Cibersegurança

Uma análise recente da empresa de inteligência em ameaças KELA revelou paralelos operacionais significativos entre dois grupos cibernéticos ligados ao Iémen: o recém-surgido Belsen Group e o mais estabelecido ZeroSevenGroup. Embora não haja provas definitivas de liderança compartilhada, as táticas, técnicas e procedimentos (TTPs) sobrepostos sugerem uma possível afiliação ou atividade coordenada. Em janeiro de 2025, o Belsen Group publicou 1,6 GB de dados sensíveis de dispositivos Fortinet FortiGate, incluindo endereços IP e credenciais de VPN de mais de 15.000 aparelhos vulneráveis, explorando uma vulnerabilidade crítica (CVE-2022-40684) que foi corrigida em outubro de 2022. O grupo começou a vender acesso a redes corporativas, visando vítimas na África, EUA e Ásia. Por sua vez, o ZeroSevenGroup, que surgiu em julho de 2024, também se destacou por suas operações de exfiltração de dados, incluindo um ataque à Toyota. Ambos os grupos utilizam formatos de postagem semelhantes e hashtags comuns, indicando uma possível colaboração. A análise sugere que a infraestrutura operacional entre os dois grupos pode ser mais interligada do que se pensava anteriormente.

A SolarWinds emitiu um aviso urgente em resposta a um incidente de violação de dados que afetou clientes da Salesforce, relacionado a tokens OAuth comprometidos da integração Salesloft Drift. Os atacantes conseguiram acessar informações sensíveis de várias contas da Salesforce, explorando uma falha no processo de autenticação OAuth. Embora a SolarWinds não utilize essa integração e, portanto, não tenha sido diretamente impactada, a empresa tratou o incidente como uma preocupação de segurança prioritária, reforçando seus protocolos internos. A investigação interna da SolarWinds confirmou que não havia tokens OAuth da Salesloft Drift em sua infraestrutura, e a empresa não encontrou evidências de acesso não autorizado. Para aumentar a segurança, a SolarWinds implementou ferramentas adicionais de monitoramento e está acelerando sua iniciativa de zero-trust, exigindo autenticação multifatorial em pontos de acesso críticos. O incidente destaca a necessidade de práticas de segurança vigilantes em todas as integrações na cadeia de suprimentos digital.

O ConnectWise ScreenConnect, uma solução popular de Monitoramento e Gerenciamento Remoto, está sendo explorado por cibercriminosos para obter acesso persistente a redes empresariais nos EUA. Pesquisadores identificaram pelo menos oito hosts públicos que distribuem instaladores adulterados do ScreenConnect, que contêm arquivos maliciosos como AsyncRAT e um loader em PowerShell. Os atacantes utilizam um instalador repaginado que, ao ser baixado, busca um pacote ZIP com scripts maliciosos e uma DLL nativa. O ataque é sofisticado, utilizando técnicas como bypass de políticas de execução do PowerShell e injeção de processos para evitar a detecção por antivírus. Além disso, campanhas de phishing têm sido usadas para disseminar esses instaladores, marcando uma mudança estratégica para operações de acesso remoto persistente. Para mitigar esses riscos, é essencial implementar políticas de detecção comportamental e controles de rede que identifiquem padrões de download maliciosos. A adoção de autenticação multifatorial e a auditoria de acessos de terceiros também são recomendadas para proteger as consoles de RMM.

Pesquisadores descobriram uma vulnerabilidade crítica de zero-click no agente Deep Research do ChatGPT, que permite a atacantes exfiltrar dados sensíveis do Gmail sem qualquer interação do usuário. Essa falha, que opera inteiramente nos servidores da OpenAI, contorna as defesas de segurança tradicionais ao utilizar técnicas de exfiltração do lado do serviço. O mecanismo de roubo de dados ocorre quando um e-mail aparentemente inocente, contendo instruções HTML ocultas, é enviado para a caixa de entrada da vítima. Quando o agente processa os e-mails, ele executa esses comandos invisíveis, coletando dados pessoais e transmitindo-os para servidores controlados pelos atacantes. Essa vulnerabilidade representa uma evolução perigosa de ataques, passando de métodos do lado do cliente para ataques do lado do serviço, criando uma lacuna de segurança para organizações que utilizam agentes de IA. As empresas que integram o Deep Research com serviços de e-mail devem reavaliar as permissões do agente e implementar monitoramento adicional das solicitações de saída. Até que um patch seja lançado, restringir o acesso do agente a caixas de entrada sensíveis pode ajudar a mitigar os riscos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre duas famílias de malware encontradas na rede de uma organização não identificada, após a exploração de vulnerabilidades no Ivanti Endpoint Manager Mobile (EPMM). As falhas exploradas, CVE-2025-4427 e CVE-2025-4428, permitiram que atacantes contornassem a autenticação e executassem código remotamente. A primeira vulnerabilidade permite o acesso a recursos protegidos, enquanto a segunda possibilita a execução de código arbitrário. Os atacantes conseguiram acessar o servidor EPMM em meados de maio de 2025, utilizando um exploit de prova de conceito. Após a invasão, foram implantados dois conjuntos de arquivos maliciosos que garantiram a persistência e a execução de código arbitrário. Esses arquivos manipulam requisições HTTP para decodificar e executar cargas úteis maliciosas. Para se proteger, as organizações devem atualizar suas instâncias para a versão mais recente e monitorar atividades suspeitas.

Duas prisões foram realizadas no Reino Unido em conexão com um ataque cibernético ao Transport for London (TfL) em agosto de 2024. Thalha Jubair, de 19 anos, e Owen Flowers, de 18, foram detidos pela National Crime Agency (NCA). Flowers já havia sido preso anteriormente, mas liberado sob fiança, e agora enfrenta novas acusações por ataques a empresas de saúde nos EUA. O ataque ao TfL causou grandes prejuízos financeiros e interrupções significativas, afetando a infraestrutura crítica do Reino Unido. Jubair, por sua vez, foi acusado de conspiração para fraudes cibernéticas e lavagem de dinheiro, com envolvimento em mais de 120 intrusões em redes e extorsão de 47 entidades nos EUA, resultando em pagamentos de resgate que totalizam mais de 115 milhões de dólares. As investigações revelaram que os hackers usaram técnicas de engenharia social para obter acesso não autorizado às redes, roubando e criptografando informações. O Departamento de Justiça dos EUA também apresentou queixas contra Jubair, que pode enfrentar até 95 anos de prisão se condenado. Este caso destaca o aumento das ameaças cibernéticas e a necessidade de vigilância constante por parte das autoridades e empresas.

Pesquisadores de cibersegurança da ESET identificaram uma colaboração entre os grupos de hackers russos Gamaredon e Turla, ambos associados ao Serviço Federal de Segurança da Rússia (FSB), visando entidades ucranianas. Em fevereiro de 2025, ferramentas do Gamaredon, como PteroGraphin e PteroOdd, foram utilizadas para executar o backdoor Kazuar do grupo Turla em sistemas na Ucrânia. O Kazuar, um malware frequentemente atualizado, é conhecido por sua capacidade de espionagem e coleta de dados. A ESET observou que o PteroGraphin foi usado para reiniciar o Kazuar após falhas, indicando uma estratégia de recuperação. Além disso, em abril e junho de 2025, foram detectadas implantações do Kazuar v2 através de outras ferramentas do Gamaredon. A invasão da Ucrânia pela Rússia em 2022 parece ter intensificado essa colaboração, com foco em setores de defesa. Os ataques têm como alvo informações sensíveis, utilizando técnicas como spear-phishing e arquivos LNK maliciosos. A ESET alerta que a combinação de ferramentas e a troca de informações entre os grupos aumentam o risco para as entidades ucranianas, e a situação requer atenção contínua.

As plataformas de Teste de Segurança de Aplicações Dinâmicas (DAST) são ferramentas essenciais para equipes de segurança de empresas modernas, permitindo a identificação de vulnerabilidades em aplicações web durante a execução. Com a crescente adoção da transformação digital e soluções nativas da nuvem, é crucial que as organizações utilizem DAST robustas para proteger ativos críticos contra técnicas de ataque em evolução. Este guia avalia as 10 principais plataformas DAST para 2025, considerando fatores como confiabilidade, precisão, escalabilidade e integração. As soluções DAST são fundamentais para pipelines DevSecOps, oferecendo avaliação automatizada de vulnerabilidades em aplicações web, APIs e microserviços. O artigo destaca a importância de incorporar a automação de segurança em todas as etapas do desenvolvimento de aplicações web, enfatizando que apenas as melhores soluções DAST conseguem ajudar as empresas a se manterem resilientes, com detecções precisas e baixa taxa de falsos positivos. As plataformas analisadas foram selecionadas com base em desempenho técnico, capacidade de integração e suporte ao fluxo de trabalho dos desenvolvedores, fornecendo um recurso confiável para líderes de segurança focados em reduzir riscos em 2025.

A Medical Associates of Brevard, localizada em Melbourne, Flórida, confirmou um vazamento de dados que afetou 246.711 pessoas. O incidente, ocorrido em janeiro de 2025, expôs informações sensíveis, incluindo números de Seguro Social, dados de tratamento médico, informações de seguro saúde, dados financeiros, datas de nascimento e números de identificação emitidos pelo estado. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque, alegando ter roubado dados contábeis, de recursos humanos, registros pessoais e de saúde, além de correspondências por e-mail. Embora a Medical Associates of Brevard tenha notificado os afetados e oferecido 12 meses de monitoramento de crédito gratuito, a empresa não confirmou se pagou um resgate ou como a rede foi comprometida. Este ataque é um dos maiores registrados em 2025, destacando a crescente ameaça de ransomware no setor de saúde, onde 37 ataques foram confirmados desde o início do ano. O incidente levanta preocupações sobre a segurança de dados em instituições de saúde, que frequentemente lidam com informações altamente sensíveis.

Uma significativa campanha de fraudes publicitárias, denominada SlopAds, foi desmantelada pela Google após a identificação de 224 aplicativos maliciosos na Play Store. Esses aplicativos, que foram baixados mais de 38 milhões de vezes globalmente, eram capazes de gerar até 2,3 milhões de pedidos de publicidade diariamente. A equipe de segurança Satori Threat Intelligence, da empresa HUMAN, revelou que os hackers utilizavam técnicas sofisticadas, como esteganografia, para esconder códigos maliciosos em arquivos de imagem. Os aplicativos funcionavam normalmente quando baixados diretamente da loja, mas, ao serem obtidos via anúncios, baixavam um arquivo de configuração secreto que continha o malware FatModule. Este vírus utilizava WebViews para inundar os dispositivos com anúncios fraudulentos, gerando cliques e visualizações para os criminosos. O Brasil, afetado em 7% dos casos, é um dos países mais impactados, ao lado dos Estados Unidos e Índia. Após o alerta, a Google removeu os aplicativos maliciosos e atualizou o Google Play Protect para alertar os usuários sobre a necessidade de remoção imediata dos apps infectados.

A inteligência artificial (IA) está transformando o cenário da cibersegurança, conforme destacado por Sandra Joyce, Vice-Presidente de Inteligência de Ameaças do Google, em um encontro em São Paulo. A IA não é apenas uma ferramenta de defesa, mas também uma arma poderosa nas mãos de atacantes. Grupos criminosos estão utilizando IA para aprimorar suas táticas, resultando em ataques de phishing mais sofisticados, deepfakes convincentes e fraudes por voz (vishing) cada vez mais realistas. O Google, por sua vez, está investindo em IA para fortalecer suas defesas, conseguindo reverter malware em minutos e detectar vulnerabilidades críticas antes que sejam exploradas. A crescente organização dos grupos de ransomware, que agora operam como verdadeiras empresas, também foi um ponto destacado, evidenciando a necessidade de uma resposta robusta por parte das organizações. Sandra enfatizou que a corrida entre atacantes e defensores está apenas começando, e que a IA será fundamental para garantir a segurança digital. Além disso, a IA promete criar novas oportunidades de trabalho no setor de segurança digital, exigindo que os profissionais se familiarizem com essa tecnologia.

A Windscribe VPN lançou uma nova funcionalidade chamada Anti-Fingerprinting, disponível nas extensões do Chrome e Edge, que visa aumentar a privacidade dos usuários ao limitar o rastreamento online. Essa atualização é especialmente relevante em um cenário onde técnicas de rastreamento, como o fingerprinting de navegador, estão se tornando mais comuns, substituindo os cookies tradicionais. O fingerprinting coleta informações sobre o dispositivo e o navegador do usuário, criando um perfil único que pode ser utilizado para rastreamento persistente e publicidade direcionada. A nova funcionalidade da Windscribe atua ’enganando’ essas características, dificultando a formação de um perfil preciso. Além disso, a extensão já oferece bloqueio de anúncios, proteção contra vazamentos de WebRTC e a possibilidade de simular localização, fuso horário e idioma. A Windscribe destaca que a combinação da extensão com seu aplicativo VPN proporciona uma proteção ainda mais robusta, garantindo que a privacidade do usuário seja mantida tanto em nível de dispositivo quanto de navegador.

A ExpressVPN lançou o EventVPN, um novo software de VPN gratuito e seguro, com o objetivo de oferecer privacidade premium sem custo. O serviço surge em resposta ao aumento de aplicativos de VPN gratuitos de baixa qualidade, que frequentemente comprometem a segurança dos usuários. O EventVPN combina recursos avançados de segurança com um modelo de publicidade focado na privacidade, permitindo que os usuários acessem servidores em mais de 35 países. A versão gratuita cobre um dispositivo, enquanto a versão paga permite até oito dispositivos e acesso a mais de 125 locais. Shay Peretz, COO da ExpressVPN, enfatiza que a privacidade deve ser um direito humano acessível a todos. O EventVPN se destaca por não gerenciar dados pessoais dos usuários, utilizando validação de conta da Apple para garantir anonimato. Com a crescente demanda por VPNs devido a censura e restrições na internet, a ExpressVPN busca oferecer uma alternativa segura e confiável, evitando os riscos associados a aplicativos gratuitos inseguros, que podem expor dados pessoais ou introduzir malware nos dispositivos dos usuários.

Pesquisadores de segurança da MailMarshal SpiderLabs descobriram uma sofisticada campanha de phishing que explora o sistema de aviso de URL externo do Facebook para coletar credenciais de login dos usuários. Os atacantes abusam do mecanismo de redirecionamento da plataforma, criando links aparentemente legítimos que levam a portais de login fraudulentos. Ao clicar em um link de uma postagem ou mensagem do Facebook, o usuário vê um aviso que ainda exibe o domínio registrado, criando uma falsa sensação de segurança. Após inserir suas credenciais em uma página de login que imita o Facebook, os dados são enviados em tempo real para os servidores dos atacantes.

A SonicWall alertou seus clientes sobre a necessidade urgente de redefinir senhas administrativas e de usuários em seus ambientes de firewall, após um vazamento de arquivos de backup do serviço MySonicWall. Entre 10 e 15 de setembro, um ator desconhecido explorou uma vulnerabilidade zero-day no sistema de upload de arquivos do portal, obtendo acesso a arquivos de configuração XML que continham credenciais criptografadas, chaves pré-compartilhadas de VPN e segredos de acesso à gestão. Embora os arquivos estivessem criptografados, a SonicWall confirmou que parâmetros de criptografia fracos permitiriam que adversários habilidosos quebrassem a proteção em poucas horas. A empresa recomenda que os clientes desativem interfaces de gerenciamento expostas à WAN e redefinam todas as contas de usuários locais, além de regenerar chaves de VPN e atualizar credenciais em servidores de autenticação. A SonicWall também enfatiza a importância de monitorar logs de auditoria para detectar atividades anômalas e promete lançar atualizações de firmware para corrigir a falha no portal MySonicWall.

O grupo de cibercrime ShinyHunters, conhecido por extorsões de dados em larga escala, ampliou suas táticas em 2025, incluindo phishing por voz habilitado por IA e compromissos na cadeia de suprimentos. Em colaboração com afiliados como Scattered Spider, o grupo está lançando campanhas sofisticadas de vishing contra plataformas de SSO em setores como varejo, aviação e telecomunicações, exfiltrando grandes conjuntos de dados de clientes e preparando o novo ransomware ‘shinysp1d3r’ para atacar ambientes VMware ESXi.

O grupo de ransomware Everest reivindicou a responsabilidade pelo roubo de aproximadamente 600.000 linhas de documentos internos da Bayerische Motoren Werke AG (BMW), um dos maiores incidentes de segurança no setor automotivo em 2025. Os arquivos comprometidos incluem relatórios de auditoria, especificações de engenharia, demonstrações financeiras e comunicações executivas confidenciais. A análise de especialistas em cibersegurança revelou que os atacantes obtiveram acesso inicial por meio de um ponto de acesso remoto (RDP) comprometido, utilizando credenciais fracas ou reutilizadas para se mover lateralmente na rede da BMW. A exfiltração dos dados foi automatizada, com arquivos criptografados enviados para um servidor de comando e controle. A situação é crítica, pois a divulgação dos documentos pode resultar em danos à reputação da BMW, além de riscos regulatórios e de propriedade intelectual. Especialistas recomendam a adoção de uma arquitetura de segurança de confiança zero, autenticação multifatorial rigorosa e avaliações de vulnerabilidade regulares. A BMW ainda não confirmou oficialmente o incidente, enquanto a pressão aumenta para proteger suas informações proprietárias.

Em agosto de 2025, o grupo de ransomware Qilin se destacou como o operador mais ativo, atacando 104 organizações, quase o dobro do segundo colocado, Akira, que atingiu 56 vítimas. Este aumento contínuo de incidentes de ransomware, que totalizou 467 globalmente, reflete uma tendência preocupante no cenário de cibersegurança. Desde abril, Qilin já reivindicou 398 vítimas, representando 18,4% dos ataques registrados. A eficácia do grupo é atribuída a incentivos robustos para afiliados e operações de ransomware como serviço, utilizando técnicas avançadas de evasão, como execução sem arquivos e exploração de credenciais fracas de RDP e VPN.

O Goshen Medical Center, Inc. iniciou a notificação de 456.385 pessoas sobre uma violação de dados resultante de um ataque cibernético que começou em fevereiro de 2025. O grupo de ransomware BianLian reivindicou a responsabilidade pelo ataque em março. A violação foi detectada em 4 de março, quando a instituição percebeu atividades suspeitas em sua rede. A investigação revelou que arquivos contendo informações sensíveis, como nomes, endereços, datas de nascimento, números de Seguro Social, números de carteira de motorista e números de registros médicos, podem ter sido acessados sem autorização desde 15 de fevereiro. Após o ataque, BianLian publicou os dados do centro médico em seu site de vazamento, alegando ter roubado registros pessoais e dados financeiros. Este incidente se torna o terceiro maior ataque de ransomware a uma empresa de saúde nos EUA em 2025, destacando a crescente ameaça de ataques cibernéticos no setor de saúde. O Goshen Medical Center, fundado em 1979, atende cerca de 53.000 pacientes em mais de 35 locais na Carolina do Norte.

A gangue de ransomware Qilin reivindicou a responsabilidade por um ataque ao governo local de Spartanburg County, na Carolina do Sul, que ocorreu em 8 de agosto de 2025. O ataque comprometeu os sistemas do condado e afetou arquivos de integração de pessoal, contendo informações de funcionários. Segundo a Qilin, foram roubados 390 GB de dados, incluindo informações pessoais de residentes, como nomes, endereços, números de telefone e dados bancários. Este é o terceiro incidente de violação de dados do condado desde 2018. Embora a Qilin afirme que a recuperação dos serviços é impossível e que uma grande quantidade de dados foi exposta publicamente, os oficiais do condado não confirmaram a extensão da violação. O condado já enfrentou outras violações, incluindo uma em abril de 2023 que afetou 8.575 pessoas. A Qilin, que opera um modelo de ransomware como serviço, tem como alvo principalmente organizações governamentais e utiliza e-mails de phishing para disseminar seu malware. Este ataque destaca a crescente ameaça de ransomware a entidades governamentais nos EUA e a necessidade de medidas de segurança robustas.

O papel crescente da Inteligência Artificial (IA) nos ambientes empresariais tem exigido uma governança eficaz por parte dos Diretores de Segurança da Informação (CISOs). O artigo destaca que a governança não deve ser uma abordagem rígida, mas sim um sistema dinâmico que guie a utilização da IA de forma segura, sem comprometer a inovação. Os CISOs enfrentam o desafio de equilibrar segurança e agilidade, pois a IA representa tanto uma grande oportunidade quanto um risco significativo. O texto sugere três componentes essenciais para uma governança eficaz: entender o que está acontecendo na prática dentro da organização, alinhar políticas à velocidade da empresa e garantir que a governança de IA seja sustentável. A implementação de inventários de IA e comitês interfuncionais são algumas das estratégias propostas para garantir que a governança não seja uma barreira, mas sim um facilitador para a adoção responsável da IA. Além disso, o artigo enfatiza a importância de capacitar os funcionários com ferramentas de IA seguras e de reforçar comportamentos positivos em relação ao uso da tecnologia.

Pesquisadores de cibersegurança identificaram dois novos pacotes maliciosos no repositório Python Package Index (PyPI) que têm como objetivo instalar um trojan de acesso remoto chamado SilentSync em sistemas Windows. Os pacotes, nomeados ‘sisaws’ e ‘secmeasure’, foram removidos do PyPI após a descoberta. O pacote ‘sisaws’ imita um pacote legítimo relacionado ao sistema de saúde argentino, mas contém uma função que baixa malware adicional. Já o ‘secmeasure’ se apresenta como uma biblioteca de segurança, mas também entrega o SilentSync. Este malware é capaz de executar comandos remotamente, exfiltrar dados de navegadores e capturar telas. Além disso, ele pode modificar registros no Windows e arquivos de crontab no Linux, além de registrar LaunchAgents no macOS. A descoberta desses pacotes ressalta o aumento do risco de ataques à cadeia de suprimentos em repositórios de software públicos, onde atacantes podem obter informações pessoais ao se disfarçarem de pacotes legítimos.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

A SonicWall alertou seus clientes sobre a exposição de arquivos de backup de configuração de firewall em uma violação de segurança que afetou contas do MySonicWall. A empresa detectou atividades suspeitas direcionadas ao serviço de backup em nuvem, resultando no acesso não autorizado a arquivos de preferência de firewall de menos de 5% de seus clientes. Embora as credenciais dentro dos arquivos estivessem criptografadas, informações contidas neles poderiam facilitar a exploração dos firewalls. A SonicWall não registrou vazamentos online desses arquivos e afirmou que o incidente não foi um ataque de ransomware, mas uma série de ataques de força bruta. Os clientes afetados foram orientados a verificar se os backups em nuvem estão habilitados, revisar logs e implementar procedimentos de contenção, como limitar o acesso a serviços e redefinir senhas. Além disso, a SonicWall disponibilizou novos arquivos de preferência que incluem senhas aleatórias para usuários locais e chaves VPN IPSec randomizadas. O alerta surge em um contexto em que grupos de ransomware, como o Akira, continuam a explorar dispositivos SonicWall não corrigidos, aproveitando uma vulnerabilidade crítica conhecida (CVE-2024-40766).

A parceria entre a 1Password e a Perplexity resultou no lançamento do navegador Comet AI, que se destaca por oferecer segurança de credenciais como prioridade. O navegador inclui uma extensão da 1Password, permitindo que os usuários salvem e armazenem senhas e chaves de acesso com criptografia de ponta a ponta. Além disso, o Comet AI armazena dados de navegação localmente, evitando que servidores da Perplexity processem essas informações, o que garante maior privacidade. O navegador também possui funcionalidades de preenchimento automático para nomes de usuário, senhas e códigos de autenticação de dois fatores, além de permitir a geração e sincronização de senhas únicas entre dispositivos. Kyle Polley, da Perplexity, enfatizou que a segurança foi uma prioridade desde o início do desenvolvimento do Comet, e Anand Srinivas, da 1Password, reafirmou o compromisso da empresa em manter os dados dos usuários seguros. Essa inovação é especialmente relevante em um cenário onde as ameaças cibernéticas estão em constante crescimento.

Uma nova versão do malware conhecido como Raven Stealer está rapidamente se espalhando em mercados clandestinos, visando usuários de navegadores baseados em Chromium, como o Google Chrome. Desenvolvido principalmente em Delphi, com módulos centrais em C++, o Raven Stealer se destaca por sua furtividade operacional e interação mínima com o usuário, tornando-se uma ferramenta atraente para atacantes iniciantes e experientes.

O executável do malware, com cerca de 7 MB, incorpora componentes críticos em sua seção de recursos, utilizando um editor de recursos para incluir uma DLL criptografada. Essa DLL é protegida por criptografia ChaCha20, dificultando a análise estática. Durante a execução, o malware injeta a DLL em um processo do Chrome suspenso, permitindo acesso total aos dados do navegador.

No dia 18 de setembro de 2025, o Google lançou atualizações de segurança para o navegador Chrome, abordando quatro vulnerabilidades, incluindo uma que está sendo explorada ativamente. A vulnerabilidade zero-day identificada como CVE-2025-10585 é um problema de confusão de tipos no motor V8 do JavaScript e WebAssembly. Esse tipo de vulnerabilidade pode permitir que atacantes executem código arbitrário e causem falhas no software. A equipe de Análise de Ameaças do Google (TAG) descobriu e relatou a falha em 16 de setembro. Embora o Google tenha confirmado a exploração da vulnerabilidade, não forneceu detalhes sobre os atacantes ou a escala dos ataques para evitar que outros exploradores a utilizem antes que os usuários possam aplicar a correção. Esta é a sexta vulnerabilidade zero-day no Chrome desde o início do ano. Para se proteger, os usuários devem atualizar para as versões 140.0.7339.185/.186 para Windows e macOS, e 140.0.7339.185 para Linux. Navegadores baseados em Chromium, como Microsoft Edge e Brave, também devem ser atualizados assim que as correções estiverem disponíveis.

Na terça-feira, 16 de setembro de 2025, um hacker de 26 anos foi preso em Pernambuco por invadir sistemas do governo e vender dados sigilosos a criminosos em todo o Brasil. A prisão foi resultado de uma colaboração entre a Polícia Civil do Rio Grande do Sul e a polícia pernambucana. O criminoso, que não teve seu nome revelado, era o líder técnico de uma quadrilha que utilizava falsificação de documentos e estelionato eletrônico. Entre os dados vazados estavam 239 milhões de chaves PIX e informações sensíveis de veículos e segurança pública. O hacker também afirmou ter acessado sistemas de inteligência do Brasil, incluindo investigações de fraudes bancárias. A operação que resultou na prisão é parte da terceira fase da Operação Medici Umbra, que já havia prendido outros dois membros da quadrilha em estados como Rio Grande do Norte e São Paulo. O caso destaca a crescente preocupação com a segurança cibernética no Brasil, especialmente em relação ao acesso não autorizado a dados pessoais e governamentais.

Em 2025, a Gestão de Acesso Privilegiado (PAM) se consolidou como um elemento essencial na segurança das empresas, especialmente diante do aumento de ataques cibernéticos e do roubo de credenciais. As organizações buscam soluções robustas que se integrem facilmente a infraestruturas dinâmicas, permitindo controle granular, auditoria de sessões privilegiadas e redução de riscos de violação. O artigo destaca as dez melhores ferramentas de PAM, avaliadas por segurança, usabilidade e inovação. Entre as principais soluções estão CyberArk, BeyondTrust e Delinea, que se destacam por suas funcionalidades avançadas, suporte a conformidade e integração com outras plataformas de segurança. A crescente adoção de arquiteturas de zero-trust e soluções nativas em nuvem, além da automação de monitoramento de sessões, são tendências que moldam o mercado de PAM. As ferramentas analisadas oferecem recursos como acesso sob demanda, gravação de sessões e autenticação multifatorial adaptativa, fundamentais para atender às exigências de segurança e compliance das empresas modernas.

Em 2025, o grupo MuddyWater evoluiu suas táticas de ataque, utilizando uma suíte de malware personalizada e multiestágio, focada em furtividade e resiliência. O ataque inicial é realizado por meio de e-mails de spear-phishing que contêm documentos maliciosos do Office. Ao serem abertos, esses documentos executam macros VBA que implantam um loader de primeira fase chamado Fooder. Este loader utiliza APIs criptográficas do Windows para derivar chaves AES e RSA, permitindo a descriptografia de cargas úteis subsequentes diretamente na memória, evitando a detecção por sandboxes.

O artigo destaca as 50 melhores empresas de cibersegurança em 2025, enfatizando a crescente necessidade de soluções robustas em um mundo digital cada vez mais interconectado. À medida que empresas e indivíduos dependem de serviços em nuvem, trabalho remoto e dispositivos inteligentes, a superfície de ataque se expande, criando novas oportunidades para ameaças cibernéticas. As empresas listadas estão na vanguarda dessa batalha, desenvolvendo soluções inovadoras para proteger dados, redes e identidades. O foco está em uma abordagem proativa e integrada, que vai além da simples proteção de endpoints, oferecendo soluções abrangentes. A seleção das empresas levou em conta critérios como liderança de mercado, inovação, portfólio abrangente, reconhecimento de clientes e analistas, visão estratégica e saúde financeira. Entre as empresas destacadas estão Palo Alto Networks, Microsoft Security e CrowdStrike, que se destacam por suas soluções de segurança em nuvem, inteligência de ameaças e arquitetura de Zero Trust. O artigo serve como um guia para organizações que buscam fortalecer sua postura de segurança digital.

Em um cenário digital marcado pelo trabalho remoto e ameaças cibernéticas sofisticadas, a filtragem de conteúdo web se tornou uma medida de segurança essencial para organizações de todos os tamanhos. As melhores soluções de filtragem em 2025 vão além do simples bloqueio de URLs, utilizando inteligência de ameaças impulsionada por IA, princípios de zero-trust e controle granular de políticas para proteger usuários e ativos. Este guia apresenta as dez principais ferramentas de filtragem de conteúdo web, destacando suas características e pontos fortes, ajudando na escolha da solução mais adequada. A seleção priorizou fornecedores estabelecidos com um histórico comprovado em cibersegurança, reputação no mercado e um conjunto abrangente de recursos, como descoberta automatizada, uso de IA para detecção de ameaças e flexibilidade de implantação. As tendências atuais incluem a integração com arquiteturas de zero-trust, controle granular e modelos nativos em nuvem, tornando a filtragem avançada mais acessível, especialmente para pequenas e médias empresas. Ao avaliar uma solução, é importante considerar a inteligência de ameaças, opções de filtragem de conteúdo, gerenciamento e cobertura de usuários e dispositivos.

Em um cenário de ciberataques constantes, a capacidade de detectar, conter e recuperar-se de incidentes de segurança é crucial para as organizações. O artigo destaca as dez melhores empresas de resposta a incidentes de 2025, que oferecem serviços abrangentes, incluindo forense digital, inteligência de ameaças e suporte em comunicação de crise. Entre as principais empresas estão a Mandiant, conhecida por sua experiência em investigações de alto risco, e a CrowdStrike, que se destaca pela rapidez e eficiência de sua plataforma Falcon. A Rapid7 combina resposta a incidentes com serviços proativos, permitindo que as organizações não apenas se recuperem de ataques, mas também fortaleçam suas defesas. A escolha de uma empresa de resposta a incidentes não é mais um luxo, mas uma necessidade crítica em uma estratégia moderna de cibersegurança, especialmente com a crescente lacuna de habilidades na área. O artigo fornece uma tabela comparativa que avalia as ofertas de serviços, disponibilidade e integração de inteligência de ameaças das principais empresas, ajudando os líderes de segurança a tomar decisões informadas.

O New York Blood Center Enterprises (NYBCe) confirmou que notificou 193.822 pessoas sobre um vazamento de dados ocorrido em janeiro de 2025. As informações comprometidas incluem números de Seguro Social, identificações emitidas pelo estado, dados bancários, informações de saúde e resultados de testes. Embora o incidente tenha sido investigado, não foi revelado qual grupo criminoso cibernético esteve envolvido ou se um resgate foi pago. O ataque ocorreu entre 20 e 26 de janeiro, quando uma parte não autorizada acessou a rede do NYBCe e obteve cópias de alguns arquivos. A organização, que atua na coleta de sangue e produtos relacionados, está oferecendo monitoramento de crédito e identidade gratuito aos afetados. Este incidente é um dos maiores ataques de ransomware de 2025, que já comprometeu 5,4 milhões de registros em 60 ataques confirmados a instituições de saúde nos EUA. O NYBCe assegura que suas operações continuam normalmente e que medidas de segurança estão sendo aprimoradas para evitar futuros incidentes.

O grupo de cibercriminosos conhecido como TA558, vinculado a uma nova onda de ataques, está utilizando trojans de acesso remoto (RATs) como o Venom RAT para comprometer hotéis no Brasil e em mercados de língua espanhola. A empresa de cibersegurança Kaspersky identificou que os atacantes estão empregando e-mails de phishing com temas de faturas para disseminar o Venom RAT, utilizando carregadores em JavaScript e downloaders em PowerShell. Um aspecto alarmante é que uma parte significativa do código inicial dos infetores parece ter sido gerada por modelos de linguagem de grande escala (LLMs), indicando uma nova tendência entre grupos de cibercriminosos em usar inteligência artificial para aprimorar suas táticas. O objetivo principal desses ataques é roubar dados de cartões de crédito de hóspedes e viajantes armazenados nos sistemas dos hotéis, além de informações provenientes de agências de viagens online. O Venom RAT, uma ferramenta comercial, é projetado para coletar dados, atuar como um proxy reverso e possui mecanismos de proteção contra desativação, tornando-o um risco significativo para a segurança das informações no setor de hospitalidade.

Pesquisadores das empresas Red Canary e Zscaler identificaram novas táticas de phishing que utilizam atualizações falsas do navegador Chrome para disseminar ransomware. Essas campanhas têm se tornado cada vez mais sofisticadas, explorando não apenas mensagens enganosas sobre atualizações, mas também convites para reuniões em plataformas como Zoom e Teams, além de formulários de imposto de renda que parecem legítimos até para funcionários do governo. Uma das táticas mais comuns envolve a instalação de um instalador ITarian ao clicar em um botão de atualização falso, permitindo que os hackers tenham acesso administrativo aos sistemas. Alex Berninger, da Red Canary, destaca que a educação dos usuários é crucial, mas não suficiente, pois as técnicas de phishing estão em constante evolução. Para se proteger, as empresas devem implementar monitoramento de redes, detecção de endpoints e controles de ferramentas de gerenciamento remoto (RMM). Além disso, recomenda-se que os usuários instalem softwares apenas de fontes oficiais e utilizem serviços como VirusTotal para verificar arquivos suspeitos.

O HybridPetya é um novo tipo de ransomware que explora uma vulnerabilidade na Interface Unificada do Firmware Extensível (UEFI), permitindo que o malware tome controle do computador antes mesmo de sua inicialização completa. Identificado por pesquisadores da ESET, esse bootkit é o quarto a conseguir burlar as defesas do sistema operacional Windows, similar a vírus anteriores como Petya e NotPetya. Embora o HybridPetya ainda seja uma prova de conceito e não tenha sido amplamente disseminado, ele representa uma ameaça significativa, pois pode criptografar a Master File Table (MFT) dos discos rígidos, exigindo um resgate de US$ 1.000 em Bitcoin para a recuperação dos arquivos. A vulnerabilidade explorada, CVE-2024-7344, já foi corrigida pela Microsoft em atualizações recentes. Apesar de não estar ativo, especialistas alertam para a necessidade de monitoramento contínuo, dado o potencial de evolução de ameaças semelhantes. O impacto do NotPetya em 2017, que causou prejuízos de mais de R$ 50 bilhões globalmente, serve como um alerta sobre os riscos associados a esse novo ransomware.

Em maio de 2025, analistas da Unit 42 identificaram várias campanhas de ataque utilizando o AdaptixC2, um framework de código aberto originalmente desenvolvido para equipes vermelhas, mas agora explorado por atores maliciosos. Com uma arquitetura modular e baseada em plugins, o AdaptixC2 se destacou por sua capacidade de manipulação abrangente de sistemas, incluindo navegação em sistemas de arquivos e execução de programas arbitrários. Os ataques foram realizados através de vetores de infecção distintos, como campanhas de phishing que se faziam passar por suporte técnico via Microsoft Teams, e um instalador PowerShell gerado por IA que injetava código malicioso na memória. O framework permite movimentação lateral discreta em redes segmentadas e utiliza técnicas avançadas para evitar detecções. A Unit 42 observou um aumento no número de servidores de comando e controle (C2) do AdaptixC2, ligando-o a operações de ransomware, o que destaca sua flexibilidade em cadeias de ataque mais amplas. Para mitigar esses riscos, recomenda-se que as defesas monitorem logs do PowerShell e implementem soluções de detecção de ameaças em rede e endpoints.

Uma nova pesquisa da Entro Labs revelou uma vulnerabilidade crítica na funcionalidade de auto-sincronização do OneDrive da Microsoft, que está expondo segredos empresariais em larga escala. O estudo indica que um em cada cinco segredos expostos em ambientes corporativos provém do SharePoint, não por meio de ataques sofisticados, mas devido a uma configuração padrão do OneDrive que move automaticamente arquivos locais contendo credenciais sensíveis para repositórios na nuvem. A falha de segurança está relacionada ao recurso Known Folder Move (KFM), que sincroniza pastas críticas do usuário, como Desktop e Documentos, para o OneDrive. Isso resulta em uma exposição inadvertida de arquivos que deveriam ser mantidos localmente, tornando-os acessíveis a administradores e contas potencialmente comprometidas. A pesquisa também destaca que a maioria dos arquivos expostos são planilhas, representando mais de 50% dos segredos, seguidas por arquivos de texto e scripts. A situação é agravada pela ativação padrão do OneDrive em sistemas Windows 10/11, que pode levar usuários a fazer backup de arquivos sensíveis sem perceber. Para mitigar esses riscos, as equipes de segurança devem aumentar a conscientização sobre o comportamento de auto-sincronização e considerar desativar o KFM onde não for necessário.

O grupo de hackers TA415, associado ao governo chinês, intensificou suas operações de ciberespionagem entre julho e agosto de 2025, visando entidades governamentais dos EUA, think tanks e organizações acadêmicas focadas nas relações econômicas entre EUA e China. Utilizando técnicas avançadas de phishing, os atacantes enviaram e-mails disfarçados como comunicações de autoridades americanas, visando especialistas em comércio internacional e políticas econômicas. A abordagem do TA415 inclui o uso de serviços de nuvem legítimos, como Google Sheets e Google Calendar, para comunicações de comando e controle, o que dificulta a detecção por sistemas de segurança tradicionais. A cadeia de infecção começa com arquivos compactados protegidos por senha, que, ao serem executados, instalam um loader Python chamado WhirlCoil. Este malware coleta informações do sistema e as exfiltra para serviços de registro de requisições. A operação do TA415 é considerada uma ameaça significativa, especialmente em um contexto de negociações econômicas entre os EUA e a China, destacando a evolução das táticas de atores patrocinados pelo estado, que agora utilizam infraestrutura de nuvem legítima para manter acesso persistente e evitar detecções.

Uma nova variante do malware BeaverTail, associada a operadores estatais da Coreia do Norte, está sendo utilizada para atacar o setor de varejo e criptomoedas. Desde maio de 2025, os atacantes têm refinado sua infraestrutura de distribuição de malware, utilizando executáveis compilados e iscas de engenharia social através de uma plataforma de contratação falsa. Essa abordagem visa expandir o número de vítimas potenciais, focando em funções de marketing e vendas, ao invés de apenas desenvolvedores de software.

Um grupo de ciberespionagem alinhado à China, conhecido como TA415, foi identificado como responsável por campanhas de spear-phishing que visam o governo dos EUA, think tanks e organizações acadêmicas. Utilizando iscas relacionadas à economia entre EUA e China, o grupo se disfarçou como o presidente do Comitê de Seleção sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês, além do Conselho Empresarial EUA-China. As atividades ocorreram entre julho e agosto de 2025, em um contexto de negociações comerciais entre os dois países. A Proofpoint, empresa de segurança cibernética, relatou que os ataques focaram em especialistas em comércio internacional e política econômica, enviando e-mails falsificados que convidavam os alvos para uma suposta reunião fechada sobre assuntos EUA-Taiwan e EUA-China. Os e-mails continham links para arquivos protegidos por senha, que, ao serem abertos, executavam um script em Python chamado WhirlCoil, estabelecendo um acesso remoto persistente ao sistema comprometido. Este ataque representa uma ameaça significativa, especialmente em um cenário de crescente tensão entre as potências globais.

O XillenStealer é um malware modular baseado em Python que tem se espalhado rapidamente entre cibercriminosos de baixo nível, devido à sua interface intuitiva e capacidades abrangentes de coleta de dados. Publicado no GitHub, ele utiliza funções nativas do Windows e bibliotecas de cookies de navegadores para extrair informações sensíveis, como credenciais de navegadores, carteiras de criptomoedas e tokens de sessões de mensagens. O malware é distribuído com um construtor integrado que facilita a configuração e a compilação em executáveis autônomos.

Pesquisadores de cibersegurança da Check Point descobriram um ecossistema de malware sofisticado, onde atores de ameaças utilizam repositórios do GitHub para hospedar a infraestrutura de comando e controle da família de malwares Pure. O desenvolvedor PureCoder aproveita plataformas legítimas para distribuir ferramentas maliciosas, dificultando a detecção. A investigação revelou uma cadeia de ataque complexa iniciada por técnicas de phishing, onde vítimas eram atraídas por anúncios de emprego falsos. Ao acessar sites maliciosos, comandos PowerShell eram copiados automaticamente para a área de transferência, levando ao download de arquivos JavaScript que implantavam o PureHVNC RAT. Este malware permite controle remoto de máquinas infectadas sem o conhecimento do usuário. Além disso, os repositórios do GitHub continham plugins para manipulação automatizada de redes sociais. A análise técnica revelou técnicas avançadas de anti-análise e criptografia, tornando a detecção ainda mais desafiadora. A descoberta de contas do GitHub com configuração de fuso horário UTC+0300 sugere uma possível origem russa para os desenvolvedores. Essa situação representa um risco significativo para a segurança cibernética, exigindo atenção das autoridades e profissionais de segurança.

Uma investigação recente revelou que cibercriminosos estão utilizando plataformas de adtech legítimas para disseminar malware, kits de phishing e ladrões de credenciais em larga escala. Explorando o modelo de leilão em tempo real (RTB) e estruturas corporativas complexas, esses atores conseguem manter campanhas de malvertising resilientes e de alto volume, enquanto se escondem atrás de uma fachada de legitimidade. Um dos principais operadores, conhecido como Vane Viper, foi identificado em metade das redes empresariais monitoradas, gerando mais de um trilhão de consultas DNS no último ano. Operando sob a empresa AdTech Holding, com sede em Chipre, a subsidiária PropellerAds atua como uma plataforma de fornecimento e demanda de anúncios, utilizando um sistema de distribuição de tráfego para redirecionar cliques para páginas maliciosas. As campanhas incluem a entrega de trojans para Android, extensões de navegador maliciosas e sites de compras falsos. A infiltração de atores maliciosos nas cadeias de suprimento de adtech destaca uma falha fundamental no ecossistema de publicidade digital, onde a escala e a lucratividade são priorizadas em detrimento da responsabilidade e da segurança do usuário. Para mitigar esses riscos, é necessária uma maior transparência dos fornecedores de adtech e políticas rigorosas de registro de domínios.

A Microsoft, por meio de sua Unidade de Crimes Digitais (DCU), desmantelou uma operação de cibercrime chamada RaccoonO365, que se destacou como uma das ferramentas mais rápidas para roubo de credenciais do Microsoft 365. Com uma ordem judicial do Distrito Sul de Nova York, a empresa conseguiu desativar 338 sites associados a essa plataforma de phishing como serviço, interrompendo a infraestrutura técnica utilizada pelos criminosos. Desde julho de 2024, a RaccoonO365 comprometeu pelo menos 5.000 credenciais em 94 países, com um foco alarmante em organizações de saúde nos EUA, onde 20 delas foram atacadas. O serviço, que permite que indivíduos com pouca experiência técnica realizem campanhas de roubo de credenciais, utiliza branding autêntico da Microsoft para enganar os usuários. A operação foi liderada por Joshua Ogundipe, um programador da Nigéria, que comercializava seus serviços via Telegram e recebeu cerca de $100.000 em pagamentos em criptomoeda. A evolução da RaccoonO365 inclui o uso de inteligência artificial para aumentar a eficácia dos ataques, destacando a crescente preocupação com ferramentas de cibercrime aprimoradas por IA. A Microsoft colaborou com parceiros de segurança e utilizou ferramentas de análise de blockchain para rastrear transações de criptomoeda, enquanto encaminhou Ogundipe para as autoridades internacionais.

A Unidade de Crimes Digitais da Microsoft, em colaboração com a Cloudflare, desmantelou uma rede de phishing conhecida como RaccoonO365, que operava um kit de ferramentas de phishing como serviço (Phaas). Desde julho de 2024, essa rede foi responsável pelo roubo de mais de 5.000 credenciais do Microsoft 365 em 94 países. A operação, que envolveu a apreensão de 338 domínios, foi realizada com uma ordem judicial do Distrito Sul de Nova York e visou interromper a infraestrutura técnica utilizada pelos criminosos. O RaccoonO365 é comercializado sob um modelo de assinatura, permitindo que até mesmo indivíduos com pouca experiência técnica realizem ataques em larga escala. Os ataques frequentemente imitam marcas confiáveis, como Microsoft e Adobe, e utilizam técnicas avançadas para contornar proteções de autenticação multifatorial. A Microsoft identificou Joshua Ogundipe, um indivíduo baseado na Nigéria, como o principal responsável pela operação, que arrecadou mais de $100.000 em criptomoedas. A Cloudflare, por sua vez, destacou que a desativação dos domínios visa aumentar os custos operacionais dos criminosos e enviar um aviso a outros atores maliciosos. Após a ação, os operadores do RaccoonO365 anunciaram mudanças em sua infraestrutura, indicando que a luta contra o cibercrime continua em evolução.

O Departamento de Justiça dos EUA reavaliou a sentença de Conor Brian Fitzpatrick, conhecido como Pompompurin, ex-administrador do BreachForums, condenando-o a três anos de prisão. Fitzpatrick, de 22 anos, foi preso em março de 2023 e se declarou culpado de várias acusações, incluindo conspiração e posse de material de abuso sexual infantil. Como parte do acordo, ele concordou em renunciar a mais de 100 domínios e dispositivos eletrônicos utilizados na operação do fórum, além de criptomoedas que representavam os lucros ilícitos. O BreachForums, que surgiu após o fechamento do RaidForums, permitia a compra e venda de dados roubados, atingindo um pico de 330 mil membros e armazenando mais de 14 bilhões de registros. Apesar das tentativas de desmantelamento, o fórum foi relançado várias vezes e, recentemente, um novo grupo assumiu o controle após a prisão de Baphomet em 2023. O impacto das atividades de Fitzpatrick é considerado incalculável, tanto em termos de danos financeiros quanto sociais.

Pesquisadores de cibersegurança da ReliaQuest identificaram uma nova onda de ataques cibernéticos direcionados ao setor financeiro, atribuídos ao grupo de cibercrime conhecido como Scattered Spider. Este grupo, que havia anunciado uma suposta interrupção de suas atividades, agora demonstra um foco renovado em instituições financeiras, conforme evidenciado por um aumento no registro de domínios semelhantes e uma recente invasão direcionada a um banco nos EUA. Os atacantes conseguiram acesso inicial por meio de engenharia social, comprometendo a conta de um executivo e utilizando o Azure Active Directory para redefinir senhas. A partir daí, acessaram documentos sensíveis e comprometeram a infraestrutura de VMware ESXi, permitindo a extração de credenciais e a infiltração na rede. Além disso, tentaram exfiltrar dados de plataformas como Snowflake e AWS. A ReliaQuest alerta que a alegação de aposentadoria do grupo deve ser vista com ceticismo, já que a história mostra que grupos cibercriminosos frequentemente se reagrupam ou rebatizam para evitar a pressão da lei. A situação destaca a necessidade de vigilância contínua por parte das organizações, especialmente em um cenário onde a segurança cibernética é cada vez mais crítica.

Pesquisadores estão alertando sobre a evolução do malware RatOn, que inicialmente clonava pagamentos por aproximação NFC e agora se transformou em um trojan complexo de acesso remoto. Este malware é capaz de realizar fraudes através de sistemas de transferência automatizada, monitorar dispositivos móveis e roubar senhas de aplicativos como WhatsApp e serviços bancários. O RatOn se espalha por meio de links falsos que prometem conteúdo adulto, como um suposto ‘TikTok +18’. Após a instalação, o malware solicita permissões que permitem a instalação de aplicativos de terceiros, evitando as proteções das lojas oficiais. Uma vez ativo, ele pode capturar credenciais, travar o celular e exigir resgates em criptomoedas. Até agora, os ataques foram observados na República Tcheca e Eslováquia, mas a possibilidade de sua chegada ao Brasil é uma preocupação crescente. Para se proteger, recomenda-se não conceder permissões excessivas a aplicativos, utilizar autenticação em duas etapas e evitar links suspeitos.