O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

O artigo de Michal Bürger, CEO da eM Client, destaca que a maioria das falhas de segurança em nuvem (99%) resulta de configurações inadequadas por parte dos usuários, e não de vulnerabilidades nos provedores. Embora o e-mail seja uma ferramenta central de comunicação nas organizações, ele frequentemente é responsabilizado por vazamentos de dados, mesmo quando não é o culpado. A falta de compreensão sobre as verdadeiras origens das brechas de segurança leva as equipes de TI a implementarem controles inadequados, que não resolvem as vulnerabilidades reais. O texto enfatiza a importância de focar na segurança do endpoint, na criptografia de dados e na educação dos usuários para mitigar riscos. A combinação de dispositivos seguros, comunicação criptografada e usuários informados pode transformar o cliente de e-mail em um ativo, em vez de um passivo na segurança organizacional. A abordagem sugerida visa alinhar as estratégias de segurança com os padrões reais de ataque, promovendo um ambiente de trabalho produtivo e seguro.

O governo dinamarquês propôs uma nova legislação que visa proibir o uso de VPNs para acessar conteúdos de streaming geoblocados ou contornar restrições em sites ilegais. A proposta, parte de um esforço mais amplo para combater a pirataria online, gerou preocupações entre defensores dos direitos digitais, que consideram a redação do projeto como excessivamente ampla e com um ’toque totalitário’. O ministro da Cultura da Dinamarca, Jakob Engel-Schmidt, defendeu a proposta, afirmando que o objetivo é combater a pirataria, não tornar as VPNs ilegais. Atualmente, cerca de 9% da população dinamarquesa utiliza VPNs para acessar bibliotecas de streaming de outros países, como o Netflix americano. Se aprovada, a lei entrará em vigor em 1º de julho de 2026, e os infratores poderão enfrentar multas. A proposta se insere em um contexto mais amplo de legislação que tem sido criticada por especialistas em privacidade, incluindo tentativas de implementar o polêmico projeto de ‘Chat Control’ na UE, que visa monitorar mensagens digitais privadas. A proposta dinamarquesa representa uma escalada significativa, transferindo a responsabilidade legal dos provedores para os usuários finais.

A Rockrose Development notificou 47.392 pessoas sobre um vazamento de dados ocorrido em julho de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, identificações fiscais, números de carteira de motorista, passaportes, informações financeiras e dados médicos. O grupo de ransomware Play reivindicou a responsabilidade pelo ataque, alegando ter roubado documentos relacionados a clientes, contabilidade e informações financeiras. A Rockrose não confirmou se pagou um resgate ou como a violação ocorreu. A empresa está oferecendo 24 meses de proteção de identidade gratuita aos afetados. O ataque é parte de uma tendência crescente de ataques de ransomware em empresas de construção e desenvolvimento imobiliário nos EUA, com 12 ataques confirmados em 2025, comprometendo mais de 69 mil registros. O ataque à Rockrose é o maior registrado desde 2018, destacando a vulnerabilidade do setor a esse tipo de crime cibernético.

Em dezembro de 2025, pesquisadores de segurança revelaram uma campanha de cibercrime que comprometeu extensões populares dos navegadores Chrome e Edge. O grupo de ameaças conhecido como ShadyPanda passou sete anos publicando ou adquirindo extensões inofensivas, acumulando milhões de instalações antes de transformá-las em malware por meio de atualizações silenciosas. Aproximadamente 4,3 milhões de usuários foram afetados, com as extensões se tornando um framework de execução remota de código (RCE) que permitia o roubo de dados, como cookies de sessão e tokens de autenticação. Essa tática representa um ataque à cadeia de suprimentos de extensões de navegador, onde a confiança do usuário foi explorada. Para as equipes de segurança de SaaS, o incidente destaca a necessidade de uma abordagem integrada entre segurança de endpoints e identidade, já que as extensões podem comprometer contas corporativas sem disparar alarmes de segurança tradicionais. Medidas recomendadas incluem a implementação de listas de permissões de extensões, auditorias regulares e monitoramento de comportamentos suspeitos para mitigar riscos futuros.

Recentemente, hackers têm explorado falhas críticas em softwares amplamente utilizados, colocando em risco usuários de smartphones, navegadores web e aplicativos de desktop. A Apple e o Google lançaram atualizações de segurança para corrigir duas vulnerabilidades zero-day, CVE-2025-14174 e CVE-2025-43529, que permitem a execução de código arbitrário através de conteúdo web malicioso. Além disso, uma nova vulnerabilidade chamada SOAPwn foi descoberta em aplicações .NET, permitindo a execução remota de código devido a um comportamento inesperado dos proxies HTTP. Outra falha significativa foi identificada no WinRAR, com um CVSS de 7.8, que está sendo explorada por múltiplos grupos de ameaças. O CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais a corrigissem até 30 de dezembro de 2025. A situação é crítica, pois a exploração dessas falhas pode resultar em sérios danos, incluindo vazamento de dados e comprometimento de sistemas. Os usuários e administradores de sistemas devem aplicar as atualizações de segurança imediatamente para mitigar esses riscos.

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

À medida que nos aproximamos do final de 2025, dois fatos sobre a inteligência artificial (IA) são cruciais para os diretores de segurança da informação (CISOs). Primeiro, a maioria dos funcionários já utiliza ferramentas de IA generativa em suas atividades, mesmo que a empresa não forneça acesso ou proíba seu uso. Segundo, muitos desses funcionários já compartilharam informações internas e confidenciais com essas ferramentas. Um estudo da Microsoft revela que 75% dos trabalhadores do conhecimento estavam usando IA generativa em 2024, e 78% deles utilizavam ferramentas pessoais. Isso gera um aumento no ‘Access-Trust Gap’, que é a diferença entre aplicativos de negócios confiáveis e aqueles não gerenciados que acessam dados corporativos. Para mitigar riscos, as empresas precisam desenvolver um plano de habilitação de IA que inclua governança e controle de acesso. O artigo propõe seis perguntas essenciais para guiar essa elaboração, como quais casos de uso de IA são prioritários e quais ferramentas devem ser adotadas. A falta de governança pode resultar em violações de políticas e consequências legais. Portanto, é fundamental que as empresas adotem uma abordagem proativa e contínua para a governança da IA, garantindo que os funcionários utilizem aplicativos confiáveis e monitorados.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma vulnerabilidade de alta severidade, identificada como CVE-2018-4063, no seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). Essa falha, que afeta os roteadores Sierra Wireless AirLink ALEOS, permite o upload não restrito de arquivos, possibilitando a execução remota de código malicioso através de requisições HTTP manipuladas. O problema foi identificado inicialmente em 2018 e, apesar de ter sido reportado, continua a ser explorado ativamente. A vulnerabilidade é particularmente crítica, pois permite que um atacante, ao fazer uma requisição HTTP autenticada, faça upload de um arquivo que pode substituir arquivos existentes no dispositivo, herdando suas permissões de execução. Isso é agravado pelo fato de que o ACEManager opera com privilégios elevados, permitindo que scripts maliciosos sejam executados com permissões de root. A CISA recomenda que as agências federais atualizem seus dispositivos até 2 de janeiro de 2026, data em que o suporte para o produto será encerrado. A análise de honeypots revelou que roteadores industriais são os dispositivos mais atacados em ambientes de tecnologia operacional, destacando a necessidade urgente de mitigação e atualização de sistemas.

Na última sexta-feira, a Apple divulgou atualizações de segurança para iOS, iPadOS, macOS, tvOS, watchOS, visionOS e o navegador Safari, visando corrigir duas vulnerabilidades que já foram exploradas ativamente. As falhas identificadas são: CVE-2025-43529, uma vulnerabilidade de uso após liberação em WebKit que pode permitir a execução de código arbitrário ao processar conteúdo web malicioso, e CVE-2025-14174, um problema de corrupção de memória em WebKit, com uma pontuação CVSS de 8.8, que também pode resultar em corrupção de memória. A Apple reconheceu que essas falhas podem ter sido utilizadas em ataques sofisticados direcionados a indivíduos específicos em versões anteriores do iOS. É importante ressaltar que a CVE-2025-14174 é a mesma vulnerabilidade que a Google corrigiu em seu navegador Chrome no dia 10 de dezembro de 2025. As atualizações estão disponíveis para diversos dispositivos, incluindo iPhones a partir do modelo 11 e iPads a partir da 3ª geração do Pro. Com essas correções, a Apple já abordou nove vulnerabilidades zero-day exploradas em 2025, destacando a importância de manter os sistemas atualizados para garantir a segurança dos usuários.

Um ex-gerente de produtos da Accenture, identificado como Hilmer, foi acusado pelo Departamento de Justiça dos EUA (DoJ) de fraudes relacionadas à segurança em produtos de nuvem. Ele é acusado de ter enganado clientes do governo sobre as medidas de segurança da plataforma de nuvem da Accenture, que não atendia aos requisitos do programa FedRAMP, utilizado por agências federais para garantir a segurança de produtos e serviços em nuvem. Hilmer teria feito representações falsas para induzir o Exército dos EUA a patrocinar a plataforma para uma autorização provisória do Departamento de Defesa. As acusações incluem duas contagens de fraude eletrônica, uma de fraude governamental e duas de obstrução de auditoria federal. Se condenado, ele pode enfrentar até 20 anos de prisão por fraude eletrônica. A Accenture declarou que trouxe a questão à atenção do governo após uma revisão interna e está cooperando com a investigação. Este caso levanta preocupações sobre a conformidade de segurança em serviços de nuvem, especialmente em contratos governamentais, onde a integridade e a segurança dos dados são cruciais.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Recentemente, os desenvolvedores do Notepad++, um popular editor de código-fonte, emitiram um alerta sobre uma vulnerabilidade crítica em seu atualizador, o WinGUp. Hackers têm explorado essa falha para redirecionar o tráfego do atualizador para servidores maliciosos, resultando no download de malware nos computadores das vítimas. Essa exploração ocorre quando um atacante consegue interromper a comunicação entre o WinGUp e a infraestrutura de atualização, fazendo com que o software baixe arquivos infectados em vez de atualizações legítimas. Embora os ataques tenham sido direcionados e em número limitado, a situação é preocupante. Para mitigar o risco, os desenvolvedores lançaram uma atualização (v8.8.9) que corrige a falha, recomendando que os usuários a instalem manualmente. Além disso, é aconselhável realizar uma verificação completa com antivírus e, para empresas, restringir o acesso à internet durante o processo de atualização. A situação destaca a importância de manter softwares atualizados e de estar atento a potenciais ameaças cibernéticas.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

A fabricante nova-iorquina Fieldtex notificou 247.363 pessoas sobre uma violação de dados ocorrida em agosto de 2025, afetando informações pessoais de membros do programa de benefícios de saúde. O ataque cibernético, reivindicado pelo grupo de ransomware Akira, comprometeu dados como nomes, endereços, datas de nascimento e números de identificação de membros de planos de saúde. A Fieldtex, que fabrica equipamentos médicos e kits de primeiros socorros, confirmou a atividade não autorizada em seus sistemas em 19 de agosto de 2025. Embora o grupo Akira tenha afirmado ter roubado 14 GB de dados da marca E-First Aid Supplies, a empresa não confirmou a veracidade da alegação, mas admitiu que informações de saúde protegidas foram impactadas. A Fieldtex está oferecendo monitoramento de crédito gratuito para as vítimas. O ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, que já contabiliza 19 ataques confirmados a empresas que não prestam cuidados diretos, comprometendo cerca de 5,8 milhões de registros pessoais.

Pesquisadores de cibersegurança alertam para uma nova campanha que utiliza repositórios Python hospedados no GitHub para distribuir um Trojan de Acesso Remoto (RAT) baseado em JavaScript, denominado PyStoreRAT. Esses repositórios, que se apresentam como ferramentas de desenvolvimento ou de inteligência de código aberto (OSINT), contêm apenas algumas linhas de código que baixam e executam um arquivo HTA remotamente. O PyStoreRAT é um implante modular que pode executar diversos tipos de arquivos, incluindo EXE, DLL e scripts em PowerShell. Além disso, ele implanta um ladrão de informações chamado Rhadamanthys como carga adicional. A campanha começou em junho de 2025 e se espalhou por meio de contas do GitHub, muitas vezes inativas, que foram reativadas para publicar os repositórios maliciosos. Os atacantes utilizam técnicas para aumentar artificialmente a popularidade dos repositórios, como inflar métricas de estrelas e forks. O malware é projetado para evitar a detecção de soluções de EDR, utilizando lógica de evasão e executando comandos que podem roubar informações sensíveis, especialmente relacionadas a carteiras de criptomoedas. A origem dos atacantes sugere um grupo de língua russa, e a campanha representa uma evolução nas técnicas de infecção, utilizando implantes baseados em scripts que se adaptam às medidas de segurança existentes.

Pesquisadores da Doctor Web identificaram um novo trojan chamado ChimeraWire, que afeta o ranqueamento de resultados no Google Chrome. Este malware não se limita ao roubo de dados, mas simula a atividade de usuários reais para aumentar a visibilidade de sites específicos, manipulando o SEO através de buscas automatizadas e cliques falsos. O ChimeraWire opera em duas cadeias de instalação: a primeira envolve a instalação de um programa que verifica a legitimidade do sistema e, se aprovado, instala um script malicioso. A segunda cadeia utiliza um instalador que simula processos legítimos do Windows, explorando vulnerabilidades para obter acesso ao sistema. Uma vez instalado, o trojan adiciona extensões que burlam CAPTCHAs e se conecta a um servidor de comando, permitindo a manipulação de tráfego falso. Além disso, o malware possui recursos adicionais, como leitura de conteúdo de páginas e captura de tela, que podem ser utilizados pelos operadores. A detecção do ChimeraWire é complicada, pois até o momento, 66 antivírus não conseguiram identificá-lo.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

A verificação digital de identidade, especialmente na abertura de contas bancárias, surge como uma solução eficaz para combater as chamadas “contas de passagem” ou “laranjas”, frequentemente utilizadas em transações ilícitas. Segundo a Prove Identity, essa prática é essencial para evitar prejuízos financeiros e proteger a reputação das empresas, uma vez que as fraudes digitais estão se tornando cada vez mais sofisticadas no Brasil. As contas de passagem são utilizadas por criminosos para ocultar a origem de valores, dificultando o rastreamento de transações fraudulentas. A verificação de identidade, realizada pelo celular, garante que apenas usuários legítimos tenham acesso aos serviços bancários, além de validar comportamentos e históricos de uso, tornando quase impossível para fraudadores simularem identidades verdadeiras. Com mais de 200 milhões de celulares ativos no Brasil, a segurança digital se torna ainda mais crítica, pois a maioria das fraudes bancárias envolve um número de celular. Portanto, é fundamental que tanto usuários quanto empresas estejam cientes das medidas de proteção para identificar práticas como a identidade sintética, que utiliza dados de pessoas falecidas ou inexistentes para realizar transações ilícitas.

O uso de inteligência artificial generativa (GenAI) em navegadores se tornou comum nas empresas, permitindo que funcionários redijam e-mails, analisem dados e desenvolvam códigos. No entanto, essa prática levanta preocupações de segurança, pois muitos usuários inserem informações sensíveis em prompts ou fazem upload de arquivos sem considerar os riscos. Os controles de segurança tradicionais não foram projetados para lidar com esse novo padrão de interação, criando uma lacuna crítica. Para mitigar esses riscos, é essencial que as organizações implementem políticas claras sobre o uso seguro de GenAI, categorizando ferramentas e definindo quais tipos de dados são permitidos. Além disso, a criação de perfis de navegador dedicados e controles por site pode ajudar a isolar o uso de GenAI de aplicativos internos sensíveis. O monitoramento contínuo e a educação dos usuários são fundamentais para garantir que as diretrizes sejam seguidas, preservando a produtividade sem comprometer a segurança. A implementação de controles de dados precisos e a gestão de extensões de navegador também são essenciais para evitar a exfiltração de informações confidenciais.

Pesquisadores de cibersegurança identificaram quatro novos kits de phishing: BlackForce, GhostFrame, InboxPrime AI e Spiderman, que facilitam o roubo de credenciais em grande escala. O BlackForce, detectado pela primeira vez em agosto de 2025, é projetado para realizar ataques Man-in-the-Browser (MitB) e capturar senhas de uso único (OTPs), burlando a autenticação multifatorial (MFA). Vendido em fóruns do Telegram, o kit já foi utilizado para se passar por marcas renomadas como Disney e Netflix. O GhostFrame, descoberto em setembro de 2025, utiliza um iframe oculto para redirecionar vítimas a páginas de phishing, enquanto o InboxPrime AI automatiza campanhas de e-mail malicioso usando inteligência artificial, permitindo que atacantes simulem comportamentos humanos reais. Por fim, o Spiderman replica páginas de login de bancos europeus, oferecendo uma plataforma completa para gerenciar campanhas de phishing. Esses kits representam uma ameaça crescente, especialmente para empresas que dependem de autenticação digital, exigindo atenção redobrada das equipes de segurança.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu uma falha de segurança de alta gravidade no OSGeo GeoServer em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). A vulnerabilidade, identificada como CVE-2025-58360, possui uma pontuação CVSS de 8.2 e afeta todas as versões anteriores e incluindo 2.25.5, bem como as versões 2.26.0 a 2.26.1. Essa falha de entidade externa XML (XXE) permite que atacantes acessem arquivos arbitrários do sistema de arquivos do servidor, realizem ataques de Server-Side Request Forgery (SSRF) e até mesmo ataques de negação de serviço (DoS). A CISA recomenda que as agências federais apliquem as correções necessárias até 1º de janeiro de 2026. Embora não haja detalhes sobre como a vulnerabilidade está sendo explorada atualmente, um boletim do Centro Canadense de Segurança Cibernética indicou que um exploit para essa vulnerabilidade já está ativo. Além disso, uma falha crítica anterior no mesmo software, CVE-2024-36401, também foi explorada por diversos atores de ameaças no último ano.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta para que agências federais corrijam a vulnerabilidade crítica CVE-2025-55182, que afeta o protocolo Flight dos React Server Components. Com uma pontuação CVSS de 10.0, a falha permite que atacantes injetem lógica maliciosa em um contexto privilegiado, sem necessidade de autenticação ou interação do usuário. Desde sua divulgação em 3 de dezembro de 2025, a vulnerabilidade tem sido amplamente explorada por diversos grupos de ameaças, visando principalmente aplicações Next.js e cargas de trabalho em Kubernetes. A CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas Exploradas, estabelecendo um prazo para correção até 12 de dezembro de 2025. A empresa de segurança Cloudflare observou uma onda rápida de exploração, com ataques direcionados a sistemas expostos na internet, especialmente em regiões como Taiwan e Japão. Além disso, foram registrados mais de 35.000 tentativas de exploração em um único dia, com alvos que incluem instituições governamentais e empresas de alta tecnologia. A situação exige atenção imediata das organizações para evitar compromissos de segurança.

A equipe do React anunciou a correção de duas novas vulnerabilidades nos React Server Components (RSC), que, se exploradas, podem resultar em negação de serviço (DoS) ou exposição de código-fonte. As falhas foram descobertas pela comunidade de segurança enquanto tentavam explorar patches para uma vulnerabilidade crítica anterior (CVE-2025-55182, pontuação CVSS: 10.0). As três vulnerabilidades identificadas são: CVE-2025-55184 e CVE-2025-67779, ambas com pontuação CVSS de 7.5, que podem causar DoS devido à desserialização insegura de cargas úteis em requisições HTTP, e CVE-2025-55183, com pontuação CVSS de 5.3, que pode vazar informações ao retornar o código-fonte de funções de servidor vulneráveis. As versões afetadas incluem 19.0.0 a 19.2.1 para as duas primeiras vulnerabilidades e 19.0.2 a 19.2.2 para a última. A equipe do React recomenda que os usuários atualizem para as versões 19.0.3, 19.1.4 e 19.2.3 imediatamente, especialmente devido à exploração ativa da CVE-2025-55182. A resposta da comunidade de segurança é vista como um sinal positivo de um ciclo de resposta saudável.

Cibercriminosos estão utilizando técnicas de envenenamento de IA para promover números falsos de suporte ao cliente em fontes públicas acessadas por chatbots. Um estudo da Aurascape revelou que essa manipulação, chamada de “envenenamento de números de telefone de LLM”, afeta modelos de linguagem como a Visão Geral da Google e o navegador Comet da Perplexity. A técnica, que se assemelha à otimização de motores de busca (SEO), visa garantir que sites fraudulentos sejam utilizados como fontes de informação por assistentes de IA. Isso é feito ao comprometer sites legítimos, como os de instituições governamentais e universidades, e ao abusar de plataformas que permitem conteúdo gerado por usuários, como YouTube e Yelp. Os pesquisadores destacam que a dificuldade em distinguir entre informações legítimas e fraudulentas pode levar a usuários a entrarem em contato com call centers falsos, como demonstrado em casos envolvendo as companhias aéreas Emirates e British Airlines. A recomendação é que os usuários verifiquem a veracidade das informações e evitem compartilhar dados sensíveis com assistentes de IA, que ainda não foram amplamente testados em termos de segurança.

Um novo kit de phishing, conhecido como Spiderman, foi identificado por especialistas da Varonis em circulação na dark web, visando clientes de bancos e provedores de serviços financeiros na Europa. Este kit permite que cibercriminosos automatizem ataques para roubar dados pessoais em tempo real, facilitando a criação de páginas falsas que imitam sites legítimos. O Spiderman é considerado uma das ferramentas mais perigosas de 2025, com ataques já registrados em cinco países, incluindo Alemanha, Bélgica e Espanha.

Um novo malware, denominado Shai Hulud 2.0, foi identificado por especialistas da Kaspersky e está causando preocupação no cenário de cibersegurança. Distribuído através do Node Package Manager (npm), esse worm apresenta um funcionamento em dois estágios. Na primeira fase, ele compromete pacotes npm, enquanto na segunda, se não conseguir roubar dados, apaga arquivos do usuário. Desde sua descoberta em setembro de 2025, mais de 800 pacotes npm foram infectados, afetando principalmente desenvolvedores no Brasil, mas também em países como China, Índia, Rússia, Turquia e Vietnã.

Uma pesquisa realizada pela Proton Mail revelou que 80% dos e-mails promocionais recebidos pelos usuários contêm tecnologias de rastreamento. O estudo analisou mensagens das 50 maiores varejistas dos Estados Unidos durante o período de Black Friday, onde o volume de e-mails promocionais disparou, alcançando cerca de 2,55 bilhões de envios diários. Os rastreadores, que geralmente são pixels invisíveis, coletam dados sobre a localização do usuário, horários de abertura dos e-mails, cliques e até compras realizadas. Essa prática permite que as empresas construam perfis detalhados dos consumidores, visando direcionar anúncios personalizados. Entre as empresas que mais utilizam essas ferramentas estão CB2, Anthropologie e Victoria’s Secret. Os especialistas alertam que essa coleta de dados transforma a simples ação de abrir um e-mail em um evento de vigilância, levantando preocupações sobre privacidade e segurança dos dados dos usuários.

O Google lançou uma atualização urgente para o navegador Chrome, corrigindo uma vulnerabilidade de alta severidade que estava sendo explorada ativamente como um zero-day. Além dessa falha crítica, a atualização também abrange duas outras vulnerabilidades de severidade média. A vulnerabilidade de alta severidade está relacionada a um estouro de buffer na biblioteca LibANGLE, que pode permitir a corrupção de memória e a execução remota de código. O Google não divulgou detalhes específicos sobre a falha para proteger os usuários, mas confirmou que um exploit já estava em uso. Esta é a oitava correção de zero-day do Chrome em 2023, evidenciando a crescente frequência de ataques direcionados a navegadores. A atualização já está sendo distribuída para a maioria dos usuários, embora a data exata de implementação não tenha sido especificada. A LibANGLE é uma camada de tradução que permite que aplicativos executem conteúdo WebGL e OpenGL ES, mesmo em sistemas que não suportam essas APIs nativamente. A falha pode ter sérias implicações, como a possibilidade de vazamento de dados sensíveis e a interrupção do funcionamento do navegador.

A OpenAI alertou que seus futuros Modelos de Linguagem de Grande Escala (LLMs) podem representar riscos cibernéticos significativos, potencialmente facilitando o desenvolvimento de exploits zero-day e campanhas de ciberespionagem avançadas. Em um recente comunicado, a empresa destacou que as capacidades cibernéticas de seus modelos estão evoluindo rapidamente, o que, embora possa parecer preocupante, também traz benefícios para a defesa cibernética. Para mitigar esses riscos, a OpenAI está investindo em ferramentas de defesa, controles de acesso e um programa de cibersegurança em camadas. A empresa planeja introduzir um programa que oferecerá aos usuários acesso a capacidades aprimoradas para tarefas de cibersegurança. Além disso, a OpenAI formará um conselho consultivo, o Frontier Risk Council, composto por especialistas em cibersegurança, que ajudará a definir limites entre capacidades úteis e potenciais abusos. A OpenAI também participa do Frontier Model Forum, onde compartilha conhecimentos e melhores práticas com parceiros da indústria, visando identificar como as capacidades de IA podem ser potencialmente armadas e como mitigar esses riscos.

A conta oficial da Paramount Pictures no X (antigo Twitter) foi hackeada no dia 9 de dezembro de 2025, com a descrição do perfil alterada para uma referência ao fascismo. A conta, que possui 3,4 milhões de seguidores, teve sua biografia temporariamente modificada para “braço orgulhoso do regime fascista”, mas a descrição foi rapidamente restaurada. O ataque ocorre em um contexto de intensa competição no setor de entretenimento, especialmente após a Paramount Skydance ter feito uma proposta agressiva para adquirir a Warner Bros. Discovery, que recentemente foi comprada pela Netflix. O CEO da Paramount Skydance, David Ellison, é conhecido por seu apoio ao ex-presidente Donald Trump, o que adiciona uma camada de complexidade ao incidente. A situação destaca a vulnerabilidade das contas de redes sociais de grandes empresas, especialmente em tempos de disputas corporativas acirradas. Embora ainda não haja informações sobre os responsáveis pelo ataque, a ação levanta preocupações sobre a segurança cibernética em um setor que está se transformando rapidamente.

A empresa de cibersegurança Sophos revelou que grupos de cibercriminosos estão utilizando a plataforma Shanya, que oferece um serviço de empacotamento de malware, conhecido como packer-as-a-service. Essa ferramenta permite que códigos maliciosos sejam ofuscados, dificultando sua detecção por antivírus e outras soluções de segurança. O uso do Shanya tem crescido desde o final de 2024, sendo empregado por grupos como Medusa, Qilin, Crytox e Akira, com foco em ransomwares que desativam soluções de detecção e resposta (EDR).

Um adolescente de 19 anos foi detido em Barcelona, Espanha, após ser acusado de roubar 64 milhões de registros de dados de nove empresas por meio de invasões digitais. A polícia espanhola revelou que o jovem utilizava seis contas e cinco pseudônimos para ocultar suas atividades criminosas, além de tentar vender as credenciais em fóruns online. Os dados vazados incluem informações pessoais como nomes, endereços, e-mails e números de telefone, mas ainda não se sabe quantas pessoas foram afetadas. As investigações começaram em junho e culminaram na apreensão de computadores e carteiras de criptomoedas do suspeito, que continham fundos obtidos com a venda das informações. O adolescente enfrenta acusações de crimes cibernéticos, acesso não autorizado a informações privadas e violação de privacidade.

O Ministério da Justiça e Segurança Pública (MJSP) do Brasil lançou um site que compila informações sobre os 216 criminosos foragidos mais procurados do país. A lista foi elaborada com base em uma matriz de risco que considera a gravidade dos crimes, a conexão com organizações criminosas e a quantidade de mandados de prisão. O objetivo é aprimorar a segurança pública e facilitar a colaboração da população por meio de denúncias anônimas. Entre os foragidos estão figuras notórias como André do Rap, membro do PCC, e Doca, líder do Comando Vermelho. O site faz parte do Programa Captura, que visa unificar dados e reforçar o combate ao crime organizado. A expectativa é que uma sede operacional seja instalada no Rio de Janeiro para coordenar essas ações. O ministério destaca a importância da colaboração entre as esferas federal e estadual para enfrentar as organizações criminosas no Brasil.

No início de dezembro de 2025, a Google emitiu um alerta sobre vulnerabilidades críticas no sistema operacional Android, identificadas como CVE-2025-48633 e CVE-2025-48572. Essas falhas estão sendo ativamente exploradas, permitindo ataques de negação de serviço (DoS) sem a necessidade de privilégios de administrador. Embora a Google tenha rapidamente disponibilizado uma atualização de segurança para seus dispositivos Pixel, a Samsung, que detém cerca de 30% do mercado Android, confirmou que suas correções levarão até 30 dias para serem implementadas. A empresa também está trabalhando em correções para outras vulnerabilidades identificadas pelo Project Zero da Google. A CISA (Agência de Defesa Cibernética dos EUA) emitiu um alerta pedindo que funcionários federais atualizassem seus dispositivos ou parassem de usá-los. A Samsung deve lançar as atualizações em uma sequência que dependerá do modelo, região e operadora, o que pode deixar muitos usuários vulneráveis durante esse período. A situação destaca a importância de atualizações rápidas em dispositivos móveis, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

O Escritório do Comissário de Informação do Reino Unido (ICO) multou a LastPass em £1,2 milhões (cerca de $1,6 milhões) devido a um vazamento de dados ocorrido em 2022, que comprometeu informações de 1,6 milhão de usuários. O ICO apontou que a LastPass não implementou medidas de segurança adequadas, resultando em dois incidentes de violação de dados. O ataque começou com a obtenção de credenciais criptografadas após a invasão de um laptop da empresa, que tinha acesso ao ambiente de desenvolvimento da LastPass. O invasor, utilizando um keylogger, conseguiu acessar o banco de dados de backup da LastPass, roubando informações pessoais como nomes, e-mails, números de telefone e URLs de sites armazenados. Embora a LastPass utilize um formato de criptografia de conhecimento zero, o que significa que as senhas armazenadas não foram confirmadas como descriptografadas, a exposição de dados pessoais é uma preocupação significativa. O Comissário de Informação do Reino Unido, John Edwards, enfatizou a importância de que empresas que oferecem gerenciadores de senhas garantam a segurança dos dados de seus clientes, alertando para a necessidade de revisão urgente dos sistemas de segurança. Este incidente destaca a vulnerabilidade de sistemas amplamente utilizados e a necessidade de medidas de proteção robustas.

Entre janeiro e novembro de 2025, o grupo de ransomware Akira reivindicou 683 ataques, tornando-se a segunda variante mais ativa do ano, atrás do Qilin, que teve 864 ataques no mesmo período. Este número já supera mais do que o dobro dos 272 ataques registrados em 2024. A atividade do Akira apresentou dois picos notáveis, com um aumento significativo no primeiro trimestre de 2025, seguido por uma queda entre abril e julho, e um novo aumento nos últimos meses, impulsionado pela exploração de vulnerabilidades do SonicWall SSL VPN (CVE-2024-40766). O FBI e outras agências dos EUA emitiram um alerta sobre a atividade do Akira, destacando a ameaça iminente à infraestrutura crítica. Até setembro de 2025, o grupo alegou ter arrecadado aproximadamente 244,17 milhões de dólares em resgates. Os alvos principais incluem pequenas e médias empresas, com um foco crescente em fabricantes, enquanto os ataques ao setor educacional diminuíram drasticamente. Os Estados Unidos foram o país mais afetado, com 455 ataques, seguidos por Alemanha e Canadá. O Akira também é conhecido por suas altas demandas de resgate, com casos documentados de valores que chegam a 1,4 milhão de dólares.

Uma vulnerabilidade de alta severidade, identificada como CVE-2025-8110, está sendo ativamente explorada em mais de 700 instâncias do Gogs, um serviço de Git auto-hospedado. Com uma pontuação CVSS de 8.7, a falha permite a execução local de código devido a um manuseio inadequado de links simbólicos na API de atualização de arquivos. A vulnerabilidade foi descoberta acidentalmente em julho de 2025 durante uma investigação de infecção por malware. Os atacantes podem explorar essa falha para sobrescrever arquivos críticos no servidor e obter acesso SSH. Além disso, a Wiz, empresa de segurança em nuvem, observou que os atacantes deixaram repositórios comprometidos visíveis, indicando uma campanha de estilo ‘smash-and-grab’. Com cerca de 1.400 instâncias expostas, é crucial que os usuários desativem o registro aberto e limitem a exposição à internet. A Wiz também alertou sobre o uso de Tokens de Acesso Pessoal do GitHub como pontos de entrada para acessar ambientes de nuvem, destacando a necessidade de vigilância contínua e ações corretivas imediatas.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

O uso da Automação de Processos Robóticos (RPA) tem crescido nas empresas, trazendo eficiência e segurança, mas também desafios significativos na gestão de identidades não humanas (NHIs). À medida que os bots começam a superar o número de funcionários humanos, a gestão do ciclo de vida das identidades se torna crucial para mitigar riscos de segurança. A RPA impacta a Gestão de Identidade e Acesso (IAM) ao gerenciar identidades de bots, garantir acesso com privilégios mínimos e assegurar a auditabilidade. Os benefícios incluem maior eficiência, precisão e segurança, além de suporte à conformidade regulatória. No entanto, surgem desafios como a gestão de bots, aumento da superfície de ataque e dificuldades de integração com sistemas legados. Para garantir a segurança da RPA dentro da IAM, as empresas devem priorizar identidades de bots, utilizar gerenciadores de segredos, implementar Gestão de Acesso Privilegiado (PAM) e fortalecer a autenticação com autenticação multifator (MFA). Essas práticas ajudam a manter um ambiente seguro e alinhado aos princípios de segurança de confiança zero.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo backdoor para Windows chamado NANOREMOTE, que utiliza a API do Google Drive para suas operações de comando e controle (C2). De acordo com o Elastic Security Labs, o malware apresenta semelhanças de código com outro implante conhecido como FINALDRAFT, que utiliza a API do Microsoft Graph. O NANOREMOTE é projetado para facilitar o roubo de dados e a transferência de arquivos de forma discreta, utilizando um sistema de gerenciamento de tarefas que permite pausar, retomar e cancelar transferências de arquivos. Acredita-se que o grupo por trás do NANOREMOTE, conhecido como REF7707, esteja vinculado a atividades de espionagem cibernética, com alvos em setores como governo, defesa e telecomunicações na Ásia e América do Sul. O vetor de acesso inicial para o NANOREMOTE ainda não é conhecido, mas um loader chamado WMLOADER foi identificado como parte da cadeia de ataque. O malware é escrito em C++ e possui funcionalidades que incluem execução de arquivos e coleta de informações do host. A utilização de uma chave de criptografia comum entre NANOREMOTE e FINALDRAFT sugere uma possível conexão entre os dois malwares, indicando um ambiente de desenvolvimento compartilhado.

O cenário de cibersegurança apresenta um aumento significativo nas ameaças digitais, com hackers infiltrando malware em downloads de filmes, extensões de navegador e atualizações de software. Um novo botnet, Broadside, baseado na variante Mirai, está explorando uma vulnerabilidade crítica em dispositivos TBK DVR, visando o setor de logística marítima. Além disso, o Centro Nacional de Cibersegurança do Reino Unido alertou que falhas em aplicações de inteligência artificial generativa podem nunca ser totalmente mitigadas. Em uma operação da Europol, 193 indivíduos foram presos por envolvimento em redes de ‘violência como serviço’, enquanto na Polônia, três ucranianos foram detidos por tentativas de sabotagem de sistemas de TI. Na Espanha, um jovem hacker foi preso por roubar 64 milhões de registros de dados. A Rússia desmantelou uma operação que utilizava malware para roubar milhões de clientes bancários. Por fim, uma nova backdoor chamada GhostPenguin foi descoberta, capaz de coletar informações de sistemas Linux. Esses eventos destacam a necessidade urgente de medidas de segurança robustas e vigilância contínua.

A Huntress alertou sobre uma nova vulnerabilidade ativa nos produtos CentreStack e Triofox da Gladinet, que resulta do uso de chaves criptográficas hard-coded. Até o momento, nove organizações, incluindo aquelas nos setores de saúde e tecnologia, foram afetadas. A falha permite que atacantes acessem o arquivo web.config, possibilitando a deserialização de ViewState e a execução remota de código. A função ‘GenerateSecKey()’, presente no arquivo ‘GladCtrl64.dll’, gera chaves criptográficas que nunca mudam, tornando-as vulneráveis a ataques. Os invasores podem explorar essa falha enviando requisições URL específicas para o endpoint ‘/storage/filesvr.dn’, criando tickets de acesso que nunca expiram. A Huntress recomenda que as organizações afetadas atualizem para a versão mais recente do software e verifiquem logs em busca de atividades suspeitas. Caso sejam detectados indicadores de comprometimento, é essencial rotacionar a chave da máquina seguindo um procedimento específico. A situação é crítica, e as empresas devem agir rapidamente para mitigar os riscos associados a essa vulnerabilidade.

No dia 11 de dezembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando três falhas de segurança, sendo uma delas considerada de alta severidade e já em exploração ativa. A vulnerabilidade, identificada pelo ID do rastreador de problemas do Chromium ‘466192044’, não teve detalhes divulgados sobre seu identificador CVE, componente afetado ou natureza da falha, a fim de proteger os usuários e evitar que atacantes desenvolvam suas próprias explorações. Desde o início do ano, o Google já corrigiu oito falhas zero-day no Chrome, que foram exploradas ou demonstradas como prova de conceito. Além disso, duas outras vulnerabilidades de severidade média foram abordadas. Os usuários são aconselhados a atualizar seus navegadores para as versões mais recentes para garantir a segurança. A atualização é especialmente relevante para usuários de navegadores baseados em Chromium, como Microsoft Edge e Brave, que também devem aplicar as correções assim que disponíveis.

O artigo da TechRadar analisa a evolução do mercado de jogos para PC e a resposta tardia da Microsoft ao crescimento do SteamOS, sistema operacional baseado em Linux desenvolvido pela Valve. Historicamente, o Windows foi a plataforma dominante para jogos, mas a falta de inovação e a complacência da Microsoft permitiram que a Valve emergisse como uma concorrente séria. O Steam, lançado em 2003, tornou-se a principal loja de jogos para PC, representando cerca de 75% das vendas até 2013. A introdução do SteamOS em 2014 e do Proton, uma camada de compatibilidade que permite que jogos do Windows rodem no Linux, desafiou a supremacia do Windows. Além disso, o Steam Deck, um console portátil que utiliza o SteamOS, demonstrou a viabilidade de uma alternativa ao Windows para jogos. A Microsoft, percebendo a ameaça, começou a vender seus jogos no Steam em 2019, mas a sua resposta foi considerada insuficiente e tardia, especialmente em um cenário onde o Windows 11 apresenta problemas de usabilidade para jogos em dispositivos portáteis. O artigo conclui que a complacência da Microsoft pode ter consequências negativas para sua posição no mercado de jogos para PC.

O ‘golpe do cartão trocado’ é uma nova modalidade de fraude que vem se espalhando pelo Brasil, onde criminosos trocam o cartão de crédito da vítima por um idêntico, utilizando-o para realizar compras até que o golpe seja descoberto. Um caso notório ocorreu com Lucas Hiroshi, um influenciador digital que perdeu R$ 4.000 após ser enganado por um ambulante em São Paulo. O golpe se deu quando o vendedor alegou que a função de aproximação da maquininha não estava funcionando e pediu o cartão físico. Durante o processo de pagamento, o cartão foi trocado por um semelhante, resultando em compras fraudulentas. Para se proteger, especialistas recomendam que os consumidores nunca entreguem o cartão ao vendedor, verifiquem sempre o visor da maquininha e monitorem suas faturas regularmente. Além disso, é aconselhável desativar o pagamento por aproximação se o cartão não for utilizado com frequência. O aumento desse tipo de golpe destaca a necessidade de atenção redobrada ao usar cartões de crédito e débito em transações cotidianas.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.