Cibersegurança

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

Cibercriminosos têm utilizado campanhas de engenharia social sofisticadas para atacar idosos em diversos países, incluindo Brasil, através de grupos falsos no Facebook que promovem viagens para a terceira idade. O malware, conhecido como Datzbro, é um trojan bancário que se aproveita de serviços de acessibilidade do Android para realizar operações de controle remoto do dispositivo da vítima. Os criminosos atraem os usuários com conteúdos aparentemente legítimos sobre atividades sociais e, ao demonstrar interesse, enviam links maliciosos via Facebook Messenger ou WhatsApp.

Um relatório de inteligência consolidado revelou operações de espionagem sofisticadas realizadas por um grupo de hackers conhecido como Salt Typhoon, vinculado ao Ministério da Segurança do Estado da China. Desde 2019, o grupo tem explorado vulnerabilidades em dispositivos de rede, como roteadores e firewalls, para implantar rootkits personalizados. Utilizando técnicas como a execução de binários legítimos para baixar cargas úteis disfarçadas de atualizações de firmware, os hackers conseguem manter a persistência em sistemas comprometidos por longos períodos.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

O Relatório de Avaliação de Cibersegurança de 2025 da Bitdefender apresenta um panorama alarmante sobre a defesa cibernética atual. A pesquisa, que envolveu mais de 1.200 profissionais de TI e segurança em seis países, revelou que 58% dos profissionais foram instruídos a manter a confidencialidade após uma violação, um aumento de 38% em relação a 2023. Essa pressão por silêncio pode comprometer a confiança dos stakeholders e a conformidade regulatória. Além disso, 84% dos ataques de alta severidade utilizam técnicas de ‘Living Off the Land’, que exploram ferramentas legítimas já presentes nas organizações, levando 68% das empresas a priorizarem a redução da superfície de ataque. A pesquisa também destaca um descompasso entre executivos e equipes operacionais, com 45% dos executivos se sentindo confiantes na gestão de riscos cibernéticos, enquanto apenas 19% dos gerentes de nível médio compartilham dessa confiança. O relatório conclui que a resiliência cibernética exige estratégias proativas, como a redução de superfícies de ataque e a melhoria da comunicação entre liderança e equipes de segurança.

Uma grave falha de segurança foi identificada no serviço Red Hat OpenShift AI, que pode permitir que atacantes escalem privilégios e assumam o controle total da infraestrutura sob certas condições. O OpenShift AI é uma plataforma que gerencia o ciclo de vida de modelos de inteligência artificial preditiva e generativa em ambientes de nuvem híbrida. A vulnerabilidade, identificada como CVE-2025-10725, possui uma pontuação CVSS de 9.9, sendo classificada como ‘Importante’ pela Red Hat, uma vez que requer que o atacante esteja autenticado para comprometer o ambiente. Um atacante com privilégios baixos, como um cientista de dados utilizando um Jupyter notebook, pode elevar seus privilégios a um administrador completo do cluster, comprometendo a confidencialidade, integridade e disponibilidade do cluster. Isso pode resultar no roubo de dados sensíveis e na interrupção de serviços. As versões afetadas incluem Red Hat OpenShift AI 2.19 e 2.21. A Red Hat recomenda que os usuários evitem conceder permissões amplas a grupos de sistema e que as permissões para criar jobs sejam concedidas de forma mais granular, seguindo o princípio do menor privilégio.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) identificou uma vulnerabilidade crítica no Cisco IOS e IOS XE, classificada como CVE-2025-20352, que afeta o protocolo Simple Network Management Protocol (SNMP). Esta falha, resultante de um estouro de buffer baseado em pilha, está sendo ativamente explorada, permitindo que atacantes com acesso à rede provoquem condições de negação de serviço ou até mesmo execução remota de código. A CISA estabeleceu um prazo de remediação até 20 de outubro de 2025 para agências federais, enquanto empresas do setor privado são aconselhadas a acelerar a aplicação de patches para evitar interrupções. A vulnerabilidade pode ser explorada por atacantes de baixo privilégio para causar falhas nos equipamentos de rede, enquanto atacantes com privilégios elevados podem obter controle total do dispositivo afetado, possibilitando manipulação de tráfego e instalação de malware. A Cisco já disponibilizou medidas de mitigação e recomenda que os clientes apliquem atualizações de segurança imediatamente. A inclusão da CVE-2025-20352 no catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA indica que a exploração dessa falha pode se tornar uma prática comum entre cibercriminosos, tornando a rápida remediação essencial para a segurança das redes corporativas e governamentais.

O Google, através de seu Grupo de Inteligência de Ameaças (GTIG), divulgou novas diretrizes técnicas para combater o grupo de ameaças UNC6040, que utiliza phishing por voz (vishing) para comprometer ambientes Salesforce. Em vez de explorar vulnerabilidades de aplicativos, os atacantes têm se baseado em engenharia social convincente para induzir funcionários a autorizarem aplicativos maliciosos conectados, obtendo acesso a dados corporativos valiosos. As operações do UNC6040 geralmente começam com chamadas que se fazem passar por suporte técnico, persuadindo os funcionários a autorizar ferramentas que parecem legítimas, como uma versão modificada do aplicativo Data Loader. Uma vez dentro, os atacantes podem acessar dados sensíveis rapidamente, incluindo informações de clientes e dados financeiros. O Google recomenda a implementação de autenticação multifatorial resistente a phishing, centralização de acessos via plataformas de Single Sign-On e verificação rigorosa em procedimentos de help desk. Além disso, sugere configurações rigorosas no Salesforce, como restrições de IP e permissões limitadas. O monitoramento em tempo real é essencial para detectar atividades suspeitas, e a correlação de dados entre plataformas como Salesforce, Okta e Microsoft 365 pode ajudar a identificar movimentos laterais de atacantes. Com a mudança de foco dos atacantes para manipulação baseada em confiança, as organizações são incentivadas a modernizar sua postura de segurança em SaaS.

Cibercriminosos estão intensificando suas táticas ao abusar de certificados de assinatura de código de Validação Estendida (EV) para evitar detecções de segurança no macOS. Uma nova campanha associada à família de malware Odyssey Stealer foi identificada, utilizando certificados de ID de desenvolvedor da Apple fraudulentamente emitidos, permitindo a distribuição de DMGs que passam despercebidos por verificações de segurança. Pesquisadores descobriram um arquivo DMG malicioso assinado com um certificado de ID de desenvolvedor suspeito, vinculado a um nome fabricado, ‘THOMAS BOULAY DUVAL’. O malware, uma vez executado, baixa um payload malicioso que exfiltra dados sensíveis, como credenciais de navegador e informações de carteiras de criptomoedas. O uso de certificados EV, que são caros e requerem validação rigorosa, permite que os atacantes distribuam malware que parece ser um aplicativo legítimo do macOS, contornando as verificações do Gatekeeper e ganhando a confiança do usuário. Embora o processo de revogação de assinatura de código da Apple ajude a mitigar esse abuso, o tempo entre a descoberta e a revogação oferece uma janela operacional valiosa para os atacantes. Essa campanha destaca a determinação dos cibercriminosos em minar os mecanismos de segurança baseados em confiança tanto no ecossistema Windows quanto no macOS.

A campanha ‘Detour Dog’, um ator de ameaças ativo desde fevereiro de 2020, lançou uma nova estratégia inovadora para distribuir o malware Strela Stealer. Utilizando consultas de registros DNS TXT, a campanha consegue redirecionar visitantes de sites comprometidos e entregar malware em múltiplas etapas, afetando dezenas de milhares de sites ao redor do mundo. Essa abordagem permite que o Detour Dog evite a detecção e mantenha controle sobre a infraestrutura infectada.

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Um novo trojan bancário para Android, chamado Klopatra, foi descoberto e já comprometeu mais de 3.000 dispositivos, principalmente na Espanha e na Itália. Identificado pela empresa italiana Cleafy, o malware utiliza uma técnica avançada de controle remoto chamada VNC (Virtual Network Computing) e sobreposições dinâmicas para roubo de credenciais, facilitando transações fraudulentas. Os pesquisadores destacam que Klopatra representa uma evolução significativa na sofisticação do malware móvel, utilizando bibliotecas nativas e uma ferramenta de proteção de código comercial chamada Virbox, o que dificulta sua detecção.

Recentemente, a Microsoft conseguiu bloquear uma campanha de phishing que utilizava código gerado por inteligência artificial (IA) para ocultar um payload malicioso dentro de um arquivo SVG disfarçado como PDF. Os atacantes enviaram e-mails de contas de pequenas empresas comprometidas, utilizando campos BCC para esconder os alvos reais. O arquivo SVG continha elementos ocultos que simulavam um painel de negócios, enquanto um script transformava palavras relacionadas a negócios em código, levando os usuários a uma página de login falsa após um redirecionamento para um CAPTCHA. A análise do arquivo pelo Microsoft Security Copilot revelou características típicas de código gerado por IA, como identificadores longos e comentários genéricos, o que indicou que o código era mais polido do que prático. Embora a campanha tenha sido limitada e facilmente bloqueada, ela destaca como os atacantes estão cada vez mais utilizando IA para criar iscas convincentes e payloads complexos. A Microsoft enfatiza a importância de ferramentas de IA na detecção e resposta a ameaças em larga escala, tanto para defensores quanto para atacantes.

Pesquisadores da Bitdefender identificaram uma campanha de hackers que, desde 2024, utiliza canais verificados no YouTube para disseminar malware. Inicialmente, o golpe começou com anúncios no Facebook, prometendo acesso gratuito à versão premium da plataforma de trading TradingView. Recentemente, os criminosos invadiram a conta de um anunciante de uma agência de design na Noruega, substituindo o conteúdo do canal por uma identidade visual que imitava a TradingView, o que conferiu legitimidade ao golpe.

A Trend Micro identificou uma nova variante do ransomware LockBit, chamada LockBit 5.0, que se mostra significativamente mais perigosa do que suas versões anteriores. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma interface aprimorada e capacidades furtivas inovadoras, além de uma encriptação mais rápida. Os pesquisadores observaram que o ransomware agora possui versões para Windows, Linux e ESXi, o que representa uma escalada crítica nas suas capacidades, especialmente na virtualização VMWare. O novo vírus permite que os atacantes escolham quais pastas encriptar ou ignorar e oferece modos de operação como “invisível” e “verbal”. Além disso, o LockBit 5.0 utiliza técnicas de evasão, como a substituição de APIs, dificultando a detecção pelo Windows. O grupo responsável pelo ransomware também implementou um sistema de suporte via chat para negociação de resgates, complicando ainda mais a recuperação dos dados para as vítimas. A nova versão mantém a geolocalização para evitar ataques em regiões onde a língua russa é detectada, o que demonstra uma evolução nas táticas do grupo criminoso. Com a continuidade das operações do LockBit, mesmo após ações de autoridades em 2024, a ameaça se torna cada vez mais relevante para empresas em todo o mundo, incluindo o Brasil.

Nos últimos dois anos e meio, organizações governamentais e de telecomunicações na África, Oriente Médio e Ásia têm sido alvo de um ator de ameaças de estado-nacional alinhado à China, conhecido como Phantom Taurus. O foco principal do grupo inclui ministérios das relações exteriores, embaixadas e operações militares, com o objetivo de coletar informações confidenciais e realizar espionagem. O grupo, que foi inicialmente identificado como CL-STA-0043, demonstrou uma capacidade notável de adaptação em suas táticas e técnicas, utilizando ferramentas personalizadas, como um malware chamado NET-STAR, desenvolvido em .NET para atacar servidores web IIS. As operações do Phantom Taurus frequentemente coincidem com eventos geopolíticos significativos, refletindo um interesse estratégico por informações de defesa e comunicações diplomáticas. A abordagem do grupo inclui a exploração de vulnerabilidades conhecidas, como ProxyLogon e ProxyShell, em servidores Microsoft Exchange e IIS, além de um método inovador que permite a extração de dados diretamente de bancos de dados SQL. A complexidade e a sofisticação das técnicas empregadas pelo Phantom Taurus representam uma ameaça significativa para servidores expostos à internet, exigindo atenção redobrada de profissionais de segurança cibernética.

Pesquisadores da KU Leuven e da Universidade de Birmingham descobriram uma nova vulnerabilidade chamada Battering RAM, que permite contornar as defesas mais recentes dos processadores em nuvem da Intel e AMD. Utilizando um interposer de baixo custo, que pode ser montado por menos de 50 dólares, o ataque redireciona endereços de memória protegidos para locais controlados por atacantes, comprometendo dados criptografados. Essa falha afeta todos os sistemas que utilizam memória DDR4, especialmente aqueles que dependem de computação confidencial em ambientes de nuvem pública. O ataque explora as extensões de segurança de hardware da Intel (SGX) e a virtualização criptografada segura da AMD (SEV-SNP), permitindo acesso não autorizado a regiões de memória protegidas. Embora a Intel e a AMD tenham sido notificadas sobre a vulnerabilidade, ambas consideram ataques físicos fora do escopo de suas defesas atuais. A descoberta destaca as limitações dos designs de criptografia de memória escaláveis utilizados atualmente, que não incluem verificações de frescor criptográfico, e sugere que uma reestruturação fundamental da criptografia de memória é necessária para mitigar essa ameaça.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

Em junho de 2025, a equipe de Detecção e Pesquisa de Ameaças da Sekoia.io identificou requisições POST anômalas em Roteadores Celulares Industriais Milesight, que resultaram na distribuição em massa de mensagens SMS de phishing. Os atacantes exploraram um ponto de extremidade de API não autenticado para enviar cargas JSON que ativavam funções de entrega de SMS. A análise revelou que mais de 19.000 roteadores Milesight estão acessíveis publicamente na internet, com 572 deles apresentando acesso não autenticado às suas APIs de SMS. A maioria dos dispositivos vulneráveis estava nas versões de firmware 32.2.x.x e 32.3.x.x, com uma concentração geográfica significativa na Europa, especialmente na França, Bélgica e Turquia. As campanhas de smishing variaram entre envios em massa e campanhas direcionadas, utilizando domínios maliciosos que se passavam por serviços confiáveis. A exploração desses roteadores destaca a necessidade urgente de proteger dispositivos IoT e de borda, recomendando auditorias de APIs, atualização de firmware e monitoramento contínuo do tráfego dos dispositivos.

Um novo ataque de phishing está direcionando usuários do Gmail, onde cibercriminosos se fazem passar por recrutadores do Google Careers. Desde setembro de 2025, essa campanha utiliza e-mails enganosos com cabeçalhos que parecem legítimos, vinculados a serviços como Salesforce e Cloudflare, para aumentar a confiança das vítimas. Os e-mails contêm um botão que redireciona para um portal falso do Google Careers, hospedado em um domínio que imita a página oficial, solicitando informações pessoais e credenciais do Gmail. O código JavaScript da página captura os dados e os envia para um servidor de comando e controle. Pesquisadores identificaram uma infraestrutura maior, com múltiplos domínios relacionados, sugerindo uma operação coordenada de phishing como serviço. Especialistas recomendam que os usuários estejam atentos a e-mails de recrutamento não solicitados e verifiquem sempre as comunicações através de portais oficiais. Essa onda de phishing demonstra a crescente sofisticação dos atacantes em combinar infraestrutura confiável e imitação de marcas para comprometer contas em larga escala.

A Asahi Group Holdings, gigante japonesa do setor de bebidas, suspendeu as operações em suas 30 fábricas no Japão devido a um ciberataque severo. O ataque, detectado na noite de domingo, comprometeu sistemas críticos de planejamento de recursos empresariais (ERP) e de execução de manufatura (MES), resultando na paralisação das linhas de engarrafamento e embalagem. A empresa confirmou que não há evidências de vazamento de dados pessoais de clientes ou funcionários, mas está avaliando a extensão dos danos. Especialistas em cibersegurança foram contratados para realizar uma análise forense do incidente. A interrupção da produção afeta marcas icônicas como Asahi Super Dry e Nikka Whisky, e pode levar a escassez de produtos no mercado. A Asahi planeja implementar medidas de segurança aprimoradas, incluindo monitoramento avançado e gerenciamento acelerado de patches, para evitar futuros incidentes. Este evento destaca a vulnerabilidade das cadeias de suprimento e da infraestrutura digital no setor de manufatura japonês, que já enfrentou uma série de ataques cibernéticos de alto perfil neste ano.

Um novo grupo de ameaças persistentes avançadas (APT) alinhado ao Estado chinês, denominado Phantom Taurus, foi identificado após três anos de monitoramento pela Palo Alto Networks. Este grupo tem como alvo principal entidades governamentais e provedores de telecomunicações na África, Oriente Médio e Ásia, e está vinculado a operações de espionagem de longo prazo que apoiam os interesses geopolíticos da República Popular da China.

O Phantom Taurus se destaca por sua combinação de técnicas de infiltração discretas e malware personalizado. Em 2025, o grupo alterou suas táticas, passando de ataques de exfiltração de e-mails para o direcionamento direto de bancos de dados sensíveis. O núcleo de suas operações é a suíte de malware NET-STAR, que inclui backdoors projetados para infectar servidores web Microsoft IIS. O malware utiliza técnicas avançadas de evasão e execução sem arquivos, dificultando a detecção por defesas tradicionais.

Pesquisadores de cibersegurança identificaram um novo trojan bancário para Android, chamado Datzbro, que realiza ataques de tomada de controle de dispositivos e transações fraudulentas, especialmente visando idosos. A empresa ThreatFabric, da Holanda, descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook promovendo ‘viagens ativas para idosos’. Os criminosos também atuaram em países como Singapura, Malásia, Canadá, África do Sul e Reino Unido.

Uma nova vulnerabilidade de segurança, identificada como CVE-2025-41244, foi descoberta nas ferramentas VMware e no VMware Aria Operations, afetando diversas versões do VMware Cloud Foundation e VMware vSphere. Com um escore CVSS de 7.8, essa falha permite a escalada de privilégios locais, possibilitando que um usuário não privilegiado execute código em um contexto privilegiado, como o root, em máquinas virtuais (VMs) afetadas. A exploração da vulnerabilidade foi atribuída ao grupo de ameaças UNC5174, vinculado à China, que a utilizou desde outubro de 2024. A falha está relacionada a uma função chamada ‘get_version()’, que, devido a um padrão de expressão regular mal formulado, permite que binários maliciosos sejam executados em diretórios acessíveis a usuários não privilegiados. A VMware já lançou patches para mitigar a vulnerabilidade, mas a exploração em ambientes reais levanta preocupações sobre a segurança das infraestruturas que utilizam suas soluções. A situação exige atenção imediata de profissionais de segurança da informação, especialmente em contextos onde as tecnologias da VMware são amplamente utilizadas.

Os Centros de Operações de Segurança (SOCs) enfrentam um desafio crescente com a avalanche de alertas que chegam diariamente, resultando em um cenário caótico onde os analistas lutam para manter o controle. O modelo tradicional, que se baseia em regras e gera alertas sem contexto, muitas vezes resulta em atrasos na identificação de ameaças reais. Para superar essa situação, é essencial adotar uma abordagem que priorize o contexto em vez do caos. Ao normalizar e conectar dados de diferentes fontes, como logs de sistemas de identidade e cargas de trabalho em nuvem, os analistas podem obter uma visão mais clara das atividades suspeitas. Isso transforma tentativas de login em potencial em informações valiosas sobre um possível ataque em andamento.

No dia 30 de setembro de 2025, a Microsoft anunciou a expansão de sua solução de gerenciamento de incidentes e eventos de segurança (SIEM), o Sentinel, com a disponibilização geral do Sentinel data lake. Este novo recurso é uma ferramenta nativa da nuvem, projetada para ingerir, gerenciar e analisar dados de segurança, proporcionando melhor visibilidade e análises avançadas. O data lake permite que modelos de inteligência artificial, como o Security Copilot, tenham acesso ao contexto completo necessário para detectar padrões sutis e correlacionar sinais, facilitando a identificação de comportamentos de atacantes e a resposta a incidentes. Além disso, a Microsoft introduziu o Sentinel Graph e o Modelo de Contexto do Protocolo (MCP), que permitem uma orquestração mais eficiente e uma compreensão contextual mais rica dos dados de segurança. A empresa também destacou a importância de proteger plataformas de IA contra ataques de injeção de prompt, anunciando melhorias no Azure AI Foundry para aumentar a segurança dos agentes de IA. Com essas inovações, a Microsoft visa transformar a cibersegurança de um modelo reativo para um preditivo, permitindo que as equipes de segurança respondam mais rapidamente a eventos em larga escala.

Pesquisadores de cibersegurança revelaram três vulnerabilidades críticas no assistente de inteligência artificial Gemini do Google, que, se exploradas, poderiam comprometer a privacidade dos usuários e permitir o roubo de dados. As falhas, coletivamente chamadas de ‘Gemini Trifecta’, incluem: uma injeção de prompt no Gemini Cloud Assist, que poderia permitir que atacantes manipulassem serviços em nuvem; uma injeção de busca no modelo de Personalização de Busca do Gemini, que poderia vazar informações salvas e dados de localização ao manipular o histórico de busca do Chrome; e uma falha de injeção indireta no Gemini Browsing Tool, que poderia exfiltrar dados do usuário para servidores externos. Após a divulgação responsável, o Google implementou medidas de segurança, como a interrupção da renderização de hyperlinks nas respostas de resumo de logs. A Tenable, empresa de segurança, destacou que a situação evidencia que a IA pode ser utilizada como veículo de ataque, não apenas como alvo, enfatizando a necessidade de visibilidade e controle rigoroso sobre ferramentas de IA em ambientes corporativos.

Um erro de precificação regional em EA Sports FC 26 permitiu que jogadores utilizassem VPNs para comprar FC points a preços extremamente baixos. Ao se conectarem a servidores VPN na Indonésia, os usuários conseguiram adquirir 18.500 FC points, normalmente avaliados em mais de 120 dólares, por menos de 1 dólar. Essa prática, considerada uma exploração do sistema, levou a relatos de banimentos de contas por parte da EA. Embora o uso de VPNs possa oferecer benefícios legítimos, como maior privacidade e segurança, a utilização para manipular preços é vista como uma violação das regras do jogo. A EA ainda não confirmou oficialmente os banimentos, mas a recomendação é que jogadores desativem o crossplay para evitar interações com contas que possam ter se beneficiado do erro. O incidente destaca a necessidade de uma vigilância mais rigorosa sobre o uso de tecnologias que, embora úteis, podem ser mal utilizadas para obter vantagens injustas em jogos online.

A convergência de aprendizado de máquina avançado, automação e IA generativa está transformando rapidamente o cenário de ameaças cibernéticas. O surgimento da IA Agente, que pode aprender, tomar decisões e agir de forma autônoma, representa um novo desafio para a cibersegurança. Diferentemente da IA generativa, que apenas reage a entradas, a IA Agente é capaz de inferir e se adaptar independentemente, o que a torna atraente para adversários que buscam explorar suas capacidades. As organizações enfrentam riscos crescentes relacionados ao controle de acesso, vazamento de dados e exposição não intencional de informações sensíveis. Para se defender, as empresas devem adotar a IA Agente como uma extensão de suas equipes de segurança, utilizando-a para detectar vulnerabilidades e antecipar comportamentos de ameaças. No entanto, a implementação segura e estratégica dessa tecnologia é crucial, pois a falta de estruturas claras pode resultar em lacunas de segurança significativas. A adoção cautelosa e gradual da IA Agente, com um foco em governança e integração humano-máquina, é recomendada para mitigar riscos e maximizar benefícios.

Um vendedor conhecido como “SebastianPereiro” anunciou em um fórum da dark web a venda de um exploit de execução remota de código (RCE) para o Veeam Backup & Replication, identificado como o “Bug de Junho de 2025”. Este exploit afeta especificamente as versões 12.x do Veeam, incluindo 12, 12.1, 12.2, 12.3 e 12.3.1, e permite que qualquer conta válida do Active Directory acesse a vulnerabilidade. Uma vez autenticado, um atacante pode executar códigos arbitrários no servidor de backup, o que pode resultar em manipulação ou exclusão de backups, exfiltração de dados ou movimentação lateral na rede da organização. Até o momento, a Veeam não divulgou um aviso ou patch para a vulnerabilidade identificada como CVE-2025-23121, e não há provas de conceito disponíveis publicamente. A falta de medidas de segurança adequadas pode comprometer a recuperação de desastres e facilitar ataques de ransomware. As equipes de segurança devem verificar imediatamente suas versões do Veeam, aplicar princípios de menor privilégio e implementar autenticação multifatorial para mitigar riscos. A situação é crítica, e a vigilância contínua sobre as atualizações da Veeam é essencial.

O famoso departamento de luxo Harrods confirmou que cerca de 430 mil registros de clientes foram comprometidos em um recente incidente de segurança cibernética, resultante de um ataque que afetou informações de um fornecedor terceirizado. Os dados roubados incluem informações pessoais básicas, como nomes, endereços de e-mail e números de telefone, mas não envolvem senhas, informações de pagamento ou histórico de pedidos. A empresa enfatizou que a violação afetou apenas uma pequena parte de sua base de clientes, já que a maioria realiza compras em lojas físicas. Harrods não se envolveu em negociações com os responsáveis pelo ataque e está cooperando com as autoridades competentes. Este incidente segue uma série de ataques cibernéticos que atingiram grandes empresas no Reino Unido, levantando preocupações sobre a segurança de dados e a proteção de informações pessoais. Clientes preocupados foram orientados a entrar em contato com uma linha de apoio dedicada e a seguir orientações sobre como proteger suas informações pessoais.

Recentemente, a Broadcom divulgou o aviso VMSA-2025-0016, que aborda três vulnerabilidades significativas nos produtos VMware vCenter Server e NSX. Essas falhas, classificadas como importantes, permitem que atacantes maliciosos manipulem cabeçalhos SMTP e enumere nomes de usuários válidos, criando oportunidades para ataques direcionados, como phishing e movimentação lateral na rede.

As vulnerabilidades incluem: CVE-2025-41250, que permite a injeção de cabeçalhos SMTP por usuários com permissão para criar tarefas agendadas no vCenter; CVE-2025-41251, que expõe um mecanismo fraco de recuperação de senhas no NSX, permitindo que atacantes não autenticados verifiquem a existência de nomes de usuários; e CVE-2025-41252, que utiliza diferenças sutis no tempo de resposta do login do NSX para inferir nomes de usuários válidos.

Uma nova vulnerabilidade crítica, identificada como CVE-2025-41244, afeta o VMware Tools e o VMware Aria Operations, permitindo que usuários não privilegiados executem código com privilégios de root sem autenticação. Essa falha, explorada ativamente pelo grupo de ameaças UNC5174 desde outubro de 2024, resulta de padrões de expressão regular excessivamente amplos no componente get-versions.sh, que pode ser manipulado para executar binários maliciosos. O ataque ocorre em ambientes de nuvem híbrida, onde a execução de um binário malicioso em diretórios graváveis, como /tmp/httpd, pode levar a um shell de root. Para mitigar essa vulnerabilidade, recomenda-se que as organizações apliquem patches imediatamente, monitorem processos e restrinjam permissões de gravação em diretórios vulneráveis. A gravidade da situação exige uma resposta rápida para proteger as infraestruturas críticas contra ameaças persistentes avançadas.

Uma cidadã chinesa, Zhimin Qian, também conhecida como Yadi Zhang, foi condenada no Reino Unido por sua participação em um esquema fraudulento de criptomoedas que resultou na defraudação de mais de 128 mil vítimas. Durante uma operação policial em sua residência em Londres, as autoridades confiscou £5,5 bilhões (aproximadamente $7,39 bilhões) em criptomoedas, totalizando 61.000 Bitcoins, o que representa a maior apreensão desse tipo no mundo. A investigação, iniciada em 2018, revelou que Zhang enganou principalmente pessoas entre 50 e 75 anos, prometendo lucros garantidos e dividendos diários. Após fugir da China com documentos falsos, ela tentou lavar o dinheiro por meio da compra de propriedades no Reino Unido. Outro envolvido, Jian Wen, também foi condenado e teve que devolver mais de £3,1 milhões. Além disso, a INTERPOL anunciou a Operação Contender 3.0, que resultou na prisão de 260 suspeitos em 14 países africanos, visando combater fraudes online, como golpes românticos e sextorsão, que afetaram 1.463 vítimas e geraram perdas de $2,8 milhões.

Uma nova campanha de cibersegurança identificada pela Blackpoint SOC revela que hackers estão explorando o Microsoft Teams para disseminar malware. Utilizando técnicas de envenenamento de SEO e anúncios patrocinados, os criminosos atraem usuários que buscam baixar o aplicativo oficial. Ao clicar em um link malicioso, os usuários são direcionados para um site que imita a página de download do Teams, onde um instalador falso é oferecido. Este instalador, chamado MSTeamsSetup.exe, contém uma backdoor conhecida como Oyster, que permite acesso remoto ao computador da vítima. O malware, que foi detectado pela primeira vez em 2023, é capaz de executar comandos, transferir arquivos e baixar outros vírus. A campanha é particularmente direcionada a usuários que buscam o download do Teams, e o arquivo malicioso é assinado com certificados para parecer legítimo. A recomendação para os usuários é baixar softwares apenas de domínios verificados e evitar clicar em anúncios nos buscadores. Essa situação destaca a necessidade de vigilância constante em relação a ameaças de malvertising e envenenamento de SEO, especialmente em ambientes corporativos.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

O grupo de ransomware Qilin reivindicou a responsabilidade por um ataque cibernético ao Lakehaven Water & Sewer District, em Washington, ocorrido em 3 de setembro de 2025. O ataque resultou em uma interrupção significativa no sistema de pagamento de contas do distrito. Em 25 de setembro, Qilin publicou amostras de documentos internos supostamente roubados, mas o Lakehaven não confirmou a veracidade da reivindicação. A investigação sobre o incidente está em andamento, e o distrito informou que não haverá interrupções nos serviços de água e esgoto, apesar das dificuldades no processamento de pagamentos. Qilin, que opera um modelo de ransomware como serviço, já atacou 134 organizações, incluindo 28 entidades governamentais em 2025. Os ataques de ransomware a serviços públicos nos EUA têm se intensificado, com 63 incidentes confirmados até agora neste ano. O impacto desses ataques pode incluir roubo de dados e paralisação de sistemas, colocando em risco a segurança dos clientes e a continuidade dos serviços. O Lakehaven atende cerca de 112.000 pessoas na região.

Uma nova campanha de malware, denominada EvilAI, está utilizando ferramentas de inteligência artificial (IA) aparentemente legítimas para infiltrar malware em organizações ao redor do mundo. De acordo com a Trend Micro, os ataques têm como alvo setores como manufatura, governo, saúde, tecnologia e varejo, afetando países como Índia, EUA, França, Itália, Brasil, Alemanha, Reino Unido, Noruega, Espanha e Canadá. Os atacantes se destacam por sua habilidade em disfarçar software malicioso como aplicativos de produtividade, utilizando interfaces profissionais e assinaturas digitais válidas, dificultando a identificação por usuários e ferramentas de segurança.

O GoAnywhere MFT, uma solução popular de transferência de arquivos gerenciada, apresenta uma vulnerabilidade crítica, identificada como CVE-2025-10035, que permite a injeção de comandos através do servlet de licença. Essa falha foi classificada com a severidade máxima de 10/10 e está sendo explorada ativamente por atacantes, conforme evidências credíveis encontradas pelos pesquisadores da WatchTowr Labs. A exploração da vulnerabilidade começou antes da divulgação pública, com registros de ataques datando de 10 de setembro de 2025, oito dias antes do aviso oficial da Fortra, empresa responsável pelo GoAnywhere. Para mitigar os riscos, os usuários são aconselhados a atualizar para a versão corrigida mais recente (7.8.4) ou a versão de Sustentação (7.6.3). Aqueles que não puderem aplicar o patch devem isolar o sistema do GoAnywhere da internet pública. A falha é especialmente preocupante, pois no início de 2023, um ataque semelhante resultou no roubo de dados de várias organizações, com o grupo de ransomware Cl0p reivindicando a responsabilidade. Portanto, a urgência em aplicar as correções é crítica para evitar possíveis brechas de segurança e vazamentos de dados.

Uma nova vulnerabilidade de execução remota de código (RCE) sem interação do usuário foi descoberta no WhatsApp, afetando dispositivos iOS, macOS e iPadOS. A falha, identificada como CVE-2025-55177, permite que atacantes enviem uma imagem DNG maliciosa que, ao ser processada automaticamente pelo aplicativo, compromete completamente o dispositivo da vítima. O ataque ocorre em duas etapas: primeiro, uma falha lógica no manuseio de mensagens do WhatsApp permite que um invasor falsifique a origem de uma mensagem e insira um arquivo DNG malicioso na conversa. Em seguida, uma segunda vulnerabilidade, CVE-2025-43300, no parser de arquivos DNG, causa corrupção de memória, permitindo que o invasor execute código arbitrário. A exploração é silenciosa, sem necessidade de interação do usuário, tornando a detecção extremamente difícil. Tanto o WhatsApp quanto a Apple estão cientes das vulnerabilidades e estão trabalhando em correções. Usuários são aconselhados a atualizar seus aplicativos assim que as correções forem disponibilizadas e a ter cautela ao receber mensagens multimídia não solicitadas. A situação destaca a complexidade de proteger aplicativos de mensagens contra vetores de ataque que exploram formatos de arquivo aparentemente seguros.

A Jaguar Land Rover (JLR) anunciou a retomada controlada e gradual de suas operações de fabricação após um incidente significativo de cibersegurança que interrompeu a produção no início de setembro de 2025. A empresa está reativando seções-chave de suas linhas de montagem, priorizando áreas de produção não críticas para minimizar a interrupção aos clientes e concessionárias. A JLR está colaborando com especialistas em cibersegurança, agências governamentais e forças de segurança para garantir que o reinício ocorra de forma segura. A primeira fase da recuperação permitirá a fabricação gradual de modelos de alta demanda, com a condição de que todos os sistemas e redes sejam validados quanto à segurança antes da reativação. Embora a JLR não tenha divulgado detalhes sobre a natureza do ataque, a empresa assegurou que dados críticos de clientes e negócios permaneceram seguros durante o incidente. O Centro Nacional de Segurança Cibernética do Reino Unido está apoiando a análise forense da infraestrutura de TI da JLR para identificar a causa raiz do ataque e fortalecer as defesas contra futuras ameaças. A JLR também está reforçando seus protocolos de resposta a incidentes cibernéticos e investindo em ferramentas de monitoramento aprimoradas para detectar anomalias em tempo real.

Pesquisadores identificaram 18 amostras distintas do Acreed, um infostealer avançado que está se tornando popular entre redes de cibercriminosos. A arquitetura do Acreed é notável por seu mecanismo inovador de recuperação de comando e controle (C2), que utiliza tanto a BNB Smartchain Testnet quanto a plataforma de jogos Steam como resolutores de dead drop. Ao embutir instruções criptografadas em transações de blockchain e chamadas legítimas da API do Steam, os atacantes garantem comunicações C2 resilientes que se misturam ao tráfego de rede benigno.

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

Em 25 de setembro de 2025, a unidade de resposta a ameaças da eSentire identificou uma operação de spear phishing sofisticada que visava o e-mail de suporte Zendesk de um cliente do setor de manufatura. Os atacantes enviaram um e-mail com tema bancário, intitulado ‘Swift Message MT103 Addiko Bank ad: FT2521935SVT’, que continha um anexo ZIP malicioso. Ao ser extraído, o arquivo implantou o malware DarkCloud, um ladrão de informações que coleta uma ampla gama de dados sensíveis, como senhas armazenadas em navegadores, detalhes de cartões de crédito, credenciais de FTP e até mesmo arquivos de carteiras de criptomoedas. O DarkCloud se destaca por suas características de evasão, utilizando técnicas de criptografia de strings e detecção de ambientes de análise. A exfiltração de dados ocorre por múltiplos canais, incluindo API do Telegram e SMTP. A eSentire conseguiu interceptar os e-mails de spam e evitar a execução do malware, recomendando políticas de segurança de e-mail e treinamento de conscientização sobre phishing para os funcionários. Este incidente ressalta a necessidade de defesas em camadas para proteger as organizações contra campanhas de malware furtivas.

Um estudo recente com 282 líderes de segurança revela que os Centros de Operações de Segurança (SOCs) enfrentam um aumento insustentável no volume de alertas, com uma média de 960 alertas processados diariamente, e até 3.000 em grandes empresas. Essa sobrecarga tem levado a uma situação crítica, onde 40% dos alertas não são investigados devido à falta de recursos. O tempo médio para investigar um alerta é de 70 minutos, mas 56 minutos se passam antes que qualquer ação seja tomada. Essa realidade resulta em um risco operacional significativo, pois 61% das equipes admitem ignorar alertas que se tornaram incidentes críticos. A adoção de Inteligência Artificial (IA) está se tornando essencial, com 55% das equipes já utilizando assistentes de IA para triagem e investigação. A pesquisa indica que 60% das cargas de trabalho dos SOCs podem ser geridas por IA nos próximos três anos, permitindo que analistas se concentrem em investigações mais complexas. Apesar das barreiras como preocupações com privacidade e integração, a tendência é clara: a IA está se tornando uma prioridade estratégica para melhorar a eficiência operacional e reduzir a fadiga dos analistas.

Nesta semana, o cenário de cibersegurança foi marcado por diversas ameaças significativas. Entre os principais destaques, duas falhas de segurança em firewalls da Cisco foram exploradas por grupos de hackers, resultando na entrega de novos tipos de malware, como RayInitiator e LINE VIPER. Essas falhas, CVE-2025-20362 e CVE-2025-20333, possuem pontuações CVSS de 6.5 e 9.9, respectivamente, e permitem a execução de código malicioso em dispositivos vulneráveis. Além disso, o grupo de espionagem cibernética Nimbus Manticore, alinhado ao Irã, ampliou suas operações para atacar infraestruturas críticas na Europa, utilizando variantes de malware como MiniJunk e MiniBrowse. Outro ponto alarmante foi a campanha de DDoS do botnet ShadowV2, que visa contêineres Docker mal configurados na AWS, transformando ataques em um negócio por encomenda. Em resposta a essas ameaças, a Cloudflare conseguiu mitigar um ataque DDoS recorde, que atingiu 22.2 Tbps. Por fim, vulnerabilidades em servidores da Supermicro foram identificadas, permitindo a instalação remota de firmware malicioso, o que representa um risco elevado para a segurança de dados. As organizações devem priorizar a aplicação de patches e a revisão de suas configurações de segurança para evitar compromissos.

Uma vulnerabilidade de dia zero, ou zero-day, refere-se a uma falha de segurança recém-descoberta que ainda não foi corrigida pelos desenvolvedores. O termo ‘dia zero’ indica que não há tempo para uma correção antes que a vulnerabilidade possa ser explorada por hackers. Esses cibercriminosos podem criar malwares para explorar essas falhas, comprometendo dados de usuários e sistemas. A exploração geralmente ocorre através de engenharia social, como e-mails de phishing, e pode resultar em invasões prolongadas, já que muitos usuários não atualizam seus sistemas rapidamente após a liberação de patches. A Kaspersky identifica diversos atores que exploram essas vulnerabilidades, incluindo cibercriminosos, hacktivistas e espiões corporativos. Exemplos notáveis incluem falhas no navegador Chrome e na plataforma Zoom, além do famoso worm Stuxnet, que afetou o programa nuclear do Irã. Para mitigar riscos, é crucial que os usuários mantenham seus sistemas atualizados e adotem práticas de segurança, como o uso de firewalls e antivírus.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

No dia 25 de setembro de 2025, a equipe de Detecção e Resposta Gerenciada da Conscia identificou uma campanha de malvertising sofisticada que visava comprometer sistemas corporativos através de um instalador falso do Microsoft Teams. A cadeia de infecção foi descoberta quando as regras de Redução da Superfície de Ataque (ASR) do Microsoft Defender bloquearam tráfego suspeito, levando a uma investigação forense detalhada. A campanha utilizou resultados de busca envenenados para redirecionar usuários a um domínio malicioso, onde o malware estava hospedado. O instalador, MSTeamsSetup.exe, parecia legítimo devido a uma assinatura digital válida, permitindo que o malware evitasse detecções baseadas em assinatura. Após a execução, o malware tentou estabelecer uma conexão de comando e controle, mas foi interceptado pelas regras do Defender. Para se proteger contra essa ameaça, as organizações devem implementar estratégias de detecção focadas em anomalias de certificados e comportamentos de rede, além de monitorar conexões de saída para domínios recém-registrados. Este incidente destaca a convergência de técnicas modernas de ataque, como envenenamento de SEO e abuso de certificados, exigindo uma resposta proativa das equipes de segurança.

O Formbricks, uma plataforma de análise de código aberto, apresenta uma vulnerabilidade crítica que permite redefinições de senha não autorizadas. A falha está relacionada ao manuseio de JSON Web Tokens (JWT), onde os tokens são decodificados sem verificações de assinatura ou expiração. Isso possibilita que atacantes criem tokens arbitrários e sequestram contas de usuários. A vulnerabilidade se origina do uso inadequado da operação de decodificação (jwt.decode) em vez da verificação completa (jwt.verify), resultando na falta de validação da assinatura do token, tempo de expiração, emissor e público-alvo. Um atacante, ao obter um identificador de usuário válido, pode gerar um token com o cabeçalho alg: “none” e, em seguida, usar esse token para redefinir a senha da conta da vítima. O impacto dessa falha é significativo, pois permite não apenas a redefinição de senhas, mas também o controle de outras funcionalidades baseadas em contas, levando ao roubo de dados e manipulação de registros analíticos. Para mitigar essa vulnerabilidade, os desenvolvedores devem substituir todas as chamadas jwt.decode por jwt.verify e implementar medidas adicionais de segurança, como limitação de taxa e monitoramento de solicitações incomuns.