibilidade. Links de download disfarçados são utilizados para direcionar os usuários a arquivos maliciosos. Para usuários do Windows, o malware Lumma Stealer é entregue em um arquivo compactado protegido por senha, enquanto usuários do Linux são redirecionados para baixar um navegador trojanizado chamado Ninja Browser, que instala extensões maliciosas sem consentimento. A campanha representa um risco significativo para as organizações, incluindo roubo de credenciais e execução remota de comandos. A CTM360 recomenda que as organizações inspecionem URLs encurtadas, bloqueiem indicadores de comprometimento e eduquem os usuários sobre os riscos de downloads de fontes não verificadas.

O roubo e furto de celulares no Brasil são crimes recorrentes, com 917.748 ocorrências registradas em 2024, embora tenha havido uma queda de 13,4% em relação ao ano anterior. O impacto desses crimes vai além do financeiro, pois os aparelhos se tornaram uma porta de entrada para o acesso a dados pessoais e identidade digital dos usuários. Especialistas alertam que, enquanto os furtos são frequentemente realizados com o aparelho desbloqueado, os roubos tendem a ser mais violentos, com criminosos utilizando armas para forçar as vítimas a entregarem senhas. Os celulares roubados geralmente são revendidos com notas fiscais fraudulentas ou exportados para países onde não há acordos de cooperação para bloqueio, dificultando a recuperação. Iniciativas como o programa ‘Protege Celular’ do Governo do Piauí têm mostrado resultados positivos na localização de aparelhos roubados. Para proteger os dados, recomenda-se o uso de gerenciadores de senhas, ocultação de aplicativos bancários e ferramentas que permitam o bloqueio remoto do dispositivo.

A recente campanha de cibersegurança identificada por BleepingComputer revela que atores de ameaças estão explorando comentários no Pastebin para disseminar um ataque do tipo ClickFix, que engana usuários de criptomoedas a executar JavaScript malicioso em seus navegadores. Esse ataque permite que os invasores sequestram transações de troca de Bitcoin, redirecionando fundos para carteiras controladas por eles. A campanha utiliza engenharia social, prometendo lucros substanciais através de um suposto exploit na plataforma Swapzone.io. Os comentários no Pastebin contêm links que direcionam para um documento do Google Docs, que supostamente ensina uma técnica de arbitragem para maximizar lucros. Os usuários são instruídos a executar um código JavaScript diretamente na barra de endereços do navegador, o que altera a funcionalidade da página e permite que os atacantes manipulem o processo de troca. A análise do script malicioso revela que ele injeta endereços de Bitcoin controlados pelos atacantes, fazendo com que os usuários enviem seus fundos para essas carteiras. Como as transações de Bitcoin não podem ser revertidas, os usuários que caírem nesse golpe não terão como recuperar seu dinheiro. Este ataque representa uma nova variante do ClickFix, que normalmente visa sistemas operacionais, mas agora se concentra em manipulações dentro do navegador.

A Microsoft revelou uma nova versão da tática de engenharia social chamada ClickFix, onde atacantes induzem usuários a executar comandos que realizam consultas DNS para obter um payload malicioso. O ataque utiliza o comando ’nslookup’ através do diálogo de execução do Windows, permitindo que os criminosos contornem controles de segurança. O ClickFix é frequentemente disseminado por meio de phishing, malvertising ou downloads automáticos, redirecionando as vítimas para páginas falsas que simulam verificações de CAPTCHA ou instruções para resolver problemas inexistentes. Essa técnica tem se tornado comum nos últimos dois anos, levando os usuários a infectarem suas próprias máquinas. A nova variante usa DNS como um canal leve de sinalização, reduzindo a dependência de requisições web tradicionais e misturando atividades maliciosas ao tráfego normal da rede. O payload baixado inicia uma cadeia de ataque que resulta na execução de um trojan de acesso remoto, ModeloRAT. Além disso, a Bitdefender reportou um aumento na atividade do Lumma Stealer, impulsionado por campanhas de ClickFix que utilizam verificações de CAPTCHA falsas. O artigo destaca a resiliência das operações de Lumma Stealer, que continuam a evoluir apesar de esforços de interrupção por parte das autoridades.

O grupo hacker APT28, também conhecido como Fancy Bear, é uma entidade de ciberespionagem russa associada ao GRU, o serviço de inteligência militar da Rússia. Desde sua formação em 2004, o APT28 tem se destacado por suas campanhas de espionagem e sabotagem, visando organizações governamentais e infraestruturas críticas em diversos países. O grupo é notório por suas táticas sofisticadas, que incluem spear-phishing e exploração de vulnerabilidades de dia zero, como evidenciado em um ataque recente que explorou uma falha no Microsoft Office para atingir instituições ucranianas.

O SSHStalker, uma nova botnet Linux, utiliza o protocolo IRC (Internet Relay Chat) para gerenciar suas operações, explorando servidores em nuvem para fins lucrativos. O protocolo, criado em 1988, foi revitalizado por essa botnet, que se destaca por sua estrutura de múltiplos bots e canais redundantes, permitindo controle eficiente sobre dispositivos infectados. A infecção inicial ocorre por meio de ataques automatizados de força bruta via SSH, com a botnet se espalhando rapidamente por infraestruturas de servidores em nuvem, como as da Oracle. Após comprometer um host, o malware baixa um compilador GCC para construir cargas úteis diretamente no sistema, garantindo a execução confiável dos bots em diversas distribuições Linux. Além disso, a botnet coleta chaves da AWS, realiza varreduras de sites e possui capacidades de mineração de criptomoedas. Embora existam capacidades de DDoS, não foram observados ataques, sugerindo que a botnet pode estar em fase de testes. Para mitigar os riscos, recomenda-se monitorar instalações de compiladores, atividades incomuns em cron e conexões de saída no estilo IRC, além de desabilitar a autenticação por senha SSH e aplicar filtragem rigorosa de saída.

Observações de inteligência de ameaças indicam que um único ator é responsável pela exploração ativa de duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-21962 e CVE-2026-24061. Ambas as falhas, que permitem a execução remota de código (RCE) sem autenticação, foram destacadas em um aviso de segurança da Ivanti, que também anunciou correções temporárias. A empresa de inteligência GreyNoise revelou que um único endereço IP, hospedado em uma infraestrutura ‘à prova de balas’, é responsável por mais de 83% das atividades de exploração relacionadas a essas vulnerabilidades. Entre 1 e 9 de fevereiro, foram observadas 417 sessões de exploração, com um pico significativo em 8 de fevereiro, quando 269 sessões foram registradas em um único dia. A maioria das sessões utilizou callbacks DNS do tipo OAST, sugerindo atividade de corretores de acesso inicial. As correções da Ivanti não são permanentes, e a empresa planeja lançar patches completos no primeiro trimestre deste ano. Até lá, recomenda-se a utilização de pacotes RPM específicos para versões vulneráveis do EPMM.