Cibersegurança

Charter Communications confirma vazamento de dados por extorsão

A Charter Communications, uma das maiores operadoras de telecomunicações dos EUA, confirmou ter sofrido um vazamento de dados após o grupo de extorsão ShinyHunters ameaçar divulgar informações roubadas caso um resgate não fosse pago. A empresa, que atende milhões de clientes residenciais e comerciais sob a marca Spectrum, informou que está seguindo seus protocolos de segurança e notificando as autoridades sobre o incidente. Segundo a ShinyHunters, o ataque ocorreu em 1º de abril, por meio de um golpe de phishing por voz (vishing), que comprometeu a conta de um funcionário no Microsoft Entra. Os atacantes alegam ter extraído 40 milhões de registros, incluindo nomes, endereços de e-mail, números de telefone e informações de planos de clientes. Embora a Charter tenha afirmado que nenhuma informação pessoal sensível foi exfiltrada, a situação levanta preocupações sobre a segurança de dados e a eficácia das medidas de proteção em empresas que utilizam plataformas de SaaS, como Salesforce. O grupo ShinyHunters tem se destacado por suas campanhas de engenharia social, visando contas de SSO corporativas, e já realizou ataques a outras empresas, incluindo a Instructure, que também teve que negociar com os extorcionistas para evitar a divulgação de dados roubados.

Hackers exploram vulnerabilidade crítica no sistema KnowledgeDeliver

Um grupo de hackers explorou uma vulnerabilidade crítica de zero-day no servidor do sistema de gestão de aprendizagem KnowledgeDeliver, permitindo a implantação de um web shell conhecido como Godzilla. A falha, identificada como CVE-2026-5426, é um problema de deserialização que pode ser explorado sem autenticação, devido ao uso de uma chave de máquina compartilhada e hardcoded na configuração do portal web. Os atacantes conseguiram obter essa chave e realizar ataques de deserialização em ViewState, permitindo a execução remota de código no nível do sistema operacional. A Mandiant, que respondeu ao ataque no final de 2025, destacou que a vulnerabilidade foi inicialmente utilizada para injetar um script malicioso na plataforma web. O código malicioso induziu os usuários a baixar um instalador falso, resultando na infecção com um beacon do Cobalt Strike, criando uma porta dos fundos. Além disso, o Godzilla, um web shell baseado em .NET, foi utilizado para escalar o controle sobre o sistema de arquivos do servidor web. Este incidente ressalta a crescente preocupação com a segurança em plataformas web, especialmente aquelas que utilizam chaves de máquina inadequadamente protegidas.

Códigos de acesso da Microsoft enviados sem solicitação sua conta está segura?

Nos últimos dias, diversos usuários relataram ter recebido e-mails da Microsoft contendo códigos de uso único para acesso a suas contas, mesmo sem terem solicitado. As mensagens, que têm como remetente ‘account-security-noreply@accountprotection.microsoft.com’, alertam sobre tentativas de acesso indevido. A Microsoft confirmou que esses códigos podem ser gerados automaticamente quando há tentativas de login com credenciais corretas, mas de locais ou dispositivos desconhecidos. Especialistas acreditam que isso pode ser um indicativo de um ataque em larga escala conhecido como ‘credential stuffing’, onde atacantes utilizam combinações de e-mails e senhas obtidas em vazamentos de dados para tentar acessar contas. Embora o envio dos códigos não signifique que a conta foi comprometida, é um alerta de que as credenciais estão sendo testadas ativamente. A Microsoft recomenda que os usuários não respondam a códigos não solicitados e sugere a troca de senhas e a ativação da autenticação em múltiplos fatores como medidas de segurança adicionais.

Problema conhecido afeta Windows Server 2016 após atualização de segurança

A Microsoft confirmou um novo problema conhecido que afeta sistemas Windows Server 2016, resultando em falhas nas buscas de controladores de domínio após a instalação da atualização de segurança KB5087537, lançada em maio de 2026. Embora o Windows Server 2016 tenha atingido o fim do suporte mainstream em janeiro de 2022, a Microsoft estendeu o suporte por mais cinco anos para facilitar a migração dos clientes para versões mais recentes. O problema ocorre especificamente em dispositivos cujo nome do host possui exatamente 15 caracteres, levando a chamadas DCLocator a falharem e retornarem o erro ERROR_INVALID_PARAMETER. Isso impede que aplicações e ferramentas administrativas localizem um controlador de domínio, impactando operações administrativas que dependem dessa funcionalidade, como a gestão de namespaces DFS. A Microsoft está investigando a situação, mas ainda não forneceu um cronograma para a resolução. Além disso, a empresa também relatou falhas em atualizações do Windows e problemas de implantação de atualizações de segurança no Windows 11, destacando uma série de desafios recentes enfrentados pelos administradores de sistemas.

Do alerta à resolução Consertando falhas na resposta a incidentes de rede

O webinar “Do alerta à resolução: Consertando falhas na resposta a incidentes de rede”, que ocorrerá em 2 de junho de 2026, abordará as dificuldades enfrentadas pelas equipes de TI durante incidentes de rede. Muitas vezes, essas equipes precisam navegar por múltiplas plataformas, como painéis de monitoramento, ferramentas de infraestrutura e sistemas de comunicação, o que pode atrasar a resposta e aumentar o risco de interrupções nos serviços. O evento contará com a participação de Edgar Ortiz, líder em Engenharia de Soluções na Tines, que discutirá como a automação e os fluxos de trabalho assistidos por IA podem otimizar a coordenação operacional em ambientes complexos.

Microsoft testa isolamento automático de endpoints comprometidos

A Microsoft está testando uma nova funcionalidade no Defender for Endpoint que isola automaticamente endpoints comprometidos, visando impedir que atacantes se movam lateralmente pela rede. Disponível em modo de pré-visualização, essa capacidade faz parte da interrupção automática de ataques, uma característica que busca conter incidentes de segurança e limitar seu impacto, permitindo que as equipes de segurança tenham mais tempo para remediação. Quando um dispositivo é suspeito de estar comprometido, ele é desconectado da rede, mas mantém a conectividade com o serviço Microsoft Defender for Endpoint, que continua a monitorar o dispositivo. A funcionalidade de isolamento automático é aplicável apenas a estações de trabalho gerenciadas pelo Defender for Endpoint. Além disso, a Microsoft anunciou que os dispositivos podem ser liberados do isolamento a qualquer momento após a investigação do incidente. A empresa também está testando suporte para isolamento de dispositivos Linux e bloqueio automático de tráfego para endpoints não descobertos, além de permitir agendamento de varreduras antivírus em sistemas Linux. Essas inovações visam fortalecer a segurança das redes corporativas e proteger dados sensíveis contra exfiltração e propagação de ransomware.

Varonis integra API de Compliance ao Claude para segurança em IA

A Varonis anunciou uma nova integração com a API de Compliance do Claude, que traz atividades do Claude Enterprise e Claude Platform para a plataforma de segurança Varonis Atlas. Essa integração visa oferecer maior visibilidade e controle para as equipes de segurança e governança, permitindo monitorar o uso do Claude Enterprise, investigar possíveis abusos e avaliar riscos relacionados à inteligência artificial. O Claude Enterprise é amplamente utilizado em diversas áreas, como jurídico, engenharia e marketing, para tarefas que vão desde a análise de documentos até a geração de código. Com a Varonis Atlas, as organizações podem monitorar continuamente o conteúdo das conversas, detectar exposições de dados sensíveis e realizar investigações em nível de sessão. Além disso, a plataforma oferece visibilidade em eventos administrativos e alertas em tempo real sobre comportamentos de risco. A Varonis Atlas conecta a atividade de IA aos dados subjacentes, permitindo que as equipes de segurança compreendam quais dados estão acessíveis e se esse acesso é seguro. A solução está disponível para testes gratuitos, permitindo que as empresas experimentem suas funcionalidades de gerenciamento de postura, testes de segurança e relatórios de conformidade.

CERT-In exige correção rápida de vulnerabilidades críticas

O Indian Computer Emergency Response Team (CERT-In) divulgou novas diretrizes que exigem que organizações corrijam vulnerabilidades críticas em sistemas expostos à internet em até 12 horas após serem identificadas. Essa medida visa proteger contra ameaças emergentes, especialmente com o uso crescente de ferramentas de inteligência artificial (IA) por atacantes para automatizar a descoberta e exploração de vulnerabilidades. O CERT-In destaca que a exploração assistida por IA pode reduzir significativamente o tempo necessário para que adversários identifiquem e explorem falhas de segurança, aumentando a velocidade e a escala dos ataques cibernéticos. As diretrizes incluem a adoção de uma abordagem de Zero Trust, implementação de estratégias de defesa em profundidade e a necessidade de monitoramento contínuo das vulnerabilidades. Além disso, recomenda-se que as organizações mantenham a continuidade operacional durante incidentes cibernéticos e protejam dados sensíveis ao longo de seu ciclo de vida. O CERT-In também enfatiza a importância de práticas contínuas de gerenciamento de vulnerabilidades e correções, especialmente para sistemas críticos e serviços acessíveis publicamente.

Segurança de Senhas A Ameaça do Bombardeio de MFA

A autenticação multifator (MFA) foi criada para aumentar a segurança das contas, mas um novo ataque conhecido como ‘bombardeio de prompts MFA’ está se tornando uma ameaça real. Nesse ataque, os invasores não precisam roubar o segundo fator de autenticação; eles apenas precisam que o usuário o forneça. O ataque envolve três elementos principais: credenciais de conta válidas, um portal de login que utiliza MFA baseada em push e uma vítima que recebe repetidamente solicitações de login. Os atacantes tentam enganar ou cansar a vítima até que ela aprove a solicitação. Um exemplo notável desse ataque ocorreu na Cisco em 2022, onde um invasor conseguiu acessar a rede da empresa após enganar um funcionário para aceitar um prompt de MFA. Para mitigar esses riscos, as organizações devem considerar fatores de MFA mais resistentes ao phishing, bloquear senhas comprometidas e adicionar sinais de risco ao processo de login. Embora o MFA continue sendo uma ferramenta importante, é crucial revisar as práticas atuais para garantir uma proteção eficaz contra essas novas táticas de ataque.

Cibersegurança A Nova Era dos Ataques com Inteligência Artificial

A cibersegurança enfrenta um novo desafio com a utilização de ferramentas de Inteligência Artificial (IA) por hackers, que tornam os ataques mais rápidos e eficazes. De acordo com informações recentes do The Hacker News, esses criminosos estão explorando vulnerabilidades em sistemas para realizar ataques DDoS em larga escala, que podem derrubar sites em questão de segundos. A abordagem tradicional de proteção, que incluía firewalls e atualizações de software, já não é suficiente, pois os ataques assistidos por IA são capazes de identificar pontos fracos e adaptar suas estratégias rapidamente.

Hackers abandonam senhas roubadas com ataques impulsionados por IA

Um novo relatório da Verizon revela que a exploração de vulnerabilidades de software superou o uso de senhas roubadas como principal método de invasão de redes corporativas. Em 2025, 31% das violações de dados foram atribuídas a falhas de software, enquanto as credenciais roubadas caíram para 13%. A inteligência artificial (IA) está acelerando a descoberta e a exploração dessas vulnerabilidades, reduzindo o tempo que as empresas têm para aplicar correções de meses para horas. Apesar do aumento do risco, apenas 26% das vulnerabilidades críticas foram totalmente remediadas, com um tempo médio de aplicação de patches de 43 dias. Além disso, ataques de ransomware foram identificados em 48% das violações, embora o pagamento de resgates tenha diminuído. O uso de dispositivos móveis como vetor de ataque também cresceu, com golpes por SMS e chamadas de voz superando os tradicionais e-mails de phishing. A crescente adoção de ferramentas de IA no ambiente de trabalho, muitas vezes acessadas por contas não autorizadas, representa um novo risco, contribuindo para vazamentos de dados. O relatório destaca a necessidade urgente de as organizações melhorarem suas práticas de segurança e se adaptarem à velocidade das ameaças modernas.

Gangue de extorsão ShinyHunters ataca 7-Eleven e vaza dados de 185 mil

A gangue de extorsão ShinyHunters comprometeu os sistemas da rede de lojas de conveniência 7-Eleven, resultando no roubo de informações pessoais de mais de 183 mil indivíduos. O ataque ocorreu em abril de 2026, quando um terceiro não autorizado acessou sistemas utilizados para armazenar documentos de franqueados. A 7-Eleven confirmou a violação em cartas enviadas aos clientes afetados em 1º de maio, mas não atribuiu o ataque a um grupo específico. No entanto, os ShinyHunters reivindicaram a responsabilidade em 17 de abril, alegando ter roubado mais de 600 mil registros, incluindo dados corporativos e informações pessoais identificáveis. Após a recusa da empresa em pagar um resgate, os criminosos vazaram um arquivo de 9,4 GB em seu site na dark web. A análise do serviço Have I Been Pwned revelou que os dados expostos incluíam nomes, endereços, datas de nascimento, e-mails e números de telefone. Este incidente destaca a crescente ameaça de grupos de cibercrime que visam grandes empresas e a importância de medidas de segurança robustas para proteger informações sensíveis.

Milhões enganados por telas de bloqueio falsas em navegador

Desde o início de 2026, uma nova onda de fraudes digitais, conhecida como CypherLoc, tem enganado milhões de usuários na internet. Pesquisadores de segurança da Barracuda alertaram que cerca de 2,8 milhões de pessoas foram alvo dessa campanha, que utiliza e-mails de phishing e manipulação psicológica para induzir os usuários a acreditar que seus navegadores estão completamente bloqueados. Ao clicar em links maliciosos ou anexos infectados, as vítimas são redirecionadas para páginas que parecem inofensivas, mas que na verdade são armadilhas. Uma vez ativado, o ataque transforma o navegador em uma ‘prisão digital’, desativando menus e ocultando o cursor, enquanto exibe mensagens alarmantes de segurança. Um número de suporte falso aparece como a única solução, levando os usuários a fornecer informações sensíveis a golpistas que se passam por funcionários de suporte técnico. Para se proteger, os usuários devem ser cautelosos com e-mails desconhecidos, evitar clicar em links suspeitos e instalar softwares antivírus confiáveis. Alertas de segurança legítimos nunca bloqueiam navegadores ou exigem ações imediatas através de janelas pop-up.

Hackers podem sequestrar robôs industriais por falha de software

Uma grave vulnerabilidade de injeção de comandos foi identificada no sistema operacional PolyScope 5, da Universal Robots, que afeta milhares de robôs industriais. A falha, classificada como CVE-2026-8153, possui uma pontuação CVSS de 9.8, indicando um risco crítico. Um atacante não autenticado que consiga acessar a porta de rede do Dashboard Server pode injetar comandos diretamente no sistema operacional do robô, comprometendo a confidencialidade, integridade e disponibilidade do sistema. A Universal Robots lançou um patch na versão 5.25.1, mas a instalação é necessária para mitigar a vulnerabilidade. A empresa alerta que a segurança da rede é crucial, pois a exploração remota requer que o Dashboard Server esteja habilitado e acessível na rede. Embora não haja relatos de exploração pública até o momento, a falta de segmentação adequada da rede pode permitir que esta vulnerabilidade seja explorada facilmente em ambientes industriais. A presença de robôs colaborativos, que trabalham ao lado de humanos, torna essa ameaça ainda mais preocupante, pois um robô comprometido pode causar danos físicos aos trabalhadores nas proximidades.

FBI alerta sobre plataforma de phishing Kali365 que compromete contas Microsoft 365

O FBI emitiu um alerta sobre a plataforma Kali365, um serviço de phishing-as-a-service (PhaaS) que visa contas Microsoft 365. Essa plataforma, que surgiu em abril de 2026, utiliza a autenticação via código de dispositivo OAuth para roubar tokens de sessão e contornar a autenticação multifator (MFA). Kali365 é distribuída por canais do Telegram e permite que até mesmo atacantes com pouca habilidade comprometam contas sem precisar roubar senhas ou interceptar códigos MFA. O método de phishing por código de dispositivo explora um fluxo legítimo de autorização do OAuth 2.0, permitindo que dispositivos com capacidades limitadas se autentiquem por meio de um código gerado. Os atacantes induzem as vítimas a inserir esse código na página de login da Microsoft, obtendo acesso total às contas após a conclusão da MFA. O FBI recomenda que as empresas restrinjam ou bloqueiem esses fluxos de autenticação e auditem seu uso. A plataforma Kali365 também oferece funcionalidades avançadas, como iscas de phishing geradas por IA e painéis de rastreamento em tempo real. A adoção generalizada desse método de phishing representa uma ameaça crescente, com outros grupos cibernéticos, como EvilTokens e Tycoon2FA, também explorando essa técnica.

Anthropic se prepara para lançamento do modelo Mythos com riscos de segurança

A Anthropic está se preparando para o lançamento público do modelo ‘Mythos’, anunciado em abril como um modelo restrito que apresenta riscos significativos à segurança de softwares privados e públicos. O Mythos promete avanços notáveis em tarefas de segurança cibernética, superando seu modelo anterior, Opus 4.7, em raciocínio de código e autonomia. A empresa alertou que o modelo pode desenvolver automaticamente ciberataques em um nível profissional, o que representa uma ameaça à infraestrutura digital global. Para mitigar esses riscos, a Anthropic decidiu adiar o lançamento até que um sistema de proteção robusto estivesse em vigor. O modelo Mythos já foi referenciado em versões públicas de Claude Code e Claude Security, indicando que a empresa está próxima de disponibilizá-lo. Além disso, a Anthropic está colaborando com outras empresas no projeto ‘Glasswing’, que visa proteger softwares críticos contra explorações impulsionadas por IA, utilizando o Mythos Preview. Nos primeiros 30 dias, o modelo identificou 10.000 vulnerabilidades de alta ou crítica severidade, o que justifica a cautela em seu lançamento.

Resumo da Semana em Cibersegurança Incidentes e Vulnerabilidades

Na última semana, o cenário de cibersegurança apresentou incidentes significativos, incluindo a violação do GitHub, que resultou na exfiltração de cerca de 3.800 repositórios devido a uma versão comprometida da extensão Nx Console do Visual Studio Code. O grupo TeamPCP foi identificado como responsável pelo ataque, que se insere em uma série de compromissos relacionados à cadeia de suprimentos de software. Além disso, uma vulnerabilidade crítica no núcleo do Linux, que permaneceu oculta por nove anos, foi divulgada, permitindo a execução de comandos como root em várias distribuições. A Microsoft também alertou sobre falhas ativas no Defender, que estão sendo exploradas, e lançou mitigações para uma vulnerabilidade de bypass do BitLocker. A situação é preocupante, com um aumento nas tentativas de exploração de falhas, como uma vulnerabilidade SQL no Drupal Core, que já está sendo atacada ativamente. A crescente sofisticação das campanhas de phishing e a exploração de botnets para atacar sistemas expostos à internet também foram destacadas, evidenciando a necessidade urgente de atualização e monitoramento contínuo das infraestruturas de segurança.

Malware RemotePE Ameaça do Grupo Lazarus a Setores Financeiros

Pesquisadores de cibersegurança identificaram um malware multiplataforma conhecido como RemotePE, utilizado pelo grupo Lazarus, vinculado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas. O RemotePE faz parte de uma cadeia de ataque em múltiplas etapas que começa com o DPAPILoader, que descriptografa e carrega o RemotePELoader, que por sua vez se conecta a um servidor de comando e controle (C2) para receber o módulo principal, o RemotePE. Este malware, executado inteiramente na memória, não deixa rastros no sistema de arquivos, dificultando a detecção. A sequência de infecção inicia-se com engenharia social, onde um funcionário é abordado por um criminoso disfarçado de colega em plataformas como Telegram. O RemotePE permite uma variedade de comandos, incluindo operações de arquivos e gerenciamento de processos, e é projetado para manter acesso a longo prazo, visando furtos de dados ou grandes roubos financeiros. A análise indica que o RemotePE está em desenvolvimento ativo desde 2023, com um foco claro em alvos de alto valor, como instituições financeiras e de criptomoedas.

NymVPN lança atualizações significativas e segurança pós-quântica

O NymVPN, um provedor de serviços de VPN focado em privacidade, anunciou uma série de atualizações significativas em um período de dois meses, incluindo a introdução do split-tunneling e um bloqueador de anúncios em versão beta. Essas funcionalidades permitem que os usuários escolham quais aplicativos usarão a rede mixnet, enquanto outros podem se conectar normalmente. Além disso, a primeira fase da segurança pós-quântica foi implementada, utilizando um protocolo inovador chamado Lewes Protocol, que visa proteger dados contra a ameaça de futuros computadores quânticos. Outra novidade é o modelo de pagamento ‘Pay as You Go’, que permite acesso à rede sem a necessidade de criar uma conta ou fornecer informações pessoais. O NymVPN também está se preparando para lançar um aplicativo redesenhado, prometendo uma interface mais limpa e simples. Essas melhorias visam atender às expectativas dos usuários e reforçar a posição do NymVPN como uma opção de VPN que prioriza a privacidade, especialmente em um cenário de crescente vigilância digital.

Surfshark oferece cartão presente da Amazon para leitores do TechRadar

A Surfshark lançou uma promoção exclusiva para leitores do TechRadar, oferecendo cartões presentes da Amazon de até $30 e três meses adicionais de proteção ao adquirir um plano de dois anos. Essa oferta é válida até 2 de junho de 2026 e proporciona um total de 27 meses de proteção com um dos VPNs mais recomendados do mercado. Os planos começam a partir de $1,99 por mês, com pagamento inicial de $53,73. Para obter o melhor valor, o plano One, que custa $2,49 por mês (totalizando $67,23), inclui um voucher de $20 e oferece recursos adicionais como proteção contra vírus e alertas de vazamento de dados. Todos os planos contam com uma garantia de devolução do dinheiro em 30 dias, permitindo que os usuários testem o serviço sem riscos. A promoção é uma oportunidade interessante para quem busca melhorar sua privacidade online e, ao mesmo tempo, obter um benefício adicional com o cartão presente da Amazon.

Campanha de ataque à cadeia de suprimentos compromete npm, PyPI e Crates.io

Uma nova campanha de ataque coordenada, chamada TrapDoor, tem como alvo as plataformas npm, PyPI e Crates.io, distribuindo malware que rouba credenciais. Desde 22 de maio de 2026, mais de 34 pacotes maliciosos foram identificados, com 384 versões diferentes. O foco principal do ataque são desenvolvedores nas comunidades de criptomoedas, DeFi, Solana e IA. Os pacotes maliciosos visam roubar segredos de desenvolvedores, carteiras de criptomoedas, chaves SSH e credenciais de nuvem. A operação utiliza métodos sofisticados, como hooks de pós-instalação e scripts de construção maliciosos, para se infiltrar em ambientes de desenvolvimento. Um aspecto notável é a inclusão de instruções ocultas em arquivos que enganam assistentes de IA para realizar varreduras de segurança, resultando na descoberta e exfiltração de segredos. A campanha destaca a crescente tendência de atacantes que visam fluxos de trabalho de desenvolvedores, utilizando técnicas de typosquatting e caminhos de ataque específicos do ecossistema.

Campanha de ataque explora vulnerabilidade crítica no Ghost CMS

Uma campanha em larga escala está explorando uma vulnerabilidade crítica de injeção SQL (CVE-2026-26980) no Ghost CMS, permitindo que atacantes injetem código JavaScript malicioso em mais de 700 domínios, incluindo portais universitários e empresas de tecnologia. A vulnerabilidade afeta as versões do Ghost CMS entre 3.24.0 e 6.19.0, permitindo que invasores não autenticados leiam dados arbitrários do banco de dados do site, incluindo chaves da API de administração. O código malicioso injetado é um carregador leve que busca scripts adicionais da infraestrutura do atacante, levando a um ataque ClickFix que engana os visitantes a executarem comandos prejudiciais em seus sistemas. Embora um patch tenha sido disponibilizado em 19 de fevereiro de 2023, muitos sites ainda não o aplicaram, expondo-se a riscos significativos. Os administradores de sites são aconselhados a atualizar para a versão 6.19.1 ou superior e a revisar minuciosamente seus sistemas em busca de scripts injetados.

ExpressVPN é a forma mais barata de garantir segurança online

O artigo da TechRadar destaca a importância de utilizar uma VPN, como a ExpressVPN, especialmente durante viagens, como o feriado do Memorial Day. Conectar-se a redes Wi-Fi públicas, comuns em cafés e postos de gasolina, pode expor os usuários a riscos de segurança, como monitoramento de atividades online e interceptação de dados não criptografados. A ExpressVPN se destaca por oferecer servidores em todos os 50 estados dos EUA, além de chaves de criptografia seguras e ferramentas adicionais, como um gerenciador de senhas, dependendo do plano escolhido. Com um preço inicial de apenas $2,79 por mês, a ExpressVPN se posiciona como uma das opções mais acessíveis no mercado, superando concorrentes como NordVPN e ProtonVPN. O artigo também menciona que, embora a ExpressVPN tenha credenciais de segurança robustas, outras opções podem ser mais adequadas dependendo das necessidades específicas do usuário, como streaming ou privacidade. A ExpressVPN também oferece o Aircove, um roteador que integra a segurança da VPN de forma simplificada. Essa análise é relevante para usuários que buscam segurança online, especialmente em um cenário de crescente vigilância digital.

Malware AMOS no macOS se espalha por truques simples no terminal

O malware AMOS, também conhecido como Atomic macOS Stealer, representa uma ameaça persistente para dispositivos macOS, explorando comportamentos comuns dos usuários em vez de vulnerabilidades complexas. Recentemente, a Sophos MDR identificou que o AMOS utiliza engenharia social para induzir os usuários a executar comandos maliciosos no Terminal, como parte de uma estratégia de ataque que se tornou mais comum em campanhas de infostealers no macOS. Em 2025, o AMOS foi responsável por quase 40% das atualizações de proteção para macOS da Sophos, evidenciando seu impacto crescente. O malware coleta informações sensíveis, como senhas do Keychain e credenciais de navegadores, armazenando-as em arquivos ocultos. Além disso, ele pode instalar um LaunchDaemon para garantir sua execução após reinicializações do sistema. Apesar de sua gravidade, a eficácia do AMOS pode ser limitada pela necessidade de consentimento do usuário para a execução do comando malicioso. A Apple tem implementado melhorias em suas ferramentas de segurança, o que pode reduzir a eficácia do AMOS em atualizações futuras do sistema operacional.

Ataque à cadeia de suprimentos compromete pacotes de localização do Laravel

Um ataque à cadeia de suprimentos visando os pacotes de localização Laravel Lang expôs desenvolvedores a uma sofisticada campanha de malware que rouba credenciais. Os atacantes abusaram de tags de versão do GitHub para distribuir código malicioso através de pacotes do Composer. As empresas de segurança StepSecurity, Aikido Security e Socket alertaram sobre a violação, que afetou quatro repositórios da organização Laravel Lang. Os pacotes comprometidos incluem laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes e possivelmente laravel-lang/actions. Os atacantes reescreveram 233 versões em três repositórios, com Socket indicando que cerca de 700 versões históricas podem ter sido afetadas. O ataque se destacou por não modificar o código-fonte original, mas sim por redirecionar tags existentes para um commit malicioso. Quando os desenvolvedores instalavam os pacotes, o código malicioso era baixado disfarçado de versões legítimas. O malware introduziu um arquivo chamado ‘src/helpers.php’, que atuava como um dropper, baixando um segundo payload de um servidor de controle. Este payload era um ladrão de credenciais que coletava dados sensíveis de várias plataformas, incluindo chaves de acesso à nuvem e credenciais de Git. A Aikido informou o Packagist, que rapidamente removeu as versões maliciosas e deslistou os pacotes afetados para evitar novas instalações.

Campanha de ataque à cadeia de suprimentos afeta pacotes do Packagist

Uma nova campanha de ataque coordenado à cadeia de suprimentos impactou oito pacotes no Packagist, incluindo código malicioso que executa um binário Linux a partir de uma URL do GitHub. Os pacotes afetados, todos relacionados ao Composer, tiveram o código malicioso inserido no arquivo package.json, em vez do composer.json, o que pode passar despercebido por desenvolvedores e equipes de segurança que focam apenas nas dependências do Composer. O código malicioso, que foi removido do Packagist, inclui um script postinstall que baixa um binário Linux, altera suas permissões e o executa em segundo plano. A análise revelou que o mesmo payload foi encontrado em 777 arquivos no GitHub, sugerindo uma campanha mais ampla. O nome do malware, ‘gvfsd-network’, é uma referência a um daemon do GNOME, e a natureza exata do payload baixado permanece desconhecida, pois a conta do GitHub associada foi desativada. A instalação maliciosa pode permitir execução remota de código e tenta ocultar suas atividades desativando a verificação TLS e suprimindo erros.

GitHub implementa controles de segurança para npm

O GitHub anunciou novas medidas de segurança para o npm, visando fortalecer a cadeia de suprimentos de software. A funcionalidade chamada ‘publicação em estágio’ permite que os mantenedores aprovem explicitamente uma versão de pacote antes que ela se torne disponível publicamente. Para isso, é necessário que o mantenedor passe por um desafio de autenticação de dois fatores (2FA) antes que o pacote seja enviado ao npmjs.com. Essa abordagem garante uma ‘prova de presença’ para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos. Para utilizar a publicação em estágio, os mantenedores devem ter acesso de publicação ao pacote, que já deve existir no registro do npm, e ter 2FA habilitado. Além disso, o GitHub introduziu três novas flags de origem de instalação que permitem um controle mais rigoroso sobre as fontes de instalação de pacotes, aplicando uma abordagem de lista de permissões explícitas. Essas mudanças surgem em um contexto de aumento significativo de ataques à cadeia de suprimentos de software, especialmente em ecossistemas de código aberto, onde grupos cibercriminosos têm comprometido pacotes populares em larga escala.

Autoridades italianas desmantelam aplicativo de pirataria CINEMAGOAL

As autoridades italianas desmantelaram uma rede de pirataria que operava através do aplicativo CINEMAGOAL, que oferecia acesso a plataformas de streaming como Netflix, Disney+ e Spotify. A operação, chamada ‘Tutto Chiaro’, resultou em 100 buscas e na apreensão de materiais que podem ajudar a identificar os envolvidos e os lucros obtidos ilegalmente. A Guardia di Finanza revelou que os operadores do CINEMAGOAL teriam gerado milhões de euros em lucros por meio de pirataria audiovisual e fraudes. O aplicativo se conectava diretamente a plataformas legítimas, utilizando códigos de decriptação válidos obtidos de servidores estrangeiros. O sistema capturava esses códigos a cada três minutos e os redistribuía aos usuários, que se beneficiavam de uma qualidade de streaming superior. Durante a operação, servidores do CINEMAGOAL foram apreendidos na França e na Alemanha, e mais de 70 revendedores foram identificados, vendendo assinaturas anuais entre €40 e €130. Estima-se que a operação tenha causado danos de cerca de €300 milhões em receitas não pagas. As autoridades estão analisando o material apreendido para identificar todos os envolvidos, incluindo usuários finais, e já aplicaram multas a alguns assinantes.

Projeto Glasswing revela mais de 10 mil vulnerabilidades críticas

No último mês, a Anthropic anunciou que seu projeto de cibersegurança, denominado Glasswing, identificou mais de 10.000 vulnerabilidades de alta ou crítica severidade em softwares essenciais globalmente. Dentre essas, 6.202 foram classificadas como falhas impactantes em mais de 1.000 projetos de código aberto, com 1.726 sendo confirmadas como verdadeiros positivos. Um exemplo crítico é a vulnerabilidade no WolfSSL (CVE-2026-5194), que permite a falsificação de certificados. A iniciativa, que oferece acesso antecipado ao modelo Claude Mythos Preview para cerca de 50 parceiros, visa fortalecer a infraestrutura de software global. A Anthropic destaca a necessidade urgente de que desenvolvedores reduzam seus ciclos de correção e implementem medidas de segurança, como autenticação multifatorial. Além disso, a empresa lançou um Programa de Verificação Cibernética, permitindo que profissionais de segurança utilizem seus modelos para pesquisa de vulnerabilidades e testes de penetração. Com a crescente descoberta de vulnerabilidades assistida por IA, a pressão sobre os fornecedores de software para corrigir falhas está aumentando.

Vulnerabilidade crítica no plugin cPanel do LiteSpeed em exploração ativa

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Campanha de ataque à cadeia de suprimentos compromete pacotes PHP do Laravel

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Autoridades desmantelam VPN criminosa usada em ataques cibernéticos

Autoridades da Europa e América do Norte anunciaram a desarticulação de um serviço de rede privada virtual (VPN) chamado First VPN, utilizado por criminosos para ocultar a origem de ataques de ransomware, roubo de dados e ataques de negação de serviço. A operação, liderada pela França e Países Baixos, contou com a colaboração de diversas nações desde dezembro de 2021, incluindo o Brasil. O First VPN oferecia serviços voltados para atividades ilícitas, permitindo pagamentos anônimos e uma infraestrutura oculta para que os usuários pudessem esconder suas identidades durante atividades criminosas. Entre os dias 19 e 20 de maio, as autoridades realizaram ações simultâneas, como a apreensão de 33 servidores e a prisão do administrador do serviço na Ucrânia. O First VPN operava desde 2014 e tinha servidores de saída em 27 países, incluindo os Estados Unidos. Estima-se que pelo menos 25 grupos de ransomware, como o Avaddon, tenham utilizado a infraestrutura do First VPN para realizar suas atividades. O serviço aceitava pagamentos em criptomoedas e oferecia suporte técnico através de plataformas de mensagens criptografadas. Essa operação destaca a crescente colaboração internacional no combate ao cibercrime e a importância de medidas de segurança robustas para proteger dados sensíveis.

Microsoft confirma duas falhas críticas no Defender atualize agora

A Microsoft anunciou a correção de duas vulnerabilidades críticas no seu software de antivírus Defender, que estão sendo ativamente exploradas por cibercriminosos. As falhas, identificadas como CVE-2026-41091 e CVE-2026-45498, têm pontuações de severidade de 7.8 e 7.5, respectivamente, em uma escala de 10. A primeira permite a escalada de privilégios, enquanto a segunda pode causar negação de serviço. As atualizações foram enviadas automaticamente, mas os usuários são aconselhados a verificar manualmente se estão utilizando as versões mais recentes do Malware Protection Engine e da Antimalware Platform. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essas vulnerabilidades em seu catálogo de vulnerabilidades conhecidas, dando um prazo até 3 de junho para que agências federais realizem as correções necessárias. A Microsoft recomenda que todos os usuários do Defender verifiquem suas versões para garantir que estão protegidos contra essas ameaças.

Vulnerabilidade zero-day no Apex One da Trend Micro afeta Windows

A Trend Micro, empresa japonesa de cibersegurança, identificou uma vulnerabilidade zero-day no seu software Apex One, que é uma plataforma de segurança de endpoint para empresas. A falha, classificada como CVE-2026-34926, é uma vulnerabilidade de travessia de diretórios no servidor Apex One (versão local), permitindo que atacantes locais com privilégios administrativos injetem código malicioso. A empresa alertou que, apesar das condições restritivas para exploração, já houve tentativas de ataque na prática. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu essa vulnerabilidade em sua lista de falhas ativamente exploradas e ordenou que agências federais aplicassem patches até 4 de junho. Além disso, a Trend Micro lançou atualizações de segurança para corrigir outras sete vulnerabilidades de escalonamento de privilégios locais no agente de proteção de endpoint Apex One. Nos últimos anos, a Apex One tem sido alvo frequente de ataques, com várias falhas zero-day sendo exploradas. A CISA atualmente monitora 12 vulnerabilidades da Trend Micro que foram ou ainda estão sendo utilizadas em ataques.

Executivos de empresa de rastreamento de chamadas se declaram culpados por fraude

Dois ex-executivos de uma empresa de rastreamento e análise de chamadas, Adam Young e Harrison Gevirtz, se declararam culpados por ocultar um esquema de fraude em suporte técnico que afetou vítimas em todo o mundo. Entre 2017 e 2022, eles operaram a C.A. Cloud Attribution, Ltd., fornecendo serviços a clientes envolvidos em fraudes de telemarketing e suporte técnico. Os golpistas enganavam usuários com anúncios falsos, alegando que seus sistemas estavam infectados, e direcionavam as vítimas a centros de atendimento que cobravam altas quantias por serviços técnicos fictícios, muitas vezes se passando por empresas como Microsoft e Apple. Young e Gevirtz não apenas ignoraram as atividades fraudulentas de seus clientes, mas também aconselharam a utilização de números de telefone rotativos para evitar reclamações. Além disso, eles operaram um call center na Tunísia, onde alguns funcionários participaram de fraudes semelhantes. O FBI relatou que os americanos perderam pelo menos $2,1 bilhões para fraudes de suporte técnico em 2025, destacando a gravidade do problema. Os executivos enfrentam uma pena máxima de três anos de prisão e multas de até $250 mil, com a sentença marcada para 16 de junho.

Investigadores na Holanda prendem homens por crimes cibernéticos

Investigadores de crimes financeiros na Holanda, conhecidos como FIOD, prenderam dois homens e apreenderam 800 servidores de uma empresa de hospedagem na web, a Stark Industries. A operação, que ocorreu em várias localidades, incluindo Dronten e Schiphol-Rijk, revelou que a empresa estava envolvida em ciberataques, operações de interferência e campanhas de desinformação, apoiando indiretamente entidades russas e bielorrussas sancionadas pela União Europeia. A Stark Industries, fundada em fevereiro de 2022, foi adicionada à lista de entidades sancionadas em maio do ano passado. Após a imposição das sanções, a infraestrutura de hospedagem foi transferida para uma nova empresa, a WorkTitans B.V., que, segundo investigações, atuava como uma fachada para as entidades sancionadas. A WorkTitans é acusada de estar ligada a ataques cibernéticos realizados pelo grupo hacktivista pro-russo NoName057(16), que já realizou ataques DDoS a organizações importantes. A operação destaca a crescente preocupação com o uso de serviços de hospedagem para atividades ilegais e a necessidade de vigilância contínua sobre a infraestrutura digital.

Análise de Vulnerabilidades em Drivers do Windows Riscos e Explorações

O artigo analisa a interação de drivers em modo kernel do Windows com o modo usuário, mesmo na ausência do hardware para o qual foram desenvolvidos. Essa pesquisa é motivada pela necessidade de avaliar a explorabilidade de vulnerabilidades em drivers, que frequentemente são limitadas por condições de hardware. O foco está na arquitetura Plug and Play do Windows e na superfície de ataque que os drivers representam, especialmente em ataques do tipo BYOVD (Bring Your Own Vulnerable Driver). Esses ataques podem permitir a escalada de privilégios locais e a interrupção de componentes de segurança do sistema, como EDRs. O artigo destaca que a criação de objetos de dispositivo é um vetor de ataque viável, mas que muitos drivers não permitem a exploração sem o hardware correspondente. A análise inclui padrões comuns de criação e manutenção de objetos de dispositivo, além de discutir a lógica de inicialização de drivers compatíveis com PnP. O estudo é relevante para profissionais de cibersegurança, pois fornece insights sobre como vulnerabilidades em drivers podem ser exploradas, mesmo em condições adversas. A pesquisa foi realizada em uma versão específica do Windows 11, e os resultados podem impactar a segurança de sistemas que utilizam esses drivers.

Campanha automatizada Megalodon compromete repositórios do GitHub

Pesquisadores de cibersegurança revelaram uma nova campanha automatizada chamada Megalodon, que injetou 5.718 commits maliciosos em 5.561 repositórios do GitHub em um intervalo de seis horas. Os atacantes utilizaram contas descartáveis e identidades forjadas para inserir fluxos de trabalho do GitHub Actions que continham payloads em bash codificados em base64. Esses payloads têm a capacidade de exfiltrar segredos de CI, credenciais de nuvem, chaves SSH e outros dados sensíveis para um servidor de comando e controle. Entre os dados coletados estão variáveis de ambiente do CI, credenciais da AWS e do Google Cloud, chaves privadas SSH, tokens OIDC e arquivos de configuração. A campanha foi caracterizada por um uso astuto de nomes de autores e mensagens de commit que imitavam manutenção rotineira. O impacto é significativo, pois uma vez que um repositório é comprometido, o malware pode se espalhar ainda mais, aumentando o risco de roubo de credenciais em larga escala. O grupo TeamPCP, responsável por essa campanha, já comprometeu várias ferramentas de código aberto e parece estar motivado financeiramente, além de ter uma agenda geopolítica, como evidenciado pelo uso de malware destrutivo em máquinas localizadas no Irã e em Israel.

Grupo Ghostwriter usa phishing para atacar governo da Ucrânia

O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.

Código gerado por IA supera modelos manuais de remediação 75 das empresas admitem falhas

Um estudo da Checkmarx revelou que 75% das organizações reconhecem que frequentemente enviam código vulnerável, uma prática que se tornou comum no setor. A pesquisa destaca que, enquanto em 2018 o tempo médio para explorar uma vulnerabilidade era de 840 dias, atualmente esse prazo caiu para menos de dois dias, e pode chegar a apenas um minuto em um futuro próximo. Essa situação é alarmante, especialmente para setores críticos como a saúde, que já enfrenta um aumento nos ataques de ransomware e pressão regulatória. Além disso, a utilização de aplicativos ‘vibe-coded’, que são desenvolvidos inteiramente por meio de interações com IA, tem exacerbado a exposição a falhas de segurança, resultando em mais de 5.000 aplicativos que expõem dados corporativos e pessoais na web. O cenário atual exige uma revisão urgente das práticas de segurança cibernética das empresas, uma vez que a velocidade de exploração de vulnerabilidades está aumentando rapidamente.

Autoridades dos EUA e Canadá prendem operador de botnet KimWolf

Jacob Butler, um canadense de 23 anos, foi preso em Ottawa sob um mandado de extradição, acusado de operar a botnet KimWolf, que infectou quase dois milhões de dispositivos em todo o mundo. Segundo documentos judiciais, Butler utilizava um modelo de ‘cibercrime como serviço’ para vender acesso a uma vasta rede de sistemas comprometidos, que incluíam desde câmeras de segurança até dispositivos de streaming. A KimWolf foi responsável por mais de 25 mil ataques DDoS, causando perdas financeiras superiores a um milhão de dólares para algumas vítimas. O ataque mais significativo registrado alcançou quase 30 terabits por segundo, tornando-se um dos maiores ataques DDoS já divulgados. Além disso, as autoridades dos EUA também desmantelaram 45 plataformas de DDoS-for-hire, interrompendo operações que colaboravam com a KimWolf. A prisão de Butler é parte de uma operação internacional que visa combater o cibercrime e proteger a infraestrutura digital.

Ubiquiti lança atualizações de segurança para vulnerabilidades críticas

A Ubiquiti divulgou atualizações de segurança para corrigir três vulnerabilidades de gravidade máxima no UniFi OS, que podem ser exploradas por atacantes remotos sem privilégios. O UniFi OS é um sistema operacional unificado que gerencia a infraestrutura de TI, incluindo redes e segurança. A primeira falha (CVE-2026-34908) permite alterações não autorizadas em sistemas, enquanto a segunda (CVE-2026-34909) possibilita o acesso a arquivos do sistema subjacente por meio de uma vulnerabilidade de Path Traversal. A terceira falha (CVE-2026-34910) permite ataques de injeção de comandos após o acesso à rede, explorando uma vulnerabilidade de validação inadequada de entrada. Além disso, a Ubiquiti corrigiu uma segunda falha crítica de injeção de comandos (CVE-2026-33000) e uma de divulgação de informações (CVE-2026-34911). Embora a empresa não tenha confirmado se as vulnerabilidades foram exploradas antes da divulgação, elas podem ser utilizadas em ataques de baixa complexidade. Atualmente, a empresa de inteligência de ameaças Censys rastreia cerca de 100.000 endpoints do UniFi OS expostos na Internet, a maioria localizada nos Estados Unidos. A Ubiquiti já enfrentou ataques de grupos de hackers apoiados por estados e cibercriminosos, o que destaca a importância de mitigar essas vulnerabilidades rapidamente.

CISA adiciona falhas críticas em Langflow e Trend Micro Apex One

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas vulnerabilidades críticas em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), afetando o Langflow e o Trend Micro Apex One. A primeira, CVE-2025-34291, com um escore CVSS de 9.4, é uma falha de validação de origem no Langflow que permite a execução de código arbitrário, comprometendo totalmente o sistema. A segunda, CVE-2026-34926, com um escore CVSS de 6.7, é uma vulnerabilidade de travessia de diretório nas versões on-premise do Apex One, que pode ser explorada por um atacante local com credenciais administrativas para injetar código malicioso. Relatórios indicam que a falha no Langflow foi explorada por um grupo de hackers iraniano, MuddyWater, para obter acesso inicial a redes-alvo. A CISA exige que as agências federais apliquem correções até 4 de junho de 2026, dada a gravidade da exploração ativa dessas vulnerabilidades.

Google vaza detalhes sobre falha crítica no Chromium que permite execução remota de código

Um erro grave no Chromium, que permite que o JavaScript continue a ser executado em segundo plano mesmo após o fechamento do navegador, foi acidentalmente revelado pelo Google. A falha, identificada pela pesquisadora de segurança Lyra Rebane, foi reconhecida em dezembro de 2022 e afeta todos os navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave. Um atacante pode explorar essa vulnerabilidade criando uma página maliciosa que utiliza um Service Worker, permitindo a execução contínua de código JavaScript nos dispositivos dos usuários. Isso pode resultar em ataques de negação de serviço distribuído (DDoS) e redirecionamento de tráfego malicioso. Apesar de a falha ter sido marcada como corrigida em fevereiro de 2023, a pesquisadora constatou que o problema persiste em versões recentes do Chrome e Edge. A exposição das informações sobre a vulnerabilidade pode facilitar a exploração, embora não permita acesso direto a dados pessoais dos usuários. Dada a gravidade da situação, espera-se que o Google trate o problema como urgente e lance correções rapidamente.

Grupo Everest assume violação de dados no Frost Bank

A Sefas, desenvolvedora de software, notificou 191.848 texanos sobre uma violação de dados ocorrida em dezembro de 2025 no Frost Bank, um de seus clientes. Os dados comprometidos incluem números de Seguro Social, números de identificação fiscal, números de contas e datas de nascimento. O grupo cibercriminoso Everest reivindicou a responsabilidade pela violação em 20 de abril de 2026, alegando ter roubado 250.000 números de Seguro Social do Frost Bank e 3,4 milhões de registros do Citizens Bank no mesmo dia. Embora a Sefas tenha confirmado a atividade não autorizada em seu servidor SFTP, nem Frost Bank nem Citizens Bank reconheceram publicamente as alegações do Everest. A Sefas está oferecendo 12 meses de monitoramento de crédito aos afetados. Desde o início de 2025, 68 ataques de ransomware foram registrados contra instituições financeiras nos EUA, com apenas nove confirmados. Os ataques de ransomware podem causar perda de dados e exigir resgates para a recuperação dos sistemas. O grupo Everest, ativo desde 2020, já atacou diversas organizações, incluindo a NASA e o governo brasileiro.

Serviço de VPN First VPN desativado em operação internacional

O serviço de rede privada virtual (VPN) conhecido como ‘First VPN’, utilizado em ataques de ransomware e roubo de dados, foi desativado em uma operação conjunta de aplicação da lei internacional. Autoridades apreenderam dezenas de servidores do First VPN em 27 países, prenderam o administrador e realizaram uma busca domiciliar na Ucrânia. O serviço era promovido em fóruns de cibercrime como uma VPN focada na privacidade, que não registrava dados dos usuários e ignorava solicitações de informações por parte das autoridades. Embora as VPNs sejam usadas legitimamente para proteger a privacidade, contornar censura e permitir trabalho remoto seguro, criminosos também as utilizam para ocultar sua localização. A Europol informou que o nome do serviço foi mencionado em quase todas as investigações de cibercrime que apoiou. A investigação começou em dezembro de 2021 e envolveu a infiltração na infraestrutura da VPN, onde foram coletados dados de usuários e conexões utilizadas em ataques. A operação resultou na apreensão de 33 servidores e na identificação de usuários da plataforma, embora não tenha sido especificado se ações legais serão tomadas contra eles.

Campanha de ciberespionagem chinesa ataca provedores de telecomunicações

Uma campanha de ciberespionagem atribuída ao grupo de ameaças Calypso, também conhecido como Red Lamassu, tem como alvo provedores de telecomunicações na Ásia-Pacífico e partes do Oriente Médio desde meados de 2022. Os pesquisadores da Lumen’s Black Lotus Labs e da PwC Threat Intelligence identificaram dois tipos de malware: Showboat, para sistemas Linux, e JFMBackdoor, para Windows. O Showboat é um framework modular que permite a persistência após a infecção inicial, coletando informações do sistema comprometido e enviando-as a um servidor de comando e controle. Uma de suas funcionalidades notáveis é a capacidade de atuar como um proxy SOCKS5, facilitando o movimento lateral na rede interna. Por outro lado, o JFMBackdoor é um implante de espionagem completo para Windows, que permite acesso remoto, gerenciamento de arquivos, manipulação do registro e captura de telas. A infraestrutura dos atacantes sugere um modelo operacional descentralizado, com clusters que compartilham ferramentas e padrões de certificação, mas que visam conjuntos de vítimas distintos. A análise indica que as ferramentas podem ser utilizadas por vários grupos de ameaças alinhados à China, aumentando a preocupação com a segurança em telecomunicações.

Evolução das operações de roubo de criptomoedas Drainer-as-a-Service

Nos últimos anos, as operações de roubo de criptomoedas evoluíram significativamente, passando de páginas de phishing isoladas para uma economia subterrânea estruturada em torno de plataformas conhecidas como ‘Drainer-as-a-Service’ (DaaS). Diferente das operações tradicionais de malware, os draineres utilizam engenharia social para atrair vítimas a sites falsos de criptomoedas, NFTs ou DeFi, onde são induzidas a conectar suas carteiras e aprovar transações maliciosas. Uma análise de dados coletados de fóruns underground revelou que essas operações estão se profissionalizando, com foco em crescimento de afiliados e automação. O modelo DaaS permite que operadores mantenham a infraestrutura de drenagem enquanto afiliados geram tráfego por meio de links de phishing e contas de redes sociais comprometidas. O estudo também destacou a resiliência operacional do Lucifer, um exemplo de DaaS, que se adaptou a banimentos e suspensões de serviços, utilizando descentralização para manter suas operações. A popularidade dos draineres se deve à natureza líquida e rápida das criptomoedas, além da confusão que muitos usuários têm em relação às permissões de carteira, tornando-os alvos fáceis para ataques. Essa situação representa um risco significativo para organizações que lidam com criptomoedas, exigindo atenção especial de equipes de segurança.

Apple bloqueia mais de R 11 bilhões em transações fraudulentas

A Apple anunciou que bloqueou mais de R$ 11 bilhões em transações fraudulentas na App Store nos últimos seis anos, com mais de R$ 2,2 bilhões apenas em 2025. Em um comunicado à imprensa, a empresa revelou que rejeitou mais de 2 milhões de submissões problemáticas de aplicativos no último ano e bloqueou mais de 1,1 bilhão de criações de contas fraudulentas. Além disso, a Apple encerrou 193 mil contas de desenvolvedores devido a preocupações com fraudes e desativou 40,4 milhões de contas de clientes suspeitas de abuso. Os números de 2025 mostram um aumento significativo em relação aos anos anteriores, com a empresa utilizando tecnologia avançada e revisão humana para detectar e impedir o uso de informações financeiras roubadas. A equipe de revisão de aplicativos da Apple avaliou mais de 9,1 milhões de submissões em 2025, rejeitando um número considerável por violações de privacidade e táticas enganosas. A Apple também processou mais de 1,3 bilhão de avaliações e bloqueou quase 195 milhões de avaliações fraudulentas. A empresa aconselha os usuários a reportarem atividades suspeitas em aplicativos baixados da App Store.

Ataques Cibernéticos A Nova Realidade das Ameaças Digitais

Nesta semana, o cenário de cibersegurança revela uma crescente preocupação com ataques que exploram elementos considerados confiáveis, como atualizações e aplicativos. O evento Pwn2Own Berlin 2026 destacou a descoberta de 47 vulnerabilidades zero-day em produtos amplamente utilizados, resultando em prêmios significativos para pesquisadores de segurança. Além disso, o NCSC do Reino Unido alertou sobre os riscos associados ao uso de inteligência artificial em ambientes corporativos, enfatizando a necessidade de controles de segurança rigorosos. No âmbito internacional, o governo polonês recomendou que seus oficiais deixassem de usar o Signal, devido a ataques de engenharia social, e a polícia holandesa lançou uma campanha para identificar suspeitos de fraudes. O ransomware Gunra também está em ascensão na Coreia do Sul, enquanto a vulnerabilidade no Composer, um gerenciador de dependências PHP, exige atualizações urgentes. Por fim, campanhas de intrusão baseadas em IA estão se intensificando na América Latina, destacando a evolução das táticas de ataque. Esses eventos sublinham a necessidade de vigilância constante e atualização das práticas de segurança.