Pesquisadores de cibersegurança alertam sobre atividades maliciosas do grupo de espionagem cibernética Murky Panda, vinculado à China, que utiliza relacionamentos de confiança na nuvem para invadir redes empresariais. O grupo é conhecido por explorar vulnerabilidades de dia zero e dia N, frequentemente obtendo acesso inicial por meio de dispositivos expostos à internet. Murky Panda, que já atacou servidores Microsoft Exchange em 2021, agora foca na cadeia de suprimentos de TI para acessar redes corporativas. Recentemente, o grupo comprometeu um fornecedor de uma entidade norte-americana, utilizando o acesso administrativo para criar uma conta de backdoor no Entra ID da vítima, visando principalmente o acesso a e-mails. Outro ator relacionado, Genesis Panda, tem explorado sistemas de nuvem para exfiltração de dados, enquanto Glacial Panda ataca o setor de telecomunicações, visando registros de chamadas e dados de comunicação. A crescente sofisticação desses grupos destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger ambientes de nuvem.

Pesquisadores em cibersegurança identificaram uma nova cadeia de ataque que utiliza e-mails de phishing para entregar um backdoor de código aberto chamado VShell. O ataque começa com um e-mail contendo um arquivo RAR malicioso, que inclui um nome de arquivo projetado para executar comandos no shell. O nome do arquivo contém código compatível com Bash, que é ativado quando o shell tenta interpretar o nome do arquivo. Essa técnica de injeção de comandos se aproveita de uma falha comum em scripts shell, permitindo que o malware seja executado sem ser detectado por antivírus, já que esses geralmente não escaneiam nomes de arquivos. Após a execução, o malware se comunica com um servidor de comando e controle para baixar um binário ELF, que então executa o VShell, um poderoso malware de acesso remoto. O ataque é disfarçado como um convite para uma pesquisa de produtos de beleza, atraindo vítimas com uma recompensa monetária. A análise destaca a evolução perigosa na entrega de malware Linux, onde um simples nome de arquivo pode ser usado para executar comandos arbitrários, representando uma ameaça significativa para dispositivos Linux em geral.

A Colt Technology Services, uma empresa de telecomunicações do Reino Unido, confirmou que dados sensíveis de seus clientes foram roubados em um recente ataque cibernético. O grupo de ransomware conhecido como Warlock reivindicou a responsabilidade pelo ataque e está leiloando um banco de dados com um milhão de arquivos na dark web por US$ 200.000. A empresa enfrentou interrupções em seus serviços, levando à necessidade de desativar partes de sua infraestrutura. A Colt está atualmente investigando a natureza exata dos dados comprometidos, que, segundo o Warlock, incluem informações financeiras, dados de arquitetura de rede e informações de clientes. A situação representa um risco significativo para os clientes, pois esses dados podem ser utilizados para fraudes, phishing e roubo de identidade. A Colt disponibilizou um canal para que os clientes solicitem uma lista dos arquivos expostos na dark web. Especialistas acreditam que o ataque pode ter sido direcionado a servidores SharePoint da empresa, que têm se mostrado alvos atraentes para hackers. Após o ataque, a Colt implementou medidas de segurança adicionais, como firewalls, para proteger seus servidores.

Pesquisadores de segurança identificaram que 12 aplicativos de VPN gratuitos disponíveis nas lojas Google Play e Apple App Store possuem impressões digitais de redes russas, enquanto seis têm traços chineses. Entre esses, cinco VPNs estão associadas a uma empresa baseada em Xangai, supostamente ligada ao exército chinês. Embora essas impressões não confirmem necessariamente a propriedade russa ou chinesa, especialistas recomendam cautela em relação à privacidade dos dados. Os aplicativos afetados incluem Turbo VPN e VPN Proxy Master, que utilizam kits de desenvolvimento de software (SDKs) de origem russa ou chinesa, indicando uma possível intenção de controle. A análise revela que a maioria dos aplicativos que se comunicam com domínios russos não está listada na App Store da Apple, sugerindo uma abordagem mais rigorosa da empresa em relação a VPNs ligadas à Rússia. O uso de VPNs não verificadas pode expor os usuários a riscos de privacidade, como rastreamento invasivo e vigilância estrangeira. Para uma navegação segura, recomenda-se considerar VPNs confiáveis como Privado VPN, Proton VPN e Windscribe VPN.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.

Uma campanha de espionagem cibernética sofisticada, atribuída ao grupo UAC-0057, vinculado ao governo da Bielorrússia, tem como alvo organizações na Ucrânia e na Polônia desde abril de 2025. Os atacantes utilizam arquivos comprimidos armados que contêm convites em PDF que parecem legítimos e planilhas Excel maliciosas. Os documentos de disfarce são projetados para parecer autênticos, como um convite oficial para uma assembleia geral da União de Municípios Rurais da Polônia e um documento sobre serviços do Ministério da Transformação Digital da Ucrânia. Após a execução de macros ofuscadas em arquivos XLS, os atacantes conseguem instalar DLLs maliciosas que coletam informações do sistema. A infraestrutura de suporte do UAC-0057 demonstra técnicas de imitação sofisticadas, registrando domínios que se assemelham a sites legítimos. A persistente mira na Ucrânia e na Polônia reflete os interesses geopolíticos do grupo, alinhados com o governo bielorrusso.

Um grupo avançado de ameaças persistentes (APT) sul-asiático está realizando uma campanha de espionagem direcionada a indivíduos ligados a forças militares em países como Sri Lanka, Bangladesh, Paquistão e Turquia. A operação combina técnicas tradicionais de phishing com a implantação de malware móvel, comprometendo smartphones de pessoas próximas ao setor militar e extraindo comunicações sensíveis, listas de contatos e documentos operacionais. Os atacantes utilizaram documentos PDF com temas militares como vetores de acesso inicial, redirecionando as vítimas para uma infraestrutura sofisticada de domínios de phishing. Mais de 40 domínios falsos foram identificados, imitando organizações de defesa da região. O componente móvel da APT é centrado em uma versão modificada do Rafel RAT, disfarçada como aplicativos legítimos, que solicita permissões extensivas para comprometer completamente os dispositivos. A análise dos dados comprometidos revelou uma coleta de inteligência significativa, incluindo mensagens SMS e documentos operacionais, com a maioria das vítimas localizadas no Sul da Ásia, especialmente em Bangladesh e Paquistão. A persistência e sofisticação da campanha indicam que se trata de um ator estatal ou próximo a um estado, realizando operações estratégicas de coleta de inteligência no setor de defesa sul-asiático.

Uma vulnerabilidade crítica na arquitetura de Conexão de API do Microsoft Azure permitiu a completa exploração de recursos em múltiplos tenants na nuvem. A falha, descoberta por um pesquisador, foi corrigida pela Microsoft em uma semana após sua divulgação. O problema estava relacionado à infraestrutura compartilhada do Azure, que processa trocas de tokens de autenticação entre aplicações e serviços de backend. A vulnerabilidade permitia que atacantes acessassem serviços conectados, como Azure Key Vaults e bancos de dados, em diferentes tenants. O exploit utilizou um endpoint não documentado chamado DynamicInvoke, que permitia chamadas arbitrárias em Conexões de API, possibilitando acesso administrativo a serviços conectados globalmente. A falha foi classificada como uma séria ameaça, especialmente para organizações que armazenam credenciais sensíveis no Azure Key Vault. A descoberta ressalta os riscos de segurança em arquiteturas de nuvem compartilhadas, onde sistemas multi-tenant podem criar vetores de ataque inesperados.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.

O Aspire Rural Health System, localizado em Michigan, está notificando 138.386 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em novembro de 2024 e foi descoberto em janeiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, que comprometeu informações sensíveis, incluindo nomes, datas de nascimento, números de Seguro Social, informações financeiras, dados médicos e muito mais. A violação foi detectada após uma interrupção técnica em 6 de janeiro de 2025, e as investigações continuaram até julho de 2025. Os indivíduos afetados estão sendo oferecidos serviços gratuitos de monitoramento de crédito, especialmente aqueles cujos números de Seguro Social foram comprometidos. Este incidente destaca a crescente ameaça de ataques de ransomware no setor de saúde, que já sofreu 171 ataques em 2024, afetando cerca de 28,4 milhões de registros. O grupo BianLian, ativo desde 2021, já foi responsável por 88 ataques, com um foco significativo em empresas de saúde, o que levanta preocupações sobre a segurança de dados nesse setor crítico.

Davis Lu, um cidadão chinês de 55 anos, foi condenado a quatro anos de prisão por sabotagem em sua antiga empresa, onde atuava como desenvolvedor de software. Lu introduziu malware personalizado que causou falhas nos sistemas e implementou um ‘kill switch’ que bloqueava o acesso de outros funcionários quando sua conta era desativada. O ataque ocorreu após uma reestruturação em 2018 que reduziu suas responsabilidades e acesso ao sistema. Lu criou loops infinitos em código Java, resultando em quedas de servidores e impediu logins de usuários. Além disso, ele deletou perfis de colegas e tentou apagar dados críticos no dia em que foi instruído a devolver seu laptop. As ações de Lu resultaram em perdas estimadas em centenas de milhares de dólares para a empresa. O caso destaca a importância de identificar ameaças internas precocemente, conforme ressaltado pelo FBI.

O hacker ético Marek Tóth revelou vulnerabilidades críticas em gerenciadores de senha populares, como Dashlane, Nordpass e 1Password, durante a conferência DEF CON 33. As falhas, relacionadas ao clickjacking, permitem que elementos invisíveis sejam sobrepostos na tela, levando os usuários a fornecerem dados sensíveis, como números de cartões de crédito e credenciais de acesso. Tóth testou 11 gerenciadores de senha e encontrou que a maioria não implementou proteções adequadas contra essas técnicas de invasão. Apesar de algumas empresas terem atualizado suas extensões para corrigir as falhas, versões anteriores ainda podem estar vulneráveis. O hacker alertou as empresas sobre as vulnerabilidades meses antes de sua divulgação pública, mas algumas, como 1Password e LastPass, minimizaram a gravidade do problema. Tóth recomenda que os usuários desativem o preenchimento manual de senhas e mantenham suas extensões atualizadas para evitar ataques. Estima-se que até 40 milhões de pessoas possam ter sido afetadas por essas vulnerabilidades.

Um novo tipo de fraude conhecido como “ghost tapping” está se espalhando rapidamente, especialmente no Sudeste Asiático, desde 2020. Essa prática envolve o uso de dados de cartões de pagamento roubados, frequentemente obtidos por meio de phishing e engenharia social, que são carregados em celulares descartáveis, conhecidos como “burner phones”. Os criminosos conseguem contornar a segurança interceptando senhas de uso único enviadas às vítimas e, em seguida, utilizam esses dados para realizar compras em lojas ou retirar dinheiro de caixas eletrônicos. As mercadorias adquiridas, como joias e eletrônicos, são rapidamente revendidas em canais clandestinos, como o Telegram. Apesar das ações policiais, as redes de fraude se adaptaram, migrando para plataformas alternativas que continuam a facilitar essas transações fraudulentas. A falta de verificações rigorosas de identidade em muitos estabelecimentos torna a detecção de fraudes no ponto de venda extremamente difícil. Em Cingapura, por exemplo, a polícia registrou centenas de incidentes relacionados a dados de cartões de pagamento, resultando em perdas significativas. A situação exige que bancos, varejistas e provedores de pagamento adotem medidas mais robustas de segurança e autenticação para proteger os consumidores e mitigar os riscos associados a essa nova onda de fraudes.

Os ataques de phishing utilizando QR codes, conhecidos como ‘quishing’, estão se tornando cada vez mais sofisticados, com hackers empregando técnicas avançadas para contornar medidas de segurança tradicionais. Pesquisadores de segurança identificaram dois métodos inovadores: os QR codes divididos e os QR codes aninhados. No primeiro método, os códigos maliciosos são fragmentados em duas imagens distintas, dificultando a detecção por scanners de segurança que reconhecem apenas imagens isoladas. Um exemplo recente envolve um golpe de redefinição de senha da Microsoft, onde os atacantes usaram mensagens personalizadas para enganar as vítimas. O segundo método, os QR codes aninhados, apresenta um código malicioso dentro de um código legítimo, criando ambiguidade na detecção. Isso pode confundir tanto os sistemas de segurança quanto os usuários, pois um código aponta para um URL malicioso enquanto o outro leva a um site legítimo. Diante da evolução dessas táticas, é crucial que as organizações adotem estratégias de defesa em múltiplas camadas, incluindo treinamento de conscientização em segurança e autenticação multifatorial. A implementação de sistemas de IA multimodal também é recomendada para melhorar a detecção de phishing baseado em imagens, especialmente aqueles que utilizam QR codes.

Cibercriminosos estão explorando uma vulnerabilidade crítica em bancos de dados GeoServer para sequestrar máquinas de vítimas e monetizar sua largura de banda. Desde março de 2025, essa operação sofisticada utiliza a vulnerabilidade CVE-2024-36401, que permite a execução remota de código, com um CVSS de 9.8, destacando sua gravidade. Os atacantes injetam comandos através de consultas JXPath, permitindo a execução de código arbitrário. A análise revelou mais de 7.000 instâncias de GeoServer expostas publicamente em 99 países, com a maioria localizada na China. O objetivo principal da campanha é implantar kits de desenvolvimento de software (SDKs) legítimos e aplicativos modificados que compartilham os recursos de rede das vítimas por meio de proxies residenciais, gerando renda passiva. A operação é realizada em três fases, com os atacantes mudando rapidamente de infraestrutura após serem detectados. Para mitigar esses riscos, as organizações devem corrigir imediatamente as instâncias do GeoServer e implementar monitoramento de rede para conexões suspeitas.

Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.

A Commvault lançou atualizações para corrigir quatro vulnerabilidades de segurança que poderiam ser exploradas para execução remota de código em instâncias vulneráveis. As falhas, identificadas nas versões anteriores à 11.36.60, incluem: CVE-2025-57788, que permite a atacantes não autenticados executar chamadas de API sem credenciais; CVE-2025-57789, que permite o uso de credenciais padrão para obter controle administrativo; CVE-2025-57790, uma vulnerabilidade de travessia de caminho que possibilita acesso não autorizado ao sistema de arquivos; e CVE-2025-57791, que permite a injeção de argumentos de linha de comando devido à validação insuficiente de entradas. Pesquisadores da watchTowr Labs descobriram e relataram essas falhas em abril de 2025. As vulnerabilidades foram resolvidas nas versões 11.32.102 e 11.36.60, e a solução SaaS da Commvault não foi afetada. O artigo destaca que as falhas podem ser combinadas em cadeias de exploração para execução de código, especialmente se a senha do administrador não tiver sido alterada desde a instalação. Essa divulgação ocorre após a identificação de uma falha crítica anterior na Commvault, que foi adicionada ao catálogo de vulnerabilidades exploradas ativamente pela CISA.

Em um incidente de segurança significativo, o Google confirmou que o grupo hacker ShinyHunters acessou uma base de dados corporativa da empresa, especificamente uma instância da Salesforce, expondo informações de 2,5 bilhões de usuários. Os dados acessados incluem nomes, informações de contato e descrições de pequenos e médios negócios. Embora senhas e dados sensíveis não tenham sido comprometidos, a invasão aumenta a vulnerabilidade dos usuários a ataques de phishing. O Google agiu rapidamente para mitigar os danos e analisou o impacto do ataque. Os usuários estão sendo alertados sobre tentativas de phishing, onde golpistas se passam por funcionários da empresa para roubar informações. Para se proteger, o Google recomenda a ativação da Verificação de Segurança e do Programa de Proteção Avançada, além do uso de métodos de autenticação mais seguros, como chaves de acesso. Este incidente destaca a importância da segurança cibernética e a necessidade de vigilância constante por parte dos usuários e das empresas.

Uma hacker ética, conhecida como Bobdahacker, descobriu várias falhas críticas nos sistemas do McDonald’s, incluindo o aplicativo de delivery e sites de parceiros. A primeira vulnerabilidade identificada permitia que usuários fizessem pedidos de comida gratuitamente, pois as checagens de segurança eram realizadas apenas no lado do cliente, sem validações no servidor. Além disso, a empresa não possuía um arquivo security.txt, dificultando a comunicação sobre vulnerabilidades. Outras falhas incluíam a possibilidade de criar contas no site de marketing da empresa sem ser funcionário, senhas em texto claro e chaves de API expostas. Apesar de algumas correções terem sido feitas, a segurança do site ainda é considerada insuficiente. A hacker também encontrou problemas em um chatbot de IA usado para contratações, que tinha uma senha extremamente fraca. A falta de um canal claro para reportar vulnerabilidades e a resposta lenta da empresa levantam preocupações sobre a segurança dos dados e a possibilidade de ataques de phishing.

A Apple lançou um patch de segurança para corrigir uma falha de zero-day identificada como CVE-2025-43300, que afeta dispositivos com iOS e iPadOS. Essa vulnerabilidade, que permite a execução remota de código, foi explorada em ataques sofisticados direcionados a indivíduos específicos. O problema reside em um erro de escrita fora dos limites no framework ImageIO, que gerencia arquivos de imagem. A falha possibilita que imagens maliciosas enviadas por e-mail ou mensagens causem corrupção de memória, levando a possíveis crashes ou execução de malware. A Apple implementou melhorias nos checagens de limites nas versões iOS 18.6.2 e iPadOS 18.6.2, entre outras atualizações. É importante que os usuários atualizem seus dispositivos imediatamente, pois há evidências de que a vulnerabilidade está sendo explorada ativamente. A falha afeta uma ampla gama de dispositivos, incluindo iPhones a partir do modelo XS e diversos modelos de iPads. Este é o sexto zero-day corrigido pela Apple em 2025, destacando a necessidade de vigilância constante em relação à segurança dos dispositivos.

A Microsoft decidiu restringir o acesso de algumas empresas chinesas ao seu sistema de alerta antecipado sobre vulnerabilidades cibernéticas, conhecido como MAPP (Microsoft Active Protections Program). Essa decisão foi tomada após uma série de ataques que exploraram falhas na plataforma SharePoint da empresa, afetando até 400 organizações. Suspeitas de envolvimento do governo chinês nos ataques levaram a Microsoft a acreditar que houve um vazamento de informações dentro do programa MAPP, que é utilizado para alertar empresas de segurança sobre ameaças e permitir que elas se preparem para possíveis ataques. As vulnerabilidades já foram corrigidas, mas foram utilizadas anteriormente para implantar ransomware, permitindo que atacantes extraíssem chaves criptográficas de servidores da Microsoft. A empresa confirmou que não enviará mais códigos de prova de conceito para empresas chinesas, uma medida que visa evitar que informações sobre as defesas dos sistemas sejam usadas por atacantes. A Microsoft continua a revisar os participantes do MAPP e pode suspender ou remover aqueles que violarem os termos do contrato, que proíbe a participação em ataques ofensivos.

O FBI emitiu um alerta sobre hackers russos, associados ao Centro 16 do FSB, que estão explorando uma vulnerabilidade antiga da Cisco, identificada como CVE-2018-0171. Essa falha, que afeta o protocolo SNMP e o recurso Smart Install do software Cisco IOS, permite que adversários não autenticados realizem ações maliciosas, como a execução de código arbitrário ou a negação de serviço (DoS). A vulnerabilidade impacta uma variedade de dispositivos, incluindo switches da série Catalyst, muitos dos quais já atingiram o fim de vida e não receberam patches. O FBI relatou que esses hackers conseguiram coletar arquivos de configuração de milhares de dispositivos de rede em entidades dos EUA, especialmente no setor de infraestrutura crítica, e modificaram configurações para obter acesso não autorizado. A agência recomenda que as organizações atualizem seus sistemas e considerem a substituição de dispositivos obsoletos para mitigar os riscos associados a essa vulnerabilidade.

Pesquisas recentes da Proofpoint revelam que criminosos cibernéticos estão explorando construtores de sites impulsionados por inteligência artificial, como o Lovable, para criar campanhas de phishing e redes de distribuição de malware. O Lovable permite que usuários gerem sites a partir de descrições em linguagem natural, o que facilitou a criação de sites de phishing profissionais em questão de minutos. Em fevereiro de 2025, uma operação de phishing afetou mais de 5.000 organizações, utilizando e-mails maliciosos que redirecionavam vítimas para páginas falsas de autenticação da Microsoft. Além disso, campanhas de fraude financeira e ataques focados em criptomoedas também foram documentados, com criminosos criando réplicas convincentes de plataformas de finanças descentralizadas. Após a divulgação das vulnerabilidades, o Lovable implementou sistemas de detecção em tempo real e planos para aumentar a segurança, mas a pesquisa destaca a crescente preocupação com o abuso de ferramentas de IA no cibercrime. Organizações devem considerar políticas de lista de permissões para plataformas de IA frequentemente abusadas, enquanto os fornecedores de segurança monitoram esses vetores de ameaça emergentes.

Pesquisadores de cibersegurança da Resecurity revelaram uma técnica de ataque sofisticada que explora configurações padrão de redes Windows, permitindo a compromissão total de domínios. O ataque MITM6 + NTLM Relay combina a auto-configuração IPv6 maliciosa com técnicas de retransmissão de credenciais, escalando privilégios e comprometendo ambientes do Active Directory. O método não depende de vulnerabilidades zero-day ou malware, mas sim de configurações frequentemente negligenciadas pelos administradores. Ao se conectar a redes, máquinas Windows enviam automaticamente solicitações DHCPv6, que podem ser respondidas por atacantes usando a ferramenta mitm6, redirecionando as máquinas vítimas para servidores DNS maliciosos. Uma vez que o tráfego DNS é comprometido, os atacantes podem interceptar solicitações WPAD e capturar credenciais de autenticação. A gravidade do ataque aumenta com a configuração padrão do Active Directory, que permite que qualquer usuário autenticado adicione até 10 contas de máquina ao domínio. Medidas de mitigação recomendadas incluem desativar o IPv6 quando não utilizado, implementar DHCPv6 Guard e reforçar a assinatura SMB e LDAP. A pesquisa destaca a importância de endurecer configurações padrão e minimizar suposições de confiança em ambientes de rede.

A Mozilla lançou a versão 142 do Firefox, que corrige nove vulnerabilidades de segurança, incluindo falhas de alta gravidade que podem permitir a execução remota de código. O aviso de segurança, divulgado em 19 de agosto de 2025, destaca problemas que vão desde corrupção de memória até bypass de políticas de mesma origem, que podem comprometer dados do usuário e a segurança do sistema.

A vulnerabilidade mais crítica, identificada como CVE-2025-9179, envolve uma falha de escape de sandbox no componente Audio/Video GMP (Gecko Media Plugin), permitindo que atacantes realizem corrupção de memória em um processo que lida com conteúdo de mídia criptografada. Outra falha significativa, CVE-2025-9180, permite o bypass da política de mesma origem no componente Graphics Canvas2D, o que pode facilitar ataques cross-site e acesso não autorizado a dados.

A distribuição Linux Kali, voltada para cibersegurança, anunciou uma mudança significativa em sua infraestrutura de criação de imagens de máquinas virtuais (VMs) Vagrant. A partir de agora, o Kali deixará de usar o HashiCorp Packer e adotará o DebOS, visando simplificar o desenvolvimento e melhorar a consistência nas construções das VMs. Anteriormente, o Kali utilizava sistemas separados para VMs padrão e caixas Vagrant, o que complicava o pipeline de desenvolvimento. Com a nova abordagem, todos os tipos de VMs serão gerados de forma uniforme sob o DebOS, que já era utilizado para automação de VMs. Essa mudança também traz requisitos simplificados para as caixas Vagrant, como um nome de usuário fixo e chaves SSH padrão. Contudo, usuários do Windows que utilizam Hyper-V devem estar atentos, pois versões do Vagrant anteriores à 2.4.8 não funcionarão com as novas versões do Kali. A equipe do Kali também renomeou seu repositório Git para refletir essa nova arquitetura, mantendo suporte para scripts de construção do Packer para a comunidade. Essas alterações demonstram o compromisso do Kali em otimizar sua infraestrutura de desenvolvimento, embora exijam que os usuários atualizem suas ferramentas para evitar problemas de compatibilidade.

Um relatório do Tech Transparency Project revelou que mais de 20 das 100 principais VPNs gratuitas nas lojas de aplicativos dos EUA têm indícios de propriedade chinesa, sem divulgações claras sobre esses vínculos. Após a publicação do relatório, a Apple removeu alguns aplicativos suspeitos, mas muitos permanecem disponíveis. A Comparitech analisou 24 aplicativos de VPN, tanto para Android quanto para iOS, e encontrou que seis deles se comunicam com domínios chineses, enquanto oito se conectam a IPs russos. Esses sinais não confirmam a propriedade, mas levantam preocupações sobre a privacidade dos usuários, já que as leis da China e da Rússia podem forçar VPNs a monitorar dados. A análise também revelou que algumas VPNs utilizam SDKs chineses ou russos, o que pode indicar controle ou desenvolvimento por entidades desses países. A Comparitech recomenda que os usuários verifiquem a origem de suas VPNs, já que a falta de transparência pode ser um sinal de alerta. VPNs baseadas na China ou na Rússia não podem garantir serviços de ‘sem registros’, o que é essencial para a proteção da privacidade do usuário.

O Distrito Escolar do Condado de Muscogee, na Geórgia, notificou 34.056 pessoas sobre um vazamento de dados ocorrido em dezembro de 2024, que comprometeu nomes, números de Seguro Social e dados bancários de funcionários atuais e antigos. O grupo de ransomware SafePay reivindicou a responsabilidade pelo ataque em janeiro de 2025, alegando ter roubado 382 GB de dados da instituição. Embora a escola tenha começado a emitir notificações sobre o vazamento em fevereiro de 2025, não foi revelado se um resgate foi pago ou como a rede foi comprometida. SafePay, que utiliza um esquema de dupla extorsão, já atacou diversas instituições educacionais e é responsável por 35 ataques confirmados. Em 2024, foram registrados 83 ataques de ransomware em escolas dos EUA, comprometendo mais de 3 milhões de registros, com o ataque ao Distrito Escolar do Condado de Muscogee sendo o décimo maior em termos de dados comprometidos. A escola está oferecendo monitoramento de crédito gratuito e restauração de identidade para as vítimas afetadas.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo carregador de malware chamado QuirkyLoader, utilizado em campanhas de spam por e-mail desde novembro de 2024. Este malware tem sido responsável pela entrega de diversos tipos de payloads, incluindo ladrões de informações e trojans de acesso remoto, como Agent Tesla e AsyncRAT. As campanhas envolvem o envio de e-mails maliciosos que contêm arquivos compactados com um DLL, um payload criptografado e um executável legítimo. A técnica de side-loading de DLL é utilizada para carregar o malware, injetando-o em processos legítimos como AddInProcess32.exe e InstallUtil.exe. Em julho de 2025, duas campanhas foram observadas, uma direcionada a funcionários da Nusoft Taiwan e outra aleatória no México. Além disso, novas táticas de phishing, como o uso de QR codes maliciosos, estão sendo empregadas para contornar medidas de segurança. Essas ameaças representam um risco significativo, especialmente para organizações que utilizam serviços de e-mail comuns, pois podem comprometer dados sensíveis e a segurança da informação.

O relatório Blue Report 2025 da Picus Security revela que 46% das tentativas de quebra de senhas foram bem-sucedidas em ambientes testados, quase o dobro do ano anterior. Essa estatística alarmante destaca a fragilidade das políticas de gerenciamento de senhas nas organizações, que ainda utilizam senhas fracas e algoritmos de hash desatualizados. O relatório enfatiza que a falta de medidas adequadas, como a autenticação multifator (MFA) e a validação regular das defesas de credenciais, contribui para a vulnerabilidade das contas válidas, que são o vetor de ataque mais explorado, com uma taxa de sucesso de 98%. Além disso, os ataques baseados em credenciais permitem que invasores se movam lateralmente na rede, comprometendo sistemas críticos sem serem detectados. Para mitigar esses riscos, as organizações devem adotar políticas de senhas mais rigorosas, implementar MFA e realizar simulações de ataques para identificar vulnerabilidades. O relatório serve como um alerta para a necessidade urgente de focar na segurança de identidade e na validação de credenciais.

No dia 19 de agosto de 2025, a Cybersecurity and Infrastructure Security Agency (CISA) divulgou quatro novos avisos sobre Sistemas de Controle Industrial (ICS), abordando vulnerabilidades em componentes de infraestrutura crítica de grandes fornecedores, como Siemens, Tigo Energy e EG4 Electronics. Os avisos destacam os desafios de segurança contínuos em ambientes de tecnologia operacional que suportam serviços essenciais em diversos setores da indústria.

Dentre os avisos, dois focam em produtos da Siemens, que são amplamente utilizados em infraestrutura crítica. O primeiro, ICSA-25-231-01, trata de vulnerabilidades na família de produtos Desigo CC e nos sistemas SENTRON Powermanager, comuns em instalações comerciais e hospitais. O segundo, ICSA-25-231-02, aborda o módulo SAML da Mendix, que lida com protocolos de autenticação, permitindo acesso não autorizado a sistemas críticos.

Noah Michael Urban, um jovem de 20 anos da Flórida, conhecido como “King Bob” nas comunidades de música online, foi condenado a 10 anos de prisão federal após se declarar culpado por conspiração, fraude eletrônica e roubo de identidade agravado. Além da pena de prisão, Urban foi condenado a pagar US$ 13 milhões em restituição a 59 vítimas de roubo de criptomoedas, ligadas à sua participação na organização criminosa “Scattered Spider”. Urban ganhou notoriedade por vazar músicas não lançadas de artistas renomados, utilizando táticas de cibercrime sofisticadas, como ataques de troca de SIM, que lhe permitiram acessar contas de executivos da indústria musical. Sua atuação não se limitou à pirataria musical; ele também foi um membro chave do Scattered Spider, que se especializa em ataques de engenharia social contra grandes corporações, incluindo ataques a cassinos em Las Vegas que resultaram em milhões de dólares em danos. A investigação federal que levou à sua prisão revelou que Urban e seus cúmplices roubaram pelo menos US$ 800 mil de cinco vítimas na Flórida, utilizando técnicas de troca de SIM para obter informações pessoais e contornar autenticações de dois fatores. O caso destaca a interseção entre pirataria na indústria do entretenimento e crimes cibernéticos graves, evidenciando como indivíduos podem transitar de atividades aparentemente inofensivas para empreendimentos criminosos internacionais.

No atual cenário de ameaças cibernéticas, o gerenciamento eficaz de patches é fundamental para a segurança da informação. Ferramentas de gerenciamento de patches são essenciais para que equipes de TI automatizem a distribuição, instalação e verificação de atualizações de software e patches de segurança em todos os pontos finais. Uma solução robusta não apenas corrige vulnerabilidades conhecidas, mas também ajuda a manter a conformidade e reduzir a superfície de ataque, protegendo as organizações contra uma variedade de ameaças cibernéticas, como ransomware e exploits de zero-day.

Um grupo de hackers vinculado ao FSB da Rússia, conhecido como Static Tundra, está explorando uma vulnerabilidade de sete anos na Cisco, especificamente a CVE-2018-0171, para comprometer infraestruturas críticas em setores como telecomunicações, educação superior e manufatura. Essa falha, que permite que atacantes remotos não autenticados reiniciem dispositivos ou executem códigos arbitrários, foi corrigida pela Cisco em 2018, mas muitos dispositivos ainda permanecem desatualizados. O Static Tundra utiliza ferramentas automatizadas para escanear dispositivos vulneráveis em várias regiões do mundo, incluindo América do Norte, Ásia, África e Europa. Após obter acesso inicial, o grupo implementa técnicas sofisticadas para manter uma presença de longo prazo, como a modificação de configurações de dispositivos e a utilização de implantes de firmware. A campanha tem se intensificado desde o início do conflito entre Rússia e Ucrânia, com organizações ucranianas sendo alvos frequentes. Especialistas alertam que é crucial que as organizações apliquem imediatamente os patches de segurança ou desativem a funcionalidade Smart Install em dispositivos que não podem ser atualizados.

O FBI emitiu um alerta urgente sobre operações cibernéticas sofisticadas conduzidas por hackers associados ao serviço de inteligência russo, que estão comprometendo redes de infraestrutura crítica nos Estados Unidos e internacionalmente. Os atacantes, vinculados ao Centro 16 do FSB, têm explorado vulnerabilidades em equipamentos de rede, como o protocolo Simple Network Management Protocol (SNMP) e uma falha não corrigida no Cisco Smart Install (CVE-2018-0171). Essa vulnerabilidade permitiu acesso não autorizado a sistemas sensíveis em diversos setores. A operação é extensa, com o FBI identificando a coleta de arquivos de configuração de milhares de dispositivos de rede. Além disso, os hackers demonstraram habilidades avançadas ao modificar arquivos de configuração para garantir acesso persistente, permitindo uma exploração detalhada das redes das vítimas, especialmente em sistemas de controle industrial. O grupo, conhecido por vários nomes, como ‘Berserk Bear’, tem operado por mais de uma década, visando dispositivos que utilizam protocolos legados. O FBI recomenda que organizações suspeitas de comprometimento avaliem imediatamente seus dispositivos de rede e relatem incidentes às autoridades competentes.

A Apple lançou atualizações de segurança para corrigir uma vulnerabilidade crítica, identificada como CVE-2025-43300, que afeta iOS, iPadOS e macOS. Essa falha, que permite a escrita fora dos limites no framework ImageIO, pode resultar em corrupção de memória ao processar imagens maliciosas. A empresa informou que a vulnerabilidade está sendo ativamente explorada em ataques sofisticados direcionados a indivíduos específicos. As versões afetadas incluem iOS 18.6.2, iPadOS 18.6.2, macOS Ventura 13.7.8, entre outras. A Apple já corrigiu um total de sete zero-days em 2025, evidenciando a gravidade da situação. Embora não se saiba quem está por trás dos ataques, a vulnerabilidade foi considerada uma ferramenta em ataques altamente direcionados. A empresa recomenda que todos os usuários atualizem seus dispositivos imediatamente para mitigar os riscos associados a essa falha.

Noah Michael Urban, um jovem de 20 anos, foi condenado a dez anos de prisão nos Estados Unidos por sua participação em uma série de ataques cibernéticos e roubos de criptomoedas, relacionados ao infame grupo de cibercrime conhecido como Scattered Spider. Urban, que se declarou culpado de fraude eletrônica e roubo de identidade agravado, também foi condenado a pagar US$ 13 milhões em restituição às vítimas. Entre agosto de 2022 e março de 2023, ele e seus cúmplices realizaram ataques de SIM swapping, que permitiram o acesso não autorizado a contas de criptomoedas, resultando em um roubo de pelo menos US$ 800 mil de cinco vítimas diferentes. Além disso, o Departamento de Justiça dos EUA revelou que Urban e outros membros do grupo utilizaram técnicas de engenharia social para invadir redes corporativas e roubar dados proprietários, além de desviar milhões de dólares em criptomoedas. O Scattered Spider, que se uniu a outros grupos de cibercrime, está se tornando uma ameaça crescente, utilizando táticas que exploram vulnerabilidades humanas em vez de apenas técnicas. A condenação de Urban destaca a necessidade de vigilância contínua e medidas de segurança robustas para proteger informações sensíveis em um cenário de cibercrime em evolução.

O artigo destaca a crescente preocupação com os agentes de inteligência artificial (IA) que operam silenciosamente nas empresas, muitas vezes sem supervisão adequada. Esses ‘agentes sombra’ são configurados por diversas unidades de negócios, não apenas pela equipe de TI, o que resulta em uma falta de controle sobre suas identidades e atividades. Quando comprometidos, esses agentes podem acessar dados sensíveis e escalar privilégios rapidamente, representando uma ameaça significativa à segurança cibernética. A maioria dos programas de segurança atuais não foi projetada para lidar com esses agentes autônomos, o que aumenta o risco à medida que sua adoção se expande. O artigo também menciona um webinar que abordará como identificar e controlar esses agentes, além de compartilhar estratégias para atribuir identidades adequadas e garantir a responsabilidade. A urgência em lidar com essa questão é enfatizada, pois a escolha entre transformar esses agentes em ativos confiáveis ou em passivos perigosos depende das ações que as empresas tomarem agora.

Pesquisadores da Universidade de Oxford alertam sobre as falhas da tecnologia de reconhecimento facial utilizada por forças policiais em diversos países, como Estados Unidos e Reino Unido. A pesquisa destaca que as condições reais de identificação são muito mais complexas do que as simuladas em ambientes laboratoriais, resultando em prisões injustas de indivíduos inocentes. A Avaliação de Tecnologia de Reconhecimento Facial (FRTE) do Instituto Nacional de Padrões e Tecnologia (NIST) é frequentemente utilizada para justificar o uso dessa tecnologia, mas apresenta limitações significativas, como a falta de representatividade demográfica nos bancos de dados e a incapacidade de lidar com imagens de baixa qualidade. Estudos demonstram que, embora os modelos de reconhecimento facial possam apresentar uma precisão de até 99,95% em condições ideais, essa taxa cai drasticamente em situações do mundo real. Além disso, a tecnologia tende a falhar desproporcionalmente em relação a grupos marginalizados. Os pesquisadores concluem que a tecnologia ainda é muito falha para ser utilizada de forma segura por agências policiais e recomendam uma revisão das políticas de direitos civis relacionadas ao seu uso.

Pesquisadores de cibersegurança da Kaspersky descobriram que hackers estão utilizando o Skype para disseminar um novo malware chamado GodRAT, que se disfarça como documentos financeiros. O ataque, que afeta principalmente pequenas e médias empresas (PMEs) no Oriente Médio, envolve o uso de arquivos de protetor de tela maliciosos que, por meio de esteganografia, ocultam um código que baixa o GodRAT de um servidor externo. Uma vez instalado, o malware coleta informações do sistema operacional e pode receber plugins adicionais, como exploradores de arquivos e ladrões de senhas. O GodRAT é considerado uma evolução de um malware anterior, o AwesomePuppet, e sua descoberta ressalta a relevância contínua de ferramentas conhecidas no cenário atual de cibersegurança. Embora a Kaspersky não tenha divulgado o número exato de vítimas, enfatizou que a maioria delas está localizada em países como Emirados Árabes Unidos, Hong Kong, Jordânia e Líbano. Este incidente destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger as empresas contra tais ameaças.

O grupo de ciberespionagem russo conhecido como Static Tundra está explorando uma vulnerabilidade crítica, CVE-2018-0171, presente no Cisco IOS e Cisco IOS XE, para obter acesso persistente a redes de organizações em setores estratégicos como telecomunicações, educação superior e manufatura. Essa falha, que possui um CVSS de 9.8, permite que atacantes não autenticados provoquem condições de negação de serviço ou executem código arbitrário. Os alvos são escolhidos com base no interesse estratégico da Rússia, com foco recente em organizações da Ucrânia e seus aliados, especialmente após o início da guerra russo-ucraniana em 2022.

Pesquisas recentes revelaram que plugins populares de gerenciadores de senhas para navegadores estão vulneráveis a ataques de clickjacking, que podem ser usados para roubar credenciais de contas, códigos de autenticação de dois fatores (2FA) e detalhes de cartões de crédito. O pesquisador Marek Tóth apresentou essa técnica, chamada de clickjacking baseado em Document Object Model (DOM), durante a conferência DEF CON 33. O ataque ocorre quando um site malicioso manipula elementos da interface de usuário (UI) em uma página da web, tornando-os invisíveis e induzindo o usuário a clicar em áreas aparentemente inofensivas. Isso pode resultar no preenchimento automático de informações sensíveis, que são então enviadas para um servidor remoto. O estudo focou em 11 extensões de gerenciadores de senhas, incluindo 1Password e iCloud Passwords, todas suscetíveis a esse tipo de ataque. Apesar da divulgação responsável, seis fornecedores ainda não corrigiram as falhas. Enquanto isso, recomenda-se que os usuários desativem a função de preenchimento automático e utilizem o método de copiar e colar para proteger suas informações. Para usuários de navegadores baseados em Chromium, é aconselhável configurar o acesso do site para ‘ao clicar’ nas configurações da extensão, permitindo um controle manual sobre a funcionalidade de preenchimento automático.

O Conselho Empresarial do Estado de Nova York (BCNYS) confirmou ter sido alvo de um ataque cibernético que resultou no roubo de informações sensíveis de mais de 47 mil pessoas. O incidente ocorreu em fevereiro de 2025, mas foi detectado apenas em agosto do mesmo ano. Dados comprometidos incluem nomes completos, números de Seguro Social, datas de nascimento, informações financeiras, dados de cartões de pagamento, além de informações de saúde, como diagnósticos e tratamentos médicos. Embora até o momento não haja evidências de uso indevido das informações, os especialistas alertam que os dados podem ser utilizados para fraudes, como abertura de contas bancárias e compras não autorizadas. As vítimas são aconselhadas a monitorar suas contas, ativar alertas de fraude e considerar a proteção contra roubo de identidade. O BCNYS oferece serviços de monitoramento de crédito gratuitamente para os afetados. A situação destaca a importância da segurança cibernética e da vigilância constante em um cenário onde os dados pessoais estão cada vez mais vulneráveis a ataques.

Um novo ataque de engenharia social sofisticado está direcionado a usuários de contas do Google, onde golpistas se fazem passar por representantes de suporte da empresa para obter informações de login. O ataque começa com tentativas não autorizadas de recuperação de conta, originadas de locais internacionais, como França e Inglaterra, que criam uma sensação de urgência. Após alguns dias, as vítimas recebem chamadas de um número que parece ser o suporte legítimo do Google, +1 (650) 253-0000. O golpista, que fala com um sotaque americano convincente, menciona as tentativas de acesso não autorizado e pede permissão para enviar um prompt de recuperação de conta ao dispositivo da vítima. Durante a ligação, o golpista inicia um processo legítimo de recuperação de conta, fazendo com que a notificação pareça autêntica. No entanto, aceitar essa solicitação concede controle total da conta ao atacante. Os usuários devem estar cientes de que o Google nunca faz chamadas não solicitadas sobre questões de segurança e devem sempre iniciar qualquer processo de recuperação por conta própria. É crucial que os usuários rejeitem qualquer solicitação de recuperação recebida durante chamadas não solicitadas.

Uma vulnerabilidade crítica no M365 Copilot da Microsoft permitiu que usuários acessassem arquivos sensíveis sem gerar entradas adequadas nos logs de auditoria, criando riscos significativos de conformidade e segurança para organizações em todo o mundo. Descoberta em 4 de julho por Zack Korman, a falha explorou uma falha fundamental no mecanismo de registro de auditoria do Copilot. Normalmente, quando o Copilot resume um arquivo, ele gera entradas de log correspondentes. No entanto, ao instruir o Copilot a omitir links de arquivos, a funcionalidade de registro de auditoria falhava. Essa técnica de contorno é fácil de executar e pode ser acionada inadvertidamente por interações rotineiras com o Copilot, tornando-se um problema generalizado. A Microsoft classificou a vulnerabilidade como “importante”, mas não divulgou publicamente a falha nem notificou os clientes afetados, levantando preocupações sobre a transparência nas comunicações de segurança. Organizações que usaram o M365 Copilot antes de 18 de agosto devem assumir que seus logs de auditoria podem estar incompletos e realizar revisões de segurança abrangentes. A falta de notificação impede que as organizações conduzam avaliações de risco adequadas, comprometendo a integridade dos logs de auditoria exigidos por muitos frameworks de conformidade.

O CERT/CC divulgou um alerta sobre duas falhas de segurança críticas no software de contabilidade municipal da Workhorse Software Services, que podem permitir que agentes não autorizados acessem e exfiltrarem bancos de dados contendo informações financeiras sensíveis e dados pessoais identificáveis. As vulnerabilidades, identificadas como CVE-2025-9037 e CVE-2025-9040, afetam todas as versões do software anteriores à 1.9.4.48019 e resultam de fraquezas de design nos mecanismos de autenticação e nos protocolos de proteção de dados.

No Google Cloud Security Summit 2025, a Google apresentou uma nova suíte de ferramentas de segurança impulsionadas por inteligência artificial, com o objetivo de proteger ecossistemas de IA e fortalecer as defesas organizacionais. As inovações abrangem três áreas principais: proteção de implementações de IA autônomas, suporte a centros de operações de segurança com agentes autônomos e ampliação dos controles de segurança em nuvem.

Entre as novidades, destaca-se o Centro de Comando de Segurança, que agora possui capacidades expandidas para identificação de riscos e inventário de agentes de IA, permitindo a descoberta automatizada de vulnerabilidades. A proteção em tempo real contra ameaças, como injeção de comandos e vazamento de dados sensíveis, foi aprimorada com a extensão do Model Armor. Além disso, um novo agente de investigação de alertas foi introduzido, que realiza investigações dinâmicas para acelerar os tempos de resposta.

O RingReaper é uma nova variante de malware que ataca ambientes Linux, apresentando capacidades avançadas de evasão que desafiam as soluções tradicionais de detecção e resposta em endpoints (EDR). Identificado como um agente pós-exploração, o malware utiliza a interface de entrada/saída assíncrona moderna do kernel Linux, chamada io_uring, para realizar operações encobertas sem ser detectado por ferramentas de monitoramento de segurança. Ao invés de utilizar chamadas de sistema convencionais, o RingReaper emprega primitivas do io_uring, o que reduz sua visibilidade nos dados de telemetria que as ferramentas de segurança analisam.

As empresas modernas enfrentam um cenário de ameaças em constante evolução, o que implica um aumento nos riscos e na complexidade das situações que podem impactar seus negócios. Para lidar com essas ameaças crescentes, é essencial desenvolver uma estratégia robusta de Continuidade de Negócios e Recuperação de Desastres (BCDR). Um dos primeiros passos para isso é a realização de uma Análise de Impacto nos Negócios (BIA), que ajuda a identificar e avaliar o impacto operacional de interrupções. A BIA permite que as empresas reconheçam funções críticas e desenvolvam estratégias para retomar essas operações rapidamente em caso de crise. O papel dos líderes de TI é fundamental nesse processo, pois eles oferecem visibilidade sobre as dependências do sistema e ajudam a validar os compromissos de recuperação. Além disso, a análise deve considerar vetores de ameaça como ciberataques, desastres naturais e erros humanos, que podem afetar diferentes setores de maneira distinta. A execução eficaz da BIA não apenas fortalece a estratégia de recuperação, mas também permite que as organizações tomem decisões informadas e baseadas em riscos, garantindo a continuidade dos negócios em situações adversas.

Pesquisadores em cibersegurança apresentaram uma nova técnica de injeção de prompt chamada PromptFix, que engana modelos de inteligência artificial generativa (GenAI) para realizar ações indesejadas. Essa técnica, descrita pela Guardio Labs como uma versão moderna do golpe ClickFix, utiliza instruções maliciosas disfarçadas em verificações de CAPTCHA em páginas da web. O ataque explora navegadores impulsionados por IA, como o Comet da Perplexity, que prometem automatizar tarefas cotidianas, permitindo que interajam com páginas de phishing sem o conhecimento do usuário. A técnica leva a um novo cenário denominado Scamlexity, onde a conveniência da IA se combina com uma nova superfície de fraudes invisíveis. Os testes mostraram que o Comet, em várias ocasiões, completou transações em sites falsos sem solicitar confirmação do usuário. Além disso, a técnica pode ser usada para enganar assistentes de codificação, como o Lovable, levando à exposição de informações sensíveis. A pesquisa destaca a necessidade de sistemas de IA desenvolverem defesas proativas para detectar e neutralizar esses ataques, especialmente à medida que os criminosos cibernéticos utilizam plataformas GenAI para criar conteúdo de phishing realista e automatizar ataques em larga escala.