Uma vulnerabilidade crítica (CVE-2025-61882) no Oracle E-Business Suite (EBS) está sendo ativamente explorada, levando o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) a alertar as organizações para a aplicação imediata de controles mitigatórios. Essa falha de execução remota de código não autenticada está presente no componente de Integração do BI Publisher do Oracle Concurrent Processing e pode resultar em comprometimento total do sistema. Não é necessária interação do usuário, e os atacantes podem ativar a vulnerabilidade enviando requisições HTTP especialmente elaboradas. A Oracle lançou uma atualização de segurança que corrige essa falha, afetando as versões do EBS de 12.2.3 a 12.2.14. O NCSC recomenda que as organizações realizem uma avaliação abrangente de comprometimento e apliquem a atualização crítica de outubro de 2023. A exposição direta do EBS à internet aumenta significativamente o risco, e a proteção de redes internas deve ser reforçada para evitar movimentos laterais de atacantes. O NCSC também oferece orientações sobre gerenciamento de vulnerabilidades e segurança de perímetro de rede, além de um serviço de alerta antecipado para ameaças emergentes.

Pesquisadores da SpyCloud Labs realizaram uma análise detalhada do Asgard Protector, um sofisticado crypter de malware frequentemente associado ao infostealer LummaC2. A pesquisa revelou que o Asgard utiliza um processo de instalação em múltiplas etapas, disfarçando sua verdadeira intenção ao se apresentar como instaladores de software legítimos. O malware é distribuído em pacotes NSIS, que extraem scripts maliciosos em diretórios temporários do Windows, utilizando extensões de arquivo enganosas para confundir ferramentas de análise automatizadas.

O grupo de ransomware Cl0p está explorando uma vulnerabilidade crítica zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882. Essa falha, localizada no componente de Integração do Business Intelligence Publisher, permite a execução remota de código sem autenticação, com uma pontuação máxima de 9.8 no CVSS, possibilitando a total comprometimento do sistema. A vulnerabilidade afeta versões amplamente utilizadas da Oracle EBS, entre 12.2.3 e 12.2.14, que são essenciais para operações empresariais como gestão de pedidos e finanças. A Oracle já lançou atualizações de segurança, mas as organizações precisam aplicar primeiro o Critical Patch Update de outubro de 2023. O Cl0p, ativo desde 2019, tem um histórico de exploração de zero-days e, nesta campanha, está focado na exfiltração de dados em vez da criptografia. As empresas devem realizar um inventário imediato dos endpoints expostos, confirmar a instalação das atualizações e monitorar logs e tráfego de rede para sinais de comprometimento. A situação é crítica, e a falta de ação pode resultar em sérias interrupções operacionais e vazamentos de dados.

A CrowdStrike atribuiu com confiança moderada a exploração de uma vulnerabilidade crítica no Oracle E-Business Suite ao grupo de ameaças conhecido como Graceful Spider (ou Cl0p). A falha, identificada como CVE-2025-61882, possui um escore CVSS de 9.8 e permite a execução remota de código sem autenticação. O primeiro registro de exploração ocorreu em 9 de agosto de 2025. A vulnerabilidade facilita ataques que podem levar à exfiltração de dados, com um canal no Telegram insinuando a colaboração entre diferentes grupos de ameaças. A exploração envolve uma série de requisições HTTP que permitem a execução de um template XSLT malicioso, resultando em conexões de saída para a infraestrutura controlada pelos atacantes. A CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas exploradas, alertando agências federais para aplicar correções até 27 de outubro de 2025. A CrowdStrike e a WatchTowr Labs destacam a complexidade do ataque, que combina múltiplas falhas para alcançar a execução remota de código pré-autenticada. O alerta é claro: empresas que utilizam o Oracle EBS devem agir rapidamente para mitigar riscos.

A Microsoft identificou um grupo de cibercriminosos, denominado Storm-1175, como responsável pela exploração de uma vulnerabilidade crítica no software Fortra GoAnywhere, que permitiu a implantação do ransomware Medusa. A falha, classificada como CVE-2025-10035, possui um escore CVSS de 10.0 e é um bug de desserialização que pode resultar em injeção de comandos sem necessidade de autenticação. A vulnerabilidade foi corrigida nas versões 7.8.4 e 7.6.3 do software. Desde 11 de setembro de 2025, o grupo tem explorado aplicações expostas ao público para obter acesso inicial, com indícios de exploração ativa desde pelo menos 10 de setembro. A exploração bem-sucedida dessa vulnerabilidade pode permitir que os atacantes realizem descobertas de sistema e usuário, mantenham acesso a longo prazo e implantem ferramentas adicionais para movimentação lateral e malware. A cadeia de ataque inclui a instalação de ferramentas de monitoramento remoto, como SimpleHelp e MeshAgent, e a criação de arquivos .jsp nos diretórios do GoAnywhere MFT. A Microsoft também observou o uso de Rclone para exfiltração de dados em pelo menos um ambiente afetado. A situação levanta preocupações sobre a transparência da Fortra em relação à segurança de seus produtos.

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.

Engenheiros da Unity identificaram uma vulnerabilidade de segurança em sua plataforma de desenvolvimento de jogos, que permite a visualização e o roubo de dados dos usuários em aplicativos construídos com a engine. Essa falha, que permaneceu oculta por quase uma década, foi corrigida com um patch recente, mas muitos jogos ainda precisam ser atualizados para eliminar o problema. Entre os títulos afetados estão Fallout Shelter, Overcooked 2 e Wasteland 3. Embora a Unity tenha afirmado que a vulnerabilidade não afetou usuários, a possibilidade de ataques ainda existe, especialmente se arquivos maliciosos já estiverem presentes no sistema do usuário. A execução de códigos maliciosos seria limitada ao nível de privilégio do aplicativo vulnerável, o que significa que o risco aumenta se o jogo for executado em modo de administrador. Portanto, é crucial que os jogadores atualizem seus jogos assim que as correções estiverem disponíveis.

O grupo de ransomware Qilin reivindicou a responsabilidade por uma violação de dados ocorrida em setembro de 2025 nas escolas públicas do Condado de Mecklenburg, na Virgínia. O incidente foi notificado aos pais em 2 de setembro, levando a uma interrupção significativa nas atividades escolares, com professores utilizando métodos tradicionais de ensino devido à falta de acesso à internet. Qilin afirma ter roubado 305 GB de dados, incluindo relatórios financeiros, orçamentos e registros médicos de crianças, e publicou amostras desses documentos em seu site de vazamento. O superintendente das escolas, Scott Worner, confirmou a autoria do ataque, mas ressaltou que a verificação do que foi comprometido depende da conclusão da investigação pelas autoridades e pela seguradora da escola. O grupo tem um histórico de ataques a instituições educacionais, tendo realizado 103 ataques confirmados em 2025 até o momento. Worner alertou outras escolas sobre a inevitabilidade de ataques cibernéticos, enfatizando a importância de manter a cobertura de cibersegurança atualizada. O ataque destaca a vulnerabilidade do setor educacional, que frequentemente enfrenta dificuldades em relatar violações de dados e pode sofrer interrupções significativas em suas operações diárias.

O Programa de Educação Médica de Fort Wayne (FWMEP) notificou 29.485 pessoas sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu informações pessoais de funcionários e seus dependentes. Os dados vazados incluem números de Seguro Social, identificações emitidas pelo estado, datas de nascimento, números de contas bancárias, informações de cartões de crédito e dados de saúde pessoal, como histórico médico e informações de faturamento. O grupo de ransomware Inc reivindicou a responsabilidade pelo ataque, alegando ter roubado 66 GB de dados do FWMEP. A investigação revelou que a atividade suspeita foi detectada entre 12 e 17 de dezembro de 2024. O FWMEP está oferecendo monitoramento de crédito gratuito e proteção contra roubo de identidade aos afetados, com prazo para inscrição até 2 de janeiro de 2026. O grupo Inc, ativo desde julho de 2023, já realizou 128 ataques confirmados, afetando diversos setores, incluindo educação e saúde. O aumento de ataques de ransomware em instituições educacionais nos EUA, com 83 incidentes registrados em 2024, destaca a gravidade da situação e a necessidade de medidas de segurança mais robustas.

Pesquisadores da Infoblox revelaram uma campanha de malware chamada DetourDog, que comprometeu mais de 30.000 sites sem que os usuários percebessem. O ataque se aproveitou de servidores desprotegidos, utilizando um malware que redireciona visitantes para sites maliciosos. As requisições de DNS são feitas pelo próprio site comprometido, tornando o ataque invisível para as vítimas. Os usuários são redirecionados para sites que hospedam um infostealer conhecido como Strela Stealer, que rouba credenciais de diversas fontes, incluindo e-mails. O Strela Stealer, que evoluiu desde sua primeira identificação em 2022, se comunica com servidores de comando e controle para coletar dados e receber atualizações. Embora a Infoblox não tenha atribuído o ataque a um grupo específico, a origem pode estar relacionada a países do leste europeu, dado o significado da palavra ‘Strela’. As organizações são aconselhadas a auditar suas configurações de DNS e monitorar tráfego incomum para se protegerem contra esse tipo de ameaça.

Recentemente, a GreyNoise, uma empresa de pesquisa em segurança cibernética, relatou um aumento de 500% nos IPs realizando varreduras em busca de perfis do Palo Alto Networks GlobalProtect e PAN-OS. Em média, cerca de 200 IPs realizam esse tipo de varredura, mas no dia 3 de outubro, esse número saltou para mais de 1.280. A maioria dos IPs maliciosos se originou dos Estados Unidos, com alvos principalmente nos EUA e no Paquistão. Apesar do aumento nas varreduras, a Palo Alto Networks afirmou que não encontrou evidências de comprometimento em seus sistemas e se mantém confiante em suas defesas, que são suportadas pela plataforma Cortex XSIAM, capaz de bloquear 1,5 milhão de novos ataques diariamente. Especialistas alertam que esse tipo de atividade pode indicar que um ator malicioso está tentando descobrir vulnerabilidades nos portais de login da empresa. A GreyNoise também observou que 7% dos IPs envolvidos nas varreduras são considerados maliciosos, enquanto 91% são classificados como suspeitos. A empresa continua monitorando a situação e assegura que suas infraestruturas permanecem seguras.

Uma vulnerabilidade crítica foi identificada no Redis Server, permitindo que atacantes autenticados realizem execução remota de código através de uma falha do tipo use-after-free no motor de script Lua. Classificada como CVE-2025-49844, essa vulnerabilidade afeta todas as versões do Redis que suportam a funcionalidade de scripting Lua, representando um risco significativo para organizações que dependem do Redis para armazenamento de dados em memória.

Pesquisadores de segurança da Wiz, em colaboração com a Iniciativa Zero Day da Trend Micro, descobriram que a falha resulta de uma gestão inadequada da memória na implementação do Lua, onde referências a memória liberada persistem após a coleta de lixo. Ao criar scripts Lua maliciosos que manipulam os tempos de coleta de lixo, atacantes podem explorar essa condição, assumindo o controle de regiões de memória liberadas e executando código arbitrário com os privilégios do processo do servidor Redis.

Uma falha crítica de Execução Remota de Código (RCE) no Google Chrome, identificada como CVE-2025-1195777, foi divulgada publicamente, expondo sistemas não corrigidos a riscos de comprometimento total. A vulnerabilidade foi descoberta durante a competição TyphoonPWN 2025 pelo pesquisador Seunghyun Lee e está relacionada a um bug sutil de canonização do WebAssembly no motor V8 do Chrome. O problema decorre de verificações inadequadas de nulidade na rotina CanonicalEqualityEqualValueType, permitindo que atacantes contornem garantias de tipo do Wasm e criem primitivas fora dos limites. A exploração utiliza uma cadeia de dois estágios: primeiro, sequestrando o sandbox do Wasm e, em seguida, abusando de uma característica da pilha secundária da JS Promise Integration para executar um código arbitrário na máquina host. Até o momento, o Google não lançou um patch oficial, deixando as versões do Chrome de 137.0.7151.40 a 138.0.7204.4 vulneráveis. Organizações são aconselhadas a desativar temporariamente o WebAssembly ou implementar políticas de segurança para mitigar a exposição a páginas maliciosas. Usuários devem evitar navegar em sites não confiáveis até que uma correção seja disponibilizada.

O Kali Linux 2025.3 apresenta o Gemini CLI, uma interface de linha de comando de código aberto que integra a inteligência artificial Gemini do Google diretamente no terminal. Essa ferramenta inovadora transforma o teste de penetração tradicional ao automatizar tarefas de reconhecimento, enumeração e varredura de vulnerabilidades. Com comandos em linguagem natural, os profissionais de segurança podem delegar fluxos de trabalho repetitivos e se concentrar em análises mais profundas e remediações estratégicas.

Uma falha crítica de segurança foi identificada no Zabbix Agent e Agent2 para Windows, permitindo que atacantes locais escalem privilégios para o nível SYSTEM. A vulnerabilidade, rastreada como CVE-2025-27237, ocorre devido à forma como o agente carrega seu arquivo de configuração do OpenSSL durante a inicialização do serviço. Em versões afetadas, esse arquivo está armazenado em um diretório onde usuários não administrativos têm acesso de gravação. Um atacante pode substituir ou modificar esse arquivo para referenciar uma DLL maliciosa, forçando o agente a carregar e executar código arbitrário como usuário SYSTEM ao reiniciar o serviço. As versões vulneráveis incluem Zabbix Agent e Agent2 de 6.0.0 a 6.0.40, 7.0.0 a 7.0.17, 7.2.0 a 7.2.11 e 7.4.0 a 7.4.1. Para mitigar essa vulnerabilidade, os administradores devem atualizar para versões corrigidas e reiniciar o serviço. A falha foi divulgada de forma responsável e confirmada pela equipe de suporte do Zabbix, que recomenda a aplicação imediata do patch para evitar a exploração da vulnerabilidade.

Recentemente, surgiram alegações de que a Huawei sofreu uma violação de segurança em seus repositórios internos, com hackers afirmando ter extraído código fonte proprietário e ferramentas de desenvolvimento. Embora a autenticidade dessas alegações ainda não tenha sido confirmada, a possível exposição da arquitetura de software e dos mecanismos de segurança da Huawei representa riscos significativos para a empresa e seus clientes globais. Os materiais supostamente vazados incluem partes do código fonte de diversos projetos da Huawei, abrangendo software de gerenciamento de rede, firmware de estações base e bibliotecas de segurança. Especialistas em cibersegurança estão investigando a veracidade dessas afirmações, cientes de que os atores de ameaça podem exagerar ou fabricar informações para aumentar sua reputação. Se a violação for confirmada, o código vazado pode fornecer informações valiosas para ataques direcionados, comprometendo a segurança das redes em todo o mundo. Este incidente também intensifica as preocupações geopolíticas em torno da presença da Huawei em infraestruturas críticas, especialmente em implementações de 5G e redes governamentais. A Huawei ainda não se pronunciou publicamente sobre o incidente, mas recomendações incluem monitoramento contínuo das redes e compartilhamento de informações sobre ameaças entre organizações.

Pesquisadores de cibersegurança identificaram um grupo de cibercrime de língua chinesa, codinome UAT-8099, que se especializa em fraudes de otimização para motores de busca (SEO) e roubo de credenciais valiosas, arquivos de configuração e dados de certificados. Os ataques têm como alvo servidores Microsoft Internet Information Services (IIS), com infecções relatadas principalmente na Índia, Tailândia, Vietnã, Canadá e Brasil, afetando universidades, empresas de tecnologia e provedores de telecomunicações. O grupo, descoberto em abril de 2025, foca em usuários móveis, tanto de dispositivos Android quanto de iPhones. UAT-8099 manipula rankings de busca utilizando ferramentas como Cobalt Strike e malware BadIIS, além de scripts automatizados que evitam detecções. Após comprometer um servidor IIS vulnerável, o grupo utiliza shells web para realizar reconhecimento e escalar privilégios, habilitando o Protocolo de Área de Trabalho Remota (RDP) para acessar dados valiosos. O malware BadIIS, uma variante que evita a detecção por antivírus, opera em três modos, incluindo a manipulação de backlinks para aumentar a visibilidade de sites. A situação é preocupante, pois o grupo já comprometeu um número indeterminado de servidores, e suas táticas podem impactar significativamente a segurança digital no Brasil.

No contexto atual de rápida evolução da inteligência artificial (IA) e das tecnologias em nuvem, as organizações estão cada vez mais adotando medidas de segurança para proteger dados sensíveis e garantir conformidade regulatória. As soluções de AI-SPM (Gestão da Postura de Segurança em IA) têm se destacado como ferramentas essenciais para proteger pipelines de IA e ativos de dados. O artigo destaca cinco perguntas críticas que as empresas devem fazer ao avaliar soluções de AI-SPM. A primeira pergunta aborda a necessidade de visibilidade e controle abrangentes sobre os riscos associados à IA e aos dados. A segunda pergunta foca na capacidade da solução de identificar e remediar riscos específicos da IA, como ataques adversariais e viés em modelos preditivos. A conformidade regulatória é o tema da terceira pergunta, enfatizando a importância de garantir que as soluções atendam a normas como a LGPD e o GDPR. A escalabilidade em arquiteturas dinâmicas de nuvem é discutida na quarta pergunta, enquanto a integração com ferramentas de segurança existentes é abordada na quinta. O artigo conclui ressaltando que a segurança em IA deve ser proativa, permitindo que as organizações inovem com confiança em um ambiente de ameaças em constante evolução.

O cenário de cibersegurança continua a evoluir rapidamente, com novos ataques e vulnerabilidades emergindo semanalmente. Um dos principais destaques é a exploração de uma falha zero-day na Oracle E-Business Suite, identificada como CVE-2025-61882, que permite que atacantes não autenticados comprometam o sistema e realizem roubo de dados. O grupo de ransomware Cl0p está por trás dessa exploração, utilizando múltiplas vulnerabilidades para atacar diversas vítimas.

Além disso, um ator de estado-nação chinês, conhecido como Phantom Taurus, tem direcionado suas operações de espionagem cibernética a entidades governamentais e militares na África, Oriente Médio e Ásia, utilizando ferramentas sofisticadas para comprometer sistemas de alto valor. No Brasil, uma nova variante de malware chamada SORVEPOTEL tem se espalhado via WhatsApp, utilizando mensagens de phishing para infectar usuários e propagar-se rapidamente entre contatos.

O Beijing Institute of Electronics Technology and Application (BIETA) é uma empresa chinesa que, segundo investigações, estaria sob a liderança do Ministério da Segurança do Estado (MSS) da China. A análise aponta que pelo menos quatro funcionários da BIETA têm vínculos diretos ou indiretos com oficiais do MSS, além de conexões com a Universidade de Relações Internacionais, conhecida por suas ligações com o MSS. A BIETA e sua subsidiária, Beijing Sanxin Times Technology Co., Ltd. (CIII), desenvolvem tecnologias que supostamente apoiam missões de inteligência e segurança nacional da China, incluindo métodos de esteganografia para comunicações secretas e ferramentas de investigação forense. A empresa também tem se envolvido em projetos que permitem monitorar e bloquear dispositivos móveis em grandes eventos, além de desenvolver softwares para simulação de comunicação e testes de penetração em sistemas. A Mastercard, que analisou a situação, sugere que a BIETA e a CIII são organizações de fachada que facilitam operações de inteligência cibernética do governo chinês. Essa revelação surge em um contexto de crescente preocupação com a segurança cibernética e a espionagem, especialmente em relação a tecnologias amplamente utilizadas no Brasil.

O aplicativo de mensagens Signal criticou a proposta de legislação da União Europeia, conhecida como ‘Chat Control’, que visa escanear mensagens privadas de cidadãos em busca de material de abuso sexual infantil (CSAM). Segundo a Signal, essa exigência funcionaria como spyware, comprometendo a segurança dos dispositivos dos usuários. A proposta exige que plataformas de mensagens realizem a varredura de URLs, imagens e vídeos antes que as mensagens sejam criptografadas, o que, segundo a Signal, anula o propósito da criptografia. A empresa já sinalizou que pode deixar o mercado europeu se a legislação for aprovada, pois isso representaria um risco existencial para seus serviços. A discussão sobre a proposta está marcada para 14 de outubro, e a Alemanha, que tem se mostrado indecisa, é vista como um voto crucial. Especialistas em segurança digital alertam que a implementação de escaneamento em dispositivos pode criar vulnerabilidades que poderiam ser exploradas por agentes maliciosos, além de abrir precedentes para a vigilância em massa. A Signal e outros críticos argumentam que a proposta pode ter consequências globais, permitindo que governos autoritários restrinjam ainda mais os direitos dos cidadãos.

A Oracle emitiu um alerta de segurança urgente sobre uma vulnerabilidade crítica de 0-day no Oracle E-Business Suite, que permite a execução remota de código sem autenticação. A falha, identificada como CVE-2025-61882, afeta as versões 12.2.3 a 12.2.14 do software e possui uma pontuação máxima de 9.8 no CVSS 3.1, indicando severidade crítica. Essa vulnerabilidade reside no componente de Integração BI Publisher do Oracle Concurrent Processing e pode ser explorada remotamente através do protocolo HTTP.

Uma vulnerabilidade crítica no Sudo, identificada como CVE-2025-32463, foi recentemente divulgada, permitindo que atacantes obtenham privilégios de root em sistemas Linux afetados. O código malicioso, que foi disponibilizado como uma prova de conceito (PoC) por meio do GitHub, permite que usuários locais com contas não privilegiadas explorem uma falha na funcionalidade chroot do Sudo, elevando seu acesso a controle total do sistema. As versões afetadas incluem o Sudo de 1.9.14 a 1.9.17, enquanto versões anteriores não são impactadas. A exploração dessa vulnerabilidade pode resultar em movimentos laterais dentro da rede, comprometendo a segurança de toda a infraestrutura de TI. Especialistas em segurança recomendam que as organizações atualizem para a versão 1.9.17p1 ou posterior, onde a falha foi corrigida. Além disso, o uso de frameworks de segurança como AppArmor ou SELinux é aconselhado para restringir o comportamento do Sudo. A detecção proativa de tentativas de exploração é essencial para mitigar riscos. A liberação pública do PoC aumenta significativamente o risco para sistemas não corrigidos, tornando a atualização imediata uma prioridade.

Um novo framework chamado XRayC2 demonstra como atacantes podem transformar o serviço de rastreamento distribuído AWS X-Ray em um canal de comando e controle (C2) furtivo, contornando os controles de segurança de rede convencionais ao utilizar tráfego legítimo da API da AWS. Ao explorar a infraestrutura da nuvem, o XRayC2 utiliza a funcionalidade de anotação do AWS X-Ray para embutir dados criptografados em segmentos de rastreamento, roteando todas as comunicações através de domínios legítimos da AWS, como xray..amazonaws.com. Essa técnica mistura cargas maliciosas com dados de monitoramento padrão, dificultando a detecção por ferramentas que se concentram apenas na origem ou volume do tráfego.

A QNAP Systems revelou uma vulnerabilidade crítica no seu software de backup NetBak Replicator, que pode permitir que atacantes locais executem código arbitrário em sistemas Windows afetados. Identificada como CVE-2025-57714, a falha se origina de um elemento de caminho de busca não citado na versão 4.5.x do NetBak Replicator. Quando o Windows tenta localizar executáveis em diretórios com espaços, sem as devidas aspas, um invasor pode inserir um executável malicioso em um caminho de maior prioridade. Isso pode resultar na execução do código do atacante em vez do programa legítimo, levando à execução não autorizada com privilégios elevados. A vulnerabilidade afeta usuários com acesso local e é especialmente preocupante em ambientes compartilhados, onde um ator malicioso pode escalar privilégios. A QNAP já lançou uma correção na versão 4.5.15.0807 e recomenda que as organizações atualizem imediatamente. Além disso, administradores devem implementar controles de acesso rigorosos e monitorar atividades suspeitas para mitigar riscos futuros.

A Oracle divulgou uma atualização emergencial para corrigir uma falha de segurança crítica em seu E-Business Suite, identificada como CVE-2025-61882, com uma pontuação CVSS de 9.8. Essa vulnerabilidade permite que um atacante não autenticado, com acesso à rede via HTTP, comprometa o componente de Processamento Concorrente da Oracle. A empresa alertou que, se explorada com sucesso, essa falha pode resultar em execução remota de código. O Chief Security Officer da Oracle, Rob Duhart, afirmou que a atualização foi lançada para mitigar potenciais explorações adicionais descobertas durante a investigação. A vulnerabilidade está relacionada a uma onda recente de ataques de roubo de dados do grupo Cl0p, que utilizou múltiplas falhas, incluindo algumas já corrigidas em atualizações anteriores. A Mandiant, subsidiária do Google, destacou que o Cl0p explorou essas vulnerabilidades para roubar grandes quantidades de dados de várias vítimas. Diante da exploração em massa de zero-days, as organizações devem verificar se já foram comprometidas, independentemente da aplicação do patch.

Uma vulnerabilidade de segurança agora corrigida no Zimbra Collaboration foi explorada como um zero-day em ataques cibernéticos direcionados ao Exército Brasileiro. Identificada como CVE-2025-27915, essa falha de cross-site scripting (XSS) armazenada permite a execução de código arbitrário devido à sanitização insuficiente de conteúdo HTML em arquivos de calendário ICS. Quando um usuário visualiza um e-mail com uma entrada ICS maliciosa, um código JavaScript embutido é executado, possibilitando que um atacante realize ações não autorizadas, como redirecionar e-mails para um endereço controlado por ele. A vulnerabilidade foi corrigida nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, lançadas em 27 de janeiro de 2025. No entanto, um relatório da StrikeReady Labs, publicado em 30 de setembro de 2025, revelou que a falha foi explorada em ataques reais, onde atores desconhecidos se passaram pelo Escritório de Protocolo da Marinha da Líbia para atacar o Exército Brasileiro. O arquivo ICS continha um código JavaScript projetado para roubar dados, incluindo credenciais e e-mails, e adicionar regras de filtro maliciosas no Zimbra. O ataque destaca a necessidade urgente de monitoramento e atualização de sistemas para evitar compromissos semelhantes.

A Microsoft anunciou que o Outlook não exibirá mais imagens SVG inline para mitigar riscos de phishing e malware. A decisão vem em resposta ao aumento do uso malicioso de arquivos SVG, que têm sido utilizados para entregar malware e criar páginas de phishing. Em uma atualização no Microsoft 365 Message Center, a empresa informou que, ao invés de imagens, os usuários verão espaços em branco onde as imagens SVG estariam. No entanto, os arquivos SVG enviados como anexos clássicos continuarão a ser suportados e visualizáveis. A Microsoft destacou que menos de 0,1% das imagens no Outlook utilizam esse método, o que significa que o impacto nas comunicações diárias deve ser mínimo. Essa mudança faz parte de uma estratégia mais ampla da Microsoft para reduzir recursos que podem ser explorados por atacantes, incluindo a restrição de funções em Office e Windows que têm sido utilizadas em campanhas de phishing e malware nos últimos anos.

Uma pesquisa realizada pela Yubico revelou que quase metade dos entrevistados interagiu com e-mails de phishing no último ano, com a geração Z sendo a mais vulnerável, apresentando 62% de engajamento com esses golpes. Apesar do reconhecimento generalizado de que senhas são inseguras, elas ainda são o método de autenticação mais utilizado, com menos da metade das empresas adotando autenticação multifator (MFA) em todas as aplicações. Além disso, 40% dos funcionários afirmaram não ter recebido treinamento em cibersegurança. A pesquisa destaca que, embora os ataques de phishing tenham evoluído para se tornarem mais convincentes, a adoção de soluções de autenticação resistentes ao phishing, como chaves de segurança, está começando a aumentar, especialmente na França, onde a adoção de MFA para contas pessoais saltou de 29% para 71% em um ano. A desconexão entre a conscientização sobre segurança e a implementação de práticas eficazes deixa tanto indivíduos quanto organizações vulneráveis a ataques cada vez mais sofisticados.

O modelo de segurança Zero Trust, ou Confiança Zero, surge como uma resposta às limitações do modelo tradicional de segurança, que considerava tudo dentro da rede corporativa como seguro. Com a crescente adoção da computação em nuvem e do trabalho remoto, essa abordagem se tornou obsoleta. O princípio central do Zero Trust é o mantra ‘Nunca confie, sempre verifique’, que implica que nenhum usuário ou dispositivo é confiável por padrão. Cada acesso a dados ou aplicativos deve ser autenticado e verificado, independentemente de sua origem.

Pesquisadores alertam sobre uma nova ferramenta chamada MatrixPDF, que transforma arquivos PDF comuns em armadilhas para usuários desavisados. Essa tecnologia permite que hackers insiram prompts enganosos, sobreposições e scripts em documentos aparentemente inofensivos, tornando-os veículos para malware e campanhas de phishing. O estudo da Varonis destaca que, ao combinar o MatrixPDF com motores de phishing em larga escala como o SpamGPT, a eficácia e o alcance desses ataques podem ser multiplicados. Os PDFs, frequentemente confiáveis, podem contornar filtros de e-mail e abrir diretamente em serviços como o Gmail sem levantar suspeitas. Os atacantes podem incluir ações maliciosas que redirecionam usuários para sites externos ou fazem o download automático de arquivos prejudiciais. Além disso, a execução de scripts JavaScript embutidos nos PDFs pode permitir que os hackers conectem-se a servidores maliciosos, levando a downloads indesejados. A pesquisa enfatiza a necessidade de soluções de segurança baseadas em IA que analisem anexos em busca de estruturas incomuns e links ocultos, já que a adaptação constante das táticas dos cibercriminosos representa um desafio contínuo para a segurança cibernética.

A empresa de inteligência em ameaças GreyNoise relatou um aumento significativo nas atividades de varredura direcionadas aos portais de login da Palo Alto Networks, com um crescimento de quase 500% no número de endereços IP envolvidos em apenas um dia, em 3 de outubro de 2025. Este aumento representa a maior atividade registrada nos últimos três meses, com cerca de 1.300 endereços IP únicos participando da varredura, sendo 93% classificados como suspeitos e 7% como maliciosos. A maioria dos IPs está geolocalizada nos EUA, com clusters menores no Reino Unido, Países Baixos, Canadá e Rússia. GreyNoise observou que essa atividade de varredura apresenta características semelhantes a um aumento recente de varreduras em dispositivos Cisco ASA, sugerindo uma possível interconexão entre as ameaças. Em abril de 2025, a empresa já havia alertado sobre atividades de varredura suspeitas direcionadas a gateways GlobalProtect da Palo Alto. O relatório de GreyNoise também indica que picos em atividades de varredura maliciosa frequentemente precedem a divulgação de novas vulnerabilidades (CVE) relacionadas. Recentemente, a Cisco divulgou duas vulnerabilidades zero-day em seus dispositivos ASA, que foram exploradas em ataques reais. A situação exige atenção das empresas que utilizam essas tecnologias, especialmente no Brasil, onde a Palo Alto e a Cisco têm presença significativa.

Pesquisadores de cibersegurança revelaram um novo ataque denominado CometJacking, que visa o navegador de IA Comet da Perplexity. Este ataque utiliza links maliciosos que, ao serem clicados, injetam comandos ocultos no navegador, permitindo que dados sensíveis, como informações de e-mail e calendário, sejam extraídos sem o conhecimento do usuário. A técnica de injeção de prompt se aproveita de uma URL manipulada que, em vez de direcionar o usuário para um site legítimo, instrui o assistente de IA a acessar sua memória e coletar dados, que são então codificados em Base64 e enviados para um servidor controlado pelo atacante. Embora a Perplexity tenha minimizado o impacto da descoberta, o ataque destaca a vulnerabilidade de ferramentas nativas de IA, que podem contornar as proteções tradicionais de segurança. Especialistas alertam que os navegadores de IA representam um novo campo de batalha para a segurança cibernética, exigindo que as organizações implementem controles rigorosos para detectar e neutralizar esses tipos de ataques antes que se tornem comuns.

Uma nova campanha de spear phishing foi descoberta pela Blackpoint Cyber, visando executivos e funcionários de alto escalão. Os hackers exploram a confiança dos usuários em documentos sensíveis, como passaportes e arquivos de pagamento, utilizando documentos certificados falsos. Um dos métodos utilizados envolve o envio de arquivos ZIP que, ao serem abertos, revelam atalhos do Windows disfarçados. Esses atalhos ativam um script PowerShell que baixa malware de um site controlado pelos atacantes. O malware se camufla como uma apresentação de PowerPoint, evitando a detecção. Além disso, ele verifica a presença de antivírus no sistema, adaptando seu comportamento conforme a segurança encontrada. Esse tipo de ataque, conhecido como ’living off the land’, permite que os hackers contornem ferramentas de segurança, estabelecendo uma conexão com um servidor de comando e controle, o que possibilita o acesso remoto ao computador da vítima. A engenharia social utilizada torna o ataque ainda mais convincente, exigindo que os usuários sejam cautelosos ao abrir anexos, mesmo que pareçam legítimos.

Em 4 de junho de 2025, pesquisadores de cibersegurança identificaram as primeiras implantações ativas da variante XWorm V6.0, que representa o retorno inesperado da infame família de RATs modulares. Esta nova variante mantém a arquitetura central de seu predecessor, mas incorpora melhorias para contornar a detecção por antivírus e aumentar a persistência. Os atacantes estão distribuindo o XWorm V6 por meio de campanhas de phishing, utilizando dropers de JavaScript maliciosos que se conectam silenciosamente a scripts PowerShell antes de entregar um DLL injetor.

O malware Rhadamanthys, promovido por um ator de ameaças conhecido como kingcrete2022, se destaca como um dos principais ladrões de informações disponíveis sob o modelo de malware-as-a-service (MaaS). Com a versão 0.9.2, o software agora coleta impressões digitais de dispositivos e navegadores, ampliando suas capacidades além da simples coleta de dados. A Check Point revelou que os desenvolvedores rebranding como ‘RHAD security’ e ‘Mythical Origin Labs’ estão oferecendo pacotes que variam de $299 a $499 por mês, indicando uma profissionalização do serviço. A nova versão inclui recursos para evitar a detecção, como alertas que permitem a execução do malware sem danos ao sistema. Além disso, o malware utiliza técnicas de esteganografia para ocultar seu payload, que é extraído e executado após uma série de verificações para evitar ambientes de sandbox. A evolução do Rhadamanthys, com a adição de um runner Lua para plugins, representa uma ameaça crescente à segurança pessoal e corporativa, exigindo atenção contínua dos profissionais de segurança.

O grupo de ameaças conhecido como Detour Dog foi identificado como responsável pela distribuição de um malware chamado Strela Stealer, que atua como um ladrão de informações. A análise da Infoblox revelou que Detour Dog controla domínios que hospedam a primeira fase do malware, um backdoor chamado StarFish. Desde agosto de 2023, a Infoblox vem monitorando as atividades do grupo, que inicialmente se concentrava em redirecionar tráfego de sites WordPress para páginas maliciosas. O malware evoluiu para executar conteúdo remoto através de um sistema de comando e controle baseado em DNS.

Pesquisadores das Universidades de Birmingham e KU Leuven identificaram uma nova vulnerabilidade chamada Battering RAM, que afeta processadores Intel e AMD, especialmente em ambientes de nuvem. O ataque utiliza um interposer, um dispositivo físico de baixo custo (cerca de R$ 265), que, ao ser ativado, redireciona endereços protegidos da memória para locais controlados por hackers. Isso compromete a segurança das Extensões de Guarda do Software Intel (SGX) e da Virtualização Encriptada Segura com Paginação Aninhada Segura da AMD (SEV-SNO), que são fundamentais para a criptografia de dados em nuvem. O ataque é especialmente preocupante para sistemas que utilizam memória RAM DDR4 e pode permitir que provedores de nuvem maliciosos ou insiders com acesso limitado insiram backdoors nas CPUs. Apesar de a Intel, AMD e Arm terem sido informadas sobre a vulnerabilidade, a proteção contra o Battering RAM exigiria um redesenho completo das medidas de segurança atuais. Essa descoberta segue uma pesquisa anterior sobre técnicas que vazam memória de máquinas virtuais em serviços de nuvem públicos.

A Microsoft está enfrentando um problema com o Microsoft Defender para Endpoint, que erroneamente classifica o firmware da BIOS de alguns computadores como desatualizado. Esse bug, identificado por pesquisadores da Redmond, afeta principalmente dispositivos da Dell, gerando alertas para os usuários sobre a necessidade de atualizações que, na verdade, não existem. A empresa já está trabalhando em um patch para corrigir essa falha, embora não tenha divulgado quantos usuários foram impactados ou as regiões mais afetadas. Além disso, a Microsoft também resolveu recentemente outros problemas, como crashes em dispositivos macOS e falsos positivos que bloqueavam links no Microsoft Teams e Exchange Online. Esses incidentes destacam a importância de monitorar e corrigir bugs em sistemas de segurança, especialmente em um cenário onde a integridade dos dispositivos é crucial para a proteção de dados e a conformidade com regulamentações como a LGPD.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

O grupo de hackers SideWinder, associado a atividades de espionagem patrocinadas por estados, intensificou suas operações na Ásia do Sul com a campanha denominada “Operação SouthNet”. Este ataque envolve a criação de mais de 50 domínios de phishing para roubar credenciais de login de entidades governamentais e militares, especialmente no Paquistão e no Sri Lanka, mas também com atividades colaterais em Nepal, Bangladesh e Mianmar. Os atacantes utilizam serviços de hospedagem gratuitos para criar portais falsos do Outlook e Zimbra, focando em setores marítimos, aeroespaciais e de telecomunicações. A taxa de criação de novos domínios é alarmante, ocorrendo a cada 3 a 5 dias. Além disso, foram identificados documentos maliciosos disfarçados como PDFs, que visam enganar as vítimas. A pesquisa também revelou que o grupo recicla infraestrutura de comando e controle, aumentando a dificuldade de rastreamento. As medidas de mitigação recomendadas incluem monitoramento proativo de plataformas de hospedagem e treinamento em cibersegurança para reconhecer iscas documentais. A colaboração entre CERTs regionais é essencial para interromper as campanhas de espionagem do SideWinder e proteger redes sensíveis.

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

O GhostSocks é um novo serviço de Malware-as-a-Service (MaaS) que ganhou destaque entre cibercriminosos, permitindo que dispositivos comprometidos operem como proxies residenciais. Lançado em 15 de outubro de 2023 em um fórum russo, o GhostSocks utiliza endereços IP legítimos para redirecionar tráfego fraudulento, burlando sistemas de segurança e controle anti-fraude. A facilidade de uso e a integração com outros frameworks de malware tornaram o GhostSocks popular tanto entre fraudadores iniciantes quanto entre grupos de ransomware mais sofisticados.

Pesquisadores revelaram uma falha crítica de segurança em roteadores empresariais que utilizam o sistema DrayOS, permitindo que atacantes remotos não autenticados provoquem corrupção de memória, quedas de sistema e potencialmente executem código arbitrário. A vulnerabilidade está presente na Interface Web do Usuário (WebUI), que aceita requisições HTTP(S) sem validação adequada de entrada. Quando explorada, essa falha pode dar controle total sobre os dispositivos afetados, permitindo que os atacantes se movam mais profundamente nas redes corporativas. A exploração ocorre ao enviar requisições maliciosas para a WebUI em interfaces de rede com acesso remoto habilitado. A DrayTek já lançou atualizações de firmware para corrigir a vulnerabilidade, e os usuários são aconselhados a atualizar imediatamente para evitar riscos de exploração. Para mitigar a ameaça, recomenda-se desabilitar o acesso remoto à WebUI e implementar listas de controle de acesso (ACLs) que restrinjam o acesso a hosts confiáveis. Além disso, é importante realizar auditorias de patch e testes de penetração periódicos para garantir a segurança das interfaces de gerenciamento remoto.

Um grupo de cibercriminosos, conhecido como Cavalry Werewolf, está atacando o setor público da Rússia utilizando malwares como FoalShell e StallionRAT. A empresa de cibersegurança BI.ZONE identificou que os atacantes enviaram e-mails de phishing disfarçados de correspondências oficiais de funcionários do governo do Quirguistão. Os principais alvos incluem agências estatais russas e empresas dos setores de energia, mineração e manufatura. Os ataques, que ocorreram entre maio e agosto de 2025, envolveram o uso de endereços de e-mail falsos e, em alguns casos, até endereços legítimos comprometidos. O FoalShell permite que os operadores executem comandos arbitrários, enquanto o StallionRAT, que também é capaz de exfiltrar dados via bot do Telegram, oferece funcionalidades semelhantes. A análise sugere que o grupo pode ter vínculos com o Cazaquistão, reforçando a hipótese de que se trata de um ator de ameaça associado a essa região. A crescente atividade de Cavalry Werewolf destaca a necessidade de vigilância constante e atualização das medidas de segurança para prevenir tais ataques.

O Passwork 7 é uma plataforma unificada de gestão de senhas e segredos, projetada para atender à crescente complexidade do armazenamento e compartilhamento de credenciais nas organizações modernas. A nova versão traz uma interface simplificada, priorizando a usabilidade e segurança, facilitando o gerenciamento de credenciais. Com uma estrutura hierárquica, os dados são organizados em cofres e pastas, permitindo que as empresas adaptem a gestão de credenciais às suas necessidades internas.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

Um estudo recente da Veeam revelou que a eficácia do pagamento de resgates em ataques de ransomware está em declínio. Em 2024, apenas 32% das empresas que pagaram resgates conseguiram recuperar seus dados, uma queda significativa em relação aos 54% de 2023. Por outro lado, o número de organizações que conseguiram recuperar suas informações sem pagar o resgate mais que dobrou, passando de 14% para 30%. O aumento da frequência e da gravidade dos ataques de ransomware tem gerado perdas financeiras significativas, com custos de inatividade que podem chegar a £1 milhão por hora. Além disso, a pesquisa destaca que 63% das empresas não conseguem se recuperar de crises devido à falta de infraestrutura alternativa. O governo do Reino Unido também planeja proibir pagamentos de resgates por organizações do setor público e de infraestrutura crítica. A Veeam recomenda que as empresas invistam em sistemas de backup robustos e alternativas de infraestrutura para evitar a necessidade de pagar resgates, uma vez que os atacantes são considerados uma opção não confiável para a recuperação de dados.

A Obex, um coletivo de pesquisa em segurança, revelou uma técnica sofisticada que permite a adversários evitar a detecção ao impedir que bibliotecas dinâmicas (DLLs) específicas sejam carregadas em processos-alvo. Essa abordagem representa um risco significativo para soluções de segurança que dependem exclusivamente de hooks em modo de usuário ou inspeção obrigatória em processos, uma vez que essas técnicas não conseguem monitorar a atividade maliciosa. A pesquisa mostra que, ao controlar os parâmetros de lançamento do processo, atacantes podem especificar uma lista restrita de DLLs, bloqueando a inicialização de módulos de telemetria ou inspeção. Isso permite que malware seja executado sem ser detectado. Para mitigar essa vulnerabilidade, a pesquisa sugere a implementação de proteções em modo de kernel, que garantem a integridade do carregamento de bibliotecas, independentemente dos parâmetros de modo de usuário. A Obex enfatiza a necessidade de uma defesa em profundidade, onde múltiplas camadas de segurança são essenciais para enfrentar adversários sofisticados. As organizações devem adotar medidas complementares, como detecção de anomalias em rede e verificação de integridade da memória, para fortalecer suas defesas contra essas técnicas de evasão.

A NCC Group divulgou uma análise detalhada de uma vulnerabilidade crítica no VMware Workstation, que permite a exploração de uma máquina virtual (VM) comprometida para atacar o host. A falha está relacionada à lógica de manipulação do dispositivo virtual backdoor/RPC, onde entradas maliciosas podem causar corrupção de memória, possibilitando a execução de código controlado no processo do hipervisor do host. A vulnerabilidade é resultado de verificações de limites inadequadas no código de manipulação de sessões RPC, permitindo que um atacante, sem privilégios elevados, desencadeie uma escrita fora dos limites na memória do host. O exploit de prova de conceito (PoC) demonstra um caminho de exploração em quatro etapas, começando com a abertura de uma sessão RPC e culminando na execução de um payload malicioso. A VMware já lançou atualizações de segurança para corrigir essa falha, e é recomendado que administradores apliquem os patches imediatamente e restrinjam cargas de trabalho não confiáveis em instalações locais do Workstation. O monitoramento contínuo do processo do hipervisor é essencial para detectar tentativas de exploração em tempo real.