Chefe de cibersegurança dos EUA compartilha documentos sigilosos no ChatGPT

Madhu Gottumukkala, chefe interino da CISA, fez o upload de documentos sigilosos do governo Trump no ChatGPT, gerando preocupações sobre a segurança da informação. Os arquivos, marcados como ‘apenas para uso oficial’, acionaram alertas de segurança automatizados ao serem carregados na plataforma da OpenAI. Apesar de uma autorização especial para usar a ferramenta, um porta-voz da CISA afirmou que o uso era limitado e de curto prazo. Especialistas do Departamento de Segurança Interna estão investigando se essa ação comprometeu a segurança nacional, uma vez que o upload de informações sensíveis em uma IA pública pode resultar em vazamentos. Este incidente não é isolado, já que Gottumukkala enfrentou problemas anteriores, incluindo uma reprovação em um teste de polígrafo de contrainteligência. A situação levanta questões críticas sobre a proteção de dados governamentais e a responsabilidade no uso de tecnologias emergentes.

Plataforma Hugging Face é usada para disseminar malware Android

Recentemente, hackers utilizaram a plataforma Hugging Face para distribuir malware direcionado a dispositivos Android, disfarçado como um aplicativo antivírus chamado TrustBastion. Este aplicativo, ao ser instalado, informa ao usuário que seu dispositivo está infectado e solicita uma atualização, momento em que o código malicioso é efetivamente instalado. O TrustBastion conecta-se a um servidor de terceiros que redireciona para um repositório na Hugging Face, onde o APK malicioso é hospedado. O malware é capaz de capturar capturas de tela, exibir interfaces falsas de login para serviços de pagamento e roubar códigos de bloqueio, enviando todas as informações coletadas para servidores controlados pelos atacantes. Apesar da rápida identificação e remoção do aplicativo, novos repositórios surgiram, indicando a persistência da ameaça. Especialistas recomendam que os usuários baixem aplicativos apenas de fontes confiáveis, como a Google Play Store, e que verifiquem as avaliações e o número de downloads antes de instalar qualquer aplicativo.

Windscribe oferece soluções para usuários no Irã e Rússia diante de bloqueios de VPN

A Windscribe, provedora de VPN, anunciou novas funcionalidades para ajudar usuários no Irã e na Rússia a contornar as crescentes restrições de acesso à internet. A empresa está priorizando a implementação do protocolo AmneziaWG, que visa driblar técnicas avançadas de Inspeção Profunda de Pacotes (DPI) ao simular tráfego web comum. Recentemente, o governo iraniano iniciou um sistema de whitelist, restringindo o acesso a um número limitado de sites, o que torna o uso de VPNs ainda mais desafiador. A Windscribe está desenvolvendo um sistema adicional para combater essa nova abordagem de bloqueio. A empresa planeja lançar uma versão beta do aplicativo para Android e Windows, com a expectativa de que todos os usuários, incluindo os do serviço gratuito, tenham acesso às novas funcionalidades. O CEO da Windscribe, Yegor Sak, destacou que a equipe está trabalhando para garantir que as soluções sejam eficazes e acessíveis, especialmente em um momento crítico de censura na internet. A mudança para um sistema de whitelist no Irã e a evolução das técnicas de bloqueio na Rússia exigem que os provedores de VPN se adaptem rapidamente a essas novas ameaças.

Atualização KB5074105 da Microsoft corrige problemas no Windows 11

A Microsoft lançou a atualização cumulativa opcional KB5074105 para sistemas Windows 11, que inclui 32 alterações, como correções para problemas de login, inicialização e ativação. Essa atualização é parte de um ciclo mensal que permite que administradores testem correções de bugs e novas funcionalidades antes do lançamento oficial na Patch Tuesday do próximo mês. Embora não inclua correções de segurança, a atualização aborda questões conhecidas, como travamentos do Explorer.exe durante o primeiro login e falhas de inicialização do sistema. Além disso, melhorias foram feitas na funcionalidade de segurança do Windows Hello e na experiência de uso entre dispositivos, permitindo que atividades iniciadas em um celular Android possam ser continuadas no PC. Para instalar a atualização, os usuários devem acessar as configurações do Windows Update e verificar se há atualizações disponíveis. A Microsoft também anunciou que, a partir de janeiro de 2026, as atualizações do Windows Server terão identificadores separados para evitar confusões, além de simplificar os títulos das atualizações para facilitar a compreensão. Essas mudanças visam melhorar a clareza para administradores e usuários em geral.

Microsoft corrige falha que impedia abertura de e-mails criptografados

A Microsoft anunciou a correção de um problema que impedia usuários do Microsoft 365 de abrir e-mails criptografados no Outlook clássico após uma atualização em dezembro. O erro afetava mensagens com permissões de ‘Encrypt Only’, que não restringem o encaminhamento, impressão ou cópia do e-mail. Em sistemas afetados, os usuários recebiam um anexo ‘message_v2.rpmsg’ em vez do conteúdo legível, tornando a mensagem inacessível. A empresa reconheceu o problema há três semanas e informou que uma correção está disponível para clientes no Canal Beta, com previsão de lançamento para o Canal Atual e Canal Atual Preview em fevereiro. Enquanto isso, a Microsoft sugere duas soluções temporárias: os remetentes devem usar a opção ‘Encrypt’ na faixa de opções, ou os usuários podem reverter para uma versão anterior do software que não seja afetada pelo problema. Este incidente se soma a uma série de falhas que a Microsoft já corrigiu no Outlook clássico, incluindo problemas de funcionalidade e desempenho após atualizações do Windows.

Por trás da luta contra o cibercrime o que sabemos sobre criminosos capturados

O aumento da sofisticação do cibercrime tem levado agências de segurança a intensificarem suas ações em nível global. Um novo estudo apresenta um conjunto de dados com 418 operações de aplicação da lei entre 2021 e 2025, coletadas pela Orange Cyberdefense. Os dados revelam que a extorsão, incluindo ransomware, é o crime mais abordado, seguido pela instalação de malware e invasões. As prisões representam 29% das ações, com um foco claro na responsabilização individual. Além disso, as operações de desmantelamento de plataformas ilícitas e a aplicação de sanções estão se tornando cada vez mais comuns, refletindo uma abordagem mais abrangente para combater o cibercrime. O estudo também destaca a liderança dos Estados Unidos, que participou de 45% das ações, enquanto países como Alemanha, Reino Unido e França também desempenham papéis significativos. A análise sugere que as motivações por trás do cibercrime estão se tornando mais complexas, misturando interesses financeiros, políticos e ideológicos, o que desafia as distinções tradicionais entre atividades criminosas e ideológicas.

Campanha de ciberespionagem ligada à China ataca servidores IIS na Ásia

Pesquisadores de cibersegurança da Cisco Talos identificaram uma nova campanha de ciberespionagem atribuída ao ator de ameaças UAT-8099, vinculado à China, que ocorreu entre o final de 2025 e o início de 2026. A campanha tem como alvo servidores vulneráveis do Internet Information Services (IIS) na Ásia, com foco específico em Tailândia e Vietnã. O grupo utiliza shells web e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, permitindo acesso remoto aos servidores comprometidos.

Extensões maliciosas do Chrome roubam dados e links de afiliados

Pesquisadores de cibersegurança descobriram extensões maliciosas do Google Chrome que têm a capacidade de sequestrar links de afiliados, roubar dados e coletar tokens de autenticação do OpenAI ChatGPT. Uma das extensões, chamada Amazon Ads Blocker, foi publicada na Chrome Web Store por um desenvolvedor identificado como ‘10Xprofit’ e promete bloquear anúncios na Amazon. No entanto, sua verdadeira função é injetar um código de afiliado do desenvolvedor em todos os links de produtos da Amazon, substituindo os códigos de afiliados de criadores de conteúdo. Essa prática prejudica os criadores que perdem comissões quando os usuários clicam em links alterados. Além disso, a extensão faz parte de um grupo maior de 29 complementos que visam várias plataformas de e-commerce, como AliExpress e Walmart. As extensões também foram encontradas coletando dados de produtos e enviando-os para um servidor remoto. A situação é agravada por outras extensões que roubam tokens de autenticação do ChatGPT, totalizando cerca de 900 downloads. A pesquisa destaca a necessidade de cautela ao instalar extensões, mesmo aquelas de fontes aparentemente confiáveis.

SmarterTools corrige falhas críticas no SmarterMail

A SmarterTools anunciou a correção de duas vulnerabilidades críticas em seu software de e-mail SmarterMail, incluindo uma falha de execução remota de código, identificada como CVE-2026-24423, que possui uma pontuação CVSS de 9.3. Essa vulnerabilidade permite que um atacante direcione o SmarterMail para um servidor HTTP malicioso, executando comandos do sistema operacional sem autenticação. A falha foi descoberta por pesquisadores de várias organizações e corrigida na versão Build 9511, lançada em 15 de janeiro de 2026. Além disso, a mesma versão também aborda outra vulnerabilidade crítica (CVE-2026-23760) que já estava sendo explorada ativamente. Outra falha de severidade média (CVE-2026-25067) foi corrigida na versão Build 9518, lançada em 22 de janeiro de 2026, que poderia facilitar ataques de retransmissão NTLM e autenticação não autorizada. Dada a gravidade das vulnerabilidades e a exploração ativa, é crucial que os usuários atualizem para a versão mais recente o mais rápido possível.

Engenheiro do Google é condenado por espionagem econômica nos EUA

Um ex-engenheiro do Google, Linwei Ding, foi condenado nos Estados Unidos por roubo de segredos comerciais e espionagem econômica, após ter transferido mais de 2.000 documentos confidenciais da empresa para sua conta pessoal no Google Cloud. Os documentos continham informações cruciais sobre a tecnologia de inteligência artificial (IA) da empresa, incluindo detalhes sobre chips personalizados e infraestrutura de supercomputação. Ding, que trabalhou na Google de 2019 até sua demissão em 2023, estava em processo de fundar uma startup na China focada em IA. A investigação revelou que ele tomou medidas enganosas para ocultar suas ações, como copiar dados para um aplicativo de notas e apresentar-se como ainda empregado da Google enquanto estava na China. O Departamento de Justiça dos EUA destacou a importância de proteger a propriedade intelectual americana contra interesses estrangeiros, especialmente em um setor tão estratégico como o de IA. Ding enfrenta penas de até 15 anos de prisão por cada acusação de espionagem econômica e 10 anos por roubo de segredos comerciais.

Ivanti revela vulnerabilidades críticas no Endpoint Manager Mobile

A Ivanti divulgou duas vulnerabilidades críticas em seu software Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-1281 e CVE-2026-1340, que estão sendo exploradas em ataques zero-day. Ambas as falhas são vulnerabilidades de injeção de código que permitem que atacantes remotos executem códigos arbitrários em dispositivos vulneráveis sem necessidade de autenticação, apresentando um CVSS de 9.8. A empresa confirmou que um número muito limitado de clientes teve suas soluções exploradas até o momento da divulgação. Para mitigar os riscos, a Ivanti lançou scripts RPM para as versões afetadas do EPMM, sem necessidade de downtime. Contudo, os patches não sobrevivem a atualizações de versão e devem ser reaplicados após upgrades. A exploração bem-sucedida dessas vulnerabilidades pode permitir acesso a informações sensíveis, como nomes de usuários, endereços de e-mail e dados de dispositivos móveis gerenciados. A CISA dos EUA incluiu a CVE-2026-1281 em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, reforçando a urgência da aplicação das correções. A Ivanti recomenda que, em caso de comprometimento, os administradores restauram o EPMM a partir de um backup conhecido e realizem ações de segurança adicionais, como redefinir senhas de contas e revogar certificados públicos.

Campanha de malware no Android usa Hugging Face para roubo de dados

Uma nova campanha de malware para Android está utilizando a plataforma Hugging Face como repositório para milhares de variações de um payload APK que coleta credenciais de serviços financeiros e de pagamento populares. A campanha, descoberta pela empresa romena de cibersegurança Bitdefender, começa com a instalação de um aplicativo dropper chamado TrustBastion, que engana os usuários com anúncios alarmantes, alegando que seus dispositivos estão infectados. O aplicativo malicioso se disfarça como uma ferramenta de segurança, prometendo detectar ameaças como fraudes e malware.

Microsoft investiga falhas de inicialização no Windows 11 após atualizações

A Microsoft está investigando relatos de falhas de inicialização no Windows 11 após a instalação da atualização cumulativa de janeiro de 2026, KB5074109. Usuários relataram que seus sistemas não conseguiam iniciar, apresentando uma tela de erro BSOD com o código ‘UNMOUNTABLE_BOOT_VOLUME’. A empresa identificou que esses problemas estão relacionados a tentativas anteriores malsucedidas de instalar a atualização de segurança de dezembro de 2025, que deixou os dispositivos em um estado instável. A Microsoft informou que a instalação de atualizações enquanto o sistema está nesse estado inadequado pode resultar em falhas de inicialização. Embora a empresa esteja trabalhando em uma solução parcial para evitar que mais dispositivos entrem nesse estado, essa solução não repara os dispositivos já afetados. Atualmente, o problema parece estar restrito a dispositivos físicos, sem relatos de impacto em máquinas virtuais. A Microsoft continua a investigar as causas das falhas de instalação das atualizações do Windows.

Ivanti lança atualizações de segurança para falhas críticas no EPMM

A Ivanti anunciou a liberação de atualizações de segurança para corrigir duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), que foram exploradas em ataques zero-day. As falhas, identificadas como CVE-2026-1281 e CVE-2026-1340, possuem uma pontuação CVSS de 9.8, permitindo a execução remota de código não autenticado. As versões afetadas incluem EPMM 12.5.0.0 e anteriores, 12.6.0.0 e anteriores, e 12.7.0.0 e anteriores. A correção será incluída na versão 12.8.0.0, prevista para ser lançada no primeiro trimestre de 2026. A Ivanti alertou que um número limitado de clientes teve suas soluções comprometidas e recomendou que os usuários verifiquem logs de acesso e mudanças de configuração para identificar possíveis explorações. A CISA adicionou a CVE-2026-1281 ao seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais dos EUA apliquem as atualizações até 1º de fevereiro de 2026. As falhas afetam funcionalidades específicas do EPMM, mas não impactam outros produtos da Ivanti, como o Ivanti Neurons para MDM e o Ivanti Sentry.

Hackers usam e-mail legítimo da Microsoft para aplicar golpe

Recentemente, usuários relataram receber e-mails fraudulentos que aparentam ser legítimos, enviados de um endereço oficial da Microsoft, especificamente no-reply-powerbi@microsoft.com. Este e-mail está associado ao Power BI, uma ferramenta de análise de dados da Microsoft, que recomenda que seu endereço seja adicionado a listas de permissão para evitar que mensagens sejam bloqueadas por filtros de spam. O golpe em questão envolve uma suposta compra de um plano da Norton LifeLock, onde os golpistas fornecem um número de telefone para cancelamento. Ao ligar, a vítima é induzida a instalar um aplicativo de acesso remoto, permitindo que os criminosos controlem seu computador. A empresa de segurança Proofpoint analisou o incidente e confirmou que os golpistas exploram uma funcionalidade do Power BI que permite a inclusão de e-mails externos em relatórios, facilitando a disseminação de mensagens fraudulentas. A Microsoft está ciente do problema e investiga a situação, embora ainda não tenha emitido um comunicado oficial sobre o caso.

Cibersegurança cresce 200 e supera vagas de barista no Reino Unido

A área de cibersegurança no Reino Unido está passando por um crescimento significativo, com um aumento de 194% no número de profissionais nos últimos quatro anos, conforme um relatório da Socura. O número de especialistas em segurança digital saltou de 28.500 para 83.700, superando a quantidade de arquitetos, veterinários e baristas. Essa expansão coloca a cibersegurança como a quinta profissão que mais cresce no país, atrás apenas de técnicos de pré-impressão, especialistas financeiros e contábeis, técnicos de construção e engenheiros civis. Apesar desse crescimento, a pesquisa destaca um problema de diversidade de gênero, com apenas 21% dos profissionais sendo mulheres, uma queda em relação a 24% há quatro anos. No entanto, a presença feminina na área de TI aumentou 163% entre 2021 e 2025. O relatório sugere que, atualmente, há um profissional de cibersegurança para cada 68 empresas no Reino Unido, evidenciando a crescente demanda por especialistas em um cenário de ameaças digitais cada vez mais complexas.

Aplicativos de namoro Bumble e Match sofrem ataque cibernético

Os aplicativos de namoro Bumble e Match foram alvo de um ataque cibernético realizado pelo grupo ShinyHunters, que resultou no roubo de documentos internos e dados limitados de usuários. O ataque foi classificado como um incidente de phishing, onde uma conta de um contratante da Bumble foi comprometida. Apesar da brecha, a Bumble afirmou que não houve acesso a contas de membros, perfis ou mensagens diretas. A Match também confirmou a ocorrência de um incidente de segurança, afetando uma quantidade limitada de dados de usuários, mas garantiu que não há evidências de que credenciais de login ou informações financeiras tenham sido comprometidas. O grupo ShinyHunters, que anteriormente operava com ransomware, mudou seu foco para a exfiltração de dados, alertando empresas sobre ameaças de phishing e vishing. Este incidente destaca a crescente preocupação com a segurança cibernética em plataformas amplamente utilizadas, especialmente em um cenário onde ataques a grandes empresas estão se tornando mais frequentes.

França abandona Zoom e Teams por Visio devido a preocupações de segurança

O governo francês anunciou a substituição das plataformas Microsoft Teams e Zoom pela ferramenta de videoconferência nacional chamada Visio. Essa mudança, prevista para ser implementada em todos os departamentos governamentais até 2027, visa reduzir a dependência de fornecedores de software estrangeiros, especialmente em um contexto de crescente preocupação com segurança, soberania de dados e vigilância estrangeira. A Visio, que já está em fase de testes e suporta cerca de 40 mil usuários, faz parte do plano Suite Numérique, que busca fornecer ferramentas de colaboração online exclusivamente para uso governamental. A plataforma é hospedada na nuvem soberana da Outscale, garantindo que todos os dados dos usuários permaneçam sob jurisdição francesa. Além disso, a Visio incorpora recursos de inteligência artificial, como transcrição de reuniões e diarização de falantes, desenvolvidos pela startup francesa Pyannote. O governo estima que a adoção da Visio pode resultar em economias significativas, com uma redução de aproximadamente 1 milhão de euros por ano para cada 100 mil usuários. Essa iniciativa reflete uma preocupação mais ampla na Europa sobre a dependência de infraestrutura de TI dos EUA, especialmente após interrupções significativas de serviços em nuvem no ano passado.

Infostealers O Perigo Oculto em Mods de Jogos para Crianças

O artigo destaca o crescente problema de infostealers, um tipo de malware que se infiltra em dispositivos através de downloads de mods e cheats de jogos, como Roblox e Minecraft. Muitas vezes, as crianças, em busca de melhorar a performance de seus jogos, baixam arquivos aparentemente inofensivos que, na verdade, contêm malware. Esse infostealer pode roubar dados sensíveis, como senhas de navegadores, tokens de autenticação e credenciais de VPN, comprometendo não apenas a segurança pessoal, mas também a segurança corporativa quando esses dispositivos são usados para acessar redes de trabalho. A pesquisa revela que mais de 40% das infecções por infostealers estão relacionadas a arquivos de jogos. O comportamento dos jovens gamers, que frequentemente desativam antivírus e confiam em links de terceiros, torna-os alvos ideais para esses ataques. O artigo alerta que a infecção pode ocorrer em casa, mas as consequências podem ser sentidas nas empresas, uma vez que as credenciais corporativas podem ser acessadas através de dispositivos infectados. Portanto, é crucial que pais e empresas estejam cientes desse risco e adotem medidas de proteção adequadas.

Marquis Software Solutions culpa ataque de ransomware em falha da SonicWall

A Marquis Software Solutions, provedora de serviços financeiros do Texas, atribuiu um ataque de ransomware que afetou seus sistemas e impactou dezenas de bancos e cooperativas de crédito nos EUA em agosto de 2025 a uma violação de segurança relatada pela SonicWall um mês depois. A empresa, que fornece ferramentas de análise de dados e marketing digital para mais de 700 instituições financeiras, esclareceu que os atacantes não exploraram uma falha em seu firewall, como se acreditava inicialmente. Em vez disso, eles usaram informações obtidas de arquivos de backup de configuração do firewall, que foram roubados após o acesso não autorizado ao portal online MySonicWall da SonicWall. A Marquis está avaliando suas opções em relação ao provedor de firewall, incluindo a possibilidade de buscar reembolso por despesas relacionadas ao incidente. A SonicWall, que revelou a violação em 17 de setembro, inicialmente informou que apenas 5% de seus clientes de firewall foram afetados, mas posteriormente confirmou que todos os clientes usando seu serviço de backup em nuvem estavam em risco. Investigações indicam que o ataque pode estar ligado a hackers patrocinados pelo estado.

Match Group confirma vazamento de dados de usuários

O Match Group, proprietário de serviços de namoro online como Tinder e OkCupid, confirmou um incidente de cibersegurança que comprometeu dados de usuários. Hackers do grupo ShinyHunters vazaram 1,7 GB de arquivos comprimidos, supostamente contendo 10 milhões de registros de informações de usuários do Hinge, Match e OkCupid, além de documentos internos. A empresa afirmou que a quantidade de dados afetados é limitada e que não há indícios de que credenciais de login, informações financeiras ou comunicações privadas tenham sido acessadas. A investigação está em andamento com a ajuda de especialistas externos. O ataque foi realizado após a violação de uma conta de SSO (Single Sign-On) da Okta, que permitiu acesso a instâncias de marketing e armazenamento em nuvem da empresa. Especialistas recomendam a implementação de autenticação multifatorial resistente a phishing e políticas rigorosas de autorização de aplicativos para mitigar riscos semelhantes no futuro. O Match Group, que gera uma receita anual de US$ 3,5 bilhões, possui mais de 80 milhões de usuários ativos em suas plataformas.

Google desmantela rede de proxies residenciais IPIDEA usada por cibercriminosos

Recentemente, o Google Threat Intelligence Group (GTIG), em colaboração com parceiros da indústria, desmantelou a IPIDEA, uma das maiores redes de proxies residenciais utilizadas por cibercriminosos. A operação incluiu a remoção de domínios associados aos serviços da IPIDEA, que afirmava oferecer serviços de VPN para 6,7 milhões de usuários em todo o mundo. A rede utilizava endereços IP de usuários residenciais e pequenas empresas, comprometendo dispositivos através de aplicativos maliciosos. O Google revelou que mais de 550 grupos de ameaças, incluindo atores de países como China, Irã, Rússia e Coreia do Norte, utilizaram os nós de saída da IPIDEA em uma única semana. As atividades maliciosas observadas incluíram acesso a plataformas SaaS, controle de botnets e ataques de força bruta. A infraestrutura da IPIDEA era composta por cerca de 7.400 servidores que gerenciavam tarefas de proxy. Embora a ação do GTIG tenha impactado significativamente as operações da IPIDEA, os operadores podem tentar reconstruir sua infraestrutura. O Google recomenda cautela ao usar aplicativos que oferecem serviços de VPN gratuitos ou que pagam por largura de banda, especialmente aqueles de desenvolvedores não confiáveis.

Infraestrutura de IA exposta representa risco crescente à segurança

Uma investigação conjunta da SentinelOne e Censys revelou que a implementação de inteligência artificial (IA) de código aberto criou uma vasta camada de infraestrutura de computação de IA não gerenciada, com 175.000 hosts únicos do Ollama em 130 países. A maioria das exposições está na China, seguida por países como EUA, Alemanha e Brasil. Esses sistemas operam fora dos controles de segurança padrão, apresentando riscos significativos. Quase 50% dos hosts observados possuem capacidades de chamada de ferramentas, permitindo a execução de código e acesso a APIs, o que altera o modelo de ameaça. A falta de autenticação e a exposição à rede aumentam o risco de LLMjacking, onde recursos de infraestrutura de IA são explorados por agentes maliciosos. A operação chamada ‘Operation Bizarre Bazaar’ tem como alvo endpoints de serviços LLM expostos, comercializando o acesso a essas infraestruturas. A natureza descentralizada do ecossistema Ollama complica a governança e abre novas avenidas para injeções de prompt e tráfego malicioso. Para os defensores, é crucial tratar os LLMs com os mesmos controles de autenticação e monitoramento aplicados a outras infraestruturas acessíveis externamente.

WhatsApp pode acessar mensagens mesmo com criptografia de ponta a ponta

Um processo judicial em São Francisco, EUA, alega que o WhatsApp, apesar de utilizar criptografia de ponta a ponta, pode acessar as mensagens dos usuários. O caso é movido por um grupo de usuários da Austrália, México e África do Sul, que argumentam que a segurança prometida pela plataforma é uma ‘farsa’. Segundo o processo, funcionários da Meta, empresa controladora do WhatsApp, podem solicitar acesso às mensagens por meio de um sistema interno, permitindo que visualizem conversas, mesmo que os usuários acreditem que suas mensagens estão protegidas. A Meta refutou as alegações, chamando-as de ‘falsas e absurdas’, e afirmou que a criptografia de ponta a ponta tem sido uma característica do WhatsApp por mais de dez anos. O caso levanta preocupações sobre a privacidade e segurança dos dados dos usuários, especialmente em um momento em que a proteção de dados é uma questão crítica em todo o mundo, incluindo o Brasil, onde a LGPD (Lei Geral de Proteção de Dados) impõe rigorosas normas de privacidade. Embora o processo não apresente detalhes técnicos aprofundados, a alegação de que mensagens podem ser acessadas em tempo real e que conteúdos excluídos podem ser recuperados é alarmante para os usuários que confiam na segurança do aplicativo.

Nova falha do Instagram expõe publicações privadas de usuários

Uma falha crítica de segurança no Instagram, descoberta pelo pesquisador Jatin Banga, permite que publicações privadas sejam acessadas por qualquer pessoa, incluindo usuários mal-intencionados. O problema reside na infraestrutura do servidor da Meta, que falha na lógica de autorização, permitindo que requisições GET não autenticadas retornem dados JSON com links diretos para fotos e legendas privadas. Embora a vulnerabilidade não tenha afetado todas as contas, cerca de 28% das contas testadas estavam comprometidas. A Meta foi notificada sobre a falha e resolveu o problema de forma silenciosa, sem admitir publicamente a vulnerabilidade. Essa situação levanta preocupações sobre a segurança dos dados dos usuários e a eficácia das medidas de privacidade implementadas pela plataforma.

Cuidado com a ajuda 16 extensões de ChatGPT roubam contas

Pesquisadores da LayerX Security identificaram 16 extensões de navegador maliciosas que se disfarçam como ferramentas de produtividade para o ChatGPT, mas que têm como objetivo roubar informações e credenciais dos usuários. Essas extensões não atacam diretamente o chatbot, mas aproveitam-se do login do usuário para capturar suas credenciais. Todas as extensões foram criadas pelo mesmo autor, que as publicou em plataformas como a Chrome Web Store, onde uma delas chegou a receber o selo ‘Em Destaque’, conferindo-lhe uma aparência de legitimidade. Apesar de terem sido baixadas apenas cerca de 900 vezes, a preocupação reside na confiança que os usuários depositam em ferramentas desse tipo. Os hackers utilizam tokens de sessão, que são chaves temporárias que permitem ao navegador reconhecer um usuário logado, para se passar por eles e acessar dados sensíveis, incluindo conversas com o chatbot e informações corporativas em plataformas como Slack e Google Drive. Os pesquisadores alertam para a necessidade de tratar qualquer extensão relacionada a IA como um aplicativo de alto risco e recomendam a remoção de ferramentas não reconhecidas.

Loja vende malwares personalizados para roubar dados do Chrome

Um novo serviço de malware, operado por hackers russos sob o pseudônimo ‘Stenli’, está comercializando uma extensão falsa do Google Chrome com o objetivo de roubar informações sensíveis dos usuários. Este malware é projetado para enganar as vítimas, falsificando sites legítimos e coletando dados confidenciais, como informações bancárias. A extensão maliciosa consegue burlar o sistema de moderação da Chrome Web Store, permitindo que ela seja instalada diretamente no navegador. O preço para adquirir essa ferramenta varia entre US$ 2 mil e US$ 6 mil. A análise da Varonis revelou que a extensão utiliza um iframe para sobrepor sites legítimos com conteúdo de phishing, enquanto mantém o endereço original visível, aumentando a credibilidade do golpe. Além disso, a extensão pode enviar notificações push que parecem vir do próprio Chrome, o que dificulta a identificação do ataque. Especialistas alertam que os usuários devem verificar regularmente as extensões instaladas e estar atentos às permissões solicitadas por elas, a fim de evitar serem vítimas desse tipo de golpe.

Google fortalece proteção contra roubo em dispositivos Android

O Google anunciou melhorias significativas nas funcionalidades de proteção contra roubo em dispositivos Android, visando tornar os smartphones menos vulneráveis a furtos. As novas medidas, que se baseiam nas defesas anti-furto já existentes desde outubro de 2024, incluem controles mais detalhados para o recurso de Bloqueio por Falha de Autenticação, que agora permite que os usuários ativem ou desativem a função de bloqueio automático após várias tentativas de acesso malsucedidas. Além disso, a empresa expandiu o recurso de Verificação de Identidade, que exige autenticação biométrica para ações realizadas fora de locais confiáveis, abrangendo agora todos os aplicativos que utilizam o Android Biometric Prompt.

França multa agência de emprego em 5 milhões por vazamento de dados

A Comissão Nacional de Informática e Liberdade (CNIL) da França impôs uma multa de €5 milhões à agência nacional de emprego, France Travail, devido a uma falha na segurança que resultou no vazamento de dados pessoais de 43 milhões de pessoas. O incidente ocorreu no início de 2024 e expôs informações sensíveis, como nomes, datas de nascimento, números de seguro social, endereços de e-mail e números de telefone, abrangendo um período de 20 anos. Embora os dados bancários e senhas não tenham sido comprometidos, a CNIL destacou que os hackers utilizaram técnicas de engenharia social para invadir o sistema, especificamente ao sequestrar contas de conselheiros do CAP EMPLOI, que assistem pessoas com deficiência. Além da multa, a CNIL exigiu que a France Travail apresentasse um cronograma detalhado de medidas corretivas, sob pena de multas diárias de €5.000. Este incidente segue um vazamento anterior em agosto de 2023, que afetou cerca de 10 milhões de indivíduos. A situação levanta preocupações sobre a proteção de dados e a conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR).

Microsoft introduz recurso de relatório de chamadas no Teams

A Microsoft anunciou a implementação de uma nova funcionalidade no Teams, chamada “Reportar uma Chamada”, que permitirá aos usuários sinalizar chamadas suspeitas ou indesejadas como potenciais fraudes ou tentativas de phishing. Este recurso será ativado por padrão e estará disponível para chamadas individuais no Windows, Mac e na versão web do Teams. Ao clicar em “Mais opções” ao lado de uma chamada, os usuários poderão selecionar “Reportar uma Chamada” para enviar um relatório. A Microsoft destacou que, atualmente, os usuários não têm uma maneira simples de relatar chamadas suspeitas, o que deixa as organizações sem visibilidade sobre essas ameaças. Quando uma chamada é sinalizada, metadados limitados, como horários, duração e informações de identificação do chamador, serão compartilhados com a organização e com a Microsoft. A funcionalidade começará a ser disponibilizada para clientes de Lançamento Direcionado em meados de março, com conclusão prevista para o final de março, e estará disponível globalmente até o final de abril. Além disso, a Microsoft já havia introduzido outras funcionalidades de segurança no Teams, como a possibilidade de relatar alertas de ameaças falsos positivos e bloquear usuários externos, visando aumentar a proteção contra ataques de engenharia social.

Botnet AisuruKimwolf realiza ataque DDoS recorde de 31,4 Tbps

A botnet Aisuru/Kimwolf lançou um ataque DDoS massivo que atingiu picos de 31,4 Tbps e 200 milhões de requisições por segundo, estabelecendo um novo recorde. O ataque, que ocorreu em 19 de dezembro de 2025, visou principalmente empresas do setor de telecomunicações e foi detectado e mitigado pela Cloudflare. Aisuru já era responsável pelo recorde anterior de 29,7 Tbps. A campanha, chamada de ‘A Noite Antes do Natal’, foi caracterizada como um ‘bombardeio sem precedentes’ e incluiu ataques HTTP DDoS hipervolumétricos e ataques de camada 4. A maioria dos ataques durou entre um e dois minutos, com 90% deles atingindo picos entre 1-5 Tbps. A origem dos ataques foi atribuída a dispositivos Android TV, além de dispositivos IoT e roteadores comprometidos. O relatório da Cloudflare também revelou um aumento de 121% nos ataques DDoS em 2025, com 47,1 milhões de incidentes registrados, destacando a crescente ameaça que esses ataques representam para empresas em todo o mundo.

Inteligência de Ameaças Protegendo Empresas de Downtime Operacional

O artigo destaca a importância da inteligência de ameaças na cibersegurança, especialmente para Chief Information Security Officers (CISOs). Em 2026, as empresas enfrentam riscos operacionais significativos devido a ciberataques, que vão além dos danos diretos. Para mitigar esses riscos, o texto sugere três passos estratégicos. Primeiro, é essencial focar nas ameaças reais que afetam o negócio atualmente, utilizando feeds de inteligência de ameaças atualizados e relevantes, como os oferecidos pela ANY.RUN, que permitem uma detecção precoce de ameaças e minimizam o risco de incidentes. Em segundo lugar, é crucial proteger os analistas de falsos positivos, que podem levar ao burnout e à ineficiência. A utilização de feeds com baixa taxa de falsos positivos melhora a produtividade da equipe de segurança. Por fim, o artigo enfatiza a necessidade de encurtar o tempo entre a detecção e a resposta a incidentes, utilizando informações contextuais que aceleram as investigações. Ao priorizar a inteligência de ameaças acionável, as empresas podem reduzir o tempo de resposta e melhorar a continuidade operacional.

Estudo revela lacunas críticas em cibersegurança em redes de OT

Um estudo da OMICRON identificou lacunas significativas na cibersegurança das redes de tecnologia operacional (OT) em subestações, usinas e centros de controle ao redor do mundo. A análise, baseada em dados de mais de 100 instalações, destacou problemas técnicos, organizacionais e funcionais que tornam a infraestrutura energética vulnerável a ameaças cibernéticas. As avaliações, realizadas com o sistema de detecção de intrusões StationGuard, revelaram vulnerabilidades como dispositivos desatualizados, conexões externas inseguras e segmentação de rede fraca. Além disso, questões organizacionais, como responsabilidades pouco claras e falta de recursos, foram apontadas como fatores que aumentam os riscos. O estudo enfatiza a necessidade urgente de soluções de segurança robustas e adaptadas às particularidades dos ambientes de OT, especialmente em um cenário onde as redes de TI e OT estão se convergindo rapidamente. A implementação de sistemas de detecção de intrusões é crucial, pois muitos dispositivos operam sem sistemas operacionais padrão, tornando a detecção em nível de rede a única opção viável.

Atualizações de Cibersegurança Mudanças Silenciosas e Riscos Emergentes

As atualizações desta semana em cibersegurança destacam como pequenas mudanças podem gerar grandes problemas, especialmente em sistemas que as pessoas utilizam diariamente. O FBI anunciou a apreensão do fórum de cibercrime RAMP, que se tornou um ponto de encontro para atividades ilícitas após a proibição de operações de ransomware em outros fóruns. A administração do RAMP reconheceu que a apreensão comprometeu anos de trabalho, enquanto grupos criminosos já estão migrando para novas plataformas, como Rehub, o que pode aumentar os riscos de reputação e segurança.

SolarWinds lança atualizações de segurança para vulnerabilidades críticas

A SolarWinds divulgou atualizações de segurança para corrigir várias vulnerabilidades críticas em seu software Web Help Desk, incluindo quatro falhas que podem permitir a execução remota de código (RCE) e a bypass de autenticação. As vulnerabilidades, identificadas como CVE-2025-40536 a CVE-2025-40554, variam em severidade, com algumas apresentando pontuações CVSS de até 9.8, indicando um risco elevado. Entre as falhas, destacam-se a deserialização de dados não confiáveis, que pode permitir que atacantes não autenticados executem comandos no sistema alvo. A descoberta dessas vulnerabilidades foi creditada a especialistas de segurança, e a SolarWinds já lançou a versão WHD 2026.1 para mitigar os riscos. A empresa tem um histórico recente de correções de segurança, e a urgência em atualizar para a versão mais recente é enfatizada, dado que falhas anteriores foram exploradas ativamente. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) já havia incluído vulnerabilidades anteriores da SolarWinds em seu catálogo de Exploits Conhecidos, reforçando a necessidade de atenção imediata por parte dos usuários do software.

Ataque coordenado à rede elétrica da Polônia revela vulnerabilidades

No final de dezembro, um ataque coordenado à rede elétrica da Polônia comprometeu múltiplos locais de recursos energéticos distribuídos (DER), incluindo instalações de cogeração e sistemas de energia solar e eólica. Apesar de danificar equipamentos operacionais de forma irreparável, o ataque não resultou em interrupções no fornecimento de energia, afetando apenas 5% da capacidade total do país. Pesquisadores da Dragos, empresa especializada em segurança de infraestrutura industrial, identificaram pelo menos 12 locais afetados, embora estimem que o número real seja próximo de 30. O ataque, atribuído com confiança moderada a um ator de ameaça russo conhecido como Electrum, destacou a vulnerabilidade dos sistemas de energia descentralizados, especialmente em períodos críticos como o inverno. Os atacantes demonstraram profundo conhecimento técnico, comprometendo equipamentos de comunicação e sistemas de controle, mas não conseguiram causar um apagão nacional. No entanto, a possibilidade de desestabilização da frequência do sistema permanece, o que poderia levar a falhas em cascata, como já ocorreu em outros incidentes. Este evento serve como um alerta sobre a segurança das infraestruturas críticas em um contexto global cada vez mais ameaçado.

Grupo TA584 utiliza Tsundere Bot para ataques de ransomware

O grupo de cibercriminosos conhecido como TA584 tem intensificado suas operações, utilizando o malware Tsundere Bot em conjunto com o trojan de acesso remoto XWorm para obter acesso a redes, potencialmente levando a ataques de ransomware. Desde 2020, pesquisadores da Proofpoint monitoram as atividades do TA584, que recentemente triplicou o volume de suas campanhas, expandindo seu foco além da América do Norte e Reino Unido para incluir países europeus e Austrália. O Tsundere Bot, documentado pela Kaspersky, é uma plataforma de malware como serviço que permite coleta de informações, exfiltração de dados e movimentação lateral na rede. O ataque começa com e-mails enviados de contas comprometidas, que direcionam os alvos a páginas CAPTCHA e ClickFix, onde são instruídos a executar um comando PowerShell que carrega o malware. O Tsundere Bot se comunica com servidores de comando e controle via WebSockets e possui mecanismos para evitar execução em sistemas de países da CEI. A expectativa é que o TA584 continue a diversificar seus alvos e métodos, aumentando a preocupação com a segurança cibernética em diversas regiões.

Polícia desmantela central de cobranças falsas na Faria Lima

Na última quinta-feira (22), o Departamento Estadual de Investigações Criminais (Deic) de São Paulo desmantelou uma central de cobranças fraudulentas localizada na Avenida Brigadeiro Faria Lima, um dos principais centros financeiros da capital paulista. A operação resultou na prisão de quatro mulheres, que ocupavam cargos de gerência e supervisão, além de outros dez suspeitos que foram levados para depor. A investigação revelou que o grupo utilizava dados de vítimas, especialmente idosos e pessoas vulneráveis, para realizar cobranças de créditos inexistentes, ameaçando-as com bloqueios de CPF e benefícios. Os criminosos operavam de forma híbrida, realizando tanto cobranças legítimas quanto fraudulentas. Documentos e dispositivos eletrônicos foram apreendidos durante a operação, que também se estendeu a um segundo local em Carapicuíba, na Grande São Paulo. Essa ação faz parte da Operação Título Sombrio, focada em investigações sobre lavagem e ocultação de ativos ilícitos por meios eletrônicos.

Banco do Nordeste suspende Pix após ataque hacker

O Banco do Nordeste (BNB) anunciou a suspensão temporária das transações via Pix após detectar um ataque hacker em seus sistemas na noite de segunda-feira, 26 de janeiro de 2026. A violação afetou a infraestrutura do sistema de pagamento instantâneo, levando a instituição a acionar protocolos de segurança imediatamente. Em comunicado, o BNB afirmou que está em contato com o Banco Central para avaliar a extensão do incidente e restaurar as operações de forma segura. A suspensão do Pix foi uma medida preventiva para garantir a segurança das transações e evitar possíveis desdobramentos maliciosos. Importante destacar que, até o momento, não foram identificados vazamentos de dados dos clientes ou prejuízos nas contas. O Banco do Nordeste reafirmou seu compromisso com a segurança da informação e a transparência, prometendo manter o mercado informado sobre quaisquer desdobramentos relacionados ao incidente.

Mods de jogos no Android escondem novo vírus que controla o celular

Pesquisadores da Doctor Web identificaram uma nova ameaça de malware chamada Phantom, que afeta dispositivos Android através de jogos e aplicativos modificados. O malware, que se disfarça como aplicativos legítimos, transforma os celulares em ferramentas de fraude publicitária, clicando em anúncios sem o consentimento do usuário. Os primeiros sinais de infecção surgiram em setembro de 2025, quando jogos populares como ‘Creation Magic World’ e ‘Cute Pet House’ começaram a apresentar comportamentos suspeitos. O Phantom opera em dois modos: um que utiliza um navegador oculto para interagir com anúncios e outro que permite acesso remoto à tela do dispositivo infectado. Essa invasão é difícil de detectar, pois os aplicativos continuam funcionando normalmente. A Doctor Web alerta que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção, recomendando cautela ao baixar APKs de fontes não confiáveis.

Atualize agora brecha no Office permite que hackers roubem suas senhas

Uma vulnerabilidade crítica de dia zero no Microsoft Office foi identificada e corrigida pela Microsoft após ser explorada para a distribuição de malware. Essa falha, que se baseava na “dependência de entradas não confiáveis”, permitiu que cibercriminosos acessassem dados sensíveis, como credenciais de login e senhas dos usuários. A Microsoft não divulgou detalhes sobre os responsáveis pelos ataques ou a extensão dos sistemas afetados, mas confirmou que a exploração da falha estava focada no Microsoft 365 e no Office. A correção foi implementada para proteger os usuários contra controles vulneráveis, e os usuários do Office 2021 e versões posteriores precisam reiniciar seus aplicativos para aplicar a atualização. Já os usuários do Office 2016 e 2019 devem instalar manualmente as atualizações específicas fornecidas pela Microsoft. Essa situação destaca a importância de manter os softwares atualizados para evitar riscos de segurança.

Cuidado WinRAR apresenta falhas de segurança perigosas

O WinRAR, um popular programa de compactação de arquivos, está enfrentando uma vulnerabilidade crítica, identificada como CVE-2025-8088, que permite a execução de código arbitrário em sistemas comprometidos. Essa falha, classificada com um índice de severidade de 8.4/10, afeta as versões 7.12 e anteriores do software. Pesquisadores de segurança alertam que grupos de hackers, incluindo organizações patrocinadas por estados, estão explorando essa vulnerabilidade para implantar malware em dispositivos-alvo. O uso de Streams de Dados Alternativos (ADS) no WinRAR permite que os atacantes escondam cargas maliciosas em arquivos aparentemente inofensivos, como documentos PDF. Quando o usuário abre o arquivo, o malware é extraído e executado. Entre os grupos que têm utilizado essa falha estão o RomCom, alinhado à Rússia, e diversos atores patrocinados pela China. Para mitigar os riscos, é recomendado que os usuários atualizem para a versão 7.13 ou superior do WinRAR, já que a atualização não requer desinstalação do programa anterior.

Hackers usam Microsoft Teams para roubar credenciais de e-mail

Pesquisadores da CheckPoint alertam sobre uma nova técnica de hackers que utilizam o Microsoft Teams para roubar credenciais de e-mail. A estratégia envolve a criação de equipes com nomes relacionados a finanças ou cobranças urgentes, utilizando caracteres ofuscados para evitar a detecção automática. Após a criação da equipe, os atacantes enviam convites que parecem legítimos, levando os usuários a acreditar que precisam resolver problemas de cobrança. Durante chamadas para um número de suporte fraudulento, os hackers tentam extrair informações sensíveis, como senhas. Essa abordagem de engenharia social é mais eficaz do que métodos tradicionais de phishing, pois combina mensagens oficiais da Microsoft com uma linguagem que gera urgência e confiança. O ataque tem afetado organizações em diversos setores, com a maioria dos incidentes ocorrendo nos Estados Unidos, seguido pela Europa e América Latina, onde Brasil e México concentram a maior parte das ocorrências. A conscientização dos usuários e o treinamento para identificar sinais de alerta são essenciais para mitigar esses riscos.

Homem da Virgínia se declara culpado por operar mercado ilegal na dark web

Raheim Hamilton, co-criador do Empire Market, um dos maiores mercados da dark web, se declarou culpado de conspiração federal por tráfico de drogas, facilitando transações ilegais que totalizaram cerca de $430 milhões entre 2018 e 2020. O Empire Market, acessível apenas via navegadores TOR, foi descrito como um clone do AlphaBay, fechado em 2017. No auge, em agosto de 2020, o site contava com 1,68 milhão de usuários registrados, incluindo 360 mil compradores e mais de 5 mil vendedores. Embora o mercado também oferecesse credenciais de contas roubadas e ferramentas de hacking, as vendas de drogas representaram a maior parte das transações, totalizando quase $375 milhões. Hamilton, que operou o site com Thomas Pavey, admitiu ter projetado o Empire Market para ajudar os usuários a evitar a detecção pelas autoridades e lavar dinheiro, utilizando criptomoedas para garantir anonimato. Durante a investigação, agentes de segurança realizaram compras encobertas, adquirindo substâncias como heroína e metanfetamina. A Justiça dos EUA já apreendeu $75 milhões em criptomoedas e Hamilton concordou em entregar 1.230 bitcoins e propriedades no processo. Ele enfrenta uma pena mínima de 10 anos e máxima de prisão perpétua.

FBI apreende fórum de cibercrime RAMP, conhecido por ransomware

O FBI anunciou a apreensão do fórum de cibercrime RAMP, uma plataforma que promovia uma variedade de serviços de hacking e malware, incluindo operações de ransomware. O fórum, que operava tanto na rede Tor quanto na clearnet, exibia um aviso de apreensão que afirmava: ‘O Federal Bureau of Investigation apreendeu o RAMP’. Essa ação foi realizada em colaboração com o Escritório do Procurador dos Estados Unidos para o Sul da Flórida e a Seção de Crimes de Computador e Propriedade Intelectual do Departamento de Justiça. Com a apreensão, as autoridades agora têm acesso a dados significativos dos usuários do fórum, como endereços de e-mail, IPs e mensagens privadas, o que pode levar à identificação e prisão de cibercriminosos que não seguiram práticas adequadas de segurança operacional. O RAMP foi lançado em julho de 2021, após a proibição da promoção de ransomware em outros fóruns de hacking, e rapidamente se tornou um espaço para gangues de ransomware promoverem suas operações. O criador do fórum, conhecido como Orange, já havia sido identificado como Mikhail Matveev, um nacional russo que enfrenta acusações nos Estados Unidos por sua participação em várias operações de ransomware. A apreensão do RAMP representa um golpe significativo para o ecossistema de cibercrime, especialmente em um momento em que as autoridades estão intensificando a luta contra o ransomware.

Vulnerabilidades críticas na plataforma n8n podem comprometer dados

Duas vulnerabilidades graves foram identificadas na plataforma de automação de fluxos de trabalho n8n, permitindo que atacantes comprometam completamente as instâncias afetadas, acessem dados sensíveis e executem código arbitrário no host subjacente. As falhas, identificadas como CVE-2026-1470 e CVE-2026-0863, foram descobertas pela empresa de segurança JFrog. A CVE-2026-1470, com uma pontuação de severidade crítica de 9.9, permite a execução de código arbitrário devido a uma falha na manipulação de JavaScript, enquanto a CVE-2026-0863 explora uma falha no Python que permite a execução de comandos do sistema operacional. Ambas as vulnerabilidades exigem autenticação, mas podem ser exploradas por usuários não administradores, o que aumenta o risco. As versões afetadas foram corrigidas, e os usuários são aconselhados a atualizar para as versões mais recentes. A n8n, que é amplamente utilizada para automação de tarefas e integrações com serviços de IA, tem visto um aumento na atenção de pesquisadores de segurança devido a falhas críticas recentes. A situação é preocupante, pois muitas instâncias ainda estão vulneráveis, indicando uma lenta taxa de correção entre os usuários.

Pesquisadores alertam sobre vulnerabilidades do assistente Moltbot

Pesquisadores de segurança estão emitindo alertas sobre implantações inseguras do assistente de IA Moltbot (anteriormente Clawdbot) em ambientes corporativos, que podem resultar em vazamento de chaves de API, tokens OAuth, histórico de conversas e credenciais. Moltbot é um assistente pessoal de IA de código aberto, criado por Peter Steinberger, que pode ser hospedado localmente e integrado a aplicativos do usuário. Embora sua capacidade de operar 24/7 e manter memória persistente tenha impulsionado sua popularidade, a configuração inadequada pode expor dados sensíveis. O pesquisador Jamieson O’Reilly destacou que muitas interfaces de controle do Clawdbot estão expostas online devido a configurações incorretas de proxy reverso, permitindo acesso não autenticado e roubo de credenciais. Além disso, O’Reilly demonstrou um ataque à cadeia de suprimentos contra usuários do Moltbot, onde um módulo malicioso foi promovido na loja oficial. A Token Security identificou que 22% de seus clientes corporativos têm funcionários utilizando Moltbot sem aprovação de TI, aumentando o risco de vazamento de dados corporativos e ataques de injeção de comandos. A falta de sandboxing para o assistente de IA é uma preocupação significativa, pois o agente tem acesso total aos dados do usuário. A segurança da implantação do Moltbot exige conhecimento técnico e medidas rigorosas de isolamento e configuração de firewall.

MicroWorld Technologies confirma violação em servidor de atualização do eScan

A MicroWorld Technologies, fabricante do antivírus eScan, confirmou que um de seus servidores de atualização foi comprometido, resultando na distribuição de um arquivo malicioso para um pequeno grupo de clientes em 20 de janeiro de 2026. O ataque ocorreu durante uma janela de duas horas, afetando apenas aqueles que baixaram atualizações de um cluster regional específico. A empresa isolou e reconstruiu a infraestrutura afetada, rotacionou credenciais de autenticação e disponibilizou remediações para os clientes impactados. A empresa de segurança Morphisec publicou um relatório técnico associando a atividade maliciosa observada em endpoints de clientes às atualizações entregues durante o mesmo período. O arquivo malicioso, uma versão modificada do componente de atualização ‘Reload.exe’, foi assinado com um certificado de assinatura de código do eScan, mas a assinatura foi considerada inválida. O malware implantado permitiu a persistência, execução de comandos e modificação do arquivo HOSTS do Windows, impedindo atualizações remotas. A MicroWorld Technologies enfatizou que o incidente não envolveu uma vulnerabilidade no produto eScan em si, e que apenas os clientes que atualizaram a partir do cluster afetado foram impactados. A empresa recomenda que os clientes bloqueiem os servidores de comando e controle identificados para aumentar a segurança.

Ataque cibernético coordenado afeta rede elétrica da Polônia

Um ataque cibernético coordenado atingiu múltiplos locais da rede elétrica da Polônia, sendo atribuído com média confiança ao grupo de hackers patrocinado pelo Estado russo, conhecido como ELECTRUM. Segundo a empresa de cibersegurança Dragos, o ataque, ocorrido em dezembro de 2025, é considerado o primeiro grande ataque direcionado a recursos energéticos distribuídos (DERs). Embora não tenha causado apagões, os invasores conseguiram acessar sistemas críticos de tecnologia operacional (OT) e desativar equipamentos essenciais de forma irreparável. O ataque visou as instalações de cogeração de calor e energia (CHP) e sistemas que gerenciam a distribuição de energia renovável, como eólica e solar. Os hackers utilizaram dispositivos de rede expostos e exploraram vulnerabilidades para obter acesso inicial, demonstrando um profundo entendimento da infraestrutura da rede elétrica. O ataque foi descrito como oportunista e apressado, permitindo que os invasores causassem danos significativos, como a formatação de dispositivos Windows e a redefinição de configurações. Este incidente destaca a crescente ameaça de adversários com capacidades específicas em OT, que estão ativamente mirando sistemas que monitoram e controlam a geração distribuída de energia.

Nova extensão maliciosa do VS Code compromete segurança de desenvolvedores

Pesquisadores de cibersegurança alertaram sobre uma nova extensão maliciosa do Microsoft Visual Studio Code (VS Code) chamada “ClawdBot Agent - AI Coding Assistant”. Publicada em 27 de janeiro de 2026, a extensão se disfarça como um assistente de codificação baseado em inteligência artificial, mas na verdade instala um payload malicioso nos sistemas dos usuários. A extensão foi rapidamente removida pela Microsoft após a identificação do problema.

O malware, vinculado ao projeto Moltbot, permite que atacantes obtenham acesso remoto persistente aos dispositivos comprometidos. Ao ser instalada, a extensão executa automaticamente um arquivo que baixa um programa legítimo de acesso remoto, o ConnectWise ScreenConnect, permitindo que os invasores controlem o sistema da vítima. Além disso, a extensão possui mecanismos de fallback que garantem a entrega do payload mesmo se a infraestrutura de comando e controle for desativada.