O uso de spywares por governos para monitorar indivíduos, como jornalistas e ativistas, tem se tornado uma prática comum em diversas nações. Embora esses softwares sejam frequentemente justificados como ferramentas de combate ao crime e ao terrorismo, evidências apontam que muitos alvos são inocentes. Um exemplo recente é o caso de um consultor político italiano que foi espionado pelo spyware Paragon. Especialistas, como Eva Galperin da Electronic Frontier Foundation, destacam que a facilidade de uso desses softwares permite abusos, uma vez que agentes governamentais podem simplesmente inserir um número de telefone e iniciar a vigilância. Países como Arábia Saudita, Emirados Árabes Unidos, Itália e Marrocos têm sido citados por direcionar suas ferramentas de espionagem contra jornalistas e opositores. Apesar de alguns avanços, como a Paragon rompendo laços com o governo italiano, a falta de regulamentação e transparência continua a ser um desafio. A situação exige uma abordagem global para mitigar os riscos associados ao uso de spywares, especialmente em contextos onde os direitos humanos são frequentemente violados.

Recentemente, foi descoberto que conversas realizadas no ChatGPT estavam vazando para o Google Search Console (GSC), uma ferramenta utilizada por desenvolvedores para monitorar o tráfego de pesquisas. O consultor Jason Packer, da Quantable, identificou que pesquisas feitas no ChatGPT, incluindo interações pessoais e profissionais, estavam sendo exibidas no GSC, o que levanta preocupações sobre a privacidade dos usuários. A OpenAI, responsável pelo ChatGPT, reconheceu a existência de um problema que afetou temporariamente o caminho de algumas buscas, mas não forneceu detalhes sobre a natureza do vazamento. Aproximadamente 200 pesquisas estranhas foram registradas, revelando que os prompts dos usuários não são tão privados quanto se poderia supor. Os especialistas sugerem que a OpenAI deve aumentar a transparência em relação a incidentes como este e reforçar a proteção da privacidade dos usuários, especialmente em um contexto onde a conformidade com a LGPD é crucial. O vazamento é considerado um incidente de segurança que pode impactar a confiança dos usuários e a reputação da OpenAI.

A Microsoft anunciou a descoberta de um novo tipo de ataque cibernético denominado ‘Whisper Leak’, que consegue expor os tópicos discutidos em chats com chatbots de IA, mesmo quando as conversas estão totalmente criptografadas. A pesquisa da empresa indica que atacantes podem analisar o tamanho e o tempo dos pacotes criptografados trocados entre um usuário e um modelo de linguagem, permitindo inferir o conteúdo das discussões. Embora a criptografia proteja o conteúdo das mensagens, a vulnerabilidade reside na forma como os modelos de linguagem enviam respostas, transmitindo dados de forma incremental. Isso cria padrões que podem ser analisados por invasores, permitindo deduzir informações sensíveis. Após a divulgação, empresas como OpenAI e Mistral implementaram medidas para mitigar o problema, como a adição de sequências de texto aleatórias nas respostas. A Microsoft recomenda que os usuários evitem discutir assuntos sensíveis em redes Wi-Fi públicas e utilizem VPNs. Além disso, a pesquisa destaca que muitos modelos de linguagem abertos ainda são vulneráveis a manipulações, especialmente em conversas mais longas, levantando preocupações sobre a segurança das plataformas de chat de IA.

Golpistas estão aproveitando a esperança de usuários de iPhone que perderam seus dispositivos, enviando mensagens de phishing que se disfarçam como notificações do serviço ‘Find My’ da Apple. Essas mensagens afirmam que o iPhone perdido foi encontrado, levando as vítimas a um site falso que coleta credenciais do Apple ID. O golpe é sofisticado, utilizando detalhes precisos sobre o dispositivo, como modelo e cor, para parecer legítimo. A Swiss National Cyber Security Centre (NCSC) alerta que essa prática não só visa roubar informações pessoais, mas também remover o bloqueio de ativação do aparelho, permitindo que os golpistas revendam o dispositivo. A Apple já informou que nunca entra em contato por SMS ou e-mail para relatar a localização de um dispositivo perdido. Para se proteger, os usuários devem ativar o Modo Perdido pelo iCloud, manter seus cartões SIM seguros e evitar expor informações pessoais na tela de bloqueio. O uso de software antivírus e a ativação de firewalls também são recomendados para reduzir a exposição a ameaças online.

O Habib Bank AG Zurich anunciou hoje que detectou acesso não autorizado à sua rede corporativa. Em 5 de novembro de 2025, o grupo de ransomware Qilin listou o banco em seu site de vazamento de dados, alegando ter roubado 2,56 TB de informações. Apesar da gravidade da situação, o banco afirmou que seus serviços bancários permanecem operacionais e que até o momento não foi identificado acesso persistente. A instituição não confirmou se pagou resgate ou como os atacantes conseguiram invadir sua rede. A equipe do banco, apoiada por especialistas em cibersegurança, está trabalhando para avaliar e mitigar o impacto do incidente. O grupo Qilin, baseado na Rússia, é conhecido por realizar ataques por meio de e-mails de phishing e já reivindicou 792 ataques de ransomware em 2025, afetando principalmente o setor financeiro. O aumento de ataques a instituições financeiras levanta preocupações sobre a segurança de dados e a conformidade com a LGPD no Brasil, uma vez que o setor bancário é um alvo frequente de cibercriminosos.

Pesquisadores de segurança cibernética descobriram semelhanças entre um malware bancário chamado Coyote e um novo programa malicioso denominado Maverick, que está sendo disseminado via WhatsApp. Ambos os malwares, escritos em .NET, têm como alvo usuários e instituições financeiras no Brasil, apresentando funcionalidades semelhantes, como a capacidade de monitorar aplicativos bancários e se propagar através do WhatsApp Web. O Maverick, documentado pela Trend Micro, é atribuído a um ator de ameaças conhecido como Water Saci e utiliza um malware auto-propagante chamado SORVEPOTEL, que entrega um arquivo ZIP contendo o payload do Maverick. Este malware monitora abas de navegador em busca de URLs de instituições financeiras e pode coletar informações do sistema e exibir páginas de phishing para roubo de credenciais. A Sophos levantou a possibilidade de que Maverick seja uma evolução do Coyote, e a Kaspersky confirmou sobreposições de código entre os dois. A campanha também se destaca por sua capacidade de contornar a autenticação do WhatsApp Web, permitindo acesso imediato às contas dos usuários. Com mais de 148 milhões de usuários ativos no Brasil, a popularidade do WhatsApp torna essa ameaça particularmente preocupante.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

A Polícia Federal (PF) do Brasil requisitou a extradição de oito indivíduos presos no exterior, envolvidos em um ciberataque que resultou no desvio de R$ 813 milhões através do sistema de pagamentos Pix. O ataque, que teve início em julho, foi direcionado à empresa C&M Software, responsável por serviços tecnológicos para instituições financeiras. A operação, denominada Magna Fraus, culminou na prisão de 21 pessoas, sendo que 13 foram detidas no Brasil e 8 no exterior, com a colaboração da Interpol. Os criminosos utilizaram técnicas avançadas para contornar os sistemas de segurança, dificultando o rastreamento das transações fraudulentas. Além das prisões, a PF apreendeu 15 veículos de luxo e bloqueou 26 imóveis, além de encontrar mais de R$ 1 milhão em criptomoedas. As autoridades consideram essa operação um marco no combate ao crime cibernético no Brasil, dada a magnitude do impacto no sistema de pagamentos instantâneos do país.

O grupo de hackers chinês FamousSparrow, conhecido por suas atividades de ciberespionagem, está de volta com novas ameaças, visando a América Latina. Após um período de inatividade entre 2022 e 2024, o grupo executou três ataques distintos em 2024, atingindo uma associação comercial nos EUA, um instituto de pesquisa no México e uma instituição governamental em Honduras. Os ataques têm como objetivo a distribuição de dois backdoors, SparrowDoor e ShadowPad, que representam um avanço em relação às versões anteriores, permitindo a paralelização de comandos. Os ataques foram realizados através da inserção de um web shell em servidores do Internet Information Services (IIS) da Microsoft, explorando versões desatualizadas do Windows Server e do Microsoft Exchange Server. O FamousSparrow, que ganhou notoriedade em 2021, é conhecido por desenvolver suas próprias ferramentas de ataque e por roubar informações confidenciais de diversas instituições. A descoberta de suas atividades renovadas levanta preocupações sobre a segurança de dados sensíveis em um contexto global cada vez mais vulnerável.

O governo do Reino Unido está considerando a implementação de uma proibição de pagamentos de resgates em casos de ransomware, visando proteger entidades públicas e infraestrutura crítica, como o NHS e escolas. A proposta inclui um regime de notificação obrigatória para empresas privadas que optarem por pagar resgates, com o objetivo de desestimular os ataques cibernéticos. No entanto, há preocupações de que essa medida possa redirecionar os ataques para o setor privado, aumentando a vulnerabilidade de pequenas e médias empresas, varejistas e organizações sem fins lucrativos. Uma pesquisa revelou que 75% dos líderes empresariais no Reino Unido admitiriam pagar um resgate, mesmo com a proibição, se isso significasse a sobrevivência da empresa. A proposta também levanta questões éticas e legais, já que o pagamento de resgates pode ser considerado crime. Para mitigar esses riscos, as empresas devem adotar um modelo de ’empresa mínima viável’ (MVC), focando na continuidade das operações essenciais durante um ataque cibernético e investindo em mecanismos avançados de proteção de dados. A preparação para um cenário de ataque é crucial, uma vez que o pagamento de resgates não garante a recuperação dos dados e pode aumentar a probabilidade de novos ataques.

O recente roubo no Museu do Louvre expôs falhas de segurança digital em instituições culturais, revelando que a senha do sistema de câmeras de vigilância era simplesmente ’louvre’. Essa vulnerabilidade, já sinalizada por especialistas em segurança, gerou preocupações sobre a proteção do patrimônio cultural. Em resposta, a empresa suíça Proton anunciou que fornecerá gratuitamente por dois anos seu serviço Proton Pass Professional para museus, bibliotecas e galerias em todo o mundo. O Proton Pass é um gerenciador de senhas que ajuda a criar e gerenciar senhas fortes, além de monitorar possíveis vazamentos de dados. A iniciativa visa fortalecer a segurança digital dessas instituições, que frequentemente investem em segurança física, mas negligenciam a proteção de suas infraestruturas digitais. A oferta, válida até o final de 2025, é um chamado para que o setor cultural priorize a segurança digital com a mesma seriedade que aplica à proteção de suas coleções físicas.

O grupo de ciberespionagem conhecido como Ferocious Kitten tem atuado de forma encoberta desde 2015, focando em dissidentes e ativistas persas no Irã. Recentemente, o grupo ganhou destaque por utilizar uma ferramenta de vigilância chamada MarkiRAT, que é distribuída através de e-mails de spearphishing contendo documentos maliciosos do Microsoft Office. Esses documentos exploram vulnerabilidades, como a CVE-2021-40444, para implantar o malware. Uma vez ativo, o MarkiRAT registra teclas digitadas, captura dados da área de transferência, realiza buscas em arquivos e rouba credenciais, especialmente de arquivos KeePass. O malware se destaca por suas táticas de persistência, se infiltrando em aplicativos legítimos como Telegram e Chrome, garantindo que o software malicioso seja executado sempre que o usuário inicia esses programas. Além disso, utiliza técnicas de engenharia social para disfarçar arquivos executáveis como imagens ou vídeos, dificultando a detecção. O Ferocious Kitten demonstra agilidade operacional, adaptando-se rapidamente e priorizando a coleta de dados em vez de ataques disruptivos. Organizações são aconselhadas a testar suas defesas contra as táticas em evolução desse grupo, especialmente em plataformas de simulação de segurança.

Uma nova campanha de phishing está explorando a infraestrutura confiável do Facebook para roubar credenciais de negócios em larga escala. Pesquisadores da Check Point descobriram que atacantes estão utilizando o domínio facebookmail.com e o recurso de convite do Meta Business Suite para enviar dezenas de milhares de e-mails de phishing convincentes, conseguindo contornar filtros de segurança tradicionais. Os e-mails, que parecem notificações legítimas do Meta, têm linhas de assunto urgentes como ‘Convite de Parceiro da Meta’ e são enviados de endereços autênticos, eliminando um dos principais sinais de alerta para os usuários.

A Synology divulgou uma atualização crítica para corrigir uma vulnerabilidade severa no BeeStation OS, identificada durante o evento PWN2OWN 2025. A falha, classificada como CVE-2025-12686, permite que atacantes remotos executem código arbitrário sem necessidade de autenticação ou interação do usuário, representando uma ameaça imediata para os dispositivos afetados. Essa vulnerabilidade é resultado de uma fraqueza de buffer overflow no sistema operacional, que possibilita a violação de limites de rede e a comprometimento de sistemas. Com uma pontuação CVSS de 9.8, a vulnerabilidade exige ação imediata dos usuários, pois a exploração bem-sucedida concede controle total sobre os sistemas BeeStation, permitindo o roubo de dados sensíveis e a movimentação lateral na rede. Todas as versões do BeeStation OS, de 1.0 a 1.3, estão vulneráveis, e a Synology recomenda que os usuários atualizem para a versão 1.3.2-65648 ou superior. A atualização unificada corrige a falha em todas as versões afetadas, e é crucial que os usuários verifiquem imediatamente a versão do seu sistema e apliquem o patch. Além disso, é aconselhável monitorar atividades suspeitas, especialmente se houver suspeita de comprometimento antes da atualização.

Um novo trojan de acesso remoto para Android (RAT) chamado KomeX foi identificado em fóruns de cibercrime, sendo promovido por um ator de ameaças conhecido como Gendirector. Baseado no código BTMOB, o KomeX é oferecido em diferentes pacotes de assinatura, refletindo a evolução do malware móvel em um mercado subterrâneo orientado por serviços. O malware promete controle total do dispositivo infectado, permitindo a execução de funções como ativação de câmera e microfone, interceptação de SMS, acesso a arquivos e rastreamento de geolocalização. Um dos recursos mais destacados é a capacidade de transmitir a tela do dispositivo infectado em tempo real, com até 60 quadros por segundo. O KomeX é comercializado em três níveis de assinatura: $500 por um mês, $1.200 por acesso vitalício e $3.000 pelo código-fonte completo. Essa estrutura de preços sugere que o desenvolvedor visa não apenas operadores de cibercrime, mas também outros atores que desejam rebrandear ou expandir a funcionalidade do RAT. Especialistas em segurança alertam que, se operacional, o KomeX pode ampliar significativamente o alcance de campanhas de espionagem móvel, recomendando que os usuários evitem a instalação de aplicativos de fontes não verificadas e mantenham atualizações de segurança regulares.

A Ivanti lançou atualizações de segurança críticas para corrigir três vulnerabilidades de alta severidade no Ivanti Endpoint Manager, que afetam a versão 2024 SU3 SR1 e anteriores. As falhas permitem que atacantes autenticados escrevam arquivos arbitrários em qualquer local do disco de um sistema, o que pode levar a acessos não autorizados e comprometimento do sistema. A vulnerabilidade mais crítica, identificada como CVE-2025-10918, resulta de permissões padrão inseguras no agente do Endpoint Manager, com uma pontuação CVSS de 7.1, indicando um alto risco à segurança do sistema. A exploração dessas vulnerabilidades requer acesso local e credenciais de autenticação válidas. Embora a Ivanti não tenha encontrado evidências de exploração por parte de clientes até o momento, a empresa recomenda que as organizações atualizem imediatamente para a versão 2024 SU4, que corrige todas as falhas. Além disso, as equipes de segurança devem auditar suas implementações do Endpoint Manager e monitorar atividades suspeitas de criação de arquivos em locais inesperados para detectar tentativas de exploração.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.

Os ataques de cadeia de suprimentos habilitados por inteligência artificial (IA) cresceram 156% no último ano, evidenciando a falência das defesas tradicionais. O malware gerado por IA apresenta características inovadoras, como ser polimórfico, consciente do contexto e camuflado semanticamente, o que dificulta sua detecção. Casos reais, como a violação da 3CX que afetou 600 mil empresas, demonstram a gravidade da situação. O tempo médio para identificar uma violação aumentou para 276 dias, e as ferramentas de segurança tradicionais falham em responder a ameaças que se adaptam ativamente. Novas estratégias de defesa estão sendo implementadas, incluindo a segurança ciente de IA e a análise de comportamento. Além disso, a conformidade regulatória, como a Lei de IA da UE, impõe penalidades severas por violações. A situação exige ação imediata das organizações para se protegerem contra essas ameaças emergentes.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

No episódio especial do podcast Canaltech, a Motorola é destaque ao discutir suas inovações em smartphones dobráveis e o uso de inteligência artificial. A diretora de Marketing da Motorola no Brasil, Stella Colucci, compartilha detalhes sobre as parcerias da marca com empresas como Pantone e Swarovski, que visam integrar tecnologia e estilo de vida. O programa também aborda as expectativas para as promoções da Motorola durante a Black Friday, um evento que promete atrair consumidores em busca de ofertas em tecnologia. Além disso, o podcast menciona outros tópicos relevantes, como mudanças no WhatsApp e fraudes envolvendo cartões de crédito, ressaltando a importância da cibersegurança no cenário atual. O episódio é uma oportunidade para os ouvintes se atualizarem sobre as tendências do setor e as estratégias da Motorola para se destacar no mercado.

O FBI prendeu três especialistas em cibersegurança acusados de realizar ataques de ransomware enquanto trabalhavam para a DigitalMint, uma empresa de Chicago que negocia resgates de ransomware. Os acusados, Kevin Tyler Martin, Ryan Clifford Goldberg e um terceiro não identificado, teriam iniciado suas atividades criminosas em maio de 2023, utilizando software malicioso para extorquir empresas, incluindo uma instituição médica na Flórida, que foi ameaçada a pagar US$ 10 milhões. Embora o grupo tenha conseguido roubar US$ 1,2 milhão, a investigação revelou que eles estavam por trás de vários ataques, incluindo tentativas contra uma empresa farmacêutica e um consultório médico na Califórnia. A DigitalMint afirmou estar cooperando com as investigações e demitiu os funcionários envolvidos por conduta não autorizada. As acusações incluem conspiração para interferir no comércio interestadual e dano intencional a computadores protegidos, destacando a gravidade da situação e a necessidade de vigilância constante no setor de cibersegurança.

O Open Web Application Security Project (OWASP) lançou a oitava edição de sua lista dos 10 principais riscos de segurança para 2025, trazendo mudanças significativas que refletem a evolução das ameaças à segurança de aplicações. Entre as novidades, destacam-se duas novas categorias: ‘Falhas na Cadeia de Suprimentos de Software’, que ocupa a terceira posição, e ‘Mau Manuseio de Condições Excepcionais’, na décima posição. A primeira categoria aborda as vulnerabilidades que surgem em todo o ecossistema de dependências de software, enquanto a segunda trata de erros lógicos e manuseio inadequado de erros em situações anormais. A lista também revela que o ‘Controle de Acesso Quebrado’ continua sendo a principal preocupação, afetando 3,73% das aplicações testadas. Além disso, ‘Configuração de Segurança’ subiu para a segunda posição, refletindo um aumento nas falhas de configuração. A análise incluiu 589 Common Weakness Enumerations (CWEs) e cerca de 175.000 registros CVE, destacando a importância de uma abordagem proativa na segurança de aplicações. Com a crescente ênfase na segurança da cadeia de suprimentos e no tratamento adequado de erros, a lista serve como um documento essencial para desenvolvedores e equipes de segurança em todo o mundo.

Pesquisadores de cibersegurança da Mandiant descobriram uma vulnerabilidade crítica de zero-day na plataforma de compartilhamento de arquivos Triofox, da Gladinet, identificada como CVE-2025-12480. Desde 24 de agosto de 2025, o grupo de ameaças UNC6485 tem explorado essa falha para contornar controles de autenticação e executar códigos maliciosos com acesso em nível de sistema. O ataque ocorre em duas etapas: inicialmente, os invasores manipulam os cabeçalhos HTTP para se apresentarem como ’localhost’, permitindo acesso não autorizado a páginas de configuração restritas. A vulnerabilidade reside na função CanRunCriticalPage(), que não valida corretamente a origem das requisições. Após obter acesso, os atacantes criam uma conta de administrador e exploram uma segunda fraqueza no antivírus embutido do Triofox, redirecionando o caminho do scanner para um script malicioso. Isso resulta na execução automática do payload malicioso com privilégios de conta SYSTEM. A Mandiant identificou a intrusão em apenas 16 minutos, alertando para a necessidade de atualização imediata para a versão 16.7.10368.56560 ou posterior. As equipes de segurança devem auditar contas de administrador e monitorar tráfego SSH incomum para detectar compromissos em andamento.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta urgente sobre uma vulnerabilidade crítica de execução remota de código (RCE) que afeta dispositivos móveis da Samsung. A falha, localizada na biblioteca libimagecodec.quram.so, permite que atacantes contornem restrições normais de memória e injetem código arbitrário nos dispositivos. Isso possibilita que invasores obtenham controle total sobre os smartphones afetados, sem necessidade de interação do usuário. A vulnerabilidade é classificada como CWE-787 (Escrita Fora dos Limites) e está sendo ativamente explorada em ataques, embora a extensão e os atores específicos ainda estejam sob investigação. A CISA recomenda que os usuários apliquem imediatamente os patches de segurança disponibilizados pela Samsung e, para aqueles que não puderem aplicar as atualizações, é aconselhável interromper o uso dos dispositivos afetados até que as correções estejam disponíveis. A Samsung foi notificada e deve liberar atualizações de segurança através de seus canais habituais. Este incidente ressalta os riscos contínuos associados à segurança de dispositivos móveis e a importância de manter os dispositivos atualizados.

Uma investigação de segurança revelou que 65% das 50 principais empresas de inteligência artificial (IA) do mundo, avaliadas em mais de 400 bilhões de dólares, expuseram credenciais sensíveis no GitHub. Essas exposições incluem chaves de API e tokens de autenticação, que podem permitir acesso direto aos sistemas das empresas. Os pesquisadores descobriram que os segredos não estavam apenas em repositórios ativos, mas também em forks deletados e contas pessoais de desenvolvedores. A pesquisa destacou que, embora algumas empresas como LangChain e ElevenLabs tenham rapidamente corrigido as vulnerabilidades, quase metade dos vazamentos não recebeu resposta. Para mitigar esses riscos, recomenda-se que as empresas implementem varreduras obrigatórias de segredos em todos os repositórios públicos e estabeleçam canais de divulgação de segurança desde o início. O gerenciamento eficaz de segredos é crucial para proteger os ativos valiosos das empresas de IA e garantir a continuidade da inovação no setor.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

O relatório de tendências de ameaças por e-mail do terceiro trimestre de 2025 da VIPRE revela um aumento alarmante de 13% nos e-mails maliciosos detectados em relação ao ano anterior. Analisando 1,8 bilhão de e-mails, os pesquisadores identificaram mais de 234 milhões de mensagens de spam, com 26 milhões sendo ativamente prejudiciais. As campanhas de coleta de credenciais e táticas avançadas de engenharia social foram os principais responsáveis por esse crescimento. O relatório destaca que o Outlook e o Gmail são os principais alvos, com mais de 90% das campanhas de phishing focadas nessas plataformas. Os atacantes utilizam links maliciosos em 65% dos casos, enquanto 31% envolvem anexos, principalmente PDFs. A engenharia social, especialmente a impersonificação de executivos, é uma tática comum, com 63% das tentativas de comprometimento de e-mail empresarial (BEC) focadas em CEOs. O uso de e-mails gerados por IA também aumentou, representando 57% das amostras de BEC. O relatório conclui que as defesas tradicionais não são mais suficientes, e as organizações devem investir em análise comportamental avançada e detecção baseada em IA para se proteger contra essas ameaças em evolução.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

A GlobalLogic, empresa de desenvolvimento de software, notificou 10.471 pessoas sobre um vazamento de dados ocorrido em julho de 2025. O incidente comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados bancários, informações salariais, números de passaporte, nacionalidades, datas de nascimento, endereços de e-mail e números de telefone. Os hackers exploraram uma vulnerabilidade zero-day na suíte Oracle E-Business, utilizada pela empresa para gerenciar finanças e recursos humanos. O grupo de ransomware Clop, que já reivindicou responsabilidade por outros ataques semelhantes, não listou a GlobalLogic em seu site de vazamentos até o momento. A empresa não revelou a identidade dos atacantes nem se pagou um resgate. GlobalLogic está oferecendo monitoramento de crédito gratuito por 24 meses aos afetados. A vulnerabilidade explorada foi identificada pela Oracle em um aviso de segurança emitido em 4 de outubro de 2025. O acesso não autorizado foi detectado apenas em 9 de outubro de 2025, quase três meses após a invasão inicial. Este incidente destaca a crescente preocupação com a segurança cibernética, especialmente em relação a vulnerabilidades em softwares amplamente utilizados.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

A Mandiant, divisão de defesa contra ameaças da Google, identificou a exploração de uma vulnerabilidade crítica no Triofox, plataforma de compartilhamento de arquivos e acesso remoto da Gladinet. A falha, classificada como CVE-2025-12480 e com uma pontuação CVSS de 9.1, permite que atacantes contornem a autenticação e acessem páginas de configuração, possibilitando o upload e execução de códigos maliciosos. A exploração dessa vulnerabilidade foi observada desde 24 de agosto de 2025, quase um mês após a liberação de patches pela Gladinet. Este é o terceiro incidente de exploração ativa em Triofox neste ano, após outras duas falhas críticas. Os atacantes criaram uma nova conta de administrador nativa, utilizando-a para executar scripts maliciosos que baixavam e instalavam programas de acesso remoto, como Zoho Assist e AnyDesk. Para evitar detecções, foram utilizados túneis criptografados para comunicação com servidores de comando e controle. A Mandiant recomenda que os usuários do Triofox atualizem para a versão mais recente e auditem suas contas administrativas.

Um novo ataque cibernético está ameaçando dispositivos da Samsung, especialmente os modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4, devido a uma vulnerabilidade crítica identificada como CVE-2025-21042. Essa falha, com uma classificação de severidade de 9.8/10, permite a execução remota de código malicioso, possibilitando que atacantes implantem o spyware ‘LandFall’ através de arquivos de imagem malformados enviados pelo WhatsApp. O spyware é capaz de roubar arquivos, gravar áudio, rastrear localização e acessar mensagens e contatos. Os alvos principais desse ataque estão localizados no Oriente Médio, com o grupo Stealth Falcon, baseado nos Emirados Árabes Unidos, sendo o suspeito por trás da campanha. Especialistas da Palo Alto Networks recomendam que os usuários da Samsung mantenham seus dispositivos atualizados e fiquem atentos a mensagens com anexos suspeitos. A falha foi encontrada na biblioteca libimagecodec.quram.so, parte do framework de processamento de imagens dos dispositivos Android da Samsung, e ainda não há informações sobre um patch disponível para corrigir essa vulnerabilidade.

Uma operação internacional chamada Chargeback desmantelou um esquema de fraude que afetou 4,3 milhões de pessoas em 193 países, resultando em um prejuízo estimado de mais de 300 milhões de euros (cerca de 1,8 bilhões de reais). As investigações, que contaram com a colaboração de autoridades de países como Alemanha, EUA, Canadá e outros, revelaram três redes criminosas que utilizavam dados de cartões de crédito para criar assinaturas falsas em sites de pornografia e serviços de streaming entre 2016 e 2021. Os criminosos, que se apresentavam como operadores de redes e gestores de risco, usaram a infraestrutura de quatro empresas de pagamento na Alemanha para lavar dinheiro. A operação resultou na prisão de 18 suspeitos, incluindo cinco executivos de empresas de pagamento. A polícia apreendeu bens avaliados em mais de 35 milhões de euros na Alemanha, além de veículos de luxo e criptomoedas em Luxemburgo. Este caso destaca a vulnerabilidade das plataformas de pagamento e a necessidade de medidas de segurança mais rigorosas para proteger os consumidores contra fraudes.

Uma pesquisa realizada pela Microsoft testou a eficácia de várias IAs agentic em um ambiente simulado de marketplace, revelando falhas significativas na escolha de produtos e na busca por informações. Utilizando um ambiente open-source chamado Magentic Marketplace, a pesquisa envolveu agentes de IA como o Operator da OpenAI e a Business AI da Meta, além de modelos como GPT-5 e Gemini 2.5 Flash. Os agentes foram designados a encontrar o melhor preço entre 300 lojas, mas muitos falharam em realizar comparações adequadas, optando por escolhas que pareciam ‘boas o suficiente’ sem uma análise aprofundada. O estudo também explorou a vulnerabilidade das IAs a manipulações, onde a maioria sucumbiu a táticas de marketing, exceto o Claude Sonnet 4, que se mostrou resistente. Essas falhas levantam preocupações sobre a confiabilidade das IAs como assistentes pessoais, especialmente em contextos críticos como o mercado financeiro, onde decisões automatizadas podem ter consequências significativas. A pesquisa destaca a necessidade de um treinamento mais robusto para essas tecnologias antes que possam ser confiáveis em transações importantes.

Pesquisadores da Check Point Research identificaram uma falha crítica no Microsoft Teams, conhecida como CVE-2024-38197, que permite a hackers falsificarem identidades e manipularem conversas. A vulnerabilidade foi reportada à Microsoft em março de 2024, mas a correção só foi implementada em outubro de 2025. Durante esse período, criminosos conseguiram alterar mensagens e notificações na plataforma, enganando usuários e comprometendo a segurança das comunicações corporativas. As táticas incluíam a edição de mensagens sem deixar rastros, o que dificultava a detecção de fraudes. Além disso, hackers podiam se passar por executivos e enviar notificações falsas, aumentando o risco de vazamento de informações sensíveis. Para mitigar esses riscos, as empresas devem adotar medidas de segurança, como a educação digital dos funcionários e a ativação da autenticação multifator. A falha representa um sério risco para a integridade das comunicações empresariais, especialmente em um ambiente onde o Teams é amplamente utilizado para interações corporativas.

O pesquisador de segurança Karl Biron, da Trustwave, lançou a ferramenta MAD-CAT (Meow Attack Data Corruption Automation Tool), uma utilidade baseada em Python que simula ataques destrutivos a bancos de dados, semelhantes aos que devastaram organizações em 2020. Disponível no GitHub, a ferramenta foca em seis plataformas de banco de dados críticas: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB e Hadoop HDFS, que foram as mesmas comprometidas durante a campanha original dos ataques Meow.

Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada na biblioteca expr-eval, amplamente utilizada para avaliação de expressões matemáticas e processamento de linguagem natural (NLP). A falha, registrada como CVE-2025-12735, permite que atacantes executem comandos de sistema no ambiente do servidor, comprometendo a segurança de aplicações que processam entradas de usuários. Essa vulnerabilidade é especialmente preocupante para organizações que utilizam essa biblioteca em ambientes de produção, pois pode resultar em acesso não autorizado a recursos sensíveis e exfiltração de dados. A falha decorre de um erro de design no método evaluate() da classe Parser, permitindo que funções arbitrárias sejam definidas no contexto do parser. Para mitigar os riscos, as organizações devem auditar suas dependências e aplicar patches imediatamente. As opções incluem a aplicação de um patch específico ou a atualização para versões corrigidas da biblioteca. A rápida implementação dessas correções é crucial para evitar a exploração generalizada da vulnerabilidade. O pesquisador de segurança Jangwoo Choe divulgou a questão de forma responsável, colaborando com GitHub e npm para garantir um relato adequado e tempo suficiente para as correções.

Em 2025, investigações da ZenSec revelaram uma onda significativa de incidentes de ransomware explorando vulnerabilidades críticas na plataforma SimpleHelp Remote Monitoring and Management (RMM). As falhas, identificadas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, permitiram que atacantes executassem código remotamente e assumissem controle total dos sistemas. Grupos de ransomware como Medusa e DragonForce aproveitaram essas vulnerabilidades para invadir Provedores de Serviços Gerenciados (MSPs) e se propagar para os sistemas de clientes. Apesar de patches estarem disponíveis, muitas organizações atrasaram sua implementação. Os atacantes desativaram ferramentas de segurança, roubaram dados e criptografaram sistemas, evidenciando como a confiança na cadeia de suprimentos pode amplificar o impacto. Medusa utilizou ferramentas como PDQ Deploy e RClone para distribuir payloads e exfiltrar dados, enquanto DragonForce focou na coleta de credenciais e na exfiltração usando Restic. Esses incidentes ressaltam a urgência de uma gestão rigorosa de patches nas dependências da cadeia de suprimentos.

O Google expandiu a funcionalidade Deep Research do modelo de IA Gemini, permitindo que ele acesse dados diretamente das contas de Gmail, Google Drive e Google Chat dos usuários. Essa atualização possibilita a integração de e-mails pessoais, documentos, planilhas, apresentações e conversas em relatórios de pesquisa abrangentes, combinando informações internas com dados da web. Essa nova capacidade visa facilitar a colaboração entre profissionais e equipes, permitindo, por exemplo, que análises de mercado sejam iniciadas com documentos compartilhados do Drive e discussões em chats. No entanto, essa integração levanta preocupações significativas de segurança cibernética, uma vez que usuários podem expor dados confidenciais, como estratégias empresariais e comunicações com clientes, ao ecossistema de processamento do Google. Especialistas em segurança alertam para riscos como ataques de injeção de prompt, onde entradas maliciosas podem manipular a IA para vazar informações privadas. A Google recomenda que os usuários habilitem a autenticação de dois fatores e revisem regularmente os logs de acesso. Antes de utilizar a Deep Research com dados sensíveis, as organizações devem realizar avaliações de segurança rigorosas e estabelecer políticas claras sobre quais fontes de dados podem ser compartilhadas com ferramentas de IA.

A Allianz UK é a mais recente organização a ser alvo de um ataque cibernético, explorando uma vulnerabilidade crítica no Oracle E-Business Suite (EBS). Os atacantes conseguiram acesso ao sistema EBS da empresa, que gerencia produtos de seguros pessoais, como automóveis e residências. Embora a Allianz UK tenha confirmado a violação, não comentou sobre possíveis demandas de extorsão do grupo criminoso Clop. A empresa notificou o Information Commissioner’s Office, mas o regulador ainda não reconheceu publicamente a reclamação. Este incidente é distinto de um ataque anterior que afetou a Allianz Life, sua subsidiária americana, que comprometeu dados de 1,4 milhão de clientes em julho. A vulnerabilidade, identificada como CVE-2025-61882, possui uma pontuação crítica de 9.8 no CVSS e, segundo pesquisadores do Google, dezenas de organizações podem ter sido afetadas. O grupo Clop, conhecido por sua sofisticação, já havia se destacado em campanhas anteriores, como o ataque MOVEit MFT, que afetou milhões de indivíduos e milhares de organizações. Este novo ataque evidencia a continuidade das campanhas de exploração de zero-day, que se tornaram comuns no cibercrime.

O Relatório de Segurança de Navegadores 2025 revela que a maioria dos riscos relacionados a identidade, SaaS e inteligência artificial (IA) converge no navegador do usuário, criando uma nova superfície de ameaça. Com quase metade dos funcionários utilizando ferramentas de IA generativa (GenAI) fora da supervisão de TI, 77% deles colam dados em prompts de IA, sendo que 82% dessas colagens vêm de contas pessoais. Além disso, 99% dos usuários corporativos têm extensões instaladas, muitas das quais não são geridas adequadamente, aumentando o risco de vazamentos de dados. Os navegadores de IA, que integram modelos de linguagem diretamente na camada de navegação, também representam uma nova superfície de ataque, permitindo que dados sensíveis sejam processados sem controle. O relatório destaca que as ferramentas tradicionais de segurança, como DLP e EDR, não são suficientes para monitorar essas atividades, pois não inspecionam o que acontece dentro das sessões de navegação. Para mitigar esses riscos, é necessário adotar controles nativos de sessão que ofereçam visibilidade e proteção em tempo real, sem comprometer a experiência do usuário.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Três vulnerabilidades críticas no runc, o runtime de contêineres que suporta Docker e Kubernetes, foram divulgadas por um pesquisador da SUSE em 5 de novembro de 2025. As falhas, identificadas como CVE-2025-31133, CVE-2025-52565 e CVE-2025-52881, permitem que atacantes contornem o isolamento de contêineres e obtenham acesso root aos sistemas host. Essas vulnerabilidades afetam versões conhecidas do runc e exploram fraquezas nas operações de montagem e nas proteções de arquivos durante a criação de contêineres. Os atacantes podem usar condições de corrida e manipulação de links simbólicos para contornar restrições de segurança, permitindo a escrita em arquivos críticos do sistema, o que pode levar a uma fuga de contêineres. É crucial que organizações que utilizam Docker, Kubernetes ou serviços que dependem do runc atualizem imediatamente para versões corrigidas (1.2.8, 1.3.3 ou 1.4.0-rc.3 e posteriores) para evitar compromissos de segurança. Além disso, recomenda-se a auditoria de ambientes implantados e a implementação de políticas rigorosas de escaneamento de imagens para detectar Dockerfiles maliciosos.

Uma vulnerabilidade crítica foi descoberta no Elastic Defend, um software de proteção de endpoint, que pode permitir que atacantes escalem privilégios em sistemas Windows. Identificada como CVE-2025-37735, a falha resulta de um manuseio inadequado das permissões de arquivos no serviço Defend. Quando o serviço é executado com privilégios de nível SYSTEM, ele não preserva corretamente as configurações de permissão originais, criando uma brecha que permite a usuários locais deletar arquivos arbitrários no sistema comprometido. Isso pode levar a uma escalada de privilégios, permitindo que um atacante com acesso limitado obtenha controle administrativo total da máquina afetada. A Elastic classificou a vulnerabilidade com um score CVSS de 7.0 (Alto), o que indica um risco significativo, especialmente em ambientes onde usuários locais têm acesso. As organizações são aconselhadas a atualizar imediatamente para as versões corrigidas 8.19.6, 9.1.6 ou 9.2.0, que implementam mecanismos adequados de preservação de permissões. Para aquelas que não podem atualizar imediatamente, a versão 24H2 do Windows 11 oferece mudanças arquitetônicas que dificultam a exploração dessa vulnerabilidade, servindo como uma medida de segurança temporária.

Uma vulnerabilidade crítica de execução remota de código foi identificada na biblioteca de serialização de checkpoints do LangGraph, afetando versões anteriores à 3.0. Essa falha permite que atacantes executem código Python arbitrário por meio da desserialização de payloads maliciosos. O problema reside no componente JsonPlusSerializer, que é o protocolo de serialização padrão para operações de checkpoint. Quando a serialização msgpack falha devido a valores Unicode ilegais, o sistema muda automaticamente para o modo JSON, que permite a reconstrução de objetos personalizados sem a devida validação, criando uma superfície de ataque. A LangGraph lançou a versão 3.0.0, que corrige a vulnerabilidade implementando um sistema de lista de permissão para a desserialização de construtores, restringindo os caminhos de código permitidos. A atualização é compatível com versões anteriores e não requer modificações no código. Dada a gravidade da vulnerabilidade e a facilidade de exploração, a atualização imediata é essencial para as organizações que utilizam o LangGraph.