O Windows 10 recebeu sua última atualização de segurança, que corrige 172 falhas, incluindo seis vulnerabilidades zero-day. Essas falhas representam riscos significativos, pois são brechas que podem ser exploradas por atacantes antes que a Microsoft tenha a chance de lançar um patch. Entre as vulnerabilidades corrigidas, destacam-se problemas no Gerenciador de Conexão de Acesso Remoto do Windows, uma falha de bypass no Secure Boot e uma vulnerabilidade no TPM 2.0, que é essencial para a atualização para o Windows 11. A situação é alarmante, pois, sem atualizações de segurança, o sistema operacional pode se tornar um alvo fácil para cibercriminosos ao longo do tempo. A Microsoft oferece um programa de Atualizações de Segurança Estendidas (ESU) que permite aos usuários obter suporte adicional, o que é crucial para aqueles que ainda utilizam o Windows 10 após o fim do suporte oficial em outubro de 2025. Ignorar essas atualizações pode resultar em um aumento exponencial de vulnerabilidades, tornando o sistema cada vez mais inseguro.

Um incidente de segurança envolvendo o Discord resultou no vazamento de dados de até 70 mil usuários, incluindo informações sensíveis como passaportes e números de cartões de crédito. O problema foi inicialmente atribuído à 5CA, uma empresa de suporte ao cliente, que negou qualquer envolvimento direto, alegando que o incidente foi causado por ’erro humano’. A 5CA também afirmou que não tratou de documentos de identificação governamentais para o Discord e que seus sistemas permanecem seguros. Por outro lado, hackers alegaram que a invasão ocorreu através da Zendesk, onde uma conta de suporte teria sido comprometida. A Zendesk, assim como o Discord, negou qualquer envolvimento no incidente. Até o momento, o Discord não se manifestou sobre as alegações da 5CA, deixando a responsabilidade pelo vazamento em aberto. Este caso destaca a importância da segurança em plataformas de comunicação e a necessidade de uma abordagem rigorosa para proteger dados sensíveis dos usuários.

Uma pesquisa realizada por cientistas das Universidades da Califórnia e Maryland revelou que quase 50% dos satélites geoestacionários estão vulneráveis a vazamentos de dados. Utilizando uma antena comercial de baixo custo, os pesquisadores conseguiram interceptar comunicações que incluíam dados de operadoras telefônicas, informações governamentais e militares. O estudo, que durou três anos, expôs a falta de criptografia em muitos sinais de satélite, permitindo o acesso não autorizado a informações sensíveis. Entre os dados interceptados estavam comunicações de empresas de eletricidade e plataformas de petróleo, além de conversas de militares e policiais. Apesar de alertar várias empresas, como a T-Mobile, sobre a vulnerabilidade, muitas não tomaram medidas adequadas para proteger suas comunicações. A pesquisa destaca a necessidade urgente de criptografia em sistemas de satélites, especialmente em áreas remotas onde a dependência de sinais de satélite é maior. Os cientistas planejam apresentar suas descobertas em uma conferência em Taiwan e disponibilizar a ferramenta de software utilizada para análise no GitHub, visando ajudar na proteção de dados sensíveis.

Pesquisadores da Sublime Security alertaram sobre um novo golpe de phishing que utiliza falsas ofertas de emprego no Google para roubar credenciais de usuários do Microsoft 365 e Google Workspace. Os e-mails fraudulentos, que imitam comunicações do Google Careers, começam com mensagens que perguntam se a vítima está disponível para uma conversa sobre uma vaga. Os golpistas têm como alvo especialmente contas de e-mail corporativas, filtrando alvos que não pertencem ao ambiente profissional.

O fim do suporte ao Windows 10 traz à tona a necessidade de cautela na compra de novos ou usados computadores. A partir de agora, apenas hardware compatível com o Windows 11 receberá atualizações de segurança e compatibilidade, expondo sistemas mais antigos a riscos. O Windows 11 impõe requisitos de hardware mais rigorosos, como suporte a TPM 2.0 e compatibilidade com Secure Boot, o que significa que muitos processadores Intel de 7ª geração e chips AMD mais antigos não poderão rodar o novo sistema operacional. Para garantir a compatibilidade, é essencial verificar a geração do processador antes da compra. Processadores Intel compatíveis começam na 8ª geração, enquanto apenas os Ryzen 2000 da AMD e posteriores atendem aos novos critérios. Embora seja possível instalar o Windows 11 em sistemas não suportados, a Microsoft não recomenda essa prática. Portanto, ao considerar a compra de um PC, especialmente se for usado, é crucial confirmar se o hardware atende aos requisitos do Windows 11 para evitar problemas futuros de segurança e compatibilidade.

A Seqrite Labs revelou uma operação de ciberespionagem sofisticada, denominada Operação Silk Lure, que utiliza uma campanha de aplicação de emprego enganosa para comprometer organizações na China. O ataque começa com e-mails de spear-phishing que se disfarçam de candidatos a vagas técnicas em setores como FinTech e criptomoedas. Os e-mails contêm arquivos .LNK maliciosos disfarçados de currículos, que, ao serem executados, lançam um script PowerShell que baixa o malware ValleyRAT de um domínio controlado por hackers. O script abusa do Agendador de Tarefas do Windows para criar uma tarefa recorrente que ativa o malware diariamente, ocultando suas atividades. O ValleyRAT é um backdoor modular que realiza vigilância extensiva, captura dados sensíveis e se adapta para evitar detecção por softwares antivírus. A pesquisa da Seqrite identificou mais de 20 domínios relacionados ao ataque, que se assemelham a portais de emprego legítimos, aumentando a credibilidade do golpe. A Seqrite recomenda que as organizações monitorem execuções suspeitas do PowerShell e bloqueiem conexões com os domínios maliciosos identificados.

Uma nova campanha de phishing está atacando usuários do LastPass, disfarçando-se como alertas de segurança urgentes para disseminar malware. Especialistas em segurança identificaram e-mails fraudulentos enviados de domínios como ‘hello@lastpasspulse[.]blog’ e ‘hello@lastpassgazette[.]blog’, com linhas de assunto alarmantes como ‘Fomos Hackeados - Atualize Seu Aplicativo LastPass Desktop para Manter a Segurança do Cofre’. Apesar das alegações, a equipe de segurança do LastPass confirmou que não houve violação. Os e-mails direcionam os usuários a domínios maliciosos, como ’lastpassdesktop[.]com’, que foram sinalizados como sites de phishing ativos. A análise técnica dos cabeçalhos dos e-mails revela táticas de ofuscação agressivas, reforçando a ilusão de legitimidade. A campanha coincide com um feriado nos EUA, um momento estratégico em que as equipes de segurança podem estar menos atentas. O LastPass enfatiza que nunca solicitará a senha mestra ou exigirá atualizações imediatas por meio de links enviados por e-mail. Os usuários são aconselhados a verificar todas as comunicações inesperadas e a encaminhar e-mails suspeitos para investigação.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do Microsoft Windows ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que atacantes estão explorando ativamente essa falha em ataques reais. A vulnerabilidade, identificada como CVE-2025-59230, afeta o componente Gerenciador de Conexão de Acesso Remoto do Windows e permite que atacantes aumentem seus privilégios em sistemas comprometidos. Isso significa que um invasor com acesso limitado pode obter permissões mais altas, possibilitando a execução de código malicioso, acesso a dados sensíveis e movimentação lateral em redes interconectadas. A CISA ordenou que agências federais apliquem patches de segurança até 4 de novembro, e recomenda que todas as organizações priorizem a correção dessa falha. Dada a exploração ativa e a urgência do alerta, as equipes de segurança devem tratar essa vulnerabilidade como uma prioridade alta para evitar possíveis violações e comprometimentos de sistemas.

Pesquisadores das Universidades da Califórnia, Carnegie Mellon e Washington identificaram um novo tipo de ataque chamado Pixnapping, que explora vulnerabilidades em dispositivos Android para roubar códigos de autenticação em duas etapas (2FA) e outros dados sensíveis. O ataque é classificado como um ataque de canal lateral, onde o malware consegue contornar as ferramentas de segurança dos navegadores e acessar informações através da API do Android e do hardware do dispositivo. O método utilizado permite que o malware capture dados em apenas 30 segundos, afetando diversos modelos de celulares, incluindo os da Google e Samsung, com versões do Android variando da 13 à 16.

Dominic Cummings, ex-assessor do ex-primeiro-ministro Boris Johnson, afirmou que hackers chineses acessaram sistemas de segurança de alto nível do governo do Reino Unido por mais de uma década, obtendo informações classificadas, incluindo dados sensíveis conhecidos como ‘Strap’. Cummings alegou que foi informado sobre a violação em 2020 e que a informação comprometida incluía materiais dos serviços de inteligência e do Secretariado de Segurança Nacional. Em resposta, o Gabinete do Primeiro-Ministro negou as alegações, afirmando que os sistemas utilizados para transferir informações sensíveis não foram comprometidos. O ex-chefe do Centro Nacional de Cibersegurança do Reino Unido, professor Ciaran Martin, também desmentiu as afirmações de Cummings, ressaltando que não houve investigação sobre a suposta violação e que os sistemas em questão são projetados para serem seguros e monitorados de forma diferente de sistemas baseados na internet. As declarações de Cummings geraram um debate acalorado, e ele se ofereceu para testemunhar caso o Parlamento inicie uma investigação sobre o assunto.

A Capita, uma das maiores empresas de terceirização e serviços digitais do Reino Unido, foi multada em £14 milhões (cerca de R$ 90 milhões) pela Information Commissioner’s Office (ICO) devido a falhas de segurança que resultaram em um vazamento de dados. O incidente, ocorrido em 2023, comprometeu informações pessoais de mais de 6 milhões de pessoas, incluindo nomes, datas de nascimento, endereços e dados financeiros, como números de cartões e CVVs. A ICO destacou que a Capita não implementou medidas de segurança adequadas para prevenir a escalada de privilégios e o movimento lateral não autorizado em suas redes. Além disso, a resposta da empresa a alertas de segurança foi considerada ineficaz. Embora a Capita tenha inicialmente afirmado que não havia evidências de comprometimento de dados, posteriormente foi revelado que informações de funcionários, clientes e parceiros foram expostas. A multa representa uma redução significativa em relação à penalidade inicial proposta de £45 milhões, refletindo um acordo voluntário com o regulador. O caso ressalta a necessidade urgente de que todas as organizações adotem medidas proativas para proteger os dados pessoais sob sua responsabilidade.

Uma nova campanha de phishing está atacando clientes do GMO Aozora Bank, no Japão, utilizando uma técnica antiga chamada Autenticação Básica para disfarçar URLs maliciosas. Pesquisadores da Netcraft identificaram várias URLs de phishing que imitam sites bancários legítimos, redirecionando os usuários para domínios maliciosos que coletam credenciais de login. A Autenticação Básica, um protocolo web obsoleto, permite que atacantes insiram o nome de um domínio confiável na seção de nome de usuário, fazendo com que o verdadeiro destino do link apareça após o símbolo ‘@’. Essa manobra engana os usuários, especialmente em dispositivos móveis, onde os URLs podem ser truncados. Durante a investigação, foram encontrados 214 URLs de phishing únicas, com 71,5% direcionadas a usuários ou empresas japonesas. A campanha destaca como a compatibilidade com recursos web desatualizados pode ser explorada por grupos de phishing modernos. A Netcraft recomenda que as organizações eduquem os usuários sobre os riscos de URLs com credenciais embutidas e implementem políticas de inspeção de URLs para sinalizar a presença do símbolo ‘@’.

O Escritório do Comissário de Informação (ICO) do Reino Unido impôs uma multa de £14 milhões à Capita plc e sua subsidiária, Capita Pension Solutions Limited (CPSL), após um grave vazamento de dados ocorrido em março de 2023. O incidente comprometeu informações pessoais de aproximadamente 6,6 milhões de indivíduos. A violação foi facilitada por um arquivo malicioso que infectou o dispositivo de um funcionário, permitindo que cibercriminosos acessassem a rede da Capita. Apesar de um alerta automático ser acionado em dez minutos, o dispositivo infectado não foi isolado por 58 horas, durante as quais os atacantes conseguiram exfiltrar quase um terabyte de dados, incluindo registros de pensões e informações de funcionários. O ICO identificou várias falhas nos controles de segurança da Capita, como a falta de um modelo de contas administrativas em camadas e tempos de resposta inadequados a alertas de segurança. A Capita, que já processa dados pessoais para mais de 600 clientes, ofereceu 12 meses de monitoramento de crédito gratuito para os afetados e estabeleceu um centro de atendimento dedicado. O caso destaca a importância de medidas de segurança robustas e a necessidade de conformidade com regulamentações como o GDPR e a LGPD.

Um novo ataque de ciberespionagem foi identificado na região Ásia-Pacífico, com o grupo Mysterious Elephant, classificado como uma ameaça avançada persistente (APT), atacando agências governamentais e de política externa. Desde sua descoberta em 2023, o grupo tem se destacado por suas táticas adaptáveis, especialmente ao explorar plataformas de mensagens como o WhatsApp para roubar documentos e arquivos.

A campanha mais recente, iniciada em 2025, mostra uma evolução significativa nas técnicas operacionais do grupo, que agora utiliza malware desenvolvido sob medida e utilitários de código aberto modificados, como BabShell e MemLoader. Os ataques geralmente começam com e-mails de spear-phishing que imitam correspondências oficiais, utilizando temas diplomáticos para enganar as vítimas. Uma vez que o sistema é comprometido, o BabShell estabelece uma conexão de shell reverso, permitindo que os atacantes mantenham controle e executem comandos.

Uma vulnerabilidade severa na implementação do servidor WINS do Samba para controladores de domínio do Active Directory foi divulgada, permitindo que atacantes não autenticados executem código arbitrário em sistemas vulneráveis. Identificada como CVE-2025-10230, a falha possui uma pontuação CVSS 3.1 de 10.0, destacando seu alto risco e facilidade de exploração. Todas as versões do Samba desde a 4.0 com suporte a WINS habilitado e o parâmetro wins hook configurado estão afetadas, o que pode expor uma infinidade de serviços de diretório corporativo a compromissos.

O grupo de ransomware Qilin, conhecido por seu modelo de ransomware como serviço (RaaS), intensificou suas operações globais utilizando provedores de hospedagem à prova de balas (BPH) para ocultar suas atividades. De acordo com a Resecurity, a infraestrutura do Qilin abrange várias jurisdições, incluindo Rússia, Hong Kong, Chipre e Emirados Árabes Unidos, permitindo que o grupo evite a aplicação da lei e mantenha suas operações a longo prazo. Recentemente, o Qilin atacou o Asahi Group Holdings, a maior fabricante de bebidas do Japão, paralisando a produção em 30 fábricas. O grupo, que surgiu em meados de 2022, utiliza um modelo avançado de RaaS, onde seus afiliados executam ataques e retêm 80-85% do resgate. A infraestrutura do Qilin é sustentada por provedores de BPH que operam sem identificação de clientes, permitindo que dados roubados e servidores de comando e controle sejam hospedados de forma anônima. Até outubro de 2025, o Qilin já havia reivindicado mais de 50 novas vítimas, incluindo agências governamentais e cooperativas elétricas nos EUA. A dependência de redes BPH fantasmas demonstra como a infraestrutura de hospedagem anonimizada permite que grupos de ransomware prosperem fora do alcance da lei internacional.

Nos primeiros nove meses de 2025, pesquisadores da Comparitech registraram 276 ataques a organizações governamentais, um aumento de 41% em relação ao mesmo período de 2024. Desses, 147 ataques foram confirmados, com uma expectativa de que esse número cresça à medida que mais incidentes sejam verificados. Apesar do aumento geral, o número de ataques de ransomware a agências governamentais tem diminuído a cada trimestre desde o primeiro trimestre de 2025. No entanto, as empresas de serviços públicos não experimentaram essa mesma queda, com 10 ataques confirmados, sendo cinco deles nos últimos três meses. O ataque ao Lakehaven Water & Sewer District em setembro, reivindicado pelo grupo Qilin, exemplifica o impacto que esses incidentes podem ter nos serviços essenciais. Os ataques a organizações governamentais são frequentemente amplamente divulgados, o que aumenta a notoriedade dos grupos atacantes. O relatório também destaca que o grupo Qilin foi responsável pelo maior número de ataques confirmados, com 19 incidentes, e que os Estados Unidos lideram em termos de ataques, seguidos por Brasil e Canadá. O impacto financeiro médio das demandas de resgate foi de aproximadamente $1,95 milhão, com um aumento significativo nas exigências em alguns casos.

As autoridades do Condado de Grand Traverse, em Michigan, confirmaram a notificação de 782 pessoas sobre uma violação de dados ocorrida em junho de 2024, que comprometeu seus nomes e números de Seguro Social. O condado detectou atividades não autorizadas em sua rede e uma investigação forense digital de terceiros revelou que informações pessoais estavam em locais da rede que foram comprometidos. Notavelmente, a notificação aos afetados ocorreu mais de 15 meses após a violação, enquanto o tempo médio de notificação após uma violação de dados é de cerca de 4 meses. Até o momento, nenhum grupo de ransomware reivindicou a responsabilidade pelo ataque. O condado está oferecendo 12 meses de monitoramento de crédito gratuito através da Cyberscout para as vítimas, com um prazo de 90 dias para inscrição. Em 2024, pesquisadores registraram 95 ataques de ransomware confirmados a entidades governamentais nos EUA, comprometendo mais de 2,5 milhões de registros. Esses ataques podem não apenas roubar dados, mas também bloquear sistemas, exigindo resgates para a recuperação. O Condado de Grand Traverse, que abriga quase 100 mil pessoas, é o mais populoso do norte de Michigan.

Pesquisadores de cibersegurança revelaram uma nova campanha, chamada Operação Zero Disco, que explora uma vulnerabilidade crítica no Cisco IOS e IOS XE para implantar rootkits em sistemas Linux mais antigos. A falha, identificada como CVE-2025-20352, possui uma pontuação CVSS de 7.7 e permite que atacantes remotos autenticados executem código arbitrário ao enviar pacotes SNMP manipulados. Embora a Cisco tenha lançado um patch para a vulnerabilidade, ataques reais já estavam em andamento, utilizando essa falha como um zero-day. Os dispositivos mais afetados incluem as séries Cisco 9400, 9300 e 3750G. Os rootkits implantados possibilitam acesso não autorizado persistente, configurando senhas universais e instalando hooks na memória do daemon IOS. Os atacantes também tentaram explorar uma vulnerabilidade no Telnet, permitindo acesso à memória em endereços arbitrários. A operação se destacou por atingir sistemas Linux antigos sem soluções de detecção de endpoint, permitindo que os rootkits operassem sem serem detectados. A utilização de endereços IP e e-mails falsificados também foi observada durante as intrusões.

Uma investigação sobre a violação de uma infraestrutura hospedada na Amazon Web Services (AWS) revelou um novo rootkit para GNU/Linux, denominado LinkPro, conforme relatado pela empresa de cibersegurança Synacktiv. O ataque começou com a exploração de um servidor Jenkins exposto, vulnerável à CVE-2024–23897, que permitiu a implantação de uma imagem Docker maliciosa chamada ‘kvlnt/vv’ em vários clusters Kubernetes. Essa imagem continha um sistema baseado em Kali Linux e arquivos que permitiam a instalação de um servidor VPN e um downloader que se comunicava com um servidor de comando e controle (C2).

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.

Um grupo de hackers associado à Coreia do Norte, identificado como UNC5342, está utilizando a técnica EtherHiding para distribuir malware e roubar criptomoedas. Este é o primeiro caso documentado de um grupo patrocinado por um estado adotando essa abordagem. A técnica consiste em embutir código malicioso em contratos inteligentes em blockchains públicas, como Ethereum, tornando a detecção e a remoção mais difíceis. A campanha, chamada ‘Contagious Interview’, envolve abordagens de engenharia social em plataformas como LinkedIn, onde os atacantes se passam por recrutadores para induzir as vítimas a executar códigos maliciosos. O objetivo é acessar máquinas de desenvolvedores, roubar dados sensíveis e criptomoedas. O Google Threat Intelligence Group observou essa atividade desde fevereiro de 2025, destacando a evolução das ameaças cibernéticas e a adaptação dos atacantes a novas tecnologias. O ataque utiliza uma cadeia de infecção que pode atingir sistemas Windows, macOS e Linux, empregando diferentes famílias de malware, incluindo um downloader e um backdoor chamado InvisibleFerret, que permite controle remoto das máquinas comprometidas.

Uma nova campanha de malware em larga escala foi identificada no Brasil, envolvendo um Trojan bancário chamado Maverick, que se espalha através do WhatsApp. O ataque utiliza arquivos LNK maliciosos enviados em arquivos ZIP, contornando as restrições da plataforma de mensagens. Ao abrir o arquivo, o Trojan executa um comando PowerShell que baixa cargas adicionais de um servidor de comando e controle (C2), utilizando um canal de comunicação que valida rigorosamente o acesso. O Maverick se destaca por sua capacidade de se propagar rapidamente entre contatos do WhatsApp, enviando mensagens de spam com novos arquivos maliciosos. Além disso, o malware monitora navegadores e visa 26 portais bancários brasileiros, além de exchanges de criptomoedas. O componente principal, chamado Maverick Agent, permite que os atacantes tenham controle total do sistema da vítima, incluindo captura de tela e registro de teclas. Nos primeiros dez dias de outubro, mais de 62.000 tentativas de infecção foram bloqueadas, evidenciando a gravidade da ameaça, que é direcionada a usuários brasileiros, utilizando verificação de idioma e fuso horário.

A Microsoft anunciou a interrupção de uma campanha sofisticada de ciberataques liderada pelo grupo Vanilla Tempest, também conhecido como VICE SPIDER e Vice Society. A ação envolveu a revogação de mais de 200 certificados de assinatura de código obtidos fraudulentamente. A campanha, que começou em setembro de 2025, utilizou arquivos de instalação falsificados do Microsoft Teams para implantar um backdoor chamado Oyster e, posteriormente, o ransomware Rhysida. Os atacantes criaram sites que se passavam por portais oficiais de download do Teams, utilizando técnicas de SEO para atrair vítimas. Após a execução do instalador falso, o backdoor Oyster permitia acesso persistente aos sistemas comprometidos. A Microsoft agiu rapidamente para revogar os certificados, invalidando as chaves usadas nos arquivos de instalação e atualizando o Microsoft Defender para detectar as ameaças associadas. A ação ressalta a importância da gestão robusta de certificados e do compartilhamento de inteligência em tempo real, ajudando a proteger clientes globalmente e a estabelecer um precedente para a colaboração entre autoridades certificadoras e a comunidade de cibersegurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança crítica no Adobe Experience Manager (AEM) ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), após evidências de exploração ativa. A vulnerabilidade, identificada como CVE-2025-54253, possui uma pontuação CVSS de 10.0, indicando severidade máxima, e pode permitir a execução de código arbitrário. A falha afeta as versões 6.5.23.0 e anteriores do AEM Forms em JEE e foi corrigida na versão 6.5.0-0108, lançada em agosto de 2025. O problema decorre de um servlet exposto, que avalia expressões OGNL fornecidas pelo usuário como código Java, sem exigir autenticação ou validação de entrada. Embora não haja informações públicas sobre como a falha está sendo explorada em ataques reais, a Adobe reconheceu a existência de um proof-of-concept disponível publicamente. Em resposta à exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções necessárias até 5 de novembro de 2025.

O cenário da cibersegurança está em constante transformação, com novas fraudes e ataques surgindo a cada semana. Hackers estão se tornando mais sofisticados, utilizando aplicativos confiáveis e sites legítimos para enganar usuários e roubar informações sem que eles percebam. Um exemplo alarmante é a operação do governo dos EUA que apreendeu US$ 15 bilhões em criptomoedas de uma rede de fraudes que operava na Ásia, onde trabalhadores eram forçados a realizar esquemas de investimento fraudulentos. Além disso, um novo trojan bancário chamado Maverick, que utiliza o WhatsApp para roubar dados de usuários brasileiros, foi identificado, destacando a vulnerabilidade de plataformas populares. Pesquisas também revelaram que é possível interceptar comunicações de satélites militares e comerciais com equipamentos comuns, expondo dados sensíveis. Por fim, protocolos legados do Windows continuam a ser explorados para roubo de credenciais, evidenciando a necessidade de atualização e segurança em sistemas. Este artigo destaca a urgência de uma resposta proativa na defesa contra essas ameaças emergentes.

O artigo de Arthur Capella discute a crescente complexidade da cibersegurança em um ambiente de trabalho distribuído e digitalizado, onde a migração para a nuvem e a adoção de inteligência artificial (IA) aumentam tanto o valor quanto o risco. A superfície de ataque se expandiu mais rapidamente do que a capacidade das empresas de medir e responder a essas ameaças. A gestão de exposição é apresentada como uma disciplina estratégica, essencial para priorizar riscos com base no impacto nos negócios, em vez de se concentrar apenas em uma lista de vulnerabilidades. O autor destaca a escassez de profissionais qualificados em cibersegurança e a limitação orçamentária como desafios constantes. Além disso, enfatiza que apenas 3% das vulnerabilidades frequentemente resultam em riscos significativos, tornando a priorização crucial. O artigo conclui que, em vez de tentar eliminar todos os riscos, as empresas devem focar em fechar as portas que realmente importam, equilibrando inovação e segurança.

A Microsoft está investigando uma série de interrupções que afetaram o acesso ao Microsoft 365, com a terceira queda ocorrendo na última semana. O problema, que impactou usuários em diversas regiões, foi classificado como uma falha na central administrativa, uma categorização que indica problemas significativos na experiência do usuário. Durante os incidentes, aplicativos como Microsoft Teams e Exchange Online foram os mais afetados, com dificuldades de autenticação e acesso. Na quarta-feira (8), a interrupção impediu o uso do Teams e do Exchange Online, enquanto na quinta-feira (9), problemas na rede Azure Front Door resultaram em falhas de acesso em regiões como Europa, Ásia e Oriente Médio. Embora os serviços já tenham sido restaurados, a Microsoft ainda está analisando as causas e recomenda que os usuários que enfrentam problemas entrem em contato com o suporte. Este não é o primeiro incidente, já que falhas semelhantes ocorreram em setembro, afetando o acesso a e-mails e calendários devido a bugs no código. A situação levanta preocupações sobre a confiabilidade do serviço e a necessidade de soluções permanentes para evitar novas interrupções.

Pesquisadores de cibersegurança da Trend Micro descobriram uma campanha de ataque sofisticada chamada “Operação Zero Disco”, que explora uma vulnerabilidade crítica no protocolo SNMP da Cisco para implantar rootkits Linux em dispositivos de infraestrutura de rede. A vulnerabilidade, identificada como CVE-2025-20352, permite a execução remota de código (RCE) em modelos de switches Cisco mais antigos, como as séries 9400, 9300 e 3750G. Os atacantes conseguem estabelecer acesso persistente e evitar sistemas de detecção, utilizando senhas universais que comprometem a segurança dos dispositivos. Além disso, a campanha demonstra técnicas avançadas de infiltração na rede, como manipulação de VLANs e spoofing de ARP, permitindo que os invasores contornem múltiplas camadas de segurança. A Cisco confirmou que a falha afeta diversos modelos de switches, sendo os 3750G os mais vulneráveis devido à falta de proteções modernas. A Trend Micro recomenda o uso de suas soluções de segurança para detectar e mitigar esses ataques, mas alerta que não há ferramentas automatizadas confiáveis para verificar se um switch Cisco foi comprometido, exigindo investigação manual.

Uma análise recente sobre a infraestrutura relacionada à campanha ClickFix revelou a existência de mais de 13.000 domínios maliciosos, utilizados em operações de phishing e entrega de malware. As campanhas ClickFix exploram a capacidade dos navegadores de escrever diretamente na área de transferência do usuário, enganando as vítimas a executar scripts maliciosos sob a aparência de verificação CAPTCHA. Um exemplo é o site greenblock[.]me, que solicita aos usuários que executem um comando PowerShell para baixar e executar um script Visual Basic, frequentemente resultando em infecções por malware.

A F5 Networks revelou um incidente de segurança que afetou seus ambientes internos, onde um ator de ameaça sofisticado, possivelmente um agente estatal, obteve acesso persistente e exfiltrou arquivos de sistemas críticos, incluindo o ambiente de desenvolvimento do produto BIG-IP. A empresa confirmou que ações de contenção foram bem-sucedidas e que não houve atividade não autorizada desde o início da resposta em agosto de 2025. Entre os arquivos acessados estão partes do código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas em desenvolvimento. No entanto, a F5 assegurou que não há evidências de exploração ativa de falhas críticas ou de manipulação da cadeia de suprimentos. A empresa recomenda que seus clientes apliquem imediatamente atualizações de segurança e implementem práticas de endurecimento para mitigar riscos. A F5 também está colaborando com especialistas em segurança e autoridades para investigar o incidente e melhorar suas defesas. A situação destaca a importância de monitoramento contínuo e resposta rápida a incidentes de segurança.

O grupo de ransomware Interlock reivindicou um ataque cibernético às escolas públicas de Kearney, em Nebraska, ocorrido na última sexta-feira. O ataque resultou no roubo de 354 GB de dados, incluindo informações pessoais e financeiras de alunos e seus familiares. Embora a escola tenha restaurado seus sistemas até segunda-feira, a veracidade das alegações do grupo não foi confirmada. A diretora de comunicações da escola, Tori Stofferson, afirmou que a investigação ainda está em andamento e que não houve solicitação de resgate. O superintendente, Dr. Jason Mundorf, mencionou que servidores de câmeras e de telefonia foram comprometidos, mas não se sabe se dados pessoais foram acessados. O Interlock é um grupo que começou a operar em outubro de 2024 e já reivindicou 32 ataques confirmados, sendo 11 direcionados a instituições educacionais. Os ataques de ransomware têm se tornado comuns nas escolas dos EUA, com 38 incidentes confirmados em 2025, comprometendo 184 mil registros. O impacto desses ataques pode ser severo, afetando operações diárias e expondo dados sensíveis a fraudes.

A empresa de cibersegurança F5 anunciou que sistemas internos foram comprometidos por um ator de ameaça estatal altamente sofisticado, resultando no roubo de arquivos que incluem código-fonte do BIG-IP e informações sobre vulnerabilidades não divulgadas. A violação foi detectada em 9 de agosto de 2025, e a F5 tomou medidas para conter a ameaça, incluindo a contratação de especialistas da Google Mandiant e CrowdStrike. Embora a empresa não tenha especificado a duração do acesso não autorizado, afirmou que não há evidências de que as vulnerabilidades tenham sido exploradas de forma maliciosa. No entanto, alguns arquivos extraídos continham informações de configuração que podem afetar uma pequena porcentagem de clientes, que serão notificados diretamente. A F5 recomenda que os usuários apliquem as atualizações mais recentes para seus produtos, como BIG-IP e F5OS, para garantir a proteção adequada.

Um grupo de hackers com vínculos à China, identificado como Jewelbug, foi responsável por uma invasão que durou cinco meses, visando um provedor de serviços de TI na Rússia. A atividade ocorreu entre janeiro e maio de 2025 e foi atribuída pela Symantec, que observou que o grupo também está relacionado a outras ameaças cibernéticas conhecidas. A invasão permitiu acesso a repositórios de código e sistemas de construção de software, possibilitando ataques à cadeia de suprimentos que poderiam afetar clientes na Rússia. Os atacantes utilizaram uma versão renomeada do Microsoft Console Debugger para executar código malicioso e contornar medidas de segurança. Além disso, foram observados esforços para exfiltrar dados para o Yandex Cloud. A atividade do Jewelbug destaca a continuidade das operações de espionagem cibernética da China, mesmo com o fortalecimento das relações entre Moscou e Pequim. O grupo também foi associado a uma intrusão em uma organização governamental na América do Sul, utilizando uma nova backdoor em desenvolvimento, o que demonstra suas capacidades em evolução. O uso de ferramentas legítimas e serviços em nuvem para ocultar suas atividades torna a detecção e resposta a esses ataques ainda mais desafiadoras.

Especialistas em segurança da Cleafy identificaram um novo aplicativo malicioso chamado Mbdro Pro IP TV + VPN, que se disfarça como um serviço de VPN e streaming para Android. Este aplicativo não apenas falha em fornecer as funcionalidades prometidas, mas também instala um trojan bancário conhecido como Klopatra, que ainda não foi classificado em uma família de malwares específica. O Klopatra utiliza engenharia social para enganar os usuários e roubar suas credenciais, permitindo que os atacantes realizem transações fraudulentas. O uso de aplicativos falsos de VPN e IPTV está se tornando uma tendência crescente, com riscos ocultos mesmo em aplicativos legítimos disponíveis na Play Store. Um estudo recente da Open Technology Fund revelou que 32 VPNs comerciais, utilizadas por mais de um bilhão de pessoas, apresentam sérios problemas de segurança. Para se proteger, os usuários devem baixar aplicativos apenas de fontes confiáveis e verificar as permissões solicitadas. A situação é alarmante, pois muitos usuários, ao buscar serviços clandestinos, ignoram as soluções de segurança disponíveis.

Recentemente, a Sony enfrentou críticas após o roubo da conta de um influenciador da PlayStation Network (PSN), que não conseguiu assistência adequada do suporte da empresa. O caso destaca a alegação de que funcionários do suporte são mal treinados e, em alguns casos, aceitam subornos para não resolver problemas de contas comprometidas. O incidente mais recente envolveu um caçador de troféus conhecido, que teve sua conta invadida, mesmo com a autenticação de dois fatores ativada. O hacker, que se apresentou como Zzyuj, revelou que era possível obter acesso às contas apenas fornecendo o nome de usuário ao suporte. Este problema não é novo; a PSN já teve um grande vazamento em 2011, quando 77 milhões de contas foram comprometidas. Apesar das promessas de melhorias na segurança, muitos usuários continuam a relatar invasões. A falta de transparência da Sony em relação a brechas de segurança e a ineficácia do suporte têm gerado descontentamento entre os jogadores, que pedem uma resposta da empresa sobre a situação.

A ‘Operação Hércules’, realizada pela polícia alemã em colaboração com autoridades da Bulgária e a Europol, resultou na desativação de mais de 1.400 sites fraudulentos que enganavam vítimas com promessas de investimentos em criptomoedas. Os golpistas utilizaram inteligência artificial para criar sites convincentes, simulando retornos financeiros significativos. Após o fechamento das páginas, foram registradas mais de 860.000 tentativas de acesso, evidenciando a popularidade dessas plataformas de investimento falsas. Os usuários eram induzidos a registrar contas e a investir, sendo inicialmente permitidos a retirar pequenas quantias, o que os levava a acreditar na legitimidade dos sites. Quando tentavam retirar valores maiores, eram informados sobre taxas ou impostos, e, em muitos casos, os sites simplesmente saíam do ar. Apesar da magnitude da operação, não houve prisões, o que sugere que os golpistas podem retomar suas atividades rapidamente. Especialistas alertam para a crescente incidência de fraudes relacionadas a criptomoedas, especialmente em um ambiente regulatório fraco, e recomendam cautela ao considerar investimentos em plataformas online.

Uma nova campanha de malware para Android, identificada como GhostBat RAT, está explorando a aparência de aplicativos do Escritório de Transporte Regional (RTO) da Índia para roubar dados bancários e credenciais de UPI de usuários indianos. O malware utiliza técnicas avançadas de ofuscação, dropper em múltiplas etapas e engenharia social para enganar os usuários, sendo distribuído através de aplicativos falsos do mParivahan via WhatsApp, SMS e sites comprometidos.

Após a instalação, o aplicativo falso solicita permissões de SMS sob o pretexto de uma atualização e começa a coletar dados sensíveis. Desde setembro de 2025, foram identificadas mais de 40 amostras de APK maliciosos, que empregam técnicas de evasão como manipulação de cabeçalho ZIP e mecanismos anti-emulação. O malware também realiza phishing, levando os usuários a uma interface falsa de UPI onde são induzidos a inserir seus PINs, que são enviados para um endpoint controlado pelos atacantes.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) adicionou a vulnerabilidade CVE-2025-6264 ao seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV), alertando que operadores de ransomware estão explorando uma falha de permissões padrão no Velociraptor, uma ferramenta de forense de endpoints da Rapid7. Essa vulnerabilidade permite a execução de comandos arbitrários e a possível tomada de controle do endpoint, desde que o atacante já tenha acesso suficiente para coletar artefatos. A falha está relacionada a configurações de permissões incorretas, que podem ser utilizadas em estágios de movimento lateral em ataques de ransomware, onde os operadores convertem acessos limitados em controle total. A CISA recomenda que as organizações remedeiem a vulnerabilidade até 4 de novembro de 2025, aplicando as mitig ações do fornecedor e seguindo as diretrizes de BOD 22-01 para serviços em nuvem. A exploração ativa dessa vulnerabilidade foi observada em várias campanhas de ransomware, elevando a urgência para defensores do setor público e privado. As equipes de segurança devem verificar as permissões de implantação do Velociraptor, reforçar credenciais e aumentar a telemetria para detectar usos anômalos.

Um grande fabricante sofreu um ataque de ransomware devastador após a obtenção de credenciais VPN roubadas. O grupo cibercriminoso Ignoble Scorpius utilizou um ataque de phishing por voz para enganar um funcionário, que forneceu suas informações de login em um site falso. Com essas credenciais, os atacantes conseguiram acesso à rede e rapidamente elevaram seus privilégios, realizando um ataque DCSync para coletar credenciais administrativas adicionais.

Os invasores se moveram lateralmente pela rede, utilizando ferramentas como Advanced IP Scanner para mapear servidores valiosos e instalaram um Trojan de acesso remoto para garantir acesso contínuo. Eles comprometeram um segundo controlador de domínio, extraindo mais de 400 GB de dados sensíveis antes de implantar o ransomware BlackSuit, que criptografou centenas de máquinas virtuais, paralisando as operações da empresa.

No dia 15 de outubro de 2025, a Microsoft lançou correções para 183 falhas de segurança em seus produtos, incluindo três vulnerabilidades que estão sendo ativamente exploradas. Este lançamento ocorre em um momento crítico, pois a empresa encerrou oficialmente o suporte ao Windows 10, exceto para PCs que participam do programa de Atualizações de Segurança Estendidas (ESU). Das 183 vulnerabilidades, 165 foram classificadas como importantes, 17 como críticas e uma como moderada. As falhas mais preocupantes incluem duas vulnerabilidades de elevação de privilégios (CVE-2025-24990 e CVE-2025-59230), que permitem a execução de código com privilégios elevados. Além disso, uma vulnerabilidade de bypass de Secure Boot (CVE-2025-47827) foi identificada no IGEL OS, que pode permitir a instalação de rootkits. Todas essas falhas foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, exigindo que agências federais apliquem os patches até 4 de novembro de 2025. O impacto dessas vulnerabilidades pode ser significativo, especialmente em ambientes corporativos que utilizam amplamente as tecnologias da Microsoft.

Uma nova pesquisa revelou que mais de 100 extensões do Visual Studio Code (VS Code) vazaram tokens de acesso, permitindo que atacantes atualizassem essas extensões com malware, representando um risco crítico à cadeia de suprimentos de software. Os pesquisadores da Wiz identificaram mais de 550 segredos validados em mais de 500 extensões, incluindo tokens de acesso pessoal do VS Code Marketplace e do Open VSX, que poderiam ser explorados por cibercriminosos. Com uma base de instalação acumulada de 150.000, a possibilidade de distribuição de malware é alarmante. Além disso, um grupo de ameaças conhecido como TigerJack publicou extensões maliciosas que roubam código-fonte e mineram criptomoedas, utilizando uma abordagem de cavalo de Troia para enganar desenvolvedores. A Microsoft respondeu ao problema revogando os tokens vazados e implementando recursos de verificação de segredos. Os usuários do VS Code são aconselhados a limitar o número de extensões instaladas e a revisar cuidadosamente as extensões antes de baixá-las.

A Oracle lançou um patch para a vulnerabilidade crítica CVE-2025-61884, que afeta sua E-Business Suite. Esta falha permite que atacantes não autenticados acessem recursos sensíveis remotamente, sem a necessidade de credenciais. A vulnerabilidade foi supostamente explorada pelo grupo ShinyHunters, que tem um histórico de roubo de dados corporativos de várias organizações. O patch é uma resposta a um aumento nos ataques, incluindo campanhas de extorsão por ransomware. A Oracle já havia lançado um patch anterior para outra vulnerabilidade na mesma suíte, CVE-2025-61882, que permitia a um atacante não autenticado comprometer o componente de Processamento Concorrente da E-Business Suite. A empresa recomenda que os clientes mantenham suas versões atualizadas e apliquem os patches de segurança imediatamente. O aumento das ameaças direcionadas a usuários da E-Business Suite destaca a necessidade de vigilância contínua e atualização de sistemas para evitar compromissos de segurança.

No período entre 6 e 8 de outubro de 2025, grupos hacktivistas pró-Rússia, especialmente o Sylhet Gang e o NoName057(16), realizaram uma série de ataques cibernéticos coordenados contra sistemas israelenses, em resposta ao aniversário de um evento político significativo. Dados da Radware indicam que mais de 50 alegações de ataques DDoS foram registradas, um aumento de 14 vezes em relação à média diária de setembro. O Sylhet Gang atuou como um núcleo de mobilização, incentivando ações contra a infraestrutura israelense, enquanto o Arabian Ghosts se destacou como o grupo mais ativo, responsável por 40% das declarações de DDoS. Os ataques foram caracterizados por sua brevidade, com a maioria durando menos de 20 minutos, e focaram em alvos de alta visibilidade, como portais governamentais e plataformas de e-commerce. A participação de grupos como o NoName057(16) indica uma ampliação da coordenação entre coletivos hacktivistas com narrativas políticas comuns, refletindo uma nova dinâmica no cenário de cibersegurança global.

Em 15 de outubro de 2025, a Microsoft lançou sua atualização mensal de segurança, conhecida como Patch Tuesday, corrigindo um total de 172 vulnerabilidades em seu ecossistema de produtos. Dentre essas, destacam-se quatro falhas zero-day, sendo que duas delas estão ativamente sendo exploradas por atacantes. A vulnerabilidade CVE-2025-59230, por exemplo, permite que atacantes locais elevem seus privilégios no Windows Remote Access Connection Manager. Além disso, foram corrigidas falhas críticas de execução remota de código (RCE) em aplicativos como Microsoft Office e Excel, que podem conceder controle total do sistema ao abrir arquivos maliciosos. A atualização também abrange 80 vulnerabilidades de elevação de privilégio, que permitem que atacantes já dentro do sistema aumentem suas permissões, e uma variedade de outras falhas, incluindo problemas de divulgação de informações e bypass de recursos de segurança. A amplitude das correções enfatiza a necessidade urgente de que as organizações apliquem essas atualizações para se protegerem contra ameaças cibernéticas emergentes.

O Google lançou uma atualização crítica para o Chrome, versão 141.0.7390[.]107/.108, que corrige uma falha de segurança de alta gravidade, identificada como CVE-2025-11756. Essa vulnerabilidade, descoberta por um pesquisador externo, permite a execução de código arbitrário devido a um erro ‘Use-After-Free’ no componente Safe Browsing do navegador. Ao manipular a vida útil de objetos durante verificações de URLs maliciosas, um atacante pode corromper a memória, potencialmente comprometendo o processo de renderização privilegiado do Chrome.

A SAP lançou correções de segurança para 13 novas vulnerabilidades, incluindo uma falha de alta severidade no SAP NetWeaver AS Java, que pode permitir a execução arbitrária de comandos. Essa vulnerabilidade, identificada como CVE-2025-42944, possui um score CVSS de 10.0 e é classificada como uma falha de deserialização insegura. Um atacante não autenticado pode explorar essa falha através do módulo RMI-P4, enviando um payload malicioso para uma porta aberta, o que compromete a confidencialidade, integridade e disponibilidade do sistema. Além disso, a SAP corrigiu uma falha de travessia de diretório (CVE-2025-42937, CVSS 9.8) no SAP Print Service e uma vulnerabilidade de upload de arquivos não restrito (CVE-2025-42910, CVSS 9.0) no SAP Supplier Relationship Management. Embora não haja evidências de exploração ativa dessas falhas, é crucial que os usuários apliquem as correções o mais rápido possível. A empresa Pathlock destacou que a deserialização continua sendo um risco significativo, e a SAP implementou uma configuração de JVM endurecida para mitigar esses riscos.

Pesquisadores de cibersegurança revelaram uma falha crítica no software de discagem automática ICTBroadcast, que está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2025-2611, possui uma pontuação CVSS de 9.3 e está relacionada à validação inadequada de entradas, permitindo a execução remota de código não autenticado. Essa falha afeta as versões 7.4 e anteriores do ICTBroadcast, um aplicativo amplamente utilizado em call centers. Os atacantes estão utilizando a injeção de comandos via cookie BROADCAST para executar comandos no servidor vulnerável. A exploração foi detectada em 11 de outubro, com ataques ocorrendo em duas fases: primeiro, uma verificação de exploração baseada em tempo, seguida por tentativas de estabelecer shells reversos. Os atacantes injetaram um comando codificado em Base64 que traduz para ‘sleep 3’ no cookie, confirmando a execução do comando. A situação é preocupante, pois cerca de 200 instâncias online estão expostas. Não há informações disponíveis sobre o status de correção da falha, e a ICT Innovations ainda não se pronunciou sobre o assunto.