Cibersegurança

Um estudo recente da OX Security analisou 216 milhões de descobertas de segurança em 250 organizações ao longo de 90 dias, revelando um aumento significativo nas vulnerabilidades críticas. O volume de alertas cresceu 52% em relação ao ano anterior, enquanto os riscos críticos aumentaram quase 400%. Essa disparidade é atribuída ao uso crescente de ferramentas de desenvolvimento assistidas por inteligência artificial (IA), que geram um ‘gap de velocidade’, onde a complexidade das falhas de segurança aumenta mais rapidamente do que os fluxos de trabalho de remediação conseguem acompanhar.

A OpenAI anunciou a rotação de seus certificados de assinatura de código para macOS após um ataque à cadeia de suprimentos que comprometeu um pacote Axios. No dia 31 de março de 2026, um fluxo de trabalho legítimo da empresa baixou e executou uma versão comprometida do pacote Axios (1.14.1), que foi utilizada para implantar malware em dispositivos. Embora a investigação não tenha encontrado evidências de que o certificado de assinatura foi comprometido, a OpenAI decidiu tratá-lo como potencialmente vulnerável e revogá-lo por precaução. Os usuários de macOS devem atualizar seus aplicativos OpenAI para versões assinadas com o novo certificado, pois as versões antigas podem parar de funcionar a partir de 8 de maio de 2026. O ataque foi atribuído a atores de ameaças da Coreia do Norte, que usaram engenharia social para comprometer a conta de um mantenedor do projeto e publicar versões maliciosas do pacote. A OpenAI está colaborando com a Apple para garantir que nenhum software futuro possa ser notariado com o certificado antigo.

A Basic-Fit, uma das maiores redes de academias da Europa, sofreu uma violação de segurança que comprometeu informações pessoais de aproximadamente um milhão de seus clientes. A empresa, que opera mais de 1.700 clubes em 12 países, incluindo Países Baixos, Bélgica, França, Espanha e Alemanha, confirmou que os dados acessados incluem endereços físicos, e-mails, números de telefone, datas de nascimento e detalhes bancários. A empresa notificou a autoridade de proteção de dados e afirmou que o acesso não autorizado foi detectado rapidamente, sendo contido em minutos. No entanto, uma investigação revelou que os dados foram extraídos antes da contenção. A Basic-Fit assegurou que os dados dos clientes das franquias não foram expostos, pois estão armazenados em sistemas separados. A empresa também destacou que não houve acesso a documentos de identificação ou senhas de contas. Embora a investigação não tenha encontrado evidências de que os dados tenham sido vazados online, a Basic-Fit continuará monitorando a situação com a ajuda de especialistas externos. Este incidente levanta preocupações sobre a segurança de dados e a conformidade com a legislação de proteção de dados na União Europeia.

O malware JanelaRAT, uma variante modificada do BX RAT, tem se tornado uma ameaça crescente para bancos e instituições financeiras na América Latina, especialmente no Brasil e no México. Este trojan é projetado para roubar dados financeiros e de criptomoedas, monitorar entradas do mouse, registrar teclas digitadas, capturar telas e coletar metadados do sistema. A Kaspersky reportou que, em 2025, foram registrados 14.739 ataques no Brasil e 11.695 no México, embora o número de compromissos bem-sucedidos ainda seja desconhecido. O JanelaRAT utiliza um mecanismo de detecção de barra de título personalizado para identificar sites de interesse nos navegadores das vítimas e executar ações maliciosas. A distribuição do malware ocorre principalmente através de arquivos MSI falsificados que se disfarçam como software legítimo. Após a execução, o malware estabelece comunicação com um servidor de comando e controle (C2) e monitora as atividades da vítima, visando interações bancárias sensíveis. O JanelaRAT é capaz de realizar uma série de ações, como capturar telas, simular cliques e até mesmo manipular o Gerenciador de Tarefas do Windows para evitar detecção. Dada a sofisticação e a evolução contínua das campanhas de JanelaRAT, a ameaça representa um risco significativo para a segurança cibernética das instituições financeiras na região.

Em um cenário de eleições em 2026 no Brasil, golpistas estão utilizando mensagens fraudulentas para enganar cidadãos, simulando cobranças para regularização eleitoral. O Tribunal Superior Eleitoral (TSE) alertou sobre campanhas de phishing que se aproveitam da urgência do processo eleitoral. As mensagens, que chegam principalmente pelo WhatsApp, informam sobre supostas irregularidades no título de eleitor, exigindo um pagamento para regularização. Os criminosos se passam pelo TSE, utilizando uma linguagem alarmante e links fraudulentos que levam a armadilhas financeiras. O TSE reforça que não realiza cobranças por mensagens e que a regularização é um serviço gratuito, acessível apenas por canais oficiais. Para se proteger, os cidadãos devem evitar clicar em links desconhecidos e nunca fornecer dados pessoais ou financeiros. A consulta sobre a situação eleitoral deve ser feita exclusivamente através do site ou do aplicativo e-Título, garantindo assim a segurança das informações pessoais.

A OpenAI anunciou a descoberta de uma vulnerabilidade em seu fluxo de trabalho do GitHub Actions, que comprometeu diversos aplicativos para macOS, incluindo o ChatGPT Desktop e Codex. A falha permitiu que hackers explorassem um pacote malicioso chamado Axios, que corrompia os aplicativos da empresa. Apesar do incidente, a OpenAI garantiu que não houve exposição de dados de usuários nem danos aos seus sistemas internos. Como medida de precaução, a empresa está revogando e substituindo o certificado de segurança dos aplicativos afetados, que agora serão bloqueados pelas proteções do macOS. O incidente ocorreu em um contexto de crescente preocupação com ataques de supply chain, especialmente após um ataque atribuído a um grupo hacker norte-coreano. A OpenAI está implementando medidas adicionais para proteger seus processos de certificação de aplicativos, destacando a importância de segurança em fluxos de trabalho de desenvolvimento de software.

O infostealer Storm, que surgiu em redes de cibercrime em 2026, marca uma nova fase na evolução do roubo de credenciais. Por menos de mil dólares mensais, operadores podem acessar um software que coleta credenciais de navegadores, cookies de sessão e dados de carteiras de criptomoedas, enviando tudo para servidores controlados pelos atacantes. A mudança na abordagem se deve à introdução da App-Bound Encryption no Chrome, dificultando a decriptação local e levando os desenvolvedores a optar pela decriptação em servidores. O Storm é capaz de lidar com navegadores baseados em Chromium e Gecko, coletando dados essenciais para restaurar sessões comprometidas e acessar plataformas SaaS sem alertar sobre a violação. A coleta de dados inclui senhas salvas, cookies de sessão e informações de contas, permitindo que um único navegador comprometido forneça acesso a múltiplos serviços. O artigo destaca a automação do processo de restauração de sessões, que torna o ataque ainda mais eficiente. Com um modelo de assinatura acessível, o Storm representa uma ameaça significativa, especialmente para empresas que utilizam serviços amplamente adotados como Google e Microsoft 365.

Recentemente, o modelo Mythos Preview da Anthropic foi restringido após descobrir e explorar vulnerabilidades zero-day em todos os principais sistemas operacionais e navegadores. Especialistas, como Wendi Whitmore da Palo Alto Networks, alertam que capacidades semelhantes podem se proliferar em breve. O relatório global de ameaças da CrowdStrike de 2026 revela que o tempo médio de exploração de crimes cibernéticos é de apenas 29 minutos, enquanto a Mandiant aponta que o tempo de transferência entre adversários caiu para 22 segundos.

O cenário de cibersegurança apresenta uma série de ameaças críticas, incluindo uma vulnerabilidade zero-day no Adobe Acrobat Reader, identificada como CVE-2026-34621, que permite a execução de código malicioso ao abrir PDFs manipulados. Essa falha, com um CVSS de 8.6, está sendo ativamente explorada desde dezembro de 2025, levando a Adobe a lançar atualizações de emergência. Além disso, um grupo de hackers ligado ao Irã tem atacado sistemas de controle industrial nos EUA, causando interrupções operacionais significativas. Outro ponto alarmante é o uso de modelos de IA, como o Mythos da Anthropic, que podem gerar exploits de forma autônoma, aumentando a capacidade de ataque de grupos maliciosos. A operação de desmantelamento do botnet APT28, que explorava vulnerabilidades em roteadores, também destaca a complexidade das ameaças atuais. Por fim, um ataque sofisticado de um grupo norte-coreano resultou no roubo de $285 milhões em ativos digitais, evidenciando a crescente habilidade de atores estatais em realizar operações de espionagem e roubo. Esses eventos ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Recentemente, a OpenAI revelou que um fluxo de trabalho do GitHub Actions utilizado para assinar seus aplicativos macOS resultou no download da biblioteca maliciosa Axios, embora não tenha havido comprometimento de dados de usuários ou sistemas internos. O incidente ocorreu em 31 de março e foi atribuído a um grupo de hackers norte-coreano conhecido como UNC1069, que comprometeu a conta de um mantenedor do pacote npm para inserir versões contaminadas da biblioteca. Essas versões continham uma dependência maliciosa chamada ‘plain-crypto-js’, que implantava um backdoor cross-platform chamado WAVESHAPER.V2, afetando sistemas Windows, macOS e Linux.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, foi identificado em uma nova campanha de engenharia social que utiliza o Facebook como plataforma de ataque. Os cibercriminosos criaram contas falsas para se conectar com alvos, estabelecendo uma relação de confiança antes de mover a conversa para o Messenger. A estratégia inclui o uso de um software malicioso disfarçado de visualizador de PDF, alegando ser necessário para acessar documentos militares criptografados. O software comprometido é uma versão adulterada do Wondershare PDFelement, que, ao ser executado, ativa um código malicioso que permite o controle remoto do dispositivo da vítima. Além disso, a campanha utiliza uma infraestrutura legítima, mas comprometida, para comandos e controle, aproveitando um site de serviços imobiliários japonês. O malware, chamado RokRAT, é disfarçado como uma imagem JPG e permite que os atacantes capturem informações do sistema e realizem comandos remotamente, enquanto evita a detecção por programas de segurança. Essa abordagem sofisticada e evasiva destaca a evolução das táticas de ataque do APT37, que continua a adaptar suas estratégias de entrega e execução.

As novas regras da FCC (Comissão Federal de Comunicações dos EUA) visam aumentar a segurança das redes ao exigir que todos os novos roteadores não fabricados nos EUA obtenham uma autorização antes de serem vendidos. Essa medida surge em resposta a vulnerabilidades de segurança em roteadores estrangeiros, que têm sido alvo de ciberataques recentes. No entanto, 71% dos lares americanos utilizam roteadores fornecidos por provedores de internet (ISPs), que geralmente não atualizam o hardware a menos que seja estritamente necessário. Isso significa que muitos consumidores não têm a opção de adquirir roteadores mais seguros, pois dependem do equipamento fornecido pelos ISPs. A falta de uma cadeia de suprimentos para roteadores fabricados nos EUA complica ainda mais a situação, pois os ISPs não têm incentivos para substituir equipamentos antigos e vulneráveis. Além disso, a nova regra pode atrasar a adoção de tecnologias mais recentes, como Wi-Fi 6E e Wi-Fi 7, uma vez que os provedores enfrentam dificuldades para cumprir as novas exigências. Assim, a intenção da FCC de melhorar a segurança pode, paradoxalmente, resultar em um aumento do uso de roteadores obsoletos e inseguros.

Com o avanço das ferramentas de inteligência artificial, a identificação de deepfakes se tornou uma tarefa desafiadora. O artigo do Canaltech apresenta oito sinais que podem ajudar os usuários a reconhecer conteúdos manipulados. O primeiro passo é analisar o contexto da imagem ou vídeo, verificando a origem e a credibilidade da fonte. Em seguida, é importante observar movimentos humanos estranhos, sincronia facial e inconsistências na iluminação e textura da pele. O áudio também deve ser analisado, pois deepfakes frequentemente apresentam vozes artificiais e mecânicas. Além disso, recomenda-se realizar buscas reversas para confirmar a autenticidade do conteúdo. O artigo alerta que apelos emocionais, como urgência ou medo, são frequentemente utilizados em fraudes com deepfakes. Por fim, o uso de ferramentas de detecção pode ser útil, mas deve ser combinado com a análise humana. A conscientização sobre esses sinais é essencial para evitar enganos em um ambiente digital cada vez mais complexo.

Uma vulnerabilidade crítica foi descoberta na plataforma de notebooks reativos Marimo, permitindo a execução remota de código sem autenticação. A falha, identificada como CVE-2026-39987, afeta as versões 0.20.4 e anteriores e recebeu uma pontuação crítica de 9.3 de 10 pela GitHub. A exploração começou apenas 10 horas após a divulgação pública da falha, com atacantes utilizando informações do aviso do desenvolvedor para realizar operações de exfiltração de dados sensíveis. A vulnerabilidade se origina do endpoint WebSocket ‘/terminal/ws’, que expõe um terminal interativo sem as devidas verificações de autenticação, permitindo que qualquer cliente não autenticado se conecte e execute comandos. O Marimo é amplamente utilizado por cientistas de dados e desenvolvedores, com 20.000 estrelas no GitHub. Os desenvolvedores lançaram a versão 0.23.0 para corrigir a falha, recomendando que os usuários atualizem imediatamente e monitorem as conexões WebSocket. Caso a atualização não seja viável, a recomendação é bloquear o acesso ao endpoint vulnerável.

Um grupo de hackers desconhecidos comprometeu o site da CPUID, conhecido por hospedar ferramentas de monitoramento de hardware como CPU-Z e HWMonitor, por menos de 24 horas. O ataque ocorreu entre 9 e 10 de abril de 2026, quando os links para download dos instaladores foram substituídos por URLs maliciosas. A CPUID confirmou a violação, que foi atribuída a uma falha em uma API secundária, permitindo que o site exibisse links maliciosos. O malware distribuído incluía um trojan de acesso remoto chamado STX RAT, que possui capacidades de roubo de informações e controle remoto. Os atacantes utilizaram uma técnica de side-loading de DLL, onde um executável legítimo foi combinado com uma DLL maliciosa chamada ‘CRYPTBASE.dll’. A Kaspersky identificou mais de 150 vítimas, principalmente indivíduos, mas também organizações em setores como varejo e telecomunicações, com a maioria das infecções ocorrendo no Brasil, Rússia e China. O uso de uma cadeia de infecção já conhecida pelos atacantes foi considerado um erro grave, facilitando a detecção do comprometimento.

O Pix, sistema de pagamento instantâneo implementado pelo Banco Central em 2020, trouxe agilidade nas transações financeiras, mas também aumentou a vulnerabilidade a fraudes digitais. O vazamento de chaves Pix pode ocorrer devido a violações de segurança em sistemas de empresas, expondo dados como nome, CPF, instituição bancária e informações da conta. Embora a exposição não signifique que a conta foi invadida, aumenta o risco de fraudes, como golpes de engenharia social e solicitações de devolução de valores indevidos. Para se proteger, é crucial agir rapidamente: acompanhar comunicações oficiais do banco, ignorar contatos não oficiais, revisar senhas e monitorar movimentações da conta. Além disso, recomenda-se o uso de chaves aleatórias, revisão de limites de transação e ativação de notificações para detectar atividades suspeitas. O artigo destaca a importância de estar atento a sinais de golpes, como urgência exagerada e pedidos de confirmação de dados, para evitar prejuízos financeiros.

Uma ação internacional de combate à fraude, liderada pela Agência Nacional do Crime do Reino Unido (NCA), revelou mais de 20.000 vítimas de fraudes com criptomoedas no Canadá, Reino Unido e Estados Unidos. A operação, chamada ‘Operação Atlantic’, ocorreu no mês passado e envolveu a NCA, o Serviço Secreto dos EUA, a Polícia Provincial de Ontário e a Comissão de Valores Mobiliários de Ontário, além de parceiros do setor privado. Durante a operação, foram congelados mais de 12 milhões de dólares em lucros criminosos provenientes de ataques de ‘phishing de aprovação’, onde golpistas enganam as vítimas para obter acesso às suas carteiras de criptomoedas. Também foram identificados mais de 45 milhões de dólares em criptomoedas roubadas relacionadas a esquemas de fraude em todo o mundo. A NCA destacou que a colaboração entre o setor público e privado foi fundamental para o sucesso da operação, que ajudou a proteger milhares de vítimas e interromper redes de fraude. Além disso, o FBI, em uma operação paralela chamada ‘Operação Level Up’, identificou mais de 8.000 vítimas de fraudes de investimento em criptomoedas, com perdas estimadas em mais de 511 milhões de dólares. O relatório de crimes na internet de 2025 do FBI revelou um aumento significativo nas queixas relacionadas a fraudes com criptomoedas, totalizando 61.559 reclamações e perdas de 7,228 bilhões de dólares em 2024.

Um novo relatório do Citizen Lab revela que o sistema de vigilância global Webloc, desenvolvido pela empresa israelense Cobwebs Technologies e agora vendido pela Penlink, está sendo utilizado por diversas agências de segurança, incluindo a polícia nacional de El Salvador e departamentos de polícia nos EUA. O Webloc permite o monitoramento de até 500 milhões de dispositivos móveis, coletando dados de localização, identificadores de dispositivos e informações pessoais através de aplicativos móveis e publicidade digital. A ferramenta é vendida como um complemento ao sistema de inteligência de mídia social Tangles e pode rastrear a localização e os movimentos de indivíduos por até três anos. A Penlink, que afirma seguir as leis de privacidade dos EUA, foi acusada de operar sem mandados, levantando preocupações sobre a legalidade e a ética do uso dessa tecnologia. O relatório também destaca a conexão da Cobwebs com o fornecedor de spyware Quadream, aumentando as preocupações sobre a privacidade e a segurança de dados em um contexto global. O uso de sistemas de vigilância desse tipo pode ter implicações significativas para a conformidade com a LGPD no Brasil, especialmente considerando a coleta de dados sem consentimento explícito.

A OpenAI anunciou a introdução de uma nova assinatura Pro para o ChatGPT, com custo de $100, alinhando-se ao modelo de preços da Anthropic. Anteriormente, a OpenAI oferecia três níveis de assinatura: Go a aproximadamente $8, Plus a $20 e uma opção mais cara a $200. A nova assinatura Pro visa atender profissionais que utilizam a inteligência artificial para trabalhos complexos e de alto risco, oferecendo limites de uso significativamente maiores em comparação ao plano Plus. A estrutura atual de preços da OpenAI agora inclui: Plus a $20 para uso leve, Pro a $100 para projetos reais com limites cinco vezes maiores que o Plus, e Pro a $200 para cargas de trabalho intensivas, com limites 20 vezes superiores. Todos os planos Pro oferecem acesso a recursos avançados, como pesquisa aprofundada, criação de imagens e upload de arquivos. Embora a OpenAI afirme que o plano Pro inclui acesso ilimitado ao GPT-5 e modelos legados, isso é condicionado às políticas típicas de ‘Termos de Uso’, que incluem restrições sobre compartilhamento de contas. Essa mudança reflete uma estratégia da OpenAI para atrair codificadores e empresas, semelhante à abordagem da Anthropic.

O Google anunciou que a criptografia de ponta a ponta (E2EE) para o Gmail agora está disponível em todos os dispositivos Android e iOS. Essa nova funcionalidade permite que usuários empresariais leiam e compõem e-mails de forma segura, sem a necessidade de ferramentas adicionais. A partir desta semana, mensagens criptografadas serão entregues como e-mails normais nas caixas de entrada dos destinatários que utilizam o aplicativo Gmail. Para aqueles que não possuem o aplicativo, é possível acessar as mensagens em um navegador, independentemente do dispositivo ou serviço de e-mail utilizado.

O grupo de cibercriminosos conhecido como Storm-2755 está realizando ataques direcionados a funcionários canadenses, roubando seus pagamentos salariais após sequestrar suas contas. Os atacantes utilizam páginas de login maliciosas do Microsoft 365 para roubar tokens de autenticação e cookies de sessão, redirecionando as vítimas para domínios que hospedam formulários falsos. Essa técnica permite que eles contornem a autenticação multifatorial (MFA) ao reproduzir tokens de sessão roubados, evitando a necessidade de reautenticação. Após acessar as contas, os criminosos criam regras de caixa de entrada para ocultar mensagens de recursos humanos relacionadas a depósitos diretos, dificultando a percepção das vítimas. Em seguida, enviam e-mails fraudulentos para a equipe de RH, solicitando a atualização das informações bancárias. Caso as táticas de engenharia social falhem, os atacantes acessam diretamente plataformas de software de RH, como o Workday, para alterar manualmente os dados de depósito. Para mitigar esses ataques, a Microsoft recomenda bloquear protocolos de autenticação legados e implementar MFA resistente a phishing. O FBI registrou mais de 24.000 queixas de fraudes relacionadas a compromissos de e-mail empresarial (BEC) no ano passado, resultando em perdas superiores a US$ 3 bilhões, evidenciando a gravidade dessa ameaça.

Recentemente, hackers conseguiram acessar a API do projeto CPUID, alterando os links de download no site oficial para direcionar usuários a executáveis maliciosos das populares ferramentas CPU-Z e HWMonitor. Essas utilidades, utilizadas por milhões para monitorar a saúde do hardware do computador, foram afetadas por um ataque que redirecionava downloads para uma versão trojanizada do HWiNFO, um software de diagnóstico de outro desenvolvedor. O arquivo malicioso, chamado HWiNFO_Monitor_Setup, apresenta um instalador russo, o que levanta suspeitas. Embora os arquivos originais ainda estivessem disponíveis através de URLs diretas, os links de distribuição estavam comprometidos. Pesquisadores confirmaram que o malware é sofisticado, utilizando técnicas avançadas para evitar detecções de antivírus e sistemas de resposta a incidentes. O CPUID informou que a violação ocorreu por cerca de seis horas entre 9 e 10 de abril, durante a ausência do desenvolvedor principal. Após a descoberta, a empresa corrigiu o problema e agora fornece versões limpas das ferramentas. Este incidente destaca a vulnerabilidade de softwares amplamente utilizados e a necessidade de vigilância constante na segurança cibernética.

Um novo estudo da Qualys revela que o modelo operacional de segurança cibernética está falhando em proteger as organizações. A análise de vulnerabilidades exploradas pela CISA nos últimos quatro anos mostra que 63% das vulnerabilidades críticas permanecem abertas após sete dias, um aumento em relação a 56%. Apesar de um esforço significativo das equipes de segurança, que fecharam 400 milhões de eventos de vulnerabilidade a mais anualmente, a velocidade de exploração das falhas está superando a de remediação. O estudo destaca que 88% das vulnerabilidades armadas foram corrigidas mais lentamente do que foram exploradas, com exemplos como o Spring4Shell, que foi explorado dois dias antes de sua divulgação, enquanto a média de remediação levou 266 dias. A pesquisa sugere que a verdadeira métrica de risco deve ser a exposição cumulativa, não apenas a contagem de CVEs. Para enfrentar essa nova realidade, as organizações precisam adotar operações de risco autônomas e fechadas, que integrem inteligência artificial para acelerar a resposta a ameaças. O artigo conclui que o tempo para exploração não voltará a números positivos e que o volume de vulnerabilidades continuará a crescer, exigindo uma reavaliação urgente das estratégias de defesa.

Hackers vinculados ao Irã têm como alvo redes de infraestrutura crítica dos EUA, focando em controladores lógicos programáveis (PLCs) da Rockwell Automation. Um aviso conjunto de agências federais dos EUA revelou que esses ataques, que começaram em março de 2026, resultaram em interrupções operacionais e perdas financeiras significativas. A atividade maliciosa inclui a extração de arquivos de projeto e manipulação de dados em displays HMI e SCADA. A empresa de cibersegurança Censys identificou que 74,6% dos mais de 5.200 sistemas de controle industrial expostos online são de origem americana, com 3.891 dispositivos vulneráveis. Para mitigar esses riscos, recomenda-se que os defensores de rede utilizem firewalls, desconectem os PLCs da Internet e implementem autenticação multifatorial. Essa campanha de ataques segue um padrão de ações semelhantes de grupos de hackers iranianos, que anteriormente comprometeram sistemas de tecnologia operacional nos EUA. A crescente escalada das campanhas de ataque está ligada a tensões geopolíticas entre o Irã, os EUA e Israel.

Uma vulnerabilidade de segurança crítica foi identificada no Marimo, um notebook Python de código aberto voltado para ciência de dados, e foi explorada em menos de 10 horas após sua divulgação pública. A falha, classificada como CVE-2026-39987 com um escore CVSS de 9.3, permite a execução remota de código sem autenticação em todas as versões do Marimo até a 0.20.4. A vulnerabilidade reside no endpoint WebSocket /terminal/ws, que não valida a autenticação, permitindo que atacantes obtenham um shell interativo completo e executem comandos do sistema. A Sysdig observou a primeira tentativa de exploração apenas 9 horas e 41 minutos após a divulgação, onde um ator desconhecido acessou um sistema honeypot e começou a explorar o sistema, buscando dados sensíveis como chaves SSH e o arquivo .env. A rapidez com que as falhas recém-divulgadas estão sendo exploradas indica que os atacantes monitoram atentamente as divulgações de vulnerabilidades, o que reduz o tempo disponível para que os defensores respondam. Isso ressalta que qualquer aplicação exposta à internet com uma vulnerabilidade crítica é um alvo, independentemente de sua popularidade.

Um novo relatório da LayerX destaca a crescente ameaça representada por extensões de navegador de inteligência artificial (IA) nas redes corporativas. Embora a segurança em IA tenha se concentrado em aplicações SaaS e APIs, as extensões de navegador, que não são monitoradas por controles tradicionais, representam um risco significativo. O estudo revela que 99% dos usuários corporativos utilizam pelo menos uma extensão, e mais de 25% têm mais de dez instaladas. As extensões de IA são 60% mais propensas a ter vulnerabilidades e têm acesso elevado a dados sensíveis, como cookies e scripts remotos. Além disso, muitas dessas extensões mudam suas permissões ao longo do tempo, criando um alvo móvel que as listas de permissões tradicionais não conseguem acompanhar. A falta de visibilidade e governança sobre essas ferramentas torna-as uma superfície de ataque emergente e crítica. O relatório recomenda que as equipes de segurança realizem auditorias contínuas das extensões utilizadas, apliquem controles de segurança direcionados e analisem o comportamento das extensões para mitigar riscos. Com a rápida adoção dessas ferramentas, é essencial que as organizações implementem políticas rigorosas para proteger seus dados e usuários.

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que utiliza um dropper Zig para infectar ambientes de desenvolvimento integrados (IDEs) em máquinas de desenvolvedores. A técnica foi encontrada em uma extensão do Open VSX chamada ‘specstudio.code-wakatime-activity-tracker’, que se disfarça como uma ferramenta legítima, WakaTime, usada para monitorar o tempo de programação. A extensão, que já não está disponível para download, inclui um binário nativo compilado em Zig que, ao ser executado, busca IDEs compatíveis no sistema, como Microsoft Visual Studio Code e suas variantes.

Um incidente de segurança cibernética recente revelou que atacantes desconhecidos comprometeram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em sites WordPress e Joomla. A versão afetada, 3.5.1.35, foi lançada em 7 de abril de 2026 e, em um intervalo de aproximadamente seis horas, permitiu que uma versão maliciosa fosse instalada em mais de 800 mil sites. O malware incluía um backdoor que possibilitava a criação de contas de administrador ocultas e a execução remota de comandos no servidor. A empresa Nextend, responsável pelo plugin, agiu rapidamente para desativar seus servidores de atualização e remover a versão comprometida. Os usuários afetados foram aconselhados a atualizar para a versão 3.5.1.36 e realizar uma série de etapas de limpeza, incluindo a remoção de contas suspeitas e arquivos persistentes. Este incidente destaca a vulnerabilidade das cadeias de suprimento de software, onde um ataque pode ocorrer através de canais de atualização confiáveis, tornando as defesas tradicionais ineficazes.

O Google anunciou a disponibilidade geral das Credenciais de Sessão Vinculadas a Dispositivos (DBSC) para usuários do Windows no navegador Chrome, após meses de testes em beta aberto. Essa funcionalidade, que visa combater o roubo de sessões, é especialmente relevante em um cenário onde o roubo de cookies de sessão se tornou uma ameaça comum. Os cookies de sessão, que permitem acesso a contas online, podem ser furtados por malwares que coletam informações do sistema, como os da família Infostealer. Com o DBSC, a autenticação é criptograficamente ligada a um dispositivo específico, utilizando módulos de segurança de hardware, como o Trusted Platform Module (TPM) no Windows. Isso significa que, mesmo que um cookie seja roubado, ele se tornará rapidamente inútil para os atacantes, pois a chave privada necessária para a autenticação não pode ser extraída do dispositivo. O Google observou uma redução significativa no roubo de sessões desde a implementação dessa tecnologia. A expansão para macOS está prevista para lançamentos futuros, e a empresa planeja integrar o DBSC em uma gama mais ampla de dispositivos, reforçando a segurança em ambientes corporativos.

Um processo judicial movido por Malikie Innovations e Key Patent Innovations contra a Brother Industries destaca a ressurreição de patentes da BlackBerry, que alegam que impressoras e dispositivos multifuncionais da Brother utilizam tecnologias desenvolvidas originalmente para smartphones BlackBerry. As patentes em questão incluem métodos de codificação de dados, interfaces de toque e links sem fio seguros. O processo alega que a Brother infringiu essas patentes de forma intencional, o que pode resultar em penalidades financeiras significativas e até mesmo em uma liminar permanente que obrigaria a empresa a redesenhar seus produtos. Este caso é um alerta para toda a indústria de impressão, pois pode estabelecer precedentes para outras fabricantes, como HP e Canon, que também podem ser alvo de ações semelhantes. A BlackBerry, que já foi uma potência no mercado de smartphones, agora vê suas patentes se tornarem ativos valiosos nas mãos de entidades de afirmação de patentes, que geram receita por meio de licenciamento e litígios. O desfecho deste caso pode ter implicações significativas para a conformidade e a operação de empresas no setor de impressão, especialmente no Brasil, onde a tecnologia é amplamente utilizada.

Funcionários federais dos EUA conseguiram restaurar o acesso ao modelo de inteligência artificial Claude, da Anthropic, após um juiz federal da Califórnia bloquear a designação do governo Trump que considerava a empresa um risco à cadeia de suprimentos. A juíza Rita Lin emitiu uma liminar preliminar, permitindo que os trabalhadores do governo, incluindo aqueles do Departamento de Saúde e Serviços Humanos, voltassem a usar o serviço, que inclui histórico de conversas e dados anteriores. O conflito começou em 2026, quando a Anthropic se recusou a permitir que seu modelo fosse utilizado para desenvolver armas autônomas letais ou para vigilância em massa. Em resposta, a administração Trump designou a empresa como um risco à cadeia de suprimentos, uma ação considerada por muitos como uma retaliação inconstitucional. A juíza Lin criticou a administração, afirmando que a designação era uma violação da Primeira Emenda. Embora o acesso tenha sido restaurado, a batalha legal continua, com a Anthropic buscando uma suspensão de emergência da designação. O Departamento de Defesa apelou da decisão, mas não solicitou uma suspensão imediata da liminar, permitindo que ela entre em vigor.

O grupo de ransomware Anubis reivindicou um ataque cibernético contra a Signature Healthcare, resultando em sérias interrupções no Brockton Hospital, em Massachusetts. Em um comunicado de 6 de abril de 2026, a Signature Healthcare informou que um incidente de segurança cibernética levou o hospital a adotar procedimentos de emergência, incluindo a desvio de ambulâncias e o cancelamento de consultas de quimioterapia. Anubis alegou ter roubado 2 TB de dados sensíveis de pacientes e deu um prazo de sete dias para que a instituição pagasse um resgate, caso contrário, os dados seriam divulgados. Embora a Signature Healthcare não tenha confirmado a reivindicação do grupo, a situação destaca a crescente ameaça de ataques de ransomware no setor de saúde, onde a proteção de dados é crucial. Até agora, em 2026, Anubis já reivindicou 27 ataques, com seis deles confirmados em organizações de saúde. Os ataques de ransomware podem comprometer a segurança e a privacidade dos pacientes, além de causar danos financeiros significativos às instituições afetadas.

A Google anunciou a implementação da proteção Device Bound Session Credentials (DBSC) na versão 146 do Chrome para Windows, com o objetivo de impedir que malwares que roubam informações, como os infostealers, capturem cookies de sessão. Essa nova funcionalidade, que será disponibilizada para usuários de macOS em uma versão futura ainda não anunciada, vincula criptograficamente a sessão do usuário ao hardware específico do dispositivo, utilizando chips de segurança como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. Com isso, as chaves públicas e privadas geradas pelo chip de segurança não podem ser exportadas, tornando os dados de sessão roubados inúteis para os atacantes. A Google destaca que, sem a chave privada correspondente, qualquer cookie de sessão exfiltrado expira rapidamente, reduzindo significativamente o risco de acesso não autorizado. A empresa também observou uma diminuição notável nos eventos de roubo de sessão durante um ano de testes com o protocolo DBSC, desenvolvido em parceria com a Microsoft e outras plataformas da web. Os desenvolvedores web podem implementar essa nova proteção em seus sistemas, garantindo maior segurança sem comprometer a compatibilidade com as interfaces existentes.

A ChipSoft, uma importante fornecedora de sistemas de Registro Eletrônico de Saúde (EHR) na Holanda, foi alvo de um ataque de ransomware que resultou na desativação de seu site e serviços digitais para pacientes e prestadores de saúde. O incidente foi confirmado por um memorando interno que alertou instituições de saúde sobre ‘possível acesso não autorizado’. A empresa recomendou que os operadores de centros de saúde desconectassem seus sistemas até que a situação fosse normalizada. O Z-CERT, equipe de resposta a emergências de cibersegurança na saúde, está colaborando com a ChipSoft e as instituições afetadas para avaliar o impacto e auxiliar na recuperação. Embora alguns sistemas voltados para pacientes estejam operando normalmente, relatos indicam que vários hospitais, como o Sint Jans Gasthuis e o Flevo Hospital, enfrentam interrupções. Ataques cibernéticos a provedores de TI na saúde podem ser extremamente prejudiciais, dado que essas empresas gerenciam grandes volumes de dados sensíveis. O incidente destaca a vulnerabilidade do setor de saúde a ataques cibernéticos, que podem ter consequências graves para a privacidade e a continuidade dos serviços.

Um novo grupo de cibercriminosos está utilizando uma plataforma de phishing como serviço (PhaaS) chamada VENOM, que visa coletar credenciais de executivos de alto escalão, como CEOs e CFOs, em diversas indústrias. A operação, que está ativa desde novembro do ano passado, se destaca por sua abordagem direcionada e personalizada, utilizando e-mails que imitam notificações do Microsoft SharePoint. Esses e-mails são elaborados com detalhes que aumentam a credibilidade, incluindo códigos QR que redirecionam as vítimas para páginas de captura de credenciais.

Um novo malware baseado em Lua, chamado LucidRook, está sendo utilizado em campanhas de spear-phishing que visam organizações não governamentais e universidades em Taiwan. Pesquisadores da Cisco Talos atribuíram o malware a um grupo de ameaças conhecido internamente como UAT-10362, caracterizado como um adversário capaz com táticas operacionais maduras. O LucidRook foi observado em ataques em outubro de 2025, onde e-mails de phishing continham arquivos compactados protegidos por senha. Os pesquisadores identificaram duas cadeias de infecção: uma usando um arquivo de atalho LNK que entregou um dropper de malware chamado LucidPawn, e outra baseada em um executável falso de antivírus que se passava por um serviço da Trend Micro. O LucidPawn, por sua vez, descriptografa e implanta um executável legítimo renomeado para imitar o Microsoft Edge, juntamente com uma DLL maliciosa para carregar o LucidRook. O malware é notável por seu design modular e ambiente de execução Lua, permitindo que os operadores atualizem funcionalidades sem modificar o núcleo do malware, além de dificultar a visibilidade forense. Durante a execução, o LucidRook realiza reconhecimento do sistema, coletando informações como nomes de usuários e aplicativos instalados, que são criptografadas e exfiltradas para a infraestrutura controlada pelos atacantes. A Cisco Talos conclui que os ataques do LucidRook fazem parte de uma campanha de intrusão direcionada, embora não tenham conseguido capturar o bytecode Lua descriptografável, o que limita o conhecimento sobre as ações pós-infecção.

Um estudo recente revelou que grupos e canais no Telegram estão sendo utilizados por homens para vender ferramentas de hacking e espionagem com o objetivo de assediar mulheres. Pesquisadores do grupo AI Forensics analisaram 2,8 milhões de mensagens em 16 grupos italianos e espanhóis, identificando a troca de aproximadamente 82 mil conteúdos ilegais, incluindo imagens e vídeos de mulheres, muitas vezes sem o seu consentimento. As publicações variam desde ataques a celebridades até assédios a mulheres comuns, como amigas e esposas. Além disso, a pesquisa destacou a prática de doxing, onde informações pessoais são coletadas e utilizadas para intimidar as vítimas. O Telegram, por sua vez, afirmou que remove milhões de conteúdos nocivos diariamente, embora a eficácia dessas ações esteja sob questionamento, especialmente em meio a investigações sobre seu fundador na França. A situação levanta preocupações sobre a segurança digital e a proteção da privacidade das mulheres, além de implicações legais significativas, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil.

Nos primeiros três meses de 2026, os ataques de ransomware se mantiveram elevados, com 2.200 incidentes registrados, um aumento de 1,66% em relação ao último trimestre de 2025. Os setores de educação e saúde apresentaram quedas significativas, com reduções de 23% e 14%, respectivamente. No entanto, empresas do setor de saúde que não prestam cuidados diretos, como fabricantes de dispositivos médicos, viram um aumento de 35% nos ataques. Os setores de transporte, finanças, varejo, tecnologia e construção também registraram aumentos nos ataques, com o setor de manufatura permanecendo como um dos mais visados, representando 22% de todos os ataques. O valor médio do resgate subiu para $480.000, com o maior resgate exigido sendo de $3,1 milhões. Os EUA foram o país mais afetado, com 1.041 ataques, seguidos por Canadá e Reino Unido. As gangues de ransomware mais ativas foram Qilin e The Gentlemen, com 353 e 202 ataques, respectivamente. O artigo destaca a necessidade de vigilância contínua e ações proativas para mitigar esses riscos.

O webinar “Do ruído ao sinal: O que os atores de ameaças estão mirando a seguir”, promovido pela BleepingComputer, abordará como equipes de segurança podem monitorar sinais de alerta precoce em comunidades underground e traduzi-los em defesas acionáveis. A apresentação, que contará com a participação de Tammy Harper, pesquisadora de inteligência de ameaças da RansomLook, examinará o uso de fóruns da dark web, canais do Telegram e marketplaces de corretores de acesso por parte de atores de ameaças para coordenar ataques e compartilhar vulnerabilidades. Esses sinais, embora frequentemente fragmentados e difíceis de interpretar, podem revelar intenções semanas antes de um ataque. A Flare Systems, uma empresa especializada em inteligência de ameaças, ajudará as organizações a detectar esses sinais iniciais, permitindo que as equipes de segurança adotem uma abordagem proativa em vez de reativa. Os participantes aprenderão a identificar sinais significativos na comunicação online, acompanhar as táticas dos adversários e transformar a inteligência em ações defensivas priorizadas. O evento é uma oportunidade valiosa para profissionais de segurança que desejam aprimorar suas estratégias de defesa.

Em fevereiro de 2026, a empresa de serviços financeiros Figure sofreu uma violação de dados que expôs cerca de 967.200 registros de e-mail. O incidente não envolveu exploração de vulnerabilidades, mas sim a exposição direta de dados, permitindo que adversários realizassem ataques como credential stuffing e phishing direcionado. Os atacantes podem usar os e-mails expostos para testar combinações de senhas em portais corporativos, resultando em uma taxa de sucesso de 2 a 3%, o que poderia significar até 29.000 credenciais válidas. Além disso, ferramentas de inteligência artificial permitem a criação rápida de campanhas de phishing personalizadas, aumentando a eficácia dos ataques. A análise destaca que a autenticação multifator (MFA) tradicional não é suficiente para interromper esses fluxos de ataque, pois os adversários podem usar técnicas como relay de phishing, onde as credenciais são capturadas em tempo real. O artigo enfatiza a necessidade de uma arquitetura de autenticação mais robusta, que inclua verificação biométrica e chaves privadas de hardware, para garantir que o usuário autorizado esteja presente no momento da autenticação. Com a crescente preocupação sobre a segurança de dados e a conformidade com a LGPD, as organizações precisam reavaliar suas estratégias de autenticação para proteger informações sensíveis.

Recentemente, hackers invadiram o sistema de atualização do plugin Smart Slider 3 Pro, utilizado em mais de 900 mil sites WordPress e Joomla, e distribuíram uma versão maliciosa que contém múltiplas portas dos fundos. O desenvolvedor do plugin confirmou que apenas a versão 3.5.1.35 está comprometida e recomenda que os usuários atualizem imediatamente para a versão 3.5.1.36 ou revertam para a versão 3.5.1.34 ou anterior. A atualização maliciosa não apenas instalou backdoors em várias localizações, mas também criou um usuário oculto com permissões de administrador e roubou dados sensíveis. A análise da empresa PatchStack revelou que o malware é um kit de ferramentas multi-camadas que permite a execução de comandos remotamente, sem autenticação, e inclui uma segunda porta dos fundos autenticada. Além disso, o malware cria um diretório ‘mu-plugins’ que carrega um plugin disfarçado, tornando-se invisível no painel do WordPress. O alerta se estende também para instalações Joomla, onde o código malicioso pode criar contas de administrador ocultas e roubar informações do site. Administradores são aconselhados a remover o plugin comprometido e seguir um guia de limpeza manual fornecido pelo desenvolvedor.

Uma campanha de hack-for-hire, supostamente ligada ao governo indiano, visou jornalistas, ativistas e oficiais do governo no Oriente Médio e Norte da África (MENA). Entre os alvos estavam os jornalistas egípcios Mostafa Al-A’sar e Ahmed Eltantawy, que sofreram ataques de spear-phishing em 2023 e 2024, tentando comprometer suas contas da Apple e Google. Os ataques incluíram mensagens fraudulentas que redirecionavam os alvos a páginas falsas para coletar credenciais e códigos de autenticação de dois fatores (2FA). Um jornalista libanês também foi alvo de uma campanha de phishing em 2025, que resultou na violação total de sua conta Apple. Embora os ataques não tenham conseguido comprometer as contas dos jornalistas egípcios, a evidência sugere que os atores de ameaça podem usar essas táticas para entregar malwares e exfiltrar dados sensíveis. A análise da Lookout atribui essas atividades a um grupo de espionagem conhecido como Bitter, que tem estado ativo desde 2022, levantando preocupações sobre a vigilância regional e a segurança de dados pessoais. A campanha destaca a crescente utilização de malware móvel como uma ferramenta de espionagem contra a sociedade civil.

Desde dezembro de 2025, atacantes têm explorado uma vulnerabilidade zero-day desconhecida no Adobe Reader, utilizando documentos PDF maliciosos. A descoberta, feita por Haifei Li da EXPMON, revela um exploit sofisticado que se apresenta como um arquivo chamado ‘Invoice540.pdf’, que foi inicialmente detectado na plataforma VirusTotal em novembro de 2025. Os documentos PDF contêm elementos de engenharia social, atraindo usuários a abri-los. Ao serem executados, eles acionam um JavaScript ofuscado que coleta dados sensíveis e pode receber cargas adicionais. Os pesquisadores observaram que os arquivos estão em russo e fazem referência a eventos atuais da indústria de petróleo e gás na Rússia. A vulnerabilidade permite a execução de APIs privilegiadas do Acrobat e já foi confirmada na versão mais recente do Adobe Reader. O exploit pode exfiltrar informações para um servidor remoto e executar código adicional, aumentando o risco de coleta de dados e execução remota de código. A situação exige atenção da comunidade de segurança, pois a exploração dessa vulnerabilidade pode levar a consequências graves.

O uso de ferramentas de inteligência artificial (IA) sem a aprovação formal das equipes de TI e segurança está se tornando uma prática comum nas organizações, resultando em um fenômeno conhecido como shadow AI. Embora essas ferramentas possam aumentar a produtividade, elas operam fora da visibilidade das equipes de segurança, criando novos riscos, como exposição não controlada de dados e superfícies de ataque ampliadas. Um estudo da Salesforce de 2024 revelou que 55% dos funcionários utilizam ferramentas de IA não aprovadas, o que pode levar ao compartilhamento inadvertido de dados sensíveis. Além disso, a integração de APIs de IA sem revisão de segurança pode expor dados internos e criar vetores de ataque que as equipes de segurança não conseguem monitorar. Para mitigar esses riscos, as organizações devem estabelecer políticas claras de uso de IA, oferecer alternativas aprovadas, melhorar a visibilidade do uso de IA e educar os funcionários sobre os riscos de segurança associados. A gestão eficaz do shadow AI pode proporcionar maior controle sobre o uso de IA, reduzir a exposição regulatória e facilitar a adoção segura de ferramentas de IA.

O cenário de cibersegurança continua a evoluir com novas ameaças e vulnerabilidades que merecem atenção. Um dos principais destaques é a variante do botnet Phorpiex, que utiliza um modelo híbrido de comunicação para garantir continuidade operacional, mesmo diante de desativação de servidores. Este malware tem como objetivos principais redirecionar transações de criptomoedas e disseminar spam de extorsão sexual, além de facilitar a implementação de ransomware.

Outra vulnerabilidade crítica identificada é a do Apache ActiveMQ Classic, que permitiu a execução remota de código (RCE) por 13 anos. Essa falha pode ser combinada com uma vulnerabilidade anterior para contornar autenticações, tornando-se uma ameaça significativa, especialmente em ambientes que utilizam credenciais padrão.

Um novo grupo de ameaças cibernéticas, denominado UAT-10362, foi identificado em campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) e universidades em Taiwan. O grupo utiliza um malware sofisticado chamado LucidRook, que incorpora um interpretador Lua e bibliotecas compiladas em Rust dentro de uma biblioteca de link dinâmico (DLL). A Cisco Talos, responsável pela descoberta, relatou que o ataque foi iniciado em outubro de 2025, utilizando arquivos compactados RAR ou 7-Zip para entregar um dropper chamado LucidPawn. Este dropper, por sua vez, executa um arquivo de disfarce e inicia o LucidRook. Existem duas cadeias de infecção distintas: uma baseada em arquivos de atalho do Windows (LNK) e outra envolvendo um executável que se apresenta como um programa antivírus da Trend Micro. O LucidRook é projetado para coletar informações do sistema e exfiltrá-las para um servidor externo, além de receber e executar cargas úteis em bytecode Lua. O uso de técnicas de geofencing permite que o malware opere apenas em ambientes de língua chinesa tradicional, limitando sua execução a Taiwan. A complexidade e a modularidade do malware indicam que UAT-10362 é um ator de ameaças altamente capacitado, com um foco em operações furtivas e específicas para suas vítimas.

A Bitcoin Depot, que opera uma das maiores redes de caixas eletrônicos de Bitcoin, sofreu um ataque cibernético que resultou no roubo de aproximadamente 50,903 Bitcoins, avaliados em cerca de US$ 3,665 milhões. O incidente foi descoberto em 23 de março de 2026, quando a empresa detectou atividades suspeitas em seus sistemas de TI. Apesar de ter ativado rapidamente seus protocolos de resposta a incidentes e notificado as autoridades, os atacantes conseguiram roubar credenciais de contas de liquidação de ativos digitais antes que o acesso fosse bloqueado. A empresa afirmou que o incidente foi contido ao seu ambiente corporativo e não afetou as plataformas ou dados dos clientes. Embora a Bitcoin Depot tenha cobertura de seguro para ataques cibernéticos, a empresa alertou que isso pode não cobrir todas as perdas resultantes do ataque. Este não é o primeiro incidente de segurança da empresa; em 2024, quase 26,000 pessoas foram notificadas sobre um vazamento de dados que expôs informações pessoais. O ataque à Bitcoin Depot destaca a crescente vulnerabilidade das empresas no setor de criptomoedas e a necessidade de medidas de segurança robustas.

A Eurail B.V., operadora de viagens europeia, anunciou que um ataque cibernético ocorrido em dezembro de 2025 resultou no roubo de informações pessoais de mais de 300 mil indivíduos. A empresa, que oferece passes digitais para viagens de trem em 33 ferrovias nacionais, revelou que os atacantes acessaram dados sensíveis, incluindo nomes completos, detalhes de passaporte, números de identificação, IBANs de contas bancárias, informações de saúde e dados de contato. O incidente foi divulgado em fevereiro de 2026, quando a Eurail confirmou que os hackers publicaram uma amostra dos dados roubados no Telegram e estavam tentando vendê-los na dark web. A empresa alertou os clientes sobre possíveis ataques de phishing e recomendou a atualização de senhas e o monitoramento de atividades bancárias. Embora a Eurail tenha afirmado que não armazenava informações financeiras ou cópias de passaporte nos sistemas comprometidos, a Comissão Europeia emitiu um alerta sobre a possível exposição de dados de saúde de jovens que receberam passes através do programa DiscoverEU. O incidente destaca a vulnerabilidade de sistemas que lidam com informações pessoais e a necessidade de vigilância constante contra ameaças cibernéticas.

Uma nova campanha de cibersegurança está afetando quase 100 lojas online que utilizam a plataforma de e-commerce Magento, inserindo um código malicioso para roubo de dados de cartões de crédito em uma imagem SVG de tamanho reduzido. Ao clicar no botão de checkout, os usuários são apresentados a uma sobreposição convincente que valida os dados do cartão e informações de cobrança. A empresa de segurança eCommerce Sansec identificou que o ataque provavelmente explorou a vulnerabilidade PolyShell, que permite a execução de código não autenticado e a tomada de controle de contas. O malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ que contém o código do skimmer, evitando a detecção por scanners de segurança. Dados de pagamento submetidos são validados em tempo real e enviados ao atacante em um formato JSON ofuscado. A Sansec recomenda que os proprietários de sites verifiquem a presença de tags SVG ocultas e monitorem solicitações suspeitas. Até o momento, a Adobe não lançou uma atualização de segurança para corrigir a falha PolyShell em versões estáveis do Magento, o que aumenta o risco para os usuários da plataforma.

Uma nova campanha de cibersegurança está distribuindo o malware Atomic Stealer para usuários de macOS, utilizando o Script Editor em uma variação do ataque ClickFix. O Script Editor é um aplicativo confiável do macOS, que permite a execução de scripts, mas está sendo explorado por hackers para enganar as vítimas a executar comandos maliciosos sem interação manual com o Terminal. Os atacantes criam sites falsos com temas da Apple, que se apresentam como guias para liberar espaço em disco. Esses sites contêm instruções que, ao serem seguidas, abrem o Script Editor com um código executável pré-preenchido. O código malicioso executa um comando ofuscado que baixa e executa um script diretamente na memória do sistema, resultando na instalação do Atomic Stealer, um malware que visa roubar dados sensíveis, como informações do Keychain, senhas e dados de carteiras de criptomoedas. Os usuários de macOS devem tratar os prompts do Script Editor como de alto risco e evitar sua execução a menos que compreendam completamente o que estão fazendo. Para guias de solução de problemas, recomenda-se confiar apenas na documentação oficial da Apple.