Cibersegurança

Vulnerabilidade expõe hash NTLMv2 em ferramenta da Microsoft

Pesquisadores em cibersegurança revelaram uma vulnerabilidade não corrigida que pode permitir que atacantes obtenham o hash NTLMv2 de um usuário. O problema, relacionado ao manipulador de URI ‘search:’, é semelhante ao CVE-2026-33829, que afetou a ferramenta Snipping Tool da Microsoft. A vulnerabilidade permite que um invasor induza o usuário a clicar em um link malicioso, que, se aprovado, conecta o computador a um servidor SMB controlado pelo atacante, expondo o hash NTLMv2 do usuário. A Microsoft já havia corrigido uma falha semelhante em abril de 2026, mas optou por não abordar essa nova questão, alegando que apenas casos de severidade ‘Importante’ e ‘Crítico’ são priorizados. Sem uma correção disponível, recomenda-se bloquear o tráfego SMB em hosts desnecessários, aplicar assinatura SMB e desativar o NTLM quando possível. Essa situação representa um risco significativo, pois o hash capturado pode ser utilizado em ataques de retransmissão, permitindo acesso não autorizado a redes.

O Estado Fragmentado da Identidade Empresarial Moderna

O gerenciamento de identidade e acesso (IAM) nas empresas está se aproximando de um ponto crítico, com a identidade se tornando cada vez mais fragmentada em milhares de aplicações e sistemas descentralizados. Um estudo da Orchid Security revela que 46% das atividades de identidade empresarial ocorrem fora da visibilidade do IAM centralizado, criando o que é chamado de ‘matéria escura da identidade’. Essa camada oculta inclui aplicações não gerenciadas, contas locais e identidades não humanas com permissões excessivas, ampliadas por ferramentas desconectadas e a ascensão da inteligência artificial autônoma.

Vulnerabilidade no VS Code permite roubo de token do GitHub

Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Microsoft Visual Studio Code (VS Code) que permite a um atacante roubar tokens do GitHub com um simples clique. O problema está relacionado ao uso do GitHub.dev, um editor de código leve que opera no navegador, que utiliza um token OAuth para interagir com repositórios do GitHub. A vulnerabilidade permite que extensões maliciosas sejam instaladas sem a necessidade de confirmação do usuário, explorando um mecanismo de passagem de mensagens entre a janela principal do VS Code e as webviews. Isso possibilita a execução de JavaScript malicioso que simula pressionamentos de tecla, permitindo a instalação de uma extensão controlada pelo atacante que extrai o token OAuth e consulta a API do GitHub para acessar repositórios privados. A Microsoft foi notificada sobre a vulnerabilidade em 2 de junho de 2026 e está trabalhando em uma correção, embora tenha esclarecido que o problema não afeta a versão desktop do VS Code.

Risco cibernético na saúde em 2026 O que os dados revelam

O cenário de cibersegurança na área da saúde em 2026 é marcado por um aumento significativo nas violações de dados e ataques cibernéticos, com 275 milhões de registros comprometidos apenas em 2024, mais que o dobro do ano anterior. Os dados indicam que 88% das perdas materiais são atribuídas a engenharia social, como phishing e comprometimento de e-mails empresariais, além de lacunas nos backups e governança de dados. As demandas de extorsão também cresceram, chegando a até US$ 4 milhões em alguns casos, o que representa um risco não apenas financeiro, mas também clínico, dado o impacto na assistência ao paciente.

Campanha de malware WeedHack ataca jogadores de Minecraft

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Vulnerabilidade zero-day no VS Code permite roubo de tokens do GitHub

Um pesquisador de segurança divulgou um código de exploração para uma vulnerabilidade zero-day no Visual Studio Code (VS Code), que permite que atacantes roubem tokens de autenticação do GitHub ao induzir usuários a clicarem em links maliciosos. Essa falha, que ainda não possui um patch oficial, permite que extensões maliciosas sejam instaladas, explorando o sistema de mensagens do webview do VS Code. O pesquisador Ammar Askar explicou que, ao interagir com github.dev, um token OAuth é enviado, permitindo acesso total a todos os repositórios privados do usuário. Para se proteger, os usuários devem limpar cookies e dados do site para github.dev em seus navegadores, o que gerará um aviso ao tentar acessar links potencialmente perigosos. Askar optou pela divulgação pública imediata após experiências negativas com o processo de resposta de segurança da Microsoft, que não reconheceu falhas anteriores. Essa vulnerabilidade se junta a uma série de zero-days divulgados por outro pesquisador anônimo, conhecido como Nightmare Eclipse, que criticou a forma como a Microsoft lida com a divulgação de falhas. A Microsoft ainda não comentou sobre a vulnerabilidade do VS Code.

Campanha de Malware Alvo de Jogadores de Minecraft pelo YouTube

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.

Grupo criminoso utiliza ransomware com suporte de IA para ataques

Um novo toolkit de ransomware, desenvolvido com o auxílio de inteligência artificial, está sendo utilizado por atores de ameaças para automatizar a descoberta de Active Directory e evadir soluções de detecção de endpoint (EDR). O desenvolvimento das ferramentas e dos payloads contou com a assistência de agentes de IA, que participaram em várias etapas, desde a codificação inicial até a análise e revisão. Testes realizados em ambientes virtuais mostraram que o malware conseguia contornar ferramentas de EDR de grandes fornecedores como Sophos, CrowdStrike e Microsoft. Os pesquisadores da Sophos identificaram atividades suspeitas em um sistema de um cliente, onde arquivos maliciosos foram encontrados, sugerindo um foco em evadir a detecção. O toolkit inclui perfis do Cobalt Strike, um mecanismo de comando e controle baseado em Telegram e scripts em Python para injeção de código malicioso em executáveis legítimos. Embora a pesquisa tenha sido impulsionada por IA, a Sophos afirma que o fluxo de trabalho é totalmente conduzido por humanos. A modularidade do framework permite a geração de payloads personalizados, que são testados contra mais de 70 técnicas de evasão, apresentando uma taxa de sucesso crescente em contornar soluções de segurança. A utilização de IA nesse contexto acelera a implementação de técnicas de ataque, representando um risco significativo para organizações em todo o mundo.

Campanha de malware WeedHack atinge jogadores de Minecraft

Uma campanha de malware em larga escala, conhecida como WeedHack, está atacando jogadores de Minecraft e já infectou mais de 116 mil sistemas desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente no YouTube e por meio de técnicas de SEO. A operação funciona como um serviço de malware (MaaS), permitindo que os usuários acessem um painel onde podem visualizar credenciais roubadas e informações de sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido, com uma média de 2.000 a 3.000 novas infecções diariamente. A campanha utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa legitimidade ao vincular sites maliciosos a repositórios legítimos do GitHub. O WeedHack oferece uma camada gratuita que rouba IDs de sessão do Minecraft, cookies e senhas, além de uma versão premium com funcionalidades adicionais. Jogadores são aconselhados a confiar apenas em mods de fontes oficiais e a verificar links de download para evitar infecções.

Google corrige 124 vulnerabilidades críticas no Android em junho de 2026

No início de junho de 2026, o Google lançou patches para 124 vulnerabilidades de segurança no sistema operacional Android, destacando uma falha de alta severidade, identificada como CVE-2025-48595, com um escore CVSS de 8.4. Essa vulnerabilidade, que permite a escalada de privilégios sem interação do usuário, afeta dispositivos que executam as versões 14, 15, 16 e 16 QPR2 do Android. Segundo a descrição da falha, um estouro de inteiro em múltiplos locais pode possibilitar a execução de código, resultando em uma escalada local de privilégios. O Google indicou que há sinais de exploração ativa, embora não tenha fornecido detalhes sobre os responsáveis ou os alvos. Além disso, outras vulnerabilidades foram corrigidas no componente do sistema, algumas das quais também podem levar a escaladas de privilégios. O Google disponibilizou dois conjuntos de patches, com o segundo incluindo correções para componentes de kernel e chipsets de terceiros, como MediaTek e Qualcomm. A situação exige atenção, especialmente considerando que falhas semelhantes têm sido utilizadas por fornecedores de spyware comercial para atacar indivíduos de alto perfil.

Operação Linha Fantasma PF combate fraudes bancárias por telefone

A Polícia Federal (PF) deflagrou a Operação Linha Fantasma, focando em fraudes bancárias que utilizam a técnica da ‘falsa central telefônica’. Os golpistas enviam mensagens de texto (SMS) alertando sobre compras suspeitas e fornecem um número 0800 para que as vítimas entrem em contato com o banco. O objetivo é induzir as pessoas a compartilhar dados pessoais ou realizar transferências financeiras, como cancelamento de compras via Pix. A operação resultou em três mandados de busca e apreensão e duas prisões em flagrante em Feira de Santana (BA) e São Paulo (SP). A PF informou que os investigados podem responder por crimes como fraude eletrônica e lavagem de dinheiro. A ação foi desencadeada após denúncias de operadoras de telefonia sobre o envio em massa de mensagens fraudulentas. Para se proteger, a Federação Brasileira de Bancos (Febraban) recomenda não fornecer dados pessoais, não instalar aplicativos solicitados durante ligações e sempre verificar a autenticidade das comunicações com os bancos através de canais oficiais.

Mais de 5.000 domínios maliciosos visam eleições intermediárias dos EUA

Um novo relatório da Check Point Research revela que mais de 5.000 domínios maliciosos relacionados às eleições intermediárias dos EUA, programadas para novembro de 2022, foram identificados desde janeiro deste ano. Esses domínios, que incluem palavras como ’election’ e ‘vote’, são utilizados para criar sites de phishing, portais de doações falsas e campanhas de desinformação. A pesquisa destaca que, enquanto os hackers não estão atacando diretamente as máquinas de contagem de votos, eles visam influenciar os eleitores, dificultando a verificação da verdade. A operação russa chamada Doppelganger tem sido particularmente ativa, clonando sites de notícias de alta autoridade e publicando informações falsas. A Check Point alerta que as organizações envolvidas nas eleições devem estar em alerta máximo para ataques de phishing e impersonificação de marcas, dada a crescente motivação e atenção em torno deste ciclo eleitoral.

Grupo de ransomware Genesis ataca IMA Diligence e compromete dados pessoais

A IMA Diligence Services notificou 525.306 pessoas sobre uma violação de dados ocorrida em dezembro de 2025, que comprometeu informações pessoais sensíveis, incluindo números de Seguro Social, dados de saúde, informações financeiras e documentos de identidade. O grupo de cibercriminosos Genesis reivindicou a responsabilidade pelo ataque em janeiro de 2026, alegando ter roubado 700 GB de dados da empresa. A IMA Diligence não confirmou a reivindicação do Genesis e não se sabe como a rede foi comprometida ou se um resgate foi pago. A empresa ofereceu 12 meses de monitoramento de crédito gratuito para as vítimas da violação. O ataque à IMA Diligence é o maior registrado em 2025 no setor financeiro dos EUA, com mais de 2 milhões de registros pessoais comprometidos em 70 ataques confirmados. Genesis, que começou a operar em outubro de 2025, já reivindicou 76 ataques de ransomware, sendo este o primeiro contra uma empresa financeira. O impacto de tais ataques pode resultar em perda de dados permanentes e riscos aumentados de fraudes para os clientes.

Incidente de segurança afeta mais de 80 mil na Tulane University

Um vazamento de dados na Tulane University, que ocorreu após uma vulnerabilidade zero-day no aplicativo Oracle E-Business Suite, afetou 80.867 pessoas. O grupo de ransomware Clop assumiu a responsabilidade pelo ataque, que se seguiu a um incidente de ransomware em agosto de 2025. Os dados comprometidos incluem números de Seguro Social, informações bancárias e de depósito direto. A universidade informou que, ao descobrir a vulnerabilidade, imediatamente iniciou uma investigação, notificou as autoridades e aplicou os patches fornecidos pela Oracle. Além da Tulane, outras instituições de ensino superior, como Harvard e a Universidade da Pensilvânia, também confirmaram vazamentos de dados relacionados a essa vulnerabilidade. O ataque à Tulane é considerado o terceiro maior incidente de ransomware no setor educacional dos EUA em 2025, com mais de 4 milhões de registros afetados em 54 ataques confirmados ao longo do ano. A universidade está oferecendo acesso gratuito ao serviço de proteção contra roubo de identidade Experian IdentityWorksSM para os afetados.

Desafios da Cibersegurança com Adoção de IA nas Empresas

As equipes de segurança enfrentam dois problemas críticos relacionados à inteligência artificial (IA) no ambiente corporativo. Primeiro, os atacantes estão utilizando IA para aprimorar suas ferramentas de phishing, criando kits e técnicas que evoluem rapidamente, como o phishing por código de dispositivo, que explora fluxos OAuth legítimos para contornar autenticações multifator. Em segundo lugar, a adoção desenfreada de ferramentas de IA pelos funcionários está superando a capacidade das equipes de segurança de monitorar e controlar o uso, resultando em vazamentos de dados sensíveis. A maioria das ameaças ocorre dentro do navegador, onde as atividades maliciosas são difíceis de detectar por ferramentas tradicionais. Para mitigar esses riscos, é essencial que as organizações implementem plataformas que ofereçam visibilidade profunda sobre as sessões do navegador, permitindo o controle tanto sobre as ferramentas de IA utilizadas quanto sobre as tentativas de phishing. A situação é alarmante, com 45% dos funcionários utilizando IA regularmente em dispositivos corporativos, muitas vezes sem supervisão adequada, o que aumenta o potencial de exfiltração de dados e compromissos de segurança.

Usuários do Instagram têm contas sequestradas por IA da Meta

Recentemente, diversos usuários do Instagram relataram que suas contas foram sequestradas após atacantes conseguirem convencer as ferramentas de suporte da Meta, que utilizam inteligência artificial, de que eram os legítimos proprietários. Muitos dos afetados, incluindo contas de alto valor e raridade, como a do ex-time da Casa Branca de Obama e a pesquisadora Jane Manchun Wong, enfrentaram dificuldades para recuperar o acesso devido à falta de suporte humano. O processo de sequestro envolve o uso de selfies e vídeos gerados por IA para enganar o sistema de verificação. Além disso, os atacantes conseguiram contornar a autenticação de dois fatores (2FA) e utilizaram serviços de VPN para simular a localização dos alvos. Apesar de a Meta afirmar que está tomando medidas para resolver a situação, muitos usuários ainda se sentem frustrados com a incapacidade do suporte automatizado em resolver seus problemas. A situação destaca a vulnerabilidade de sistemas de autenticação baseados em IA e a necessidade de um suporte humano mais eficaz em casos de segurança.

Microsoft enfrenta problemas de serviço no Exchange Online globalmente

A Microsoft está lidando com um problema de serviço que afeta o fluxo de e-mails do Exchange Online para clientes na América do Norte, na região Ásia-Pacífico (APAC) e na Europa. O incidente, identificado como EX1331830, foi reconhecido pela empresa às 10h33 EDT, após uma série de relatos de usuários nas redes sociais. Os usuários afetados estão enfrentando erros temporários de deferimento SMTP, como mensagens que indicam que o número máximo de conexões concorrentes foi excedido ou que a conexão foi encerrada abruptamente. Isso resulta em atrasos significativos no envio e recebimento de e-mails, com algumas mensagens não sendo entregues por mais de uma hora. A Microsoft está revisando os relatórios para identificar a causa raiz do problema e já classificou a interrupção como um incidente crítico, dada a sua ampla repercussão. Além disso, a empresa já havia enfrentado problemas semelhantes anteriormente, incluindo dificuldades de acesso a caixas de entrada e interrupções em outros serviços como Teams e autenticação multifatorial. A situação continua em investigação, com a Microsoft analisando o backlog de filas de e-mail nas regiões afetadas para entender melhor o cenário atual.

Grupo de hackers russo Gamaredon explora vulnerabilidade do WinRAR

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

CISA ordena proteção contra vulnerabilidade crítica do Oracle WebLogic

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências governamentais reforcem a segurança de seus sistemas contra uma vulnerabilidade crítica no Oracle WebLogic Server, identificada como CVE-2024-21182. Essa falha, que foi corrigida há dois anos, está sendo ativamente explorada em ataques cibernéticos. O Oracle WebLogic Server é um servidor de aplicações Java utilizado em grandes aplicações distribuídas. A vulnerabilidade permite que atacantes não autenticados comprometam o servidor remotamente, podendo resultar em acesso não autorizado a dados críticos. Atualmente, mais de 1.592 servidores WebLogic estão expostos online e vulneráveis a essa falha. A CISA recomendou que, além das agências federais, todas as organizações, incluindo o setor privado, apliquem os patches de segurança o mais rápido possível. A vulnerabilidade é considerada um vetor de ataque comum e representa riscos significativos para a segurança das informações. A CISA também destacou a importância de seguir as orientações do fornecedor e, se necessário, descontinuar o uso do produto até que as correções sejam aplicadas.

Grupo SideCopy realiza campanha de phishing contra o governo afegão

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing, atribuída ao grupo SideCopy, alinhado ao Paquistão, que visa o Ministério das Finanças do Afeganistão. A operação, chamada de XENOFISCAL, utiliza um trojan de acesso remoto chamado Xeno RAT, disfarçado em um arquivo ZIP que contém um arquivo LNK com um nome em pashto, a língua predominante no governo afegão. Além do Ministério, a campanha também atinge direções provinciais de finanças e funcionários do governo que falam pashto, evidenciando o conhecimento do atacante sobre o ambiente alvo. O Xeno RAT, uma ferramenta poderosa, permite ao invasor executar uma variedade de ações, como capturar teclas, tirar capturas de tela e monitorar dispositivos de áudio e vídeo. A campanha é uma continuação de atividades maliciosas mais amplas direcionadas a entidades da Ásia do Sul, com o SideCopy já tendo sido associado a ataques anteriores na Índia. A execução do malware envolve a utilização de um arquivo de atalho do Windows que, ao ser ativado, baixa um aplicativo HTML remoto, levando à execução de um JavaScript ofuscado. Este cenário destaca a crescente sofisticação das ameaças cibernéticas na região e a necessidade de vigilância constante por parte das entidades governamentais e corporativas.

A Resiliência Cibernética Exige Mais que Visibilidade O Papel do EDR

As organizações estão percebendo que a proteção de endpoints sozinha não é mais suficiente para enfrentar as ameaças cibernéticas modernas. A adoção de soluções de Detecção e Resposta em Endpoints (EDR) cresceu rapidamente, mas muitas empresas, especialmente as de médio porte, ainda enfrentam dificuldades para operacionalizar essas capacidades. Os times de segurança, frequentemente enxutos, são sobrecarregados por um volume excessivo de alertas, o que resulta em investigações demoradas e capacidade de resposta limitada. Além disso, ataques habilitados por inteligência artificial estão se tornando mais comuns, aumentando a pressão sobre as equipes de segurança. Para superar esses desafios, é crucial não apenas ter visibilidade, mas também implementar uma resposta operacional contínua e sustentável. Soluções como o Bitdefender GravityZone PHASR e o Managed Detection and Response (MDR) oferecem abordagens complementares que ajudam a reduzir as oportunidades para os atacantes e a melhorar a capacidade de resposta. Organizações que adotam essas práticas estão alcançando resultados significativos, como a redução do risco de ataques severos e a melhoria na maturidade da segurança. A resiliência cibernética moderna requer uma combinação de prevenção, detecção e resposta integrada, permitindo que as equipes de segurança se concentrem em iniciativas estratégicas em vez de apenas apagar incêndios.

Aceleração da Exploração de Vulnerabilidades na Segurança Empresarial

O artigo destaca como a gestão de vulnerabilidades está se tornando cada vez mais desafiadora devido à rápida evolução da exploração impulsionada por inteligência artificial (IA). O tempo entre a divulgação de uma vulnerabilidade e sua exploração efetiva na internet agora é medido em horas, não mais em dias. Embora a solução tradicional tenha sido acelerar o processo de patching, isso não é viável para muitas empresas devido a requisitos de estabilidade e conformidade. O aumento no número de vulnerabilidades, como evidenciado pelo Projeto Glasswing da Anthropic, que identificou mais de 10.000 vulnerabilidades críticas em um único mês, ilustra a necessidade de uma nova abordagem. O artigo sugere um modelo operacional que prioriza a prevenção, validação e mitigação, propondo três etapas: identificar vulnerabilidades mais prováveis de serem exploradas, reagir rapidamente a ameaças emergentes e implementar medidas de mitigação para ganhar tempo para remediação eficaz. A plataforma watchTowr é apresentada como uma solução que ajuda as organizações a se adaptarem a essa nova realidade, permitindo uma resposta mais ágil e eficaz às ameaças.

Gerenciador de senhas Dashlane sofre ataque e compromete dados de usuários

O gerenciador de senhas Dashlane revelou que menos de 20 usuários de seu plano pessoal tiveram seus cofres criptografados baixados após um ataque de força bruta realizado por um agente externo desconhecido. No dia 31 de maio de 2026, a empresa informou que o ataque visava quebrar as proteções de autenticação de dois fatores (2FA) para permitir o registro de novos dispositivos em contas de usuários existentes. Embora o número exato de contas afetadas não tenha sido divulgado, a alta quantidade de tentativas resultou em suspensões temporárias de contas e problemas de autenticação, devido aos controles de segurança internos da Dashlane. Após a restauração do acesso, a empresa notificou diretamente os usuários impactados, garantindo que, caso não tenham recebido uma mensagem, suas contas não foram afetadas. É importante ressaltar que os dados do cofre não podem ser acessados sem a Senha Mestra, e a Dashlane enfatizou que seus sistemas internos não foram comprometidos. Como medida de precaução, os usuários são aconselhados a revisar os dispositivos registrados em suas contas, ativar a 2FA e utilizar uma Senha Mestra forte e única.

Polícia Nacional da Espanha prende suspeito de vazamento de dados

A Polícia Nacional da Espanha prendeu um indivíduo suspeito de vazar informações sensíveis de membros de organizações estatais, incluindo o Instituto Nacional de Cibersegurança (INCIBE). O vazamento, que expôs dados pessoais de figuras-chave como procuradores e membros da polícia, representa riscos à segurança nacional. A investigação começou após a detecção da disseminação em massa de dados, levando a uma operação urgente que culminou na prisão do suspeito e na apreensão de dispositivos eletrônicos que podem conter evidências forenses. O INCIBE já havia alertado sobre operações de doxing, afirmando que não houve comprometimento direto de seus sistemas, mas que dados foram coletados e publicados de forma direcionada. O grupo responsável pelo vazamento, identificado como ‘Police-ESP-Doxed’, utilizou plataformas como o BreachForum para divulgar as informações. Além disso, em março, dados pessoais de centenas de juízes e promotores espanhóis foram publicados em outra plataforma, aumentando as preocupações sobre a segurança de dados sensíveis no país.

Pacotes npm da Red Hat comprometidos em ataque à cadeia de suprimentos

Mais de 30 pacotes npm sob o namespace ‘@redhat-cloud-services’ da Red Hat foram comprometidos em um ataque à cadeia de suprimentos, que distribuiu uma nova variante do malware Shai-Hulud, chamada ‘Miasma’. A descoberta foi feita pelas empresas de segurança Aikido e OX Security, que identificaram versões de pacotes com backdoors projetados para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens de CI/CD e outras informações sensíveis. Os pacotes comprometidos recebiam cerca de 117.000 downloads semanais. A Red Hat afirmou que removeu os pacotes afetados assim que tomou conhecimento do incidente e que a violação estava restrita a ferramentas de desenvolvimento internas. A investigação ainda está em andamento, mas até o momento não foram identificados impactos em ambientes de clientes ou sistemas de produção da Red Hat. O ataque foi realizado através da conta do GitHub de um funcionário da Red Hat, onde os invasores inseriram commits maliciosos que abusaram do mecanismo de publicação do npm. Os pacotes comprometidos continham um script ‘preinstall’ que executava um arquivo malicioso para roubar credenciais de serviços como AWS, Google Cloud e Azure. A situação é preocupante, pois 32 pacotes e 96 versões foram afetados, e organizações que instalaram versões comprometidas devem rotacionar imediatamente todas as credenciais e segredos utilizados.

Grupo DriveSurge realiza campanhas de malware em larga escala

O grupo de cibercriminosos conhecido como DriveSurge tem promovido campanhas de distribuição de malware em larga escala, utilizando técnicas como ClickFix e FakeUpdates em sites comprometidos. Pesquisadores da empresa de cibersegurança SilentPush relataram que milhares de sites foram afetados, redirecionando visitantes para infraestruturas de entrega de malware. A técnica ClickFix engana as vítimas, levando-as a executar comandos maliciosos sob a falsa promessa de resolver problemas técnicos. Já os ataques FakeUpdates simulam atualizações de software, como navegadores, para induzir os usuários a baixar e instalar cargas maliciosas. O DriveSurge atua como um corretor de acesso inicial (IAB) em um modelo de pagamento por instalação (PPI), facilitando ataques subsequentes. Os visitantes dos sites comprometidos são redirecionados por um sistema de distribuição de tráfego (TDS) chamado zTDS, que classifica os usuários e decide qual isca utilizar. O relatório destaca um caso em que uma atualização falsa do Firefox resultou no download de um arquivo ZIP contendo executáveis maliciosos. Os pesquisadores identificaram várias assinaturas técnicas associadas à campanha, incluindo injeções de JavaScript e domínios maliciosos. Recomenda-se que os usuários atualizem seus navegadores apenas por meio dos menus de configuração e evitem executar comandos desconhecidos.

Ferramenta Codex da OpenAI com 29 mil downloads ligada a ataque malicioso

Pesquisadores descobriram um pacote npm malicioso que se disfarçava como uma ferramenta de interface do usuário do Codex, da OpenAI. O pacote, denominado ‘codexui-android’, foi baixado mais de 29.000 vezes antes de ser identificado como uma ameaça. Embora o código no GitHub parecesse legítimo, uma atualização no npm introduziu um código que roubava tokens de autenticação do Codex. Esses tokens, especialmente o refresh token, permitem que atacantes acessem contas da OpenAI sem a necessidade de senhas, possibilitando o uso indevido de créditos de API e acesso a projetos e códigos dos desenvolvedores. Além disso, dois aplicativos Android também foram identificados como parte do ataque, com um deles acumulando mais de 50.000 downloads. A gravidade da situação é acentuada pelo fato de que o refresh token não expira, permitindo acesso contínuo e silencioso às contas comprometidas.

Cerca de 2.000 sites WordPress infectados com malware via Steam

Cerca de 1.980 sites WordPress foram comprometidos por um malware que utiliza comentários de perfis da Steam Community para ocultar dados de comando e controle (C2). Os atacantes empregaram caracteres Unicode invisíveis para codificar um payload que gera uma URL para um script malicioso. Essa técnica permite que os hackers evitem a manutenção de uma infraestrutura C2 separada e contornem métodos tradicionais de detecção. A infecção inicial pode ter ocorrido por meio de logins de administrador roubados, credenciais FTP/SFTP comprometidas ou exploração de temas e plugins vulneráveis. O malware, uma vez instalado, utiliza carregamentos de páginas do WordPress para acessar perfis da Steam e extrair texto que, embora pareça benigno, contém caracteres invisíveis que disfarçam cargas maliciosas. O payload decodificado leva a um URL que injeta código JavaScript em todas as páginas do WordPress. Os pesquisadores da GoDaddy alertam que a defesa deve incluir a verificação de URLs da Steam, injeções de JavaScript suspeitas e conexões inesperadas. A restauração a partir de um backup conhecido é a ação recomendada para mitigar os danos.

Usuários do Dashlane são bloqueados após ataques de força bruta

Recentemente, vários usuários do serviço de gerenciamento de senhas Dashlane foram temporariamente bloqueados de suas contas devido a ataques de força bruta. Esses ataques, realizados por um agente externo, tentaram logins a partir de locais distantes e dispositivos desconhecidos. Em resposta, a Dashlane implementou uma suspensão automática das contas afetadas como parte de suas medidas de segurança. Jordan Fylolenko, diretor sênior de comunicações corporativas da Dashlane, confirmou que as contas afetadas foram desbloqueadas após a investigação do incidente, que começou em 31 de maio. A empresa assegurou que não há evidências de comprometimento de seus sistemas. Muitos usuários expressaram preocupação ao receber notificações de acessos suspeitos, questionando se se tratava de tentativas de phishing. Embora a Dashlane tenha declarado que o problema foi resolvido, alguns usuários ainda relatam dificuldades para acessar suas contas e mencionam a falta de resposta do suporte. A situação destaca a importância de medidas de segurança robustas, como limitação de taxa e desafios CAPTCHA, para proteger contas contra ataques automatizados.

Campanha de ataque à cadeia de suprimentos compromete pacotes do Red Hat

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

Dashlane suspende contas após tentativas de invasão em larga escala

A Dashlane, um popular gerenciador de senhas, anunciou a suspensão de contas de usuários após detectar tentativas de invasão em larga escala. O incidente, que começou a ser relatado no final de semana, levou a empresa a investigar a situação e a tomar medidas de segurança. Os usuários afetados relataram dificuldades para acessar suas contas, especialmente após tentativas de alterar a senha mestre. A empresa confirmou que as contas foram alvo de ataques de força bruta, onde invasores tentam adivinhar senhas por meio de combinações exaustivas. Embora a Dashlane tenha reativado as contas afetadas, muitos usuários continuam a enfrentar problemas de acesso, gerando críticas sobre a falta de comunicação clara da empresa. A companhia afirmou que não há evidências de comprometimento de seus sistemas e que o monitoramento do caso continua. Este incidente levanta preocupações sobre a segurança de gerenciadores de senhas e a necessidade de transparência nas comunicações com os usuários.

Norton VPN expande presença global com 25 novos servidores

A Norton VPN anunciou a adição de 25 novas localizações de servidores, elevando seu total para mais de 130 em 90 países. Essa expansão inclui locais na América, Europa, Ásia-Pacífico, África e Oriente Médio, visando melhorar a velocidade de conexão e contornar bloqueios geográficos. Uma nova funcionalidade chamada ‘Rotação Manual de IP’ permite que os usuários troquem seus endereços IP virtuais sob demanda, sem desconectar a sessão VPN. Essa ferramenta é especialmente útil para evitar bloqueios temporários de serviços de streaming. Atualmente, a funcionalidade está disponível para Windows e Mac, com suporte para iOS e Android previsto para breve. A expansão da rede de servidores e a introdução da rotação de IP refletem a crescente demanda dos usuários por flexibilidade e controle em suas experiências online. A Norton destaca que essas melhorias visam proporcionar uma navegação mais privada e acessível, mantendo a proteção que a marca oferece.

Dificuldades em chamadas Zoom? Este VPN pode melhorar sua experiência

Com o aumento do trabalho remoto, a qualidade das chamadas de vídeo se tornou essencial. Muitas pessoas enfrentam problemas de conexão, como buffering e lentidão, mesmo com uma velocidade de Wi-Fi aparentemente adequada. Esses problemas podem ser atribuídos a questões de peering entre provedores de internet (ISPs), que afetam a eficiência da conexão. Uma solução viável é o uso de uma VPN, como a ExpressVPN, que promete resolver esses problemas ao redirecionar o tráfego de internet através de seus servidores. Atualmente, a ExpressVPN está oferecendo um desconto significativo em seus planos de longo prazo, com preços a partir de $2,49 por mês. O plano básico permite a conexão de até 10 dispositivos e inclui ferramentas de proteção de e-mail. Além disso, a ExpressVPN é reconhecida por suas credenciais de segurança e políticas rigorosas de privacidade. Embora existam outras opções no mercado, como NordVPN e Surfshark, a ExpressVPN se destaca pela sua confiabilidade e suporte técnico. Para quem trabalha de casa, investir em uma VPN pode ser uma maneira eficaz de garantir uma experiência de trabalho mais fluida e produtiva.

Microsoft resolve problemas com autenticação multifator e My Sign-Ins

A Microsoft enfrentou um incidente que impediu alguns usuários de configurar a autenticação multifator (MFA) ou acessar a plataforma My Sign-Ins. O problema, identificado como um erro 504 Gateway Timeout, afetou a capacidade de muitos usuários de acessar o site mysignins.microsoft.com. A empresa reconheceu o problema por volta das 5 AM ET e classificou-o como um incidente em andamento, indicando um impacto significativo nos usuários. Para mitigar a situação, a Microsoft implementou uma infraestrutura alternativa e começou a monitorar a saúde do serviço. Após a identificação de uma mudança recente na configuração de cache como a causa do problema, a empresa reverteu as ações de mitigação e restaurou o tráfego para a infraestrutura original. Este incidente destaca a importância da autenticação multifator na segurança digital e a necessidade de monitoramento contínuo para evitar interrupções nos serviços.

Do alerta à resolução Consertando falhas na resposta a incidentes de rede

O gerenciamento de incidentes de rede pode ser um desafio significativo para as equipes de TI, especialmente quando os atrasos ocorrem após o alerta inicial. O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, promovido pela BleepingComputer em 2 de junho de 2026, abordará como a automação e os fluxos de trabalho assistidos por IA podem ajudar a reduzir esses atrasos, melhorar a coordenação e acelerar a resolução de incidentes. Com o aumento da adoção de ferramentas de monitoramento e infraestrutura, as equipes frequentemente enfrentam a necessidade de coletar informações manualmente, o que pode atrasar a resposta e aumentar o impacto de interrupções nos serviços.

Vulnerabilidade crítica do Windows Netlogon está sendo explorada

O Centro de Cibersegurança da Bélgica (CCB) alertou que atacantes estão explorando ativamente uma vulnerabilidade crítica no Windows Netlogon, identificada como CVE-2026-41089. Essa falha, que foi corrigida pela Microsoft em maio de 2026, permite que invasores não privilegiados executem código remotamente em controladores de domínio do Windows. O Netlogon é um serviço essencial que autentica usuários e serviços em redes baseadas em domínio. A vulnerabilidade é classificada com um CVSS de 9.8, indicando seu alto potencial de impacto. O CCB recomendou que administradores de sistemas realizem a atualização imediata de seus servidores vulneráveis. Embora a Microsoft tenha identificado a falha, ainda não há informações detalhadas sobre os ataques em andamento. Além disso, a empresa enfrenta desafios com outras vulnerabilidades zero-day, como a YellowKey e a BlueHammer, que também estão sendo exploradas. O alerta do CCB destaca a urgência de ações corretivas para mitigar riscos de segurança em ambientes corporativos.

Vulnerabilidade crítica em aplicativo VPN expõe redes a ataques

Um artigo recente destaca uma vulnerabilidade crítica de execução remota de código (RCE) em um aplicativo VPN amplamente utilizado, que não foi detectada a tempo por serviços de alerta de vulnerabilidades. Em menos de 24 horas, atacantes exploraram essa falha, obtendo acesso à rede da empresa, o que foi finalmente identificado por ferramentas internas de monitoramento. O tempo é um fator crucial em cibersegurança, com um aumento de 67% nas novas vulnerabilidades entre 2023 e 2025 e uma redução no tempo médio para exploração de 4,2 meses para apenas 1,6 dias. Isso evidencia a necessidade urgente de um serviço de alerta de vulnerabilidades que forneça orientações de remediação imediatas. O SecAlerts, uma plataforma que oferece alertas instantâneos sobre vulnerabilidades, promete ajudar as empresas a se manterem à frente das ameaças, permitindo que respondam rapidamente antes que as falhas sejam exploradas. A ferramenta é acessível e pode ser utilizada por empresas de todos os tamanhos, oferecendo uma linha de defesa robusta contra ameaças cibernéticas.

Microsoft enfrenta problemas com Teams e Office Online

A Microsoft está lidando com um incidente que impede usuários de abrir arquivos na plataforma Teams e no Office para a web. A empresa confirmou que o problema afeta diversos aplicativos do Office, incluindo Excel e PowerPoint, e exibe uma mensagem de erro informando que os serviços online do Office não estão disponíveis no momento. A Microsoft está investigando a causa raiz do problema e analisando a telemetria dos serviços. Embora não tenha especificado as regiões afetadas ou um cronograma para a resolução completa, a empresa indicou que a análise inicial sugere um problema de cross-service que impacta a experiência do Office online. Além disso, a Microsoft também enfrentou um incidente relacionado à autenticação multifatorial (MFA), que foi atribuído a uma recente alteração na configuração de cache. Este incidente é considerado crítico, pois afeta uma ferramenta amplamente utilizada por empresas e usuários em todo o mundo, incluindo o Brasil.

Vulnerabilidade crítica no WP Maps Pro permite controle total de sites WordPress

Uma vulnerabilidade crítica, identificada como CVE-2026-8732, afeta o plugin WP Maps Pro, utilizado em mais de 15.000 sites WordPress. Este problema de escalonamento de privilégios permite que atacantes não autenticados criem contas de administrador, possibilitando o controle total do site. A falha está relacionada a uma funcionalidade de ‘acesso temporário’ destinada ao suporte técnico, que não possui verificações adequadas de autenticação. A exploração dessa vulnerabilidade foi confirmada, com a Wordfence reportando 2.858 tentativas de ataque em apenas 24 horas. A versão 6.1.1 do plugin já corrige a falha, e é crucial que os proprietários de sites atualizem suas instalações para evitar comprometimentos. A vulnerabilidade possui uma pontuação CVSS de 9.8, indicando seu alto risco. Portanto, a atualização imediata é essencial para garantir a segurança dos sites afetados.

Campanha maliciosa ataca desenvolvedores do OpenAI Codex

Pesquisadores de cibersegurança revelaram uma nova campanha maliciosa de cadeia de suprimentos que visa desenvolvedores utilizando o OpenAI Codex, através de uma interface web remota que parece legítima. O pacote, denominado codexui-android, está disponível no GitHub e npm, com mais de 29.000 downloads semanais. O código malicioso foi inserido em um pacote funcional que passou por desenvolvimento ativo, permitindo a exfiltração silenciosa de tokens de autenticação do Codex para um servidor controlado por atacantes. O código extrai informações sensíveis, como access_token e refresh_token, armazenadas em um arquivo local. A campanha também se estende a um aplicativo Android que utiliza o mesmo pacote npm, aumentando o alcance da ameaça. A situação é agravada pelo fato de que o refresh_token não expira, permitindo acesso contínuo à conta da vítima. A entidade responsável pela publicação do aplicativo, chamada BrutalStrike, já teve mais de 50.000 downloads. A descoberta destaca a crescente preocupação com a segurança de ferramentas de desenvolvimento de IA e a necessidade de vigilância constante contra ataques de cadeia de suprimentos.

A Evolução das Plataformas de Segurança para MSPs em 2026

Nos últimos anos, a demanda por soluções de cibersegurança para pequenas e médias empresas (PMEs) cresceu significativamente, levando à necessidade de uma nova abordagem nas plataformas de segurança. Em 2026, o conceito de ‘Security Growth Platform’ se destaca como a solução ideal para provedores de serviços gerenciados (MSPs) e provedores de serviços de segurança gerenciados (MSSPs). Essa nova categoria integra gestão de programas de segurança, inteligência de decisão de nível CISO, arquitetura multi-tenant e inteligência de receita em um único sistema.

Campanha de espionagem cibernética mira República Tcheca e Taiwan

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

Vulnerabilidades críticas e ameaças emergentes em cibersegurança

Recentemente, o cenário de cibersegurança tem sido marcado por vulnerabilidades críticas e incidentes ativos que exigem atenção imediata. Um dos destaques é a falha de autenticação no PAN-OS da Palo Alto Networks, identificada como CVE-2026-0257, que está sendo explorada ativamente, permitindo que invasores estabeleçam conexões VPN indevidas. Além disso, a plataforma de Git Gogs enfrenta uma vulnerabilidade zero-day que possibilita a execução remota de código, expondo servidores a ataques severos. A situação é agravada pelo uso crescente de inteligência artificial em campanhas de ciberataques, como demonstrado pelo grupo GREYVIBE, que utiliza modelos de linguagem para realizar ataques direcionados na Ucrânia. A CERT-In, agência de cibersegurança da Índia, alertou sobre a necessidade de corrigir falhas exploradas em um prazo de 12 horas, destacando a velocidade com que as ameaças estão evoluindo. A combinação de falhas críticas, exploração ativa e o uso de AI em ataques torna imperativo que as organizações adotem medidas proativas para proteger seus sistemas.

ExpressVPN passa por auditoria de segurança sem falhas críticas

A ExpressVPN anunciou os resultados de sua 27ª auditoria independente realizada pela Cure53, uma empresa de cibersegurança. Os novos produtos auditados, ExpressMailGuard e Identity Defender, não apresentaram vulnerabilidades significativas, mas foram identificadas áreas que requerem atenção. A auditoria, que durou até 18 dias, revelou 11 preocupações para o Identity Defender, sendo sete classificadas como vulnerabilidades de média gravidade. Entre essas, destacam-se problemas relacionados ao armazenamento de dados não criptografados, que podem facilitar a triangulação de informações por hackers. Para o ExpressMailGuard, foram encontrados 13 problemas, dos quais apenas dois eram vulnerabilidades diretas, incluindo o processamento incorreto de dados de endereços de e-mail, que poderia permitir a falsificação de e-mails. A Cure53 recomendou que a ExpressVPN abordasse essas questões prontamente e realizasse testes regulares para identificar novos riscos. A empresa, que já passou por auditorias desde 2018, reafirma seu compromisso com a segurança e a transparência, enfatizando que a confiança deve ser conquistada e não presumida.

Autoridades holandesas desmantelam botnet com milhões de dispositivos

As autoridades da Holanda anunciaram a desativação de uma botnet que controlava milhões de dispositivos infectados, incluindo computadores, tablets, smartphones e dispositivos IoT. A operação, realizada pela Polícia Holandesa e pelo Centro Nacional de Segurança Cibernética (NCSC), revelou que a rede bot consistia em pelo menos 17 milhões de dispositivos comprometidos, com mais de 200 servidores na Holanda servindo como infraestrutura de backend. Embora o nome da botnet não tenha sido explicitamente divulgado, fontes locais indicam que a Asocks, uma empresa que oferece proxies residenciais, estava envolvida. Em abril de 2024, a equipe de inteligência de ameaças da HUMAN identificou uma campanha chamada PROXYLIB, que utilizava dispositivos Android infectados com software de proxy da LumiApps e Asocks. A NCSC alertou que dispositivos podem ser incorporados a uma botnet quando acessíveis a atacantes, que podem instalar malware para controle remoto. Para mitigar esses riscos, recomenda-se manter sistemas operacionais atualizados, usar senhas fortes e habilitar autenticação de dois fatores. Essa situação destaca a necessidade de vigilância constante e práticas de segurança robustas para proteger dispositivos conectados à internet.

Sites falsos de ingressos da FIFA crescem antes da Copa de 2026

Com a aproximação da Copa do Mundo de 2026, um aumento alarmante de sites falsos de venda de ingressos da FIFA foi identificado. Pesquisadores da Group-IB relataram a existência de mais de 4.300 domínios fraudulentos que imitam a presença oficial da FIFA, muitos dos quais estão ativos desde 2025, aguardando fãs desesperados por ingressos. Um grupo criminoso conhecido como Ghost Stadium é o principal responsável, criando uma réplica quase perfeita do site oficial da FIFA, utilizando um kit de phishing compartilhado. Os golpistas atraem vítimas através de anúncios no Facebook que prometem preços muito abaixo do mercado, levando-as a páginas falsas onde são induzidas a inserir suas credenciais. Uma vez que as informações são capturadas, os golpistas mudam as senhas das contas legítimas e revendem os ingressos. Além disso, os novos compradores são levados a preencher formulários que coletam dados pessoais e informações de pagamento, sem que os ingressos sejam entregues. As perdas financeiras decorrentes dessa fraude podem variar entre 71 milhões e 474 milhões de dólares. Para se proteger, os usuários devem sempre verificar o domínio do site e evitar anúncios suspeitos nas redes sociais.

Cansado de golpistas e spammers? Conheça nossa oferta exclusiva de VPN

Com o aumento constante de golpistas e spammers, a segurança nas comunicações se torna uma prioridade. O artigo destaca a Surfshark, uma VPN que oferece uma gama de ferramentas de segurança, incluindo um gerador de alias de e-mail, bloqueador de anúncios e cobertura ilimitada de dispositivos. A Surfshark não apenas protege a privacidade do usuário, mas também oferece funcionalidades como alertas de vazamento de dados pessoais e proteção contra e-mails fraudulentos. Os planos começam a partir de $1,99 por mês, com promoções que incluem cartões-presente da Amazon. Além das funções típicas de uma VPN, como acesso a conteúdos restritos geograficamente, a Surfshark se destaca pela proteção de identidade, permitindo que os usuários se registrem em sites com informações alternativas, reduzindo o risco de roubo de dados. A análise também menciona concorrentes como Proton VPN e NordVPN, mas enfatiza a vantagem da Surfshark em termos de cobertura de dispositivos e custo-benefício. Com a crescente incidência de fraudes, a adoção de ferramentas como a Surfshark se torna essencial para garantir uma navegação segura e protegida.

Palo Alto Networks alerta sobre falha crítica no GlobalProtect

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.

Vulnerabilidade CIFSwitch no kernel Linux pode elevar privilégios

Uma nova vulnerabilidade de escalonamento de privilégios local, chamada ‘CIFSwitch’, foi descoberta no kernel Linux. Essa falha permite que atacantes forjem descrições de chaves de autenticação CIFS, abusem do mecanismo de solicitação de chaves do kernel e obtenham privilégios de root. O problema afeta várias distribuições Linux que utilizam combinações vulneráveis do kernel CIFS e cifs-utils, especialmente nas versões 6.14 e superiores. O CIFS (Common Internet File System) é um protocolo de rede que permite o acesso a arquivos e dispositivos em uma rede local. A vulnerabilidade se origina da falha do subsistema CIFS do kernel em verificar a origem das solicitações de chave cifs.spnego, permitindo que um usuário não privilegiado crie uma solicitação forjada e inicie o fluxo normal de autenticação. O pesquisador Asim Viladi Oglu Manizada, que descobriu a falha, publicou um relatório técnico detalhando a exploração da vulnerabilidade. Embora a falha tenha sido introduzida em 2007, sua exploração depende de fatores como a versão do kernel e a configuração do SELinux/AppArmor. A correção foi disponibilizada através de um patch que valida as origens das solicitações de chave. É recomendado que os usuários desativem ou removam o módulo CIFS se não estiver em uso e desativem namespaces de usuários não privilegiados.

Vulnerabilidade em PAN-OS e Prisma Access sob exploração ativa

A Palo Alto Networks alertou sobre uma vulnerabilidade de média severidade, identificada como CVE-2026-0257, que afeta o software PAN-OS e o Prisma Access. Essa falha, com uma pontuação CVSS de 7.8, permite que atacantes contornem a autenticação e estabeleçam conexões VPN não autorizadas. O problema ocorre especificamente em firewalls que têm o portal ou gateway GlobalProtect configurados, especialmente quando os cookies de substituição de autenticação estão habilitados. Desde a divulgação da vulnerabilidade, foram observadas tentativas de exploração ativa, com a Rapid7 relatando que ataques bem-sucedidos foram detectados em diversos clientes, começando em 17 de maio de 2026. A Palo Alto Networks recomenda que as organizações afetadas atualizem seus dispositivos com um patch fornecido pelo fornecedor com urgência. Como medidas temporárias, sugere-se desativar a funcionalidade de substituição de autenticação ou gerar um novo certificado para essa função. A exploração dessa vulnerabilidade pode ter um impacto significativo nas organizações afetadas, especialmente em relação à segurança da rede interna.